Scribd
Importer
40 vues4 pages

Annex A

Transféré par

asmaa
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
40 vues4 pages

Annex A

Transféré par

asmaa
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Annex A

A.5 Politiques de sécurité de l’information


Niveau inférieur – Politiques spécifiques

 Contrôle d’accès
 Classement des informations
 Sécurité physique et environnementale
 Utilisation acceptable des ressources
 Bureau propre …
 Transfert d’information
 Appareil mobile et télétravail
 Restrictions sur l’installation et l’utilisation du logiciel
 Sauvegarde
 Protection contre les logiciels malveillants

Contrôle A.5.2 : revue des politiques de sécurité de l’info. Les politiques de sécurité de l’info
doivent être revues à intervalles programmés ou en cas de changements majeurs pour
garantir leur pertinence leur adéquation, et leur effectivité dans le temps

Ce processus d’examen – devrait prendre en considération les changements à


l’environnement des affaires, aux exigences légales, à la technologie, à l’organisation
interne.
Chaque fois que les circonstances changent, les politiques de sécurité de l’info doivent être
mises à jour pour refléter les nouvelles conditions

A.6 Organisation de la sécurité de l’information


Catégorie de sécurité A.6.1 – Organisation interne
 Contrôle – A.6.1.1 Fonction et responsabilités liées à la sécurité de l’information
Toutes les responsabilités en matière de l’information doivent être définies et attribuées.
Les rôles et les responsabilités de tout le personnel doivent être définis et clairement
communiqués.
Expliquez aux membres de l’organisation ce que l’on attend d’eux.
Tout le personnel devrait avoir une responsabilité de base en matière de base en matière de
sécurité incluse dans les descriptions de poste et devrait comprendre sa responsabilité en
matière de sécurité.
Responsable de la sécurité de l’information – ok, mais pas assez.
 Contrôle -A.6.1.2 Séparation des taches
Les taches et les données de responsabilité incompatibles doivent etre cloisonnés pour
limiter les possibilités de modification ou de mauvais usage, non autorisé ou involontaire,
des actifs de l’organisation.
Séparation – réduit les possibilités de modification non autorisée ou non intentionnelle de
l’utilisation abusive des actifs.

Principes :
- Le déclenchement d’un évènement doit être séparé de son autorisation ;
- Aucune personne ne devrait être en mesure d’accéder, de modifier ou d’utiliser les
actifs sans autorisation ou détection.
La division de travail entre 2 ou plusieurs employé fournit un système de vérification de lun
par l’autre (ex. deux clés de mot de passe)
L’effondrement de la banque Barings – exemple classique d’un manque de séparation des
taches
Séparation des taches – plus difficile à mettre en œuvre pour les petites entreprises (sil nest
pas possible d’enregistrer toutes les activités et d’examiner les enregistrements
indépendamment pour identifier les activités suspectes ou non autorisées)
 Contrôle A.6.1.3 Relation avec les autorités
Des relations appropriées avec les autorités compétentes doivent être entretenues.

Procédures à préciser :
- Quand contacter les autorités
- Par qui
- Comment les incidents de sécurités doivent être signalés aux autorités (si nécessaire)
Nommer une personne – en charge des contacts avec les autorités.
 Contrôle A.6.1.4 Relation des groupes de travail spécialisés
Des relations appropriées avec des groupes d’intérêt, des forums spécialisés dans la sécurité
et des associations professionnelles doivent être entretenues.
Avantages des adhésions :
- Améliorer les connaissances sur les bonnes pratiques
- Acquérir une compréhension de l’environnement de sécurité de l’information
- Recevoir des avertissements pour les alertes de sécurité
- Obtenir des conseils sir les questions de sécurité.

 Contrôle – A.6.1.5 La sécurité de l’information dans la gestion de projet


La sécurité de l’information doit être considérée dans la gestion de gestion, quel que soit le
type de projet concerné.

La sécurité de l’information doit être intégrée à la gestion de projet de l’organisation pour


garantir que les risques de sécurité sont identifiés et traités dans le cadre des projets.

2 évaluations des risques sont recommandées :


- Un pour considérer les risques liés aux activités du projet et
- L’autre pour couvrir les risques liés aux résultats.

Les responsabilités en matière de sécurité de l’information doivent être définies attribuées pour
chaque projet.

Catégorie de sécurité – A.6.2 Appareils mobiles et télétravail


 Contrôle – A.6.2.1 Politique en matière d’appareils mobiles
Une politique et des mesures de sécurité complémentaires doivent être adoptées pour gérer
les risques découlant de l’utilisation des appareils mobiles.
La politique relative aux dispositifs mobiles doit prendre en compte
- L’enregistrement des appareils mobiles
- La protection physique des appareils mobiles
- Les restrictions sur l’installation de logiciel, les versions des logiciels des dispositives
mobiles et l’application des correctifs.
- La restriction de la connexion aux services d’information
- Contrôles d’accès, technique cryptographiques, protection contre les logiciels
malveillants
- Désactivation, effacement ou verrouillage à distance
- Sauvegarde de services web et d’applications
Il convient de faire preuve de prudence lors de l’utilisation d’appareils mobiles dans des
lieux publiques
Les dispositives mobiles doivent être protégés physiquement contre le vol
Les utilisateurs doivent être formés aux mesures de sécurité des appareils mobiles

En cas de connexion à distance au site ou aus bases de données de l’organisation,


l’authentification doit couvrir non seulement l’appareil mais aussi luser

Lorsque vous utilisez des appareils privés


 Contrôle – A.6.2.2 Télétravail
Une politique et des mesures de sécurité complémentaires doivent être mises en œuvre
Conditions et restriction du travails (ligne directrices iso/iec 27002) :
- La sécurité physique du lieu ;
- Autorisations (heures de travail, informations et services) ;
- Sécurité des communications ;
- Utilisation de l’accès au bureau virtuel ;
- Potentiel d’accès

Vous aimerez peut-être aussi