Résumé 27001
1. Elaborer un document de la politique de sécurité, approuvé par la direction et
périodiquement actualisé / Designer un responsable de la sécurité
2. Établir un cadre organisationnel pour déclencher et contrôler la mise en place du
système de sécurité d’information
3. Identifier les risques entraînés par l’accès des tierces personnes et commencer par
implémenter les contrôles nécessaires avant d’attribuer les droits d’accès.
4. Fixer les exigences en matière de sécurité lors de l’ouverture du système
d’information pour donner l’accès aux clients potentiels (exp : authentification)
5. Définir les niveaux de sécurité exigés par l’organisation dans les contrats signés par
les tierces personnes
6. Faire des inventaires, designer un responsable pour chaque ressource et établir les
règles d’utilisation / S’assurer que les avoirs en information disposent d’un niveau
approprié en sécurité
7. S’Assurer que le personnel, les contractuels et les tierces parties assument leurs
responsabilités et qu’ils sont appropriés aux rôles auxquels ils sont assignés dans
le but de réduire les risques de vol, de fraude, ou de mauvaise utilisation des
ressources
8. S’assurer que les utilisateurs sont conscients des menaces qu’encoure la sécurité
des informations et qu’ils sont équipés pour soutenir la politique de sécurité de
l’organisation au cours de leur travail et pour réduire le risque des erreurs
humaines
9. Définir des zones de sécurité physique et contrôler les accès / Vérifier
l’emplacement et la protection des équipements, la stabilité de l’alimentation
électrique, La sécurité du câblage, La maintenance du matériel, La mise au rebut
ou la réutilisation du matériel en toute sécurité, La possibilité du transport des
équipements en dehors du site uniquement sous autorisation
10. Assurer le fonctionnement correct et la protection des communications et des
opérations sur les informations.
11. Faire des copies de sauvegarde des informations et des logiciels essentiels de
l’entreprise
12. Sécuriser les réseaux (exp firewall)
13. Protéger le site de commerce électronique contre les activités Frauduleuses (exp :
cryptage)
14. La protection des informations lors des transaction On-Line contre les problèmes
de transmission, de routage et des altérations ou duplications non autorisées
15. La protection des informations disponibles publiquement contre les modifications
non autorisées
