SERVICES ET SOUS-SERVICES DE SECURITE

DOMAINES
SERVICES
SOUS-SERVICES
1 Organisation de la sécurité (1 Org)
A - Politiques relatives à la sécurité de l'information
1A01 Politique de sécurité de l'information
1A02 Politique relative à la cryptologie
B - Organisation de la sécurité de l'information
1B01 Organisation du management et du pilotage de la
sécurité de l'information
1B02 Utilisation des mobiles et télétravail
1B03 Organisation du management et du pilotage de la
sécurité des réseaux
1B04 Sécurité des services réseaux
1B05 Cloisonnement des réseaux
1B06 Politiques et procédures de transfert d'information
1B07 Sécurité de l'information dans l'utilisation de
services en nuage
1B08 Terminaux utilisateurs
1B09 Engagements de confidentialité ou de non-
divulgation
C - Gestion des ressources humaines
1C01 Engagement du personnel - clauses contractuelles
1C02 Responsabilités de la Direction
1C03 Sensibilisation et formation à la sécurité
1C04 Processus disciplinaire
1C05 Cessation ou changement de fonction
1C06 Protection contre l'hameçonnage (phishing) et abus
de confiance
D - Gestion des actifs
1D01 Gestion des actifs
1D02 Classification de l'information
E - Continuité de l'activité
1E01 Plans de continuité de l'activité
1E02 Plans de Reprise de l'Environnement de Travail
(PRÊT)
1E03 Gestion du personnel et des partenaires ou
prestataires stratégiques
F - Relations avec les fournisseurs
1F01 Politique de sécurité de l'information dans les
relations avec les fournisseurs
1F02 Prise en compte de la sécurité dans les accords
avec les fournisseurs
1F03 Approvisionnement de produits informatiques ou de
télécommunication
1F04 Gestion du niveau de service et de la sécurité des
fournisseurs de services
2 Sécurité physique (2 Phy)
A - Sécurité des sites et bâtiments
2A01 Périmètres de sécurité
2A02 Contrôle physique des accès
2A03 Protection contre les menaces extérieures et
environnementales
B - Sécurité des locaux sensibles
2B01 Contrôle des accès aux locaux sensibles
 2B02 Détection des intrusions dans les locaux sensibles
2B03 Surveillance des locaux sensibles
2B04 Sécurisation des bureaux, des salles et des
équipements
2B05 Travail dans les zones sécurisées
2B06 Surveillance de la sécurité physique
C - Sécurité des équipements
2C01 Emplacement et protection du matériel
2C02 Sécurité des équipements de servitude
2C03 Sécurité du câblage
2C04 Continuité de la fourniture de l'énergie
2C05 Sécurité des actifs hors des locaux
2C06 Supports de stockage
2C07 Services généraux
2C08 Maintenance du matériel
2C09 Mise au rebut ou recyclage sécurisé(e) du matériel
D - Contrôle des accès aux zones de bureaux sensibles
2D01 Contrôle d'accès physique aux zones de bureaux
sensibles
2D02 Détection des intrusions dans les zones de
bureaux protégées
2D03 Surveillance des zones de bureaux protégées
2D04 Contrôle de la circulation des visiteurs et des
prestataires occasionnels
Protection des écrans des postes de travail contre
2D05
les captations visuelles
E - Protection de l'information écrite et médias amovibles
importants
2E01 Conservation et protection des documents et
médias amovibles personnels importants
2E02 Ramassage des corbeilles à papier et destruction
des documents
2E03 Politique de "bureau propre et écran muet"
2E04 Gestion des archives documentaires
2E05 Sécurité du courrier postal

3 Sécurité des systèmes et de leur architecture (3 Sys)

A - Contrôle d'accès aux systèmes et applications
3A01 Politique de contrôle d'accès
3A02 Gestion des autorisations d'accès (attribution,
délégation, retrait)
3A03 Informations d'authentification
3A04 Contrôle des accès (aux applications, aux données
applicatives et aux fonctions systèmes)
3A05 Authentification du serveur ou de l'application lors
des accès à des serveurs ou applications sensibles
3A06 Gestion des autorisations d'accès privilégiés
(attribution, délégation, retrait)
3A07 Contrôle des accès privilégiés
3A08 Surveillance des actions effectuées avec des droits
privilégiés
3A09 Contrôle d'accès aux systèmes et services
externalisés
B - Sûreté de fonctionnement de l'architecture interne
3B01 Sûreté de fonctionnement des éléments
d'architecture
C - Sécurité de fonctionnement des services externalisés
(réseau étendu, Cloud, etc.)
3C01 Sûreté de fonctionnement des services
externalisés
4 Exploitation des systèmes d'information et de communication (4 Ope)
 A - Sécurité des procédures d'exploitation
4A01 Procédures opérationnelles et responsabilités
4A02 Protection contre les malwares
4A03 Sauvegarde des données et configurations
4A04 Sauvegarde de recours des données externalisées
4A05 Contrôle des systèmes opérationnels
4A06 Gestion des vulnérabilités techniques
4A07 Audit des systèmes d'information
4A08 Destruction ou réutilisation d'équipements ou
médias
4A09 Contrôle des opérations de maintenance
4A10 Surveillance en temps réel de l'activité et gestion
des anomalies
4A11 Journalisation et contrôle des journaux
4A12 Protection des états imprimés sensibles
4A13 Utilisation des programmes privilégiés
4A14 Protection des programmes
B - Contrôle des configurations matérielles et logicielles
4B01 Paramétrage des systèmes et applications et
contrôle de la conformité
C - Continuité de fonctionnement
4C01 Organisation de la maintenance des systèmes
informatiques (matériel, logiciel et applications) et
des équipements de réseaux
4C02 Procédures et plans de reprise des applications sur
incidents
4C03 Plans de Reprise d'Activité de l'infrastructure
informatique et des systèmes
4C04 Plans de Reprise d'Activité de l'infrastructure
informatique externalisée
4C05 Maintien des comptes d'accès
4C06 Maintien des comptes d'accès aux services
externalisés
D - Gestion et traitement des incidents
4D01 Gestion et traitement des incidents systèmes et
applicatifs
4D02 Gestion et traitement des incidents de sécurité
E - Gestion des supports informatiques de données et
programmes
4E01 Gestion des supports amovibles
4E02 Sécurité physique des médias
4E03 Sécurité des médias réaffectés ou mis au rebut
4E04 Sécurité physique des media en transit
4E05 Protection des réseaux de stockage
F - Gestion des archives informatiques
4F01 Organisation de la gestion des archives
informatiques
4F02 Gestion des accès aux archives
4F03 Sécurité des archives

5 Sécurité applicative et continuité de l'activité (5 App)

A - Contrôle de l'intégrité des données et fonctions
Protection de l'intégrité des données applicatives
5A01
échangées
Protection de l'intégrité des fichiers de données
5A02
applicatives sensibles
Contrôles permanents (vraisemblance, ...) sur les
5A03
données et traitements
5A04 Contrôle de la saisie des données
Contrôle des informations publiées sur un site web
5A05
ou interne
 5A06 Contrôle de l'intégrité des fonctionnalités logicielles
B - Contrôle de la confidentialité des données
5B01 Chiffrement des échanges de données applicatives
5B02 Chiffrement des données applicatives stockées
C - Contrôle de la disponibilité des données et services
Gestion des moyens d'accès aux fichiers de
5C01
données ou de programme
5C02 Enregistrement de Très Haute Sécurité
Surveillance en temps réel de l'accessibilité et de la
5C03
disponibilité de services sensibles
D - Continuité de fonctionnement
5D01 Plans de Continuité des processus applicatifs
5D02 Plan de continuité des services externalisés
5D03 Continuité de la sécurité de l'information dans les
plans de continuité de l'activité
5D04 Maintien des moyens nécessaires à la mise en
opération des applications critiques
E - Contrôle de l'émission et de la réception de données
5E01 Garantie d'origine, signature électronique
Individualisation des messages empêchant leur
5E02
duplication (numérotation, séquencement, ... )
5E03 Contrôle de la réception des messages sensibles
5E04 Contrôle de la transmission des données
F - Contrôle de l'intégrité des données et services externalisés
5F01 Protection de l'intégrité des échanges lors des
accès à des services externalisés
5F02 Protection de l'intégrité des fichiers de données
sensibles externalisés
5F03 Contrôle de l'intégrité des services externalisés
G - Contrôle de la confidentialité des données externalisées
5G01 Chiffrement des échanges de données lors des
accès aux services externalisés
5G02 Chiffrement des données applicatives externalisées
6 Protection des postes de travail utilisateurs (6 Mic)
A - Protection des postes de travail
6A01 Contrôle d'accès au poste de travail
6A02 Travail en dehors des locaux de l'entreprise
6A03 Plan de continuité de la messagerie électronique
B - Protection des données du poste de travail
6B01 Protection de la confidentialité des données
contenues sur le poste de travail ou sur un serveur
de données (disque logique pour le poste de
travail)
6B02 Protection de l'intégrité des fichiers contenus sur le
poste de travail ou sur un serveur de données
(disque logique pour le poste de travail)
6B03 Sécurité de la messagerie électronique (courriels)
et des échanges électroniques d'information
6B04 Plan de sauvegardes des données utilisateurs
stockées sur les postes de travail
6B05 Protection des impressions sur imprimantes
partagées
6B06 Sauvegarde des courriels émis ou reçus sur les
serveurs de l'entreprise
6B07 Sauvegarde des configurations des postes de
travail des utilisateurs
C - Utilisation d'équipement personnel
6C01 Politique relative à l'utilisation d'appareils
personnels
6C02 Dispositifs de sécurité relatifs aux appareils
 mobiles personnels
7 Sécurité des projets et développements applicatifs (7 Dev)
A - Organisation des développements, de la maintenance et de
la gestion des changements
7A01 Analyse et spécification des exigences de sécurité
de l'information
7A02 Sécurisation des services applicatifs utilisant des
réseaux publics
7A03 Protection des transactions des services applicatifs
B - Sécurité des processus de développement et de
maintenance
7B01 Politique de développement sécurisé
7B02 Contrôles des changements et évolutions systèmes
ou applicatifs
7B03 Restrictions aux changements de packages
logiciels
7B04 Environnement de développement sécurisé
7B05 Développement externalisé
7B06 Test des systèmes
7B07 Protection des données de test
7B08 Sécurité de la maintenance applicative
7B09 Maintenance d'urgence
7B10 Protection de la confidentialité des codes sources

8 Conformité aux exigences de gouvernance (8 CEX)

A Conformité aux exigences légales et contractuelles
8A01 Mise en place des processus et procédures
adaptés aux exigences légales ou contractuelles
8A02 Contrôle de l'application des procédures visant le
respect des exigences légales et contractuelles
8A03 Supervision des processus et procédures adaptés
aux exigences légales et contractuelles
B Règles de gouvernance et de prise de décision
8B01 Mise en place des processus et procédures
adaptés aux règles de gouvernance et de prise de
décision
8B02 Contrôle de l'application des procédures visant le
respect des règles de gouvernance et de prise de
décision
8B03 Supervision des processus et procédures adaptés
aux règles de gouvernance et de prise de décision
C Revue de la sécurité de l'information
8C01 Revue indépendante de la sécurité de l'information
8C02 Conformité avec les politiques de sécurité et les
standards