Déclaration d'Applicabilité
Ces mesures sont organisées conformément à l'annexe A de l'ISO 27001:2022.
Pour la plupart, elles sont issues de cette annexe, mais des mesures spécifiques peuvent également y avoir été ajoutées.
| Statut | n |
|---|---|
| Effective | 9 |
| Initial | 66 |
| Programmée | 17 |
| Code | Label | Statut | Justification | Risques traités |
|---|---|---|---|---|
| a5.01 | Politiques de sécurité de l'information | I | Conformité (5.2) | |
| a5.02 | Fonctions et responsabilités liées à la sécurité de l'information | I | Conformité (5.3) | |
| a5.03 | Séparation des tâches | I | A justifier | |
| a5.04 | Responsabilités de la direction | I | Conformité (5.5) | |
| a5.05 | Relations avec les autorités | I | Conformité (4.2;7.4) | |
| a5.06 | Relations avec les groupes de travail spécialisés | I | A justifier | |
| a5.07 | Surveillance des menaces | I | A justifier | |
| a5.09 | Inventaire de l'information et des actifs associés | E | A justifier | |
| a5.10 | Utilisation correcte de l'information et des actifs associés | P | Traitement de risques | rd01, rc02 |
| a5.11 | Restitution des actifs | I | A justifier | |
| a5.12 | Classification des informations | P | Traitement de risques | rd01, rc01 |
| a5.13 | Marquage des informations | P | A justifier | |
| a5.14 | Transferts d'information | P | A justifier | |
| a5.15 | Contrôle d'accès | I | A justifier | |
| a5.16 | Attendus | P | Traitement de risques | rc02, ri01, rd01 |
| a5.16 | Gestion des identités | P | Traitement de risques | rc02, ri01, rd01 |
| a5.17 | Informations secrètes d'authentification | P | A justifier | |
| a5.18 | Droits d'accès | I | A justifier | |
| a5.19 | Sécurité de l'information dans les relations avec les fournisseurs | P | Traitement de risques | rd01, rc02 |
| a5.20 | Sécurité de l'information dans les accords conclus avec les fournisseurs | P | Traitement de risques | rd01, rc01, rc02 |
| a5.21 | Chaîne d'approvisionnement des produits et des services informatiques | I | A justifier | |
| a5.22 | Surveillance, revue et gestion des changements des services des fournisseurs | P | Traitement de risques | rd01, rc02 |
| a5.23 | Sécurité de l'information pour les services en nuage | I | A justifier | |
| a5.24 | Préparation et planification du management des incidents | I | A justifier | |
| a5.25 | Appréciation des événements liés à la sécurité de l'information et prise de décision | I | A justifier | |
| a5.26 | Réponse aux incidents liés à la sécurité de l'information | I | A justifier | |
| a5.27 | Tirer des enseignements des incidents liés la sécurité de l'information | I | A justifier | |
| a5.28 | Collecte de preuves | I | Conformité (9.1 et 8.3) | |
| a5.29 | Sécurité de l'information durant une perturbation | P | Traitement de risques | rc01, rc02, rd01 |
| a5.30 | Préparation des TIC pour la continuité d'activité | I | A justifier | |
| a5.31 | Exigences légales, statutaires, réglementaires et contractuelles | I | A justifier | |
| a5.32 | Droits de propriété intellectuelle | I | A justifier | |
| a5.33 | Protection des enregistrements | E | Traitement de risques | rd01, rc02, ri01 |
| a5.34 | Protection de la vie privée et des données à caractère personnel | I | Exigence légale | |
| a5.35 | Revue indépendante de la sécurité de l'information | I | Conformité (9.2) | |
| a5.36 | Conformité aux politiques, règles et normes de sécurité de l'information | I | Conformité (8.1) | |
| a5.37 | Procédures d'exploitation documentées | P | Traitement de risques | rd01, rc02, ri01 |
| a6.01 | Sélection des candidats | I | A justifier | |
| a6.02 | Termes et conditions d'embauche | I | A justifier | |
| a6.03 | Sensibilisation, apprentissage et formation à la sécurité de l'information | P | A justifier | |
| a6.04 | Processus disciplinaire | I | A justifier | |
| a6.05 | Achèvement ou modification des responsabilités associées à un contrat de travail | I | A justifier | |
| a6.06 | Engagements de confidentialité ou de non-divulgation | I | A justifier | |
| a6.07 | Travail à distance | I | A justifier | |
| a6.08 | Signalement des événements liés à la sécurité de l'information | I | A justifier | |
| a7.01 | Périmètres de sécurité physique | P | A justifier | |
| a7.02 | Accès physique | E | Traitement de risques | rc01, rc02, rd01 |
| a7.03 | Sécurisation des bureaux, des salles et des équipements | E | Traitement de risques | rc01, rc02, rd01 |
| a7.04 | Surveillance de la sécurité physique | E | Traitement de risques | rc01, rc02 |
| a7.05 | Protection contre les menaces physiques et environnementales | I | A justifier | |
| a7.06 | Travail dans les zones sécurisées | I | A justifier | |
| a7.07 | Bureau propre et écran vide | I | A justifier | |
| a7.08 | Emplacement et protection des matériels | P | A justifier | |
| a7.09 | Sécurité des actifs hors des locaux | P | Traitement de risques | rc02 |
| a7.10 | Supports de stockage | P | A justifier | |
| a7.11 | Services généraux | I | A justifier | |
| a7.12 | Sécurité du câblage | E | Traitement de risques | rc01, rc02, rd01 |
| a7.13 | Maintenance des matériels | I | A justifier | |
| a7.14 | Mise ou rebut ou réutilisation sécurisée des matériels | I | A justifier | |
| a8.01 | Terminaux finaux des utilisateurs | I | A justifier | |
| a8.02 | Privilèges d'accès | I | A justifier | |
| a8.03 | Restriction d'accès aux informations | I | A justifier | |
| a8.04 | Accès au code source | I | A justifier | |
| a8.05 | Authentification sécurisée | I | A justifier | |
| a8.06 | Dimensionnement | I | A justifier | |
| a8.07 | Mesures contre les logiciels malveillants | I | A justifier | |
| a8.08 | Gestion des vulnérabilités techniques | I | A justifier | |
| a8.09 | Gestion de la configuration | I | A justifier | |
| a8.10 | Suppression d'informations | I | A justifier | |
| a8.11 | Masquage de données | I | A justifier | |
| a8.12 | Prévention de la fuite de données | I | A justifier | |
| a8.13 | Sauvegarde des informations | I | A justifier | |
| a8.14 | Redondance des moyens de traitement de l'information | E | A justifier | |
| a8.15 | Journalisation | I | A justifier | |
| a8.16 | Activités de surveillance | I | A justifier | |
| a8.17 | Synchronisation des horloges | I | A justifier | |
| a8.18 | Utilisation de programmes utilitaires à privilèges | I | A justifier | |
| a8.19 | Installation de logiciels sur des systèmes opérationnels | I | A justifier | |
| a8.20 | Sécurité des réseaux | I | A justifier | |
| a8.21 | Sécurité des services réseau | P | Traitement de risques | rc01, rc02, rd01 |
| a8.22 | Cloisonnement des réseaux | I | A justifier | |
| a8.23 | Filtrage Internet | I | A justifier | |
| a8.24 | Utilisation de la cryptographie | E | Traitement de risques | rc02, rc01, rd01 |
| a8.25 | Cycle de vie de développement sécurisé | I | A justifier | |
| a8.26 | Exigences de sécurité des applications | I | A justifier | |
| a8.27 | Principes d'ingénierie et d'architecture système sécurisée | I | A justifier | |
| a8.28 | Codage sécurisé | I | A justifier | |
| a8.29 | Tests de sécurité dans le développement et acceptation | I | A justifier | |
| a8.30 | Développement externalisé | I | A justifier | |
| a8.31 | Séparation des environnements de développement, de test et de production | I | A justifier | |
| a8.32 | Gestion des changements | E | A justifier | |
| a8.33 | Informations relatives aux tests | I | A justifier | |
| a8.34 | Protection des systèmes d'information en cours de tests d'audit | I | A justifier |