Domaine de Contrôle Contrôles spécifiques

Politiques de 1. Existence de politiques de sécurité documentées

Sécurité et approuvées par la direction.
2. Mise à jour régulière des politiques pour refléter
les changements organisationnels et technologiques.
3. Processus de gestion des droits d'accès des
Gestion des Accès utilisateurs, y compris les privilèges administratifs.
4. Revues périodiques des droits d'accès pour les
employés et les tiers.
Sensibilisation à la 5. Programmes de sensibilisation à la sécurité pour
Sécurité les employés, y compris des formations régulières.
6. Mesures de sensibilisation pour les nouvelles
menaces et vulnérabilités.
7. Processus d'identification et d'évaluation des
Gestion des Risques risques de sécurité.
8. Plans d'atténuation des risques mis en place avec
des responsables désignés.
9. Plan de gestion des incidents, y compris la
Gestion des Incidents notification aux parties prenantes.
10. Entraînements réguliers sur la gestion des
incidents pour l'équipe de réponse.
Surveillance des 11. Mise en place de mécanismes de surveillance en
Systèmes temps réel pour détecter les activités suspectes.
12. Utilisation de technologies de détection
d'intrusion (IDS/IPS) et de SIEM (Security Information
and Event Management).
13. Politiques de sauvegarde clairement définies
Sauvegarde et avec des procédures de test de restauration
Récupération périodiques.
14. Stockage sécurisé des sauvegardes pour éviter la
compromission.
Contrôle d'Accès 15. Contrôles d'accès physique aux installations
Physique et Logique informatiques sensibles.
16. Surveillance des logs d'accès aux systèmes pour
détecter les activités suspectes.
Mise à Jour et
Gestion des 17. Processus de suivi des vulnérabilités et de mise à
Vulnérabilités jour des systèmes critiques.
18. Tests réguliers de sécurité, y compris des
analyses de vulnérabilités et des tests de
pénétration.
Conformité
Réglementaire et 19. Suivi des exigences réglementaires et légales
Légale liées à la sécurité des systèmes d'information.
20. Audits de conformité réguliers et documentation
des résultats.

Domaine Objectif Contrôles

Stratégie et Élaborer et maintenir une 1. Existence d'une politique
 Domaine Objectif Contrôles
de sécurité de l'information.
2. Révision périodique de la
stratégie de sécurité politique. 3. Alignement de la
politique de alignée sur les objectifs de politique sur les objectifs
sécurité l'entreprise. métier.
1. Processus formel
d'identification des risques.
Identifier, évaluer et gérer 2. Évaluation régulière des
Gestion des les risques liés à la sécurité risques. 3. Plan de traitement
risques de l'information. des risques.
1. Définition des rôles et
responsabilités. 2.
Établir et maintenir une Sensibilisation régulière à la
structure organisationnelle sécurité. 3. Gestion des
Organisation de appropriée pour la gestion compétences et des
la sécurité de la sécurité. formations.
1. Gestion des identités et
Assurer que l'accès aux des droits d'accès. 2.
systèmes et aux données Authentification forte lorsque
est contrôlé et limité aux nécessaire. 3. Surveillance
Contrôle d'accès personnes autorisées. des accès et des activités.
Protéger les équipements,
Sécurité les installations et les 1. Contrôles d'accès
physique et données contre les physiques. 2. Surveillance
environnemental menaces physiques et environnementale. 3. Plan de
e environnementales. continuité d'activité.
1. Plan de réponse aux
incidents. 2. Surveillance des
Gestion des Préparer, détecter, incidents de sécurité. 3.
incidents de répondre et récupérer des Rapports post-incident et
sécurité incidents de sécurité. analyses.
1. Évaluation de la sécurité
Assurer la sécurité de des fournisseurs. 2. Clauses
l'information tout au long de sécurité dans les contrats.
Gestion des de la chaîne 3. Surveillance continue des
fournisseurs d'approvisionnement. fournisseurs.

Domaines de Objectifs de Fréquenc

Contrôle Contrôles Contrôle e d'Audit Responsabilité
Politiques de - Examen des - Assurer que des Annuel Responsable de la
 Domaines de Objectifs de Fréquenc
Contrôle Contrôles Contrôle e d'Audit Responsabilité
politiques de
politiques de sécurité sont en sécurité de
Sécurité sécurité. place. l'information
- S'assurer que les
- Vérification de la politiques sont Responsable de la
mise à jour des adaptées aux sécurité de
politiques. évolutions. Annuel l'information
- Définir des
- Revue des procédures claires Responsable de la
politiques de gestion pour la gestion des sécurité de
des incidents. incidents. Semestriel l'information
- Audit des droits - Garantir un Responsable de la
d'accès des principe de moindre sécurité de
Gestion des Accès utilisateurs. privilège. Trimestriel l'information
- Limiter les accès Responsable de la
- Revue des accès aux informations sécurité de
privilégiés. sensibles. Semestriel l'information
- Vérification de la
conformité avec les - Assurer une Responsable de la
normes authentification sécurité de
d'authentification. forte. Annuel l'information
Responsable de la
sécurité de
- Vérification des - Assurer une l'information
programmes de sensibilisation /Responsable des
Formation et formation à la régulière des Ressources
Sensibilisation sécurité. employés. Annuel Humaines
Responsable de la
sécurité de
l'information
- Suivi de la - S'assurer que les /Responsable des
participation aux employés sont bien Ressources
formations. formés. Semestriel Humaines
- Examen des - Identifier et
Gestion des évaluations des atténuer les risques Responsable de la
Risques risques. en continu. Trimestriel gestion des risques
- Suivi des plans - Garantir la mise
d'atténuation des en œuvre des Responsable de la
risques. actions préventives. Semestriel gestion des risques
- Anticiper les
- Analyse des risques potentiels Responsable de la
vulnérabilités et des liés aux sécurité de
menaces. vulnérabilités. Mensuel l'information
- S'assurer de la Responsable de la
Surveillance des - Revue des rapports détection précoce sécurité de
Incidents d'incidents. des incidents. Mensuel l'information
- Améliorer les
- Évaluation de la processus de Responsable de la
réponse aux réponse aux sécurité de
incidents. incidents. Trimestriel l'information
- Analyse post- - Identifier les Annuel Responsable de la
mortem des leçons apprises et sécurité de
 Domaines de Objectifs de Fréquenc
Contrôle Contrôles Contrôle e d'Audit Responsabilité
améliorer la
incidents majeurs. prévention. l'information
- Assurer la
Gestion des - Vérification de la confidentialité et Responsable de la
Télécommunicatio sécurité des canaux l'intégrité des sécurité de
ns de communication. données en transit. Trimestriel l'information
- Identifier et
atténuer les Responsable de la
Gestion des - Analyse régulière vulnérabilités dans sécurité de
Vulnérabilités des vulnérabilités. les systèmes. Mensuel l'information
- Prévenir la fuite
non autorisée Responsable de la
DLP (Data Loss - Audit des politiques d'informations sécurité de
Prevention) de DLP. sensibles. Semestriel l'information
- Garantir la
- Vérification des protection adéquate
politiques de en fonction de la Responsable de la
Classification des classification des sensibilité des sécurité de
Données données. données. Annuel l'information
- Garantir la
sécurité des
- Revue des normes applications Responsable de la
Sécurité de sécurité internes et sécurité de
Applicative applicative. externes. Trimestriel l'information
- Assurer la
disponibilité
continue des
- Examen des plans services Responsable de la
Continuité IT de continuité IT. informatiques. Annuel continuité IT