Déclaration d'Applicabilité

Ces mesures sont organisées conformément à l'annexe A de l'ISO 27001:2022.

Pour la plupart, elles sont issues de cette annexe, mais des mesures spécifiques peuvent également y avoir été ajoutées.

Statut n
Effective9
Initial66
Programmée17
Code Label Statut Justification Risques traités
a5.01Politiques de sécurité de l'informationIConformité (5.2)
a5.02Fonctions et responsabilités liées à la sécurité de l'informationIConformité (5.3)
a5.03Séparation des tâchesIA justifier
a5.04Responsabilités de la directionIConformité (5.5)
a5.05Relations avec les autoritésIConformité (4.2;7.4)
a5.06Relations avec les groupes de travail spécialisésIA justifier
a5.07Surveillance des menacesIA justifier
a5.09Inventaire de l'information et des actifs associésEA justifier
a5.10Utilisation correcte de l'information et des actifs associésPTraitement de risquesrd01, rc02
a5.11Restitution des actifsIA justifier
a5.12Classification des informationsPTraitement de risquesrd01, rc01
a5.13Marquage des informationsPA justifier
a5.14Transferts d'informationPA justifier
a5.15Contrôle d'accèsIA justifier
a5.16AttendusPTraitement de risquesrc02, ri01, rd01
a5.16Gestion des identitésPTraitement de risquesrc02, ri01, rd01
a5.17Informations secrètes d'authentificationPA justifier
a5.18Droits d'accèsIA justifier
a5.19Sécurité de l'information dans les relations avec les fournisseursPTraitement de risquesrd01, rc02
a5.20Sécurité de l'information dans les accords conclus avec les fournisseursPTraitement de risquesrd01, rc01, rc02
a5.21Chaîne d'approvisionnement des produits et des services informatiquesIA justifier
a5.22Surveillance, revue et gestion des changements des services des fournisseursPTraitement de risquesrd01, rc02
a5.23Sécurité de l'information pour les services en nuageIA justifier
a5.24Préparation et planification du management des incidentsIA justifier
a5.25Appréciation des événements liés à la sécurité de l'information et prise de décisionIA justifier
a5.26Réponse aux incidents liés à la sécurité de l'informationIA justifier
a5.27Tirer des enseignements des incidents liés la sécurité de l'informationIA justifier
a5.28Collecte de preuvesIConformité (9.1 et 8.3)
a5.29Sécurité de l'information durant une perturbationPTraitement de risquesrc01, rc02, rd01
a5.30Préparation des TIC pour la continuité d'activitéIA justifier
a5.31Exigences légales, statutaires, réglementaires et contractuellesIA justifier
a5.32Droits de propriété intellectuelleIA justifier
a5.33Protection des enregistrementsETraitement de risquesrd01, rc02, ri01
a5.34Protection de la vie privée et des données à caractère personnelIExigence légale
a5.35Revue indépendante de la sécurité de l'informationIConformité (9.2)
a5.36Conformité aux politiques, règles et normes de sécurité de l'informationIConformité (8.1)
a5.37Procédures d'exploitation documentéesPTraitement de risquesrd01, rc02, ri01
a6.01Sélection des candidatsIA justifier
a6.02Termes et conditions d'embaucheIA justifier
a6.03Sensibilisation, apprentissage et formation à la sécurité de l'informationPA justifier
a6.04Processus disciplinaireIA justifier
a6.05Achèvement ou modification des responsabilités associées à un contrat de travailIA justifier
a6.06Engagements de confidentialité ou de non-divulgationIA justifier
a6.07Travail à distanceIA justifier
a6.08Signalement des événements liés à la sécurité de l'informationIA justifier
a7.01Périmètres de sécurité physiquePA justifier
a7.02Accès physiqueETraitement de risquesrc01, rc02, rd01
a7.03Sécurisation des bureaux, des salles et des équipementsETraitement de risquesrc01, rc02, rd01
a7.04Surveillance de la sécurité physiqueETraitement de risquesrc01, rc02
a7.05Protection contre les menaces physiques et environnementalesIA justifier
a7.06Travail dans les zones sécuriséesIA justifier
a7.07Bureau propre et écran videIA justifier
a7.08Emplacement et protection des matérielsPA justifier
a7.09Sécurité des actifs hors des locauxPTraitement de risquesrc02
a7.10Supports de stockagePA justifier
a7.11Services générauxIA justifier
a7.12Sécurité du câblageETraitement de risquesrc01, rc02, rd01
a7.13Maintenance des matérielsIA justifier
a7.14Mise ou rebut ou réutilisation sécurisée des matérielsIA justifier
a8.01Terminaux finaux des utilisateursIA justifier
a8.02Privilèges d'accèsIA justifier
a8.03Restriction d'accès aux informationsIA justifier
a8.04Accès au code sourceIA justifier
a8.05Authentification sécuriséeIA justifier
a8.06DimensionnementIA justifier
a8.07Mesures contre les logiciels malveillantsIA justifier
a8.08Gestion des vulnérabilités techniquesIA justifier
a8.09Gestion de la configurationIA justifier
a8.10Suppression d'informationsIA justifier
a8.11Masquage de donnéesIA justifier
a8.12Prévention de la fuite de donnéesIA justifier
a8.13Sauvegarde des informationsIA justifier
a8.14Redondance des moyens de traitement de l'informationEA justifier
a8.15JournalisationIA justifier
a8.16Activités de surveillanceIA justifier
a8.17Synchronisation des horlogesIA justifier
a8.18Utilisation de programmes utilitaires à privilègesIA justifier
a8.19Installation de logiciels sur des systèmes opérationnelsIA justifier
a8.20Sécurité des réseauxIA justifier
a8.21Sécurité des services réseauPTraitement de risquesrc01, rc02, rd01
a8.22Cloisonnement des réseauxIA justifier
a8.23Filtrage InternetIA justifier
a8.24Utilisation de la cryptographieETraitement de risquesrc02, rc01, rd01
a8.25Cycle de vie de développement sécuriséIA justifier
a8.26Exigences de sécurité des applicationsIA justifier
a8.27Principes d'ingénierie et d'architecture système sécuriséeIA justifier
a8.28Codage sécuriséIA justifier
a8.29Tests de sécurité dans le développement et acceptationIA justifier
a8.30Développement externaliséIA justifier
a8.31Séparation des environnements de développement, de test et de productionIA justifier
a8.32Gestion des changementsEA justifier
a8.33Informations relatives aux testsIA justifier
a8.34Protection des systèmes d'information en cours de tests d'auditIA justifier