Annexe A — 93 contrôles
détaillés.
Une fiche par contrôle, au format unifié (4 min de lecture chacune) : c'est quoi en 1 phrase, applicable à qui, comment l'implémenter en 3 niveaux (Minimum / Pro / Au-delà), phrase exacte pour la SOA, erreurs vues en audit COFRAC.
93
Contrôles
6
Disponibles
le reste à venir
4
Thèmes
0 €
Prix
Comment lire l'Annexe A
Vous n'avez pas besoin de lire les 93 fiches.
En pratique, une PME de 30 personnes inclut 65-75 contrôles dans sa SOA et en exclut 18-28 avec justification. Concentrez-vous sur les 25 must-have du chapitre 8 et survolez le reste.
Cette index regroupe les 93 contrôles par thème. Les fiches détaillées sont publiées progressivement (1 à 2 par jour).
Format unifié de chaque fiche
- 1. C'est quoi en 1 phrase
- 2. Pourquoi ce contrôle est critique
- 3. Applicable à vous ?
- 4. Comment l'implémenter (3 niveaux)
- 5. Phrases exactes pour votre SOA
- 6. Erreurs vues en audit COFRAC
- 7. Ce qu'aucun guide ne vous dit
- 8. Contrôles liés
A.5 · Organisationnels
37 contrôlesA.5.1Politiques de sécurité de l'information
DisponibleA.5.2Rôles et responsabilités en sécurité de l'information
À venirA.5.3Séparation des tâches
À venirA.5.4Responsabilités de la direction
À venirA.5.5Relations avec les autorités
À venirA.5.6Relations avec les groupes d'intérêt spécialisés
À venirA.5.7Veille sur les menaces
À venirA.5.8Sécurité dans la gestion de projet
À venirA.5.9Inventaire des actifs informationnels
À venirA.5.10Utilisation acceptable des actifs informationnels
À venirA.5.11Restitution des actifs
À venirA.5.12Classification des informations
À venirA.5.13Marquage des informations
À venirA.5.14Transfert d'informations
À venirA.5.15Contrôle d'accès
DisponibleA.5.16Gestion des identités
À venirA.5.17Informations d'authentification
À venirA.5.18Droits d'accès
À venirA.5.19Sécurité de l'information dans les relations fournisseurs
À venirA.5.20Prise en compte de la sécurité dans les accords fournisseurs
À venirA.5.21Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC
À venirA.5.22Surveillance, révision et gestion des changements des services fournisseurs
À venirA.5.23Sécurité de l'information pour l'utilisation de services cloud
À venirA.5.24Planification et préparation de la gestion des incidents
À venirA.5.25Évaluation et décision sur les événements de sécurité
À venirA.5.26Réponse aux incidents de sécurité de l'information
À venirA.5.27Tirer les enseignements des incidents de sécurité
À venirA.5.28Collecte de preuves
À venirA.5.29Sécurité de l'information en cas de perturbation
À venirA.5.30Préparation des TIC pour la continuité d'activité
À venirA.5.31Exigences légales, statutaires, réglementaires et contractuelles
À venirA.5.32Droits de propriété intellectuelle
À venirA.5.33Protection des enregistrements
À venirA.5.34Vie privée et protection des données à caractère personnel
À venirA.5.35Revue indépendante de la sécurité de l'information
À venirA.5.36Conformité aux politiques, règles et normes de sécurité
À venirA.5.37Procédures d'exploitation documentées
À venirA.6 · Personnel
8 contrôlesA.6.1Sélection des candidats
À venirA.6.2Conditions d'emploi
À venirA.6.3Sensibilisation, éducation et formation à la sécurité de l'information
DisponibleA.6.4Processus disciplinaire
À venirA.6.5Responsabilités à la fin ou modification de l'emploi
À venirA.6.6Accords de confidentialité ou de non-divulgation
À venirA.6.7Travail à distance
À venirA.6.8Signalement des événements de sécurité de l'information
À venirA.7 · Physiques
14 contrôlesA.7.1Périmètre de sécurité physique
À venirA.7.2Contrôles d'accès physique
À venirA.7.3Sécurisation des bureaux, des salles et des équipements
À venirA.7.4Surveillance de la sécurité physique
À venirA.7.5Protection contre les menaces physiques et environnementales
À venirA.7.6Travail dans les zones sécurisées
À venirA.7.7Bureau propre et écran vide
À venirA.7.8Emplacement et protection des équipements
À venirA.7.9Sécurité des actifs hors site
À venirA.7.10Supports de stockage
À venirA.7.11Services généraux
À venirA.7.12Sécurité du câblage
À venirA.7.13Maintenance des équipements
À venirA.7.14Mise au rebut ou réutilisation sécurisée des équipements
À venirA.8 · Technologiques
34 contrôlesA.8.1Terminaux utilisateurs
À venirA.8.2Droits d'accès à privilèges
À venirA.8.3Restriction d'accès à l'information
À venirA.8.4Accès au code source
À venirA.8.5Authentification sécurisée
DisponibleA.8.6Dimensionnement
À venirA.8.7Protection contre les programmes malveillants
DisponibleA.8.8Gestion des vulnérabilités techniques
À venirA.8.9Gestion de la configuration
À venirA.8.10Suppression d'informations
À venirA.8.11Masquage des données
À venirA.8.12Prévention de la fuite de données
À venirA.8.13Sauvegarde des informations
DisponibleA.8.14Redondance des moyens de traitement de l'information
À venirA.8.15Journalisation
À venirA.8.16Activités de surveillance
À venirA.8.17Synchronisation des horloges
À venirA.8.18Utilisation de programmes utilitaires à privilèges
À venirA.8.19Installation de logiciels sur les systèmes en exploitation
À venirA.8.20Sécurité des réseaux
À venirA.8.21Sécurité des services réseau
À venirA.8.22Cloisonnement des réseaux
À venirA.8.23Filtrage web
À venirA.8.24Utilisation de la cryptographie
À venirA.8.25Cycle de développement sécurisé
À venirA.8.26Exigences de sécurité des applications
À venirA.8.27Principes d'architecture et d'ingénierie sécurisées
À venirA.8.28Codage sécurisé
À venirA.8.29Tests de sécurité en développement et en acceptation
À venirA.8.30Développement externalisé
À venirA.8.31Séparation des environnements de développement, de test et de production
À venirA.8.32Gestion des changements
À venirA.8.33Informations relatives aux tests
À venirA.8.34Protection des systèmes d'information en cours d'audit
À venir