smsi:liste_des_mesures

Mesures de la Politique de Sécurité

Ces mesures sont organisées conformément à l'annexe A de l'ISO 27001:2022.

Elles sont détaillées dans l'ISO 27002:2022.

Pour la plupart, elles sont issues de cette annexe, mais des mesures spécifiques peuvent également y avoir été ajoutées.

Statut n
Effective9
Initial66
Programmée17
Code Label Statut Capacités Scénarios VcMax
a5.01Politiques de sécurité de l'informationIGouvernance
a5.02Fonctions et responsabilités liées à la sécurité de l'informationIGouvernance
a5.03Séparation des tâchesIGouvernance, Gestion des identités et des accèsschds04aTrès probable
a5.04Responsabilités de la directionIGouvernance
a5.05Relations avec les autoritésIGouvernanceschds08Très peu probable
a5.06Relations avec les groupes de travail spécialisésIGouvernance
a5.07Surveillance des menacesIGestion des menaces et vulnérabilitésschds06Très probable
a5.09Inventaire de l'information et des actifs associésEGestion des actifsschds02a, schds02c, schds04a, schds04cTrès probable
a5.10Utilisation correcte de l'information et des actifs associésPGestion des actifs, Protection des informationsschds01, schds02a, schds02c, schds03_i, schds06Très probable
a5.11Restitution des actifsIGestion des actifsschds02c, schds04aTrès probable
a5.12Classification des informationsPProtection des informationsschds01, schds02bTrès probable
a5.13Marquage des informationsPProtection des informationsschds02a, schds02bTrès probable
a5.14Transferts d'informationPGestion des actifs, Protection des informationsschds02a, schds02b, schds03_cTrès probable
a5.15Contrôle d'accèsIGestion des identités et des accèsschds04a, schds04c, schds06Très probable
a5.16AttendusPGestion des identités et des accèsschds04b, schds04c, schds06Très probable
a5.16Gestion des identitésPGestion des identités et des accèsschds04b, schds04c, schds06Très probable
a5.17Informations secrètes d'authentificationPGestion des identités et des accèsschds04b, schds04c, schds06Très probable
a5.18Droits d'accèsIGestion des identités et des accèsschds04a, schds06Très probable
a5.19Sécurité de l'information dans les relations avec les fournisseursPSécurité des relations fournisseursschds03_d, schds07, schds08Très probable
a5.20Sécurité de l'information dans les accords conclus avec les fournisseursPSécurité des relations fournisseursschds01, schds03_d, schds04d, schds05, schds07, schds08Très probable
a5.21Chaîne d'approvisionnement des produits et des services informatiquesISécurité des relations fournisseursschds08Très peu probable
a5.22Surveillance, revue et gestion des changements des services des fournisseursPAssurance de sécurité de l'information, Continuité, Sécurité des relations fournisseursschds03_d, schds03_i, schds05, schds08Très probable
a5.23Sécurité de l'information pour les services en nuageISécurité des relations fournisseursschds08Très peu probable
a5.24Préparation et planification du management des incidentsIGestion des événements de sécurité de l'information, Gouvernance
a5.25Appréciation des événements liés à la sécurité de l'information et prise de décisionIGestion des événements de sécurité de l'information
a5.26Réponse aux incidents liés à la sécurité de l'informationIGestion des événements de sécurité de l'information
a5.27Tirer des enseignements des incidents liés la sécurité de l'informationIGestion des événements de sécurité de l'information
a5.28Collecte de preuvesIGestion des événements de sécurité de l'information
a5.29Sécurité de l'information durant une perturbationPContinuitéschds03_c, schds03_iTrès probable
a5.30Préparation des TIC pour la continuité d'activitéIContinuitéschds08Très peu probable
a5.31Exigences légales, statutaires, réglementaires et contractuellesIRéglementation et conformitéschds04d, schds08Très probable
a5.32Droits de propriété intellectuelleIRéglementation et conformité
a5.33Protection des enregistrementsEGestion des actifs, Protection des informations, Réglementation et conformitéschds01, schds04a, schds04cTrès probable
a5.34Protection de la vie privée et des données à caractère personnelIProtection des informations, Réglementation et conformitéschds03_cPeu probable
a5.35Revue indépendante de la sécurité de l'informationIAssurance de sécurité de l'information
a5.36Conformité aux politiques, règles et normes de sécurité de l'informationIAssurance de sécurité de l'information, Réglementation et conformité
a5.37Procédures d'exploitation documentéesPGestion des actifs, Sécurité des applications, Configuration sécurisée, Continuité, Gestion des événements de sécurité de l'information, Gestion des identités et des accès, Sécurité physique, Sécurité technique en production, Sécurité système et réseau, Gestion des menaces et vulnérabilitésschds01, schds02a, schds03_d, schds04a, schds04b, schds05, schds06Très probable
a6.01Sélection des candidatsISécurité des ressources humainesschds04c, schds05Très probable
a6.02Termes et conditions d'embaucheISécurité des ressources humainesschds04a, schds04b, schds04c, schds05Très probable
a6.03Sensibilisation, apprentissage et formation à la sécurité de l'informationPSécurité des ressources humainesschds02a, schds02b, schds02c, schds03_d, schds03_i, schds04a, schds04b, schds04c, schds05Très probable
a6.04Processus disciplinaireISécurité des ressources humainesschds02a, schds02b, schds04a, schds04b, schds04c, schds05Très probable
a6.05Achèvement ou modification des responsabilités associées à un contrat de travailIGestion des actifs, Sécurité des ressources humainesschds02a, schds04a, schds04bTrès probable
a6.06Engagements de confidentialité ou de non-divulgationISécurité des relations fournisseurs, Protection des informations, Sécurité des ressources humaines
a6.07Travail à distanceIGestion des actifs, Sécurité physique, Sécurité technique en production, Protection des informations, Sécurité système et réseauschds02a, schds02bTrès probable
a6.08Signalement des événements liés à la sécurité de l'informationIGestion des événements de sécurité de l'informationschds03_dTrès probable
a7.01Périmètres de sécurité physiquePSécurité physiqueschds02b, schds02c, schds03_cPossible/Probable
a7.02Accès physiqueEGestion des identités et des accès, Sécurité physiqueschds02b, schds02c, schds03_c, schds03_dTrès probable
a7.03Sécurisation des bureaux, des salles et des équipementsEGestion des actifs, Sécurité physiqueschds02b, schds02c, schds03_c, schds03_dTrès probable
a7.04Surveillance de la sécurité physiqueESécurité physiqueschds02b, schds02cPossible/Probable
a7.05Protection contre les menaces physiques et environnementalesISécurité physiqueschds01, schds03_d, schds07Très probable
a7.06Travail dans les zones sécuriséesISécurité physiqueschds03_dTrès probable
a7.07Bureau propre et écran videISécurité physiqueschds02bTrès peu probable
a7.08Emplacement et protection des matérielsPGestion des actifs, Sécurité physiqueschds03_c, schds03_dTrès probable
a7.09Sécurité des actifs hors des locauxPGestion des actifs, Sécurité physiqueschds02a, schds02cTrès probable
a7.10Supports de stockagePGestion des actifs, Sécurité physiqueschds01, schds02a, schds02cTrès probable
a7.11Services générauxISécurité physiqueschds01, schds03_d, schds07Très probable
a7.12Sécurité du câblageESécurité physiqueschds03_c, schds03_d, schds03_i, schds07Très probable
a7.13Maintenance des matérielsIGestion des actifs, Sécurité physiqueschds01, schds03_d, schds07Très probable
a7.14Mise ou rebut ou réutilisation sécurisée des matérielsIGestion des actifs, Sécurité physiqueschds02cPossible/Probable
a8.01Terminaux finaux des utilisateursIGestion des actifs, Protection des informations
a8.02Privilèges d'accèsIGestion des identités et des accèsschds04a, schds04c, schds06Très probable
a8.03Restriction d'accès aux informationsIGestion des identités et des accèsschds04a, schds04c, schds06Très probable
a8.04Accès au code sourceISécurité des applications, Configuration sécurisée, Sécurité technique en construction, Gestion des identités et des accès
a8.05Authentification sécuriséeIGestion des identités et des accèsschds06Très probable
a8.06DimensionnementIContinuitéschds03_i, schds05, schds07Très probable
a8.07Mesures contre les logiciels malveillantsISécurité technique en production, Protection des informations, Sécurité système et réseauschds03_c, schds06Très probable
a8.08Gestion des vulnérabilités techniquesIGestion des menaces et vulnérabilitésschds06Très probable
a8.09Gestion de la configurationIConfiguration sécuriséeschds03_d, schds05Très probable
a8.10Suppression d'informationsIProtection des informations, Réglementation et conformitéschds02cPossible/Probable
a8.11Masquage de donnéesIProtection des informationsschds02c, schds03_cPossible/Probable
a8.12Prévention de la fuite de donnéesIProtection des informationsschds03_cPeu probable
a8.13Sauvegarde des informationsIContinuitéschds01, schds07Très probable
a8.14Redondance des moyens de traitement de l'informationEGestion des actifs, Continuitéschds01, schds03_d, schds03_i, schds07, schds08Très probable
a8.15JournalisationIGestion des événements de sécurité de l'informationschds04cTrès probable
a8.16Activités de surveillanceIGestion des événements de sécurité de l'informationschds03_d, schds03_i, schds07Très probable
a8.17Synchronisation des horlogesIGestion des événements de sécurité de l'informationschds04cTrès probable
a8.18Utilisation de programmes utilitaires à privilègesISécurité des applications, Configuration sécurisée, Sécurité technique en production, Sécurité système et réseauschds04aTrès probable
a8.19Installation de logiciels sur des systèmes opérationnelsISécurité des applications, Configuration sécurisée, Sécurité technique en productionschds05Très probable
a8.20Sécurité des réseauxISécurité technique en production, Sécurité système et réseauschds03_d, schds03_iTrès probable
a8.21Sécurité des services réseauPSécurité technique en production, Sécurité système et réseauschds03_c, schds03_d, schds03_iTrès probable
a8.22Cloisonnement des réseauxISécurité technique en production, Sécurité système et réseauschds03_c, schds03_iTrès probable
a8.23Filtrage InternetISécurité technique en production, Sécurité système et réseauschds03_c, schds03_iTrès probable
a8.24Utilisation de la cryptographieEConfiguration sécuriséeschds02c, schds03_c, schds03_dTrès probable
a8.25Cycle de vie de développement sécuriséISécurité des applications, Sécurité technique en construction, Sécurité système et réseau
a8.26Exigences de sécurité des applicationsISécurité des applications, Sécurité technique en construction, Sécurité système et réseauschds03_cPeu probable
a8.27Principes d'ingénierie et d'architecture système sécuriséeISécurité des applications, Sécurité technique en construction, Sécurité système et réseauschds03_cPeu probable
a8.28Codage sécuriséISécurité des applications, Sécurité technique en construction, Sécurité système et réseauschds03_cPeu probable
a8.29Tests de sécurité dans le développement et acceptationISécurité des applications, Assurance de sécurité de l'information, Sécurité technique en construction, Sécurité système et réseauschds05Très probable
a8.30Développement externaliséISécurité des applications, Sécurité technique en construction, Sécurité des relations fournisseurs, Sécurité système et réseau
a8.31Séparation des environnements de développement, de test et de productionISécurité des applications, Sécurité technique en construction, Sécurité système et réseauschds03_i, schds05, schds08Très probable
a8.32Gestion des changementsESécurité des applications, Sécurité technique en construction, Sécurité technique en production, Sécurité système et réseauschds03_d, schds05Très probable
a8.33Informations relatives aux testsIProtection des informations
a8.34Protection des systèmes d'information en cours de tests d'auditISécurité technique en production, Protection des informations, Sécurité système et réseauschds03_i, schds04d, schds07Très probable
  • smsi/liste_des_mesures.txt
  • Dernière modification : 2024/10/13 14:37
  • de cardynal