Boîte à outils ISO27k Ligne directrice sur l'audit du SGSI Version 2, 2017 Cons
Boîte à outils ISO27k Ligne directrice sur l'audit du SGSI Version 2, 2017 Conseils génériques et pragmatiques pour l'audit de la sécurité de l'information ISO27k d'une organisation Système de gestion, couvrant à la fois le système de gestion et les contrôles de sécurité de l'information. Abonnez-vous à DeepL Pro pour modifier ce document. Visitez www.DeepL.com/Pro pour en savoir plus. Un modèle à l'usage des auditeurs informatiques, rédigé par et pour les praticiens. Complète la norme ISO27k (série ISO/IEC 27000) les normes internationales en matière de sécurité de l'information. Boîte à outils ISO27k Ligne directrice sur l'audit du SGSI v2 Système de gestion de la sécurité de l'information Ligne directrice en matière d'audit Préparé par des praticiens du Forum ISO27k Version 2 Août 2017 Contenu 1. Introduction 5 2. Portée et objectif de la présente ligne directrice 5 3. Références 5 4. Termes et définitions 6 5. Principes de l'audit 7 6. Gestion de l'audit 8 6.1 Gestion du programme d'audit du SGSI 8 6.2 Gestion d'un audit du SGSI 8 7. Le processus d'audit 9 7.1 Enquête de cadrage et de pré-audit 9 7.2 Planification et préparation de l'audit 10 7.3 Travail d'audit sur le terrain 10 7.4 Analyse de l'audit 11 7.5 Rapports d'audit 11 7.6 Clôture de l'audit 13 8. Compétence et évaluation des auditeurs 13 8.1 Compétence des auditeurs 13 8.2 Démonstration de la compétence de l'auditeur 14 9. Contrôle des documents 15 9.1 Auteurs 15 9.2 Histoire 15 9.3 Retour d'information 15 9.4 Copyright 15 Copyright © ISO27k Forum, 2017 1 | P a g e Boîte à outils ISO27k Ligne directrice sur l'audit du SGSI v2 Annexe A - Liste de contrôle générique pour l'audit de sécurité des informations 16 Introduction 16 A.5. Politiques de sécurité de l'information 17 A.6. Organisation de la sécurité de l'information 17 A.6.1 Organisation interne 17 A.6.2 Appareils mobiles et télétravail 19 A.7. Sécurité des ressources humaines 19 A.7.1 Avant l'emploi 19 A.7.2 Pendant l'emploi 19 A.7.3 Licenciement et changement d'emploi 20 A.8. Gestion des actifs 20 A.8.1 Responsabilité des actifs 20 A.8.2 Classification des informations 22 A.8.3 Traitement des médias 22 A.9 Contrôle d'accès 23 A.9.1 Exigences commerciales du contrôle d'accès 23 A.9.2 Gestion de l'accès des utilisateurs 23 A.9.3 Responsabilités des utilisateurs 24 A.9.4 Contrôle de l'accès aux systèmes et applications 25 A.10. Cryptographie 25 10.1 Contrôles cryptographiques 25 A.11. Sécurité physique et environnementale 26 A.11.1 Zones sécurisées 26 A.11.2 Équipement 27 A.12. Sécurité des opérations 29 A.12.1 Procédures opérationnelles et responsabilités 29 A.12.2 Protection contre les logiciels malveillants 30 A.12.3 Sauvegarde 31 A.12.4 Enregistrement et surveillance 31 A.12.5 Contrôle des logiciels opérationnels 32 A.12.6 Gestion des vulnérabilités techniques 32 A.12.7 Considérations relatives à l'audit des systèmes d'information 32 A.13. Sécurité des communications 33 A.13.1 Gestion de la sécurité des réseaux 33 A.13.2 Transfert d'informations 33 A.14. Acquisition, développement et maintenance des systèmes 34 Copyright © ISO27k Forum, 2017 2 | P a g e Boîte à outils ISO27k Ligne directrice sur l'audit du SGSI v2 A.14.1 Exigences de sécurité des systèmes d'information 34 A.14.2 Sécurité dans les processus de développement et de soutien 34 A.14.3 Données d'essai 36 A.15. Relations avec les fournisseurs 36 A.15.1 Sécurité de l'information dans les relations avec les fournisseurs 36 A.15.2 Gestion de la prestation de services des fournisseurs 37 A.16. Gestion des incidents de sécurité de l'information 37 A.16.1 Gestion des incidents de sécurité de l'information et améliorations 37 A.17. Gestion de la continuité des activités (selon la norme ISO 22301) 39 A.17.1 Continuité des activités 39 A.17.2 Licenciements 39 A.18. Conformité 40 A.18.1 Respect des exigences légales et contractuelles 40 A.18.2 Examens de la sécurité de l'information 41 Annexe B - Liste de contrôle générique pour l'audit du système de gestion du SGSI 42 Introduction 42 B.4. Contexte de l'organisation 43 B.4.1 Comprendre l'organisation et son contexte 43 B.4.2 Comprendre les besoins et les attentes des parties intéressées 43 B.4.4 Système de gestion de la sécurité de l'information 43 B.5. Leadership 44 B.5.1 Leadership et engagement 44 B.5.2 Politique 44 B.5.3 Rôles, responsabilités et pouvoirs de l'organisation 45 B.6. Planification 45 B.6.1 Actions visant à traiter les risques et les opportunités 45 B.6.2 Objectifs de sécurité de l'information et planification pour les atteindre 46 B.7. Support 46 B.7.1 Ressources 46 B.7.2 Compétence 46 B.7.3 Sensibilisation 47 B.7.4 Communication 47 B.7.5 Informations documentées 47 B.8. Opération 48 B.8.1 Planification et contrôle opérationnels 48 Copyright © ISO27k Forum, 2017 3 | P a g e Boîte à outils ISO27k Ligne directrice sur l'audit du SGSI v2 B.8.2 Évaluation des risques en matière de sécurité de l'information 48 B.8.3 Traitement des risques liés à la sécurité de l'information 48 B.9. Évaluation des performances 49 B.9.1 Suivi, mesure, analyse et évaluation 49 B.9.2 Audit interne 50 B.9.3 Révision de la gestion 50 B.10. Amélioration 50 B.10.1 Non-conformité et mesures correctives 50 B.10.2 Amélioration continue 51 Copyright © ISO27k Forum, 2017 4 | P a g e Boîte à outils ISO27k Ligne directrice sur l'audit du SGSI v2 1. Introduction Ce guide d'audit des systèmes de gestion de la sécurité de l'information est tenu à jour par les membres du Forum ISO27k sur ISO27001security.com, une communauté internationale de praticiens qui utilisent activement les normes de la famille ISO/IEC 27000 connues sous le nom de "ISO27k". Nous l'avons initialement rédigé en 2008 pour contribuer au développement de la norme ISO/CEI 27007 en fournissant ce que nous, en tant qu'experts de la mise en œuvre des SGSI et auditeurs de TI/SIG, pensions être un contenu utile. Un objectif secondaire était de fournir une ligne directrice pragmatique et utile pour les personnes impliquées dans l'audit des SGSI. Depuis lors, la norme ISO/IEC 27007 a été publiée. D'autres normes ISO27k ont également été révisées, de sorte que la ligne directrice a été entièrement mise à jour en 2017. Le corps principal de cette ligne directrice concerne l'objectif et le processus de l'audit. L'annexe A est une liste de contrôle (un ensemble générique de tests d'audit) pour l'audit des contrôles de sécurité de l'information gérés par le SGSI. L'annexe B est une liste de contrôle pour l'audit du système de gestion lui- même. 2. Portée et objectif de la présente ligne directrice Cette ligne directrice fournit des conseils généraux aux auditeurs informatiques qui examinent les SGSI par rapport aux normes ISO27k, principalement ISO/IEC 27001:2013 (la norme de certification spécifiant le système de gestion) et ISO/IEC 27002:2013 (le code de pratique recommandant une série de contrôles de sécurité de l'information). Cette ligne directrice s'adresse en particulier aux personnes qui effectuent des audits internes et des revues de direction de SGSI - et non des audits de certification formels. La ligne directrice doit être interprétée ou adaptée à des situations spécifiques. Les audits sont normalement basés sur les risques, ce qui donne une priorité naturelle au travail d'audit du SGSI reflétant les besoins des entreprises en matière de gestion des risques et de la sécurité de l'information. Des notes explicatives, des conseils et des avertissements sont éparpillés dans des encadrés de texte tout au long de la ligne directrice. 3. Références Veuillez vous référer à : • ISO/IEC 27000:2016 Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire. Cette norme gratuite donne un aperçu de la norme ISO27k et définit formellement de nombreux termes spécialisés utilisés dans les normes. • ISO/IEC 27001:2013 Technologies de l'information - Techniques de sécurité - Exigences relatives aux systèmes de gestion de la sécurité de l'information. Il s'agit de la spécification officielle d'un SGSI par rapport à laquelle les organisations peuvent être certifiées conformes. La section 6 introduit la nécessité d'effectuer des "audits internes du SGSI" et définit brièvement les principales exigences des procédures d'audit. La section 7 identifie également la nécessité de procéder à des examens périodiques (au moins annuels) de la gestion du SGSI. Outre les contrôles énumérés à l'annexe A, il s'agit d'exigences obligatoires pour les organisations certifiées. Même si l'organisme met en œuvre un ensemble de contrôles alternatifs, les contrôles choisis doivent être vérifiés par rapport à ceux énumérés à l'annexe A pour en vérifier la pertinence et l'exhaustivité. • ISO/IEC 27002:2013 Technologies de l'information - Techniques de sécurité - Code de pratique pour les contrôles de sécurité de l'information. Développe considérablement l'annexe A de la norme ISO/IEC 27001. • ISO/IEC 27003:2017 Technologies de l'information - Techniques de sécurité - Système de management de la sécurité de l'information - Guide. En outre, des conseils pratiques sur la conception et la mise en œuvre d'un SGSI opérationnel. Copyright © ISO27k Forum, 2017 5 | P a g e Boîte à outils ISO27k Ligne directrice sur l'audit du SGSI v2 • ISO/IEC 27004:2016 Technologies de l'information - Techniques de sécurité - Gestion de la sécurité de l'information - Surveillance, mesure, analyse et évaluation. Conseils sur le choix/développement et l'utilisation de mesures pour gérer les risques et la sécurité de l'information de manière rationnelle et proportionnée. • ISO/IEC 27006:2015 Technologies de l'information - Techniques uploads/Management/ httpswww-iso27000-esassetsfilesiso27k20guideline20on20isms20audit20v2-pdf-1-52-fr.pdf
Documents similaires
-
13
-
0
-
0
Licence et utilisation
Gratuit pour un usage personnel Attribution requise- Détails
- Publié le Mai 29, 2021
- Catégorie Management
- Langue French
- Taille du fichier 0.7407MB