Audit ISO27001

Aperçu de l’ou
Cet outil a pour but de qualifier un SMSI (Système de management en sécurité de l’information) à l
Pre-évaluation
1. Déterminer le périmètre d’évaluation
2. Collecter les preuves
3. Préparer l’outil
Évaluation
4. Examiner les zones de contrôle
5. Déterminer le niveau de conformité
Post évaluation
0000001
6. Enregistrement des zones faibles
7. Créer un plan d’amélioration
8. Prévoir une ré-évaluation
Cycle de vie de la revue
9. Prévoir le revue du SMSI
0000002
Aperçu de l’outil ESD academy « audit ISO 27001 »
(Système de management en sécurité de l’information) à l’aide de la valorisation des différents contrôles dem
Instruction d’utilisation
Travailler avec les acteurs concernés pour déterminer quelle e
Identifiez et centralisez autant de preuves que possible. Cela peut inclure des documents stratég
Utiliser le périmètre d’évaluation permet d’identifier ce qu’il ne pourr

En outre, lorsque les questions d'audit suggérées ne sont pas pertinentes, elles
Examiner les preuves pour chaque contrôle et déterminer

Cette outil permet de faire cela avec des in
À la fin de l’évaluation, l’outil vous fournira un niveau global de conformité
0000003
Enregistrer les zones, contrôles non convenable (no
Pour chaque zone de faiblesse, travailler avec les personnes concernés par la zone
Organisez une date pour examiner les zones faibles pour définir
Assurez-vous que le SMSI est réévalué régulièrement
0000004
000000Halkyn Consulting Ltd 00000011/06/2017
Métriques de conformité (ISO 27001)
100%
Status de conformité - par section
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15
100%
90%
80%
70%
60%
5B9BD5www.halkynconsulting.co.uk
50% 5B9BD5info@halkynconsulting.co.uk
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
1 2 3 4 5 6 7 8 9 10
5B9BD5www.halkynconsulting.co.uk 5B9BD5info@halkynconsulting.co.uk
60%
000000Halkyn
50%
Consulting Ltd 00000011/06/2017
40%
30%
20%
10%
0%
1 2 3 4 5 6 7 8 9 10
001)
13 A.14 A.15 A.16 A.17 A.18
Status de conformité - par contrôle
9 10 11 12 13 14 15 16 17 18 19
9 10 11 12 13 14 15 16 17 18 19
15 16 17 18 19 20 21 22 23 24 25 26
15 16 17 18 19 20 21 22 23 24 25 26
27 28 29 30 31 32 33 34 35
27 28 29 30 31 32 33 34 35
5B9BD5info@halkynconsulting.co.uk
Conformité par section (ISO 27001)
Standard
A.5
A.6
A.7
A.8
A.9
A.10
A.11
A.12
A.13
A.14
A.15
A.16
A.17
A.18
Conformité globale
00000011/06/2017 000000Page000000Halkyn
1 of 1 Consulting Ltd
Conformité par section (ISO 27001)
Section
Politiques de sécurité de l’information
Organisation de la sécurité de l’information
La sécurité des ressources humaines
Gestion des actifs
Contrôle d’accès
Cryptographie
Sécurité physique et environnementale
Sécurité liée à l’exploitation
Sécurité des communications
Acquisition, développement et maintenance des systèmes d’information
Relations avec les fournisseurs
Gestion des incidents liés à la sécurité de l’information
Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
Conformité
mité globale
00000011/06/2017 000000Page000000Halkyn
Status
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
00000011/06/2017 000000Page000000Halkyn
Conformité par contrôle (ISO 27
Standard
A.5.1
A.6.1
A.6.2
A.7.1
A.7.2
A.7.3
A.8.1
A.8.2
A.8.3
A.9.1
A.9.2
A.9.3
A.9.4
A.10.1
A.11.1
A.11.2
A.12.1
A.12.2
A.12.3
A.12.4
A.12.5
A.12.6
A.12.7
A.13.1
A.13.2
A.14.1
A.14.2
A.14.3
A.15.1
A.15.2
00000011/06/2017 000000Page000000Halkyn
20 of Consulting Ltd
A.16.1
A.17.1
A.17.2
A.18.1
A.18.2
00000011/06/2017 000000Page000000Halkyn
Conformité par contrôle (ISO 27001)
Section
Orientations de la direction en matière de sécurité de l’information
Organisation interne
Appareils mobiles et télétravail
Avant l’embauche
Pendant la durée du contrat
Rupture, terme ou modification du contrat de travail
Responsabilités relatives aux actifs
Classification de l’information
Manipulation des supports
Exigences métier en matière de contrôle d’accès
Gestion de l’accès utilisateur
Responsabilités des utilisateurs
Contrôle de l’accès au système et aux applications
Mesures cryptographiques
Zones sécurisées
Matériels
Procédures et responsabilités liées à l’exploitation
Protection contre les logiciels malveillants
Sauvegarde
Journalisation et surveillance
Maîtrise des logiciels en exploitation
Gestion des vulnérabilités techniques
Considérations sur l’audit du système d’information
Management de la sécurité des réseaux
Transfert de l’information
Exigences de sécurité applicables aux systèmes d’information
Sécurité des processus de développement et d’assistance technique
Données de test
Sécurité de l’information dans les relations avec les fournisseurs
Gestion de la prestation du service
00000011/06/2017 000000Page000000Halkyn
Gestion des incidents liés à la sécurité de l’information et améliorations

Continuité de la sécurité de l’information
Redondances
Conformité aux obligations légales et réglementaires
Revue de la sécurité de l’information
00000011/06/2017 000000Page000000Halkyn
Status
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
00000011/06/2017 000000Page000000Halkyn
0%
0%
0%
0%
0%
00000011/06/2017 000000Page000000Halkyn
4472C4www.halkynconsulting.co.uk 4472C4Halkyn Consulting Ltd
Vérification de conformité (ISO
Référence Évaluation de la zone de conformité

Checklist Standard Section
A.5 Politiques de sécurité de l’information
A.5.1 Orientations de la direction en matière de sécurité de l’information
[ ] A.5.1.1 Politiques de sécurité de l'information
Revue des politiques de sécurité de

[ ] A.5.1.2
l’information
A.6 Organisation de la sécurité de l’information

A.6.1 Organisation interne
Fonctions et responsabilités liées à la

[ ] A.6.1.1
sécurité de l’information
000000Page 26 of 00000011/06/2017
[ ] A.6.1.2 Séparation des tâches
[ ] A.6.1.3 Relation avec les autorités
Relation avec des groupes de travail

[ ] A.6.1.4
spécialisés
La sécurité de l’information dans la

[ ] A.6.1.5
gestion de projet
A.6.2 Appareils mobiles et télétravail
Politique en matière d’appareils

[ ] A.6.2.1
mobiles
[ ] A.6.2.2 Télétravail
000000Page 27 of 00000011/06/2017
A.7 La sécurité des ressources humaines

A.7.1 Avant l’embauche
[ ] A.7.1.1 Sélection des candidats
[ ] A.7.1.2 Termes et conditions d’embauche
A.7.2 Pendant la durée du contrat
[ ] A.7.2.1 Responsabilités de la direction
Sensibilisation, apprentissage et
[ ] A.7.2.2 formation à la sécurité de
l’information
000000Page 28 of 00000011/06/2017
[ ] A.7.2.3 Processus disciplinaire
Rupture, terme ou modification du

A.7.3
contrat de travail
Achèvement ou modification des

[ ] A.7.3.1 responsabilités associées au contrat
de travail
A.8 Gestion des actifs

A.8.1 Responsabilités relatives aux actifs
[ ] A.8.1.1 Inventaire des actifs
[ ] A.8.1.2 Propriété des actifs
[ ] A.8.1.3 Utilisation correcte des actifs
000000Page 29 of 00000011/06/2017
[ ] A.8.1.4 Restitution des actifs
A.8.2 Classification de l’information
[ ] A.8.2.1 Classification des informations
[ ] A.8.2.2 Marquage des informations
[ ] A.8.2.3 Manipulation des actifs
A.8.3 Manipulation des supports
[ ] A.8.3.1 Gestion des supports amovibles
[ ] A.8.3.2 Mise en rebut des supports
000000Page 30 of 00000011/06/2017
[ ] A.8.3.3 Manipulation des actifs
A.9 Contrôle d’accès

Exigences métier en matière de
A.9.1
contrôle d’accès
[ ] A.9.1.1 Politique de contrôle d’accès
[ ] A.9.1.2 Accès aux réseaux et services réseau
A.9.2 Gestion de l’accès utilisateur
Enregistrement et désinscription des

[ ] A.9.2.1
utilisateurs
[ ] A.9.2.2 Distribution des accès aux utilisateurs
Gestion des droits d’accès à

[ ] A.9.2.3
privilèges
000000Page 31 of 00000011/06/2017
Gestion des information secrètes

[ ] A.9.2.4
d’authentification des utilisateurs
Revue des droits d’accès

[ ] A.9.2.5
d’utilisateurs
Suppression ou adaptation des droits

[ ] A.9.2.6
d’accès
A.9.3 Responsabilités des utilisateurs
Utilisation d’informations secrètes

[ ] A.9.3.1
d’authentification
Contrôle de l’accès au système et

A.9.4
aux applications
[ ] A.9.4.1 Restriction d’accès à l’information
Sécuriser les procédures de

[ ] A.9.4.2
connexion
[ ] A.9.4.3 Système de gestion des mots de passe
000000Page 32 of 00000011/06/2017
Utilisation de programme utilitaires à

[ ] A.9.4.4
privilèges
Contrôle d’accès au code source des

[ ] A.9.4.5
programmes
A.10 Cryptographie
A.10.1 Mesures cryptographiques
Politique d’utilisation des mesures

[ ] A.10.1.1
cryptographiques
[ ] A.10.1.2 Gestion des clés
A.11 Sécurité physique et environnementale

A.11.1 Zones sécurisées
[ ] A.11.1.1 Périmètre de sécurité physique
000000Page 33 of 00000011/06/2017
[ ] A.11.1.2 Contrôle d'accès physique
Sécurisation des bureaux, des salles

[ ] A.11.1.3
et équipements
Protection contre les menaces

[ ] A.11.1.4
extérieures et environnementales
[ ] A.11.1.5 Travail dans les zones sécurisées
[ ] A.11.1.6 Zone de livraison et de chargement
A.11.2 Matériels
Emplacement et protection des

[ ] A.11.2.1
matériels
000000Page 34 of 00000011/06/2017
[ ] A.11.2.2 Services généraux
[ ] A.11.2.3 Sécurité du câblage
[ ] A.11.2.4 Maintenance des matériels
[ ] A.11.2.5 sorties des actifs
Sécurité des matériels et des actifs

[ ] A.11.2.6
hors des locaux
Mise en rebut ou recyclage

[ ] A.11.2.7
sécurisé(e) des matériels
Matériels utilisateur laissés sans

[ ] A.11.2.8
surveillance
000000Page 35 of 00000011/06/2017
Politique du bureau propre et de

[ ] A.11.2.9
l’écran verrouillé
A.12 Sécurité liée à l’exploitation

Procédures et responsabilités liées
A.12.1
à l’exploitation
Procédure d’exploitations
[ ]
documentées
[ ] A.12.1.2 Gestion des changements
[ ] A.12.1.3 Dimensionnement
Séparation des environnements de

[ ] A.12.1.4 développement, de test et
d ‘exploitation
Protection contre les logiciels

A.12.2
malveillants
Mesures contre les logiciels

[ ] A.12.2.1
malveillants
000000Page 36 of 00000011/06/2017
A.12.3 Sauvegarde
[ ] A.12.3.1 Sauvegarde des informations
A.12.4 Journalisation et surveillance
[ ] A.12.4.1 Journalisation des évènements

Protection de l’information
[ ] A.12.4.2
journalisée
[ ] A.12.4.3 Journaux administrateur et opérateur
[ ] A.12.4.4 Synchronisation des horloges

Maîtrise des logiciels en
A.12.5
exploitation
Installation de logiciels sur des
[ ] A.12.5.1
systèmes en exploitation
Gestion des vulnérabilités
A.12.6
techniques
[ ] A.12.6.1 Gestion des vulnérabilités techniques
Restriction liées à l’installation de

[ ] A.12.6.2
logiciels
000000Page 37 of 00000011/06/2017
Considérations sur l’audit du

A.12.7
système d’information
Mesures relatives à l’audit des
[ ] A.12.7.1
systèmes d’information
A.13 Sécurité des communications

Management de la sécurité des
A.13.1
réseaux
[ ] A.13.1.1 Contrôle des réseaux
[ ] A.13.1.2 Sécurité des services de réseau
[ ] A.13.1.3 Cloisonnement des réseaux
A.13.2 Transfert de l’information
Politiques et procédures de transfert

[ ] A.13.2.1
de l’information
000000Page 38 of 00000011/06/2017
Accords en matière de transfert

[ ] A.13.2.2
d’information
[ ] A.13.2.3 Messagerie électronique
Engagement de confidentialité ou de
[ ] A.13.2.4
non-divulgation
Acquisition,
A.14 développement et maintenance des systèmes d’information
Exigences de sécurité applicables
A.14.1
aux systèmes d’information
Analyse et spécification des

[ ] A.14.1.1
exigences de sécurité de l’information
Sécurisation des services

[ ] A.14.1.2
d’application sur les réseaux publics
000000Page 39 of 00000011/06/2017
Protection des transactions liées aux

[ ] A.14.1.3
services d’application
Sécurité des processus de

A.14.2 développement et d’assistance
technique
[ ] A.14.2.1 Politique de développement sécurisé
Procédures de contrôle des

[ ] A.14.2.2
changements de système
Revue technique des applications

[ ] A.14.2.3 après changement apporté à la
plateforme d’exploitation
Restrictions relatives aux

[ ] A.14.2.4
changements apportés aux progiciels
Principes d’ingénierie de la sécurité

[ ] A.14.2.5
des systèmes
Environnement de développement
[ ] A.14.2.6
sécurisé
000000Page 40 of 00000011/06/2017
[ ] A.14.2.7 Développement externalisé
[ ] A.14.2.8 Test de la sécurité du système
[ ] A.14.2.9 Test de conformité du système
A.14.3 Données de test
[ ] A.14.3.1 Protection des données de test
A.15 Relations avec les fournisseurs

Sécurité de l’information dans les
A.15.1
relations avec les fournisseurs
Politique de sécurité de l’information

[ ] A.15.1.1 dans les relations avec les
fournisseurs
La sécurité dans les accords conclus

[ ] A.15.1.2
avec les fournisseurs
Chaîne d’approvisionnement des

[ ] A.15.1.3
produits et des services informatiques
000000Page 41 of 00000011/06/2017
A.15.2 Gestion de la prestation du service

Surveillance et revue des services des
[ ] A.15.2.1
fournisseurs
Gestion des changements apportés

[ ] A.15.2.2
dans les services des fournisseurs
A.16
Gestion des incidents liés à la sécurité de l’information
Gestion des incidents liés à la
A.16.1 sécurité de l’information et
améliorations
[ ] A.16.1.1 Responsabilités et procédures
Signalement des évènements liés à la

[ ] A.16.1.2
Signalement des failles liées à la

[ ] A.16.1.3
Appréciation des évènements liés à la

[ ] A.16.1.4 sécurité de l’information et prise de
décision
Réponse aux incidents liés à la

[ ] A.16.1.5
000000Page 42 of 00000011/06/2017
Tirer des enseignements des incidents

[ ] A.16.1.6
liés à la sécurité de l’information
[ ] A.16.1.7 Collecte de preuves
Aspects de la
A.17
sécurité de l’information dans la gestion de la continuité de l’activité
Continuité de la sécurité de
A.17.1
l’information
Organisation de la continuité de la
[ ] A.17.1.1
Mise en oeuvre de la continuité de la

[ ] A.17.1.2
Vérifier, revoir et évaluer la

[ ] A.17.1.3 continuité de la sécurité de
l’information
A.17.2 Redondances
Disponibilité des moyens de

[ ] A.17.2.1
traitement de l’information
A.18 Conformité
000000Page 43 of 00000011/06/2017
Conformité aux obligations légales

A.18.1
et réglementaires
Identification de la législation et des

[ ] A.18.1.1
exigences contractuelles applicables
[ ] A.18.1.2 Droits de propriété intellectuelle
[ ] A.18.1.3 Protection des enregistrements
Protection de la vie privée et

[ ] A.18.1.4 protection des données à caractères
personnelles
Réglementation relative aux mesures

[ ] A.18.1.5
cryptographiques
Revue de la sécurité de
A.18.2
l’information
Revue indépendante de la sécurité de

[ ] A.18.2.1
l’information
000000Page 44 of 00000011/06/2017
Conformité avec les politiques et les

[ ] A.18.2.2
normes de sécurité
Vérification de la conformité
[ ] A.18.2.3
technique
000000Page 45 of 00000011/06/2017
Vérification de conformité (ISO 27001)
mité
Points d'évaluation initiaux
mation
matière de sécurité de l’information
1. Existe-t-il des politiques de sécurité ?

2. Ces politiques sont-ils approuvées par le management ?
3. Ces politiques sont-elles communiqués aux employés de la société ?
1. Les politiques de sécurité sont-elles passées en revue ?

2. Les revues sont-elles à un intervalle régulier ?
3. Des revues sont-elles établissent lors de changements ?
nformation
Les responsabilités pour la protection des biens individuels et des processus de sécurité spécifiques sont-ils
clairement identifiés, définis et communiqués aux parties concernés ?
000000Page 46 of 00000011/06/2017
Les fonctions et les domaines de responsabilité sont-ils séparés, afin de limiter les
possibilités de modification ou de mauvais usage, non autorisé(e) ou involontaire, des actifs de
l’organisation ?
1. Existe-t-il une procédure permettant de documenter quand, et par qui, des contacts avec les autorités compétentes
(application de la loi, etc.) seront-ils effectués?
2. Existe-t-il un processus qui détaille comment et quand le contact est requis?
3. Existe-t-il un processus de partage systématique des contacts et des renseignements?
Des personnes dans l'organisation investies dans la sécurité du SI ont-elles des relations appropriées avec des
groupes d’intérêt, des forums spécialisés, professionnels, associations dans la sécurité de l’information
Tous les projets font-ils l'objet d'une évaluation de la sécurité de l'information?
1. Existe-t-il une politique de sécurité mobile ?

2. La politique est-elle approuvée par la direction?
3. Cette politique (document) reporte-t-il les risques additionnels concernant l’usage des appareils mobiles (Vol,
utilisation de Hotspot, etc.) ?
1. Y a-t-il une politique pour le télétravail ?

2. La politique est-elle approuvée par la direction?
3. Existe-t-il un processus défini pour que les « télétravailleurs » puissent accéder à distance à l’organisation ?
4. Les télétravailleurs ont-ils les conseils et l'équipement nécessaires pour protéger leurs biens?
000000Page 47 of 00000011/06/2017
ines
1. La vérification des antécédents sont-elles effectuées sur tous les nouveaux candidats à l'emploi?
2. Ces contrôles sont-ils approuvés par l'autorité de gestion appropriée?
3. Les contrôles des antécédents sont-ils règlementaires, éthiques et pertinents ?
4. Le niveau de contrôle est-il en adéquation avec l’analyse de risque ?
1. Tous les employés, les parties prenantes et les utilisateurs tiers sont-ils priés de signer des accords de
confidentialité et de non-divulgation?
2. Les contrats d'emploi / de services couvrent-ils spécifiquement la nécessité de protéger les informations
commerciales?
1. Les managers (de tous les niveaux) sont-ils engagés dans l’utilisation de la sécurité dans l’entreprise ?
2. Le management et la conduite des politiques conduit-il, encourage t-il les employés, les parties prenantes, les
utilisateurs à appliquer les politiques et procédures de sécurité ?
Les employés, parties prenantes sont-ils inscrits à des formations de sensibilisation suivant leurs domaines de
travail ?
000000Page 48 of 00000011/06/2017
1. Existe-t-il un processus disciplinaire formel qui permet à l'organisation de prendre des mesures contre les
employés qui ont commis une violation de la sécurité de l'information?
2. Celles-ci sont elles communiqués aux parties intéressés ?
1. Existe-t-il une procédure documentée pour mettre fin ou modifier des fonctions professionnelles d’un employé?
2. Y a-t-il des fonctions dans la sécurité de l’information pouvant ne pas survivre si un employé est en rupture de
contrat ?
3. L'organisation est-elle en mesure de faire respecter les obligations d’un employé en sécurité de l’information
avant son départ ?
1. Existe-t-il un inventaire de tous les actifs associés à l’information et moyens de traitement de l’information ?
2. Cet inventaire est-il mise à jour ?
Tous les biens informationnels ont-il un propriétaire clairement défini qui est conscient de ses responsabilités ?
1. Existe-t-il une politique d'utilisation pour chaque classe / type d'actif d'information?
2. Les utilisateurs sont-ils au courant de cette politique avant utilisation?
000000Page 49 of 00000011/06/2017
Y a-t-il un processus en place pour que les employés en fin de contrat retournent les actifs en leur possession ?
1. Existe-t-il une politique régissant la classification de l'information?

2. Existe-t-il un processus par lequel toutes les informations peuvent être classées de manière appropriée?
Existe-t-il un processus ou une procédure pour s'assurer que la classification de l'information est correctement
marquée sur chaque actif?
1. Existe-t-il une procédure pour traiter chaque classification d'information?

2. Les utilisateurs d'actifs informationnels ont-ils été informés de cette procédure?
1. Existe-t-il une politique régissant les supports amovibles?

2. Existe-t-il un processus couvrant « comment les supports amovibles sont gérés »?
3. La politique et les processus (s) sont-ils communiqués à tous les employés utilisant des supports amovibles?
Existe-t-il une procédure formelle régissant la façon dont les supports amovibles sont détruits ?
000000Page 50 of 00000011/06/2017
1. Existe-t-il une politique et un processus documentés détaillant la façon dont les médias physiques devraient être
transportés?
2. Les médias sont ils protégés contre les accès non autorisés, les abus, la corruption?
1. Existe-t-il une politique de contrôle d'accès documentée?

2. La politique est-elle basée sur les exigences du business?
3. La politique est-elle communiquée de façon appropriée?
Des contrôles sont-ils en place pour s'assurer que les utilisateurs ont seulement accès aux ressources du réseau qu'ils
ont été spécialement autorisés à utiliser et qui sont nécessaires à leurs tâches?
Existe-t-il un processus d'enregistrement de l'accès des utilisateurs en place?
Y a-t-il un processus formel de maîtrise de la gestion des accès utilisateur pour

attribuer ou révoquer des droits d’accès à tous les types d’utilisateurs de tous les systèmes et de tous les services
d’information ?
Les comptes d'accès privilégiés sont-ils gérés et contrôlés séparément?
000000Page 51 of 00000011/06/2017
Existe-t-il un processus de gestion formel pour contrôler l'attribution d'informations d'authentification secrètes?
1. Existe-t-il un processus permettant aux propriétaires d'actifs de réviser régulièrement leurs droits d'accès à leurs
actifs?
2. Ce processus d'évaluation est-il vérifié?
Existe-t-il un processus pour s'assurer que les droits d'accès des utilisateurs sont supprimés lors de la cessation
d'emploi ou du contrat, ou sont-ils ajustés en fonction du changement de rôle dans l’organisation ?
1. Existe-t-il un document regroupant comment les informations contenant l’authentification secrète doit être
utilisé ?
2. Celle-ci est-elle communiqué à tous les utilisateurs ?
L'accès à l'information et les fonctions d'application système sont-elles restreintes conformément à la politique de
contrôle d'accès?
Lorsque la politique de contrôle d'accès l'exige, l'accès est-il contrôlé par une procédure de connexion sécurisée?
1. Les systèmes de mots de passe sont-ils interactifs?

2. Des mots de passe complexes sont-ils requis?
000000Page 52 of 00000011/06/2017
Les programmes utilitaires à privilégiés sont-ils restreints et surveillés?
L'accès au code source des programmes est-il protégé?
Y a-t-il une politique pour les contrôles cryptographiques ?
Y a-t-il une politique pour la gestion sur l’utilisation, la protection et la durée de vie des clés cryptographiques (cycle
de vie) ?
mentale
1. Y a-t-il un périmètre de sécurité définit ?

2. Les informations sensible, critique sont-elles isolé et dans un endroit contrôlé ?
000000Page 53 of 00000011/06/2017
Les zones contrôlés ont-elles des systèmes permettant de vérifier que seulement les personnes autorisées ont accès ?
1. Les bureaux, salles et équipements ont t-ils été pensé avec de la sécurité ?
2. Y a-il des processus pour la maintient de la sécurité physique (bureaux propres, fermetures des bureaux) ?
Existe t-il des protections physiques contre les désastres naturels, les attaques malveillantes ou les accidents ?
1. Existe t-il des zones de travails sécurisées ?

2. Des processus ont-ils été établi pour ces zones de travails ?
3. Ces processus sont-ils surveillés et améliorés ?
1. Y a-t-il des zones de livraisons/de chargement isolés afin d’éviter des accès non-autorisés ?
2. L’accès à ces zones de chargements sont-elles contrôlés ?
3. L'accès à partir des zones de chargement est-il isolé des installations de traitement de l'information?
1. Les dangers environnementaux sont-ils identifiés et pris en compte lorsque les emplacements des équipements
sont sélectionnés?
2. Les risques liés aux accès / passants non autorisés sont-ils pris en compte lors de l'installation du matériel?
000000Page 54 of 00000011/06/2017
1. Existe t-il un système d’alimentation sans interruption ?

2. Ont-ils été testé et et le résultat montre t-il un délai approprié?
1. Des évaluations des risques ont-elles été menées sur l'emplacement des câbles d'alimentation et de
télécommunications?
2. Sont-ils situés à des endroits ou il sont protégés contre les interférences, les interceptions ou les dommages?
Existe-t-il un calendrier de maintenance rigoureux?
1. Existe-t-il un processus qui contrôle comment les actifs sont supprimés ?

2. Ce processus est-il appliqué?
3. Des contrôles sur place sont-ils effectués?
1. Existe-t-il une politique couvrant la sécurité des actifs hors site?

2. Cette politique est-elle largement communiquée?
1. Existe-t-il une politique couvrant comment les actifs d'information peuvent être réutilisés?
2. Lorsque les données sont effacées, est-ce que cela est correctement vérifié avant la réutilisation / élimination?
1. L'organisation a-t-elle une politique sur la façon dont les équipements sans surveillance devraient être protégés?
2. Des systèmes techniques sont-ils en place pour sécuriser l'équipement qui a été laissé sans surveillance par
inadvertance?
000000Page 55 of 00000011/06/2017
1. Existe-t-il une politique du bureau propre / écran ?

2. Est-ce bien appliqué?
1. Les procédures d'exploitation sont-elles bien documentées?

2. Les procédures sont-elles mises à la disposition de tous les utilisateurs qui en ont besoin?
Existe-t-il un processus de gestion du changement contrôlé?
Existe-t-il un processus de gestion de la capacité?
L'organisation applique-t-elle une ségrégation des environnements de développement, de test et d'exploitation?
1. Les processus de détection des logiciels malveillants sont-ils en place?

2. Les processus sont-ils destinés à empêcher la propagation de logiciels malveillants en place?
3. L'organisation a-t-elle un processus et une capacité à récupérer d'une infection malveillante.
000000Page 56 of 00000011/06/2017
1. Existe-t-il une politique de sauvegarde convenue?

2. La politique de sauvegarde de l'organisation est-elle conforme aux cadres juridiques pertinents?
3. Les sauvegardes sont-elles conformes à la politique?
4. Les tests de sauvegarde sont-ils effectués?
Les journaux d'événements appropriés sont-ils maintenus et régulièrement examinés?
Les installations de journalisation sont-elles protégées contre la falsification et l'accès non autorisé?
Les journaux sysadmin / sysop sont-ils maintenus, protégés et régulièrement examinés?
Toutes les horloges de l’organisation sont-elles synchronisées ?
Existe-t-il un processus en place pour contrôler l'installation de logiciels sur des systèmes opérationnels ?
1. L'organisation a-t-elle accès à des informations mises à jour et en temps opportun sur les vulnérabilités techniques
?
2.Existe-t-il un processus pour évaluer et réagir à toutes les nouvelles vulnérabilités à mesure qu'elles sont
découvertes ?
Existe-t-il des processus pour restreindre la façon dont les utilisateurs installent le logiciel ?
000000Page 57 of 00000011/06/2017
1. Le SI sont-ils soumis à vérification ?

2. L'audit ne perturbe t-il pas l’entreprise ?
Existe-t-il un processus de gestion du réseau en place ?
1. L'organisation met-elle en œuvre une approche de gestion des risques qui identifie tous les services de réseau et
les accords de service ?
2. La sécurité est-elle obligatoire dans les accords et les contrats avec les fournisseurs de services (en interne et sous-
traités).
3. Les SLA liés à la sécurité sont-ils mandatés ?
La topologie du réseau impose-t-elle une ségrégation des réseaux pour différentes tâches ?
1. Les politiques organisationnelles régissent-elles la façon dont les informations sont transférées ?
2. Les procédures permettant de transférer les données sont-elles mises à la disposition de tous les employés ?
3. Des contrôles techniques pertinents sont-ils en place pour empêcher les transferts de données non autorisés ?
000000Page 58 of 00000011/06/2017
Les contrats conclus avec des parties externes et les accords au sein de l'organisation détaillent-ils les conditions
requises pour sécuriser les informations commerciales en cours de transfert?
Les politiques de sécurité couvrent-elles l'utilisation du transfert d'informations lors de l'utilisation de systèmes de
messagerie électronique ?
1. Les employés, les entrepreneurs et les agents signent-ils des accords de confidentialité ou de non-divulgation ?
2. Ces engagements sont-ils soumis à un examen régulier ?
3. Les enregistrements des engagements sont-ils maintenus ?
stèmes d’information
1. Les exigences de sécurité de l'information sont-elles spécifiées lorsque de nouveaux systèmes sont introduits?
2. Lorsque les systèmes sont améliorés ou mise à jour, les exigences de sécurité sont-elles spécifiées et abordées?
Les applications qui envoient des informations sur des réseaux publics protègent-elles de manière appropriée les
informations contre les activités frauduleuses, les conflits contractuels, les divulgateurs non autorisés et les
modifications non autorisées?
000000Page 59 of 00000011/06/2017
Des contrôles sont-ils en place pour empêcher une transmission incomplète, une mauvaise transposition, une
altération de message non autorisée, une divulgation non autorisée, une duplication de message non autorisée ou des
attaques de répétition?
1. L'organisation développe-t-elle un logiciel ou un système?

2. Si l’item ci-dessus est affirmatif existe-t-il des politiques exigeant la mise en œuvre et l'évaluation des contrôles
de sécurité?
Existe-t-il un processus formel de contrôle des changements?
Existe-t-il un processus pour s'assurer qu'un examen technique est effectué lorsque les plates-formes d'exploitation
sont modifiées?
Existe-t-il une politique qui exige quand et comment les paquets de logiciels peuvent être changer ou modifiés?
L'organisation a-t-elle des principes documentés sur la manière dont les systèmes doivent être conçus pour assurer la
sécurité?
1. un environnement de développement sécurisé at-il été établi?

2. Tous les projets utilisent-ils l'environnement de développement sécurisé de manière appropriée pendant le cycle
de développement du système?
000000Page 60 of 00000011/06/2017
1. Lorsque le développement a été externalisé, est-ce supervisé?

2. Le code développé à l'externe est-il sujet à une évaluation de sécurité avant le déploiement?
Lorsque des systèmes ou des applications sont développés, les tests de sécurité sont-ils testés dans le cadre du
processus de développement?
Existe-t-il un processus établi pour accepter de nouveaux systèmes / applications, ou mises à niveau, dans
l'utilisation de la production?
1. Existe-t-il un processus de séparation des données de test?

2. Les données de test sont-elles convenablement protégées?
1. La sécurité de l'information est-elle incluse dans les contrats établis avec les fournisseurs ?
2. Existe-t-il une approche de gestion des risques à l'échelle de l'organisation pour les relations avec les
fournisseurs?
1. Les fournisseurs ont-ils des exigences de sécurité documentées?

2. L'accès des fournisseurs à l'information et à l'infrastructure est-il contrôlé et surveillé?
Les accords de fournisseur incluent-ils des exigences pour répondre à la sécurité de l'information dans la chaîne
d'approvisionnement des services et des produits?
000000Page 61 of 00000011/06/2017
Les fournisseurs sont-ils soumis à un examen et une vérification réguliers?
Les changements apportés à la prestation de services sont-ils assujettis à un processus de gestion qui comprend
l'évaluation de la sécurité et des risques?
’information
Les responsabilités de gestion sont-elles clairement identifiées et documentées dans les processus de gestion des
incidents?
1. Existe-t-il un processus de «timely reporting » opportun des événements de sécurité de l'information?

2. Existe-t-il un processus pour examiner et agir sur les événements signalés sur la sécurité de l'information?
1.Existe-t-il un processus pour signaler les faiblesses identifiées en matière de sécurité de l'information?
2.Ce processus est-il largement communiqué?
3. Existe-t-il un processus pour examiner et addresser les rapports en temps opportun?
Existe-t-il un processus pour s'assurer que les événements de sécurité de l'information sont correctement évalués et
classés?
Existe-t-il un processus de réponse aux incidents qui reflète la classification et la sévérité des incidents de sécurité de
l'information?
000000Page 62 of 00000011/06/2017
Existe-t-il un processus ou framework qui permet à l'organisation d'apprendre des incidents de sécurité de
l'information et de réduire l'impact / la probabilité des événements futurs?
1. Existe-t-il une politique pour le Forensic

2. Dans le cas d'un incident de sécurité de l'information, les données pertinentes sont-elles collectées de manière à
l'utiliser comme preuve?
e la continuité de l’activité
La sécurité d'information est-elle incluse dans les plans de continuité de l'organisation?
La fonction de sécurité de l'information de l'organisation at-elle documenté, mis en œuvre et maintenu des processus
pour maintenir la continuité du service lors d'une situation défavorable?
Les plans de continuité sont-ils validés et vérifiés à intervalles réguliers?
Les installations de traitement de l'information ont-elles une redondance suffisante pour répondre aux exigences de
disponibilité des organisations?
000000Page 63 of 00000011/06/2017
1. L'organisation at-elle identifié et documenté toutes les exigences législatives, réglementaires ou contractuelles
pertinentes liées à la sécurité?
2. La conformité est-elle documentée?
1. Est-ce que l'organisation tient un registre de tous les droits de propriété intellectuelle et l'utilisation de produits
logiciels exclusifs?
2. L'organisation surveille-t-elle l'utilisation de logiciels sans licence?
Les dossiers sont-ils protégés contre les pertes, les destructions, les falsifications et l'accès ou la publication non
autorisés conformément aux exigences législatives, réglementaires, contractuelles et commerciales?
1. Les données personnelles sont-elles identifiées et classées de manière appropriée?

2. Les données personnelles sont-elles protégées conformément à la législation pertinente?
Les contrôles cryptographiques sont-ils protégés conformément à tous les accords, lois et règlements pertinents?
1. L'approche des organisations pour gérer la sécurité de l'information est-elle soumise à un examen indépendant
régulier?
2. La mise en œuvre des contrôles de sécurité est-elle soumise à un examen indépendant régulier?
000000Page 64 of 00000011/06/2017
1. L'organisation demande-t-elle aux gestionnaires d'examiner régulièrement le respect de la politique et des

procédures dans leur domaine de responsabilité?
2. Les comptes-rendus sont-ils conservés?
L'organisation effectue-t-elle régulièrement des examens techniques de conformité de ses systèmes d'information?
000000Page 65 of 00000011/06/2017
Résultat
Résultats Status
existe à letat de draft et soumisà l approbation 0%
0%
ui creation d'un poste de rssi avec le job description 0%
000000Page 66 of 00000011/06/2017
0%
oui existence avec les autorité 0%
0%
ojets le volet de la securité de l’information pour le projet

0% BI voir notr
oui contenue ds la politique de securité 0%
existence d'une procedure pour les prestataires externes0%
000000Page 67 of 00000011/06/2017
0%
0%
0%
0%
000000Page 68 of 00000011/06/2017
0%
0%
0%
0%
0%
000000Page 69 of 00000011/06/2017
0%
pas de politique de classification de l' information 0%
0%
0%
0%
0%
000000Page 70 of 00000011/06/2017
0%
oui ; 0%
0%
0%
0%
0%
000000Page 71 of 00000011/06/2017
0%
0%
0%
0%
0%
0%
0%
000000Page 72 of 00000011/06/2017
0%
0%
0%
0%
0%
000000Page 73 of 00000011/06/2017
0%
0%
0%
0%
0%
0%
000000Page 74 of 00000011/06/2017
0%
0%
0%
0%
0%
0%
0%
000000Page 75 of 00000011/06/2017
0%
ok 0%
ok 0%
a voir 0%
ok 0%
0%
000000Page 76 of 00000011/06/2017
0%
voir mr moussa
0%
0%
0%
0%
0%
a voir avec mr moussa demba 0%
ui presence de active directory sauf les inormaticiens 0%
000000Page 77 of 00000011/06/2017
audit du SI manque du personnel ou deaut du personnel

0%
voir mr moussa demba 0%
0%
en projet voir mr moussa demba 0%
0%
000000Page 78 of 00000011/06/2017
0%
nce d'une messagerie electronique voir mr moussa amadou

0%
oui 0%
0%
0%
000000Page 79 of 00000011/06/2017
0%
0%
0%
0%
0%
0%
0%
000000Page 80 of 00000011/06/2017
0%
0%
0%
0%
0%
0%
0%
000000Page 81 of 00000011/06/2017
0%
0%
ui procedure de gestion des incidents a travers GLPI 0%
0%
0%
0%
0%
000000Page 82 of 00000011/06/2017
0%
0%
0%
0%
0%
0%
000000Page 83 of 00000011/06/2017
0%
0%
0%
0%
0%
0%
000000Page 84 of 00000011/06/2017
0%
0%
000000Page 85 of 00000011/06/2017
Données
Status
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
50%
55%
60%
65%
70%
75%
80%
85%
90%
95%
100%
00000086

Audit ISO27001

Transféré par

Droits d'auteur :

Formats disponibles

Audit ISO27001

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit ISO27001

Transféré par

Droits d'auteur :

Formats disponibles

Aperçu de l’ou

1. Déterminer le périmètre d’évaluation

2. Collecter les preuves

4. Examiner les zones de contrôle

5. Déterminer le niveau de conformité

7. Créer un plan d’amélioration

8. Prévoir une ré-évaluation

Cycle de vie de la revue

9. Prévoir le revue du SMSI

Travailler avec les acteurs concernés pour déterminer quelle e

Utiliser le périmètre d’évaluation permet d’identifier ce qu’il ne pourr

Examiner les preuves pour chaque contrôle et déterminer

À la fin de l’évaluation, l’outil vous fournira un niveau global de conformité

Assurez-vous que le SMSI est réévalué régulièrement

Métriques de conformité (ISO 27001)

13 A.14 A.15 A.16 A.17 A.18

Status de conformité - par contrôle

Status de conformité - par contrôle

Status de conformité - par contrôle

Status de conformité - par contrôle

Conformité par section (ISO 27001)

Conformité par section (ISO 27001)

Conformité par contrôle (ISO 27

Conformité par contrôle (ISO 27001)

Gestion des incidents liés à la sécurité de l’information et améliorations

Vérification de conformité (ISO

Référence Évaluation de la zone de conformité

[ ] A.5.1.1 Politiques de sécurité de l'information

Revue des politiques de sécurité de

A.6 Organisation de la sécurité de l’information

Fonctions et responsabilités liées à la

[ ] A.6.1.2 Séparation des tâches

[ ] A.6.1.3 Relation avec les autorités

Relation avec des groupes de travail

La sécurité de l’information dans la

A.6.2 Appareils mobiles et télétravail

Politique en matière d’appareils

A.7 La sécurité des ressources humaines

[ ] A.7.1.1 Sélection des candidats

[ ] A.7.1.2 Termes et conditions d’embauche

A.7.2 Pendant la durée du contrat

[ ] A.7.2.1 Responsabilités de la direction

[ ] A.7.2.3 Processus disciplinaire

Rupture, terme ou modification du

Achèvement ou modification des

A.8 Gestion des actifs

[ ] A.8.1.1 Inventaire des actifs

[ ] A.8.1.2 Propriété des actifs

[ ] A.8.1.3 Utilisation correcte des actifs

[ ] A.8.1.4 Restitution des actifs

A.8.2 Classification de l’information

[ ] A.8.2.1 Classification des informations

[ ] A.8.2.2 Marquage des informations

[ ] A.8.2.3 Manipulation des actifs

A.8.3 Manipulation des supports

[ ] A.8.3.1 Gestion des supports amovibles

[ ] A.8.3.2 Mise en rebut des supports

[ ] A.8.3.3 Manipulation des actifs

A.9 Contrôle d’accès