QCI SSI

N° Questions Réf Oui Non Commentaires

5. 1 POLITIQUE DE SECURITE
5.1 1.1 Politique de sécurité de l'information
5.1.1 1.1.1 Document de politique de sécurité de
l'information
1 1 - La direction a-t-elle défini une politique de
sécurité de l'information et a-t-il été communiqué
aux employés?
2 2 - La direction a-t-elle exprimé de manière claire et
accessible aux employés son soutien à la politique
de sécurité de l'information ?
3 3 - Les employés connaissent-ils les conséquences
des violations de la politique de sécurité ?
5.1.2 1.1.2 Evaluation de la politique de sécurité
4 4 - Une procédure de réévaluation de la politique de
sécurité de l'information a-t-elle été définie et
documentée ?
5 5 - Un responsable de la maintenance et de
l'évaluation de la politique de sécurité de
l'information a-t-il été désigné ?
6 6 - Une analyse de risques est-elle effectuée à
chaque événement d'importance (incident de
sécurité, changement de technologies, changement
organisationnel.)
L'efficacité de la politique de sécurité de l'information
est-elle régulièrement évaluée ?

7 7 - Le coût et l'impact des mesures de sécurité sur

l'efficacité de l'entreprise est-il régulièrement évalué
?
6. 2. SECURITE DE L'ORGANISATION
6.1 2.1 Infrastructure de la sécurité de l'information
6.1.1 2.1.1 Groupe de gestion de la sécurité de
l'information
8 8 - Un groupe de gestion de la sécurité de
l'information formé des directeurs et responsables
existe-il ?
9 9 - La politique de sécurité de l'information et
l'affectation des responsabilités est-elle examinée et
approuvée par ce groupe ?
10 10 - Les incidents de sécurité de l'information sont-
ils examinés et surveillés par ce groupe ?
6.1.2 2.1.2 Coordination de la sécurité de l'information
11 11 - Le groupe de la gestion de la sécurité de
l'information rassemble-t-il les représentants des
différent(e) s directions/services de l'organisation ?
12 12 - Les méthodologies et processus spécifiques à
une partie de l'organisation sont-elles validées par
ce forum ?
6.1.3 2.1.3 Affectation des responsabilités de la sécurité
de l'information
13 13 - Les responsabilités des employés sur les actifs
informationnels qu'ils utilisent sont-elles clairement
définies ?
14 14 - Les responsabilités des employés pour la
réalisation de processus de sécurité spécifiques
sont-elles clairement définies ?
15 15 - Les employés sont-ils conscients de ces
responsabilités ?
16 16 - La responsabilité du développement et de
l'implémentation de la sécurité a-t-elle été attribuée
? (A qui revient-elle)
17 17 - Les responsabilités des managers sur la
sécurité de l'information sont-elles validées et
documentées en détail ?
6.1.4 2.1.4 Procédure d'autorisation pour les équipements
de traitement de l'information
18 18 - Une procédure pour autoriser l'utilisation
d'équipements de traitement de l'information a-t-elle
été définie ?
6.1.5 2.1.5 Conseiller spécialisé en sécurité de
l'information
19 19 - Existe-il un conseiller spécialisé en sécurité de
l'information au sein de l'organisation ?
20 20 - Ce conseiller utilise-t-il les services de
conseillers externes ?
6.1.6 2.1.6 Coopération entre les organisations
21 21 - Est-ce que les personnes/services des
organisations concernées (Police, Tunisie Télécom,
CNI, Gouvernorat …) à contacter en cas d'incident
de sécurité de l'information ont été identifiées et
listées ?

22 22 - Une procédure spécifiant les informations à

communiquer à ces organisations a-t-elle été définie
et documentées?
6.1.7 2.1.7 Examen indépendant de la sécurité de
l'information
23 23 - La conformité de l'implémentation de la
politique de sécurité par rapport à cette politique
est-elle examinée régulièrement par une entité
indépendante ?
24 24 - L'étude de l'efficacité de la politique de sécurité
de l'information fait-elle partie des objectifs de
l'examen ?
6.2 2.2 Sécurité des accès des tierces parties
6.2.1 2.2.1 Identification des risques relatifs aux accès des
tierces parties
25 25 - Une procédure d'attribution de droits d'accès
pour les parties tierces a-t-elle été définie et
documentée ?
26 26 - Les accès des parties tierces sont-ils
enregistrés ?
27 27 - Une analyse de risques est-elle menée avant
chaque attribution d'un droit d'accès ?
6.2.2 2.2.2 Exigences de sécurité dans les contrats avec
les tierces parties
28 28 - Les contrats conclus avec les tierces parties
précisent-ils les exigences de sécurité de
l'organisation en matière de sécurité de l'information
?
29 29 - Les contrats avec les tierces parties couvrent-
ils les aspects suivants : politique de sécurité de
l'organisation, protection des actifs de l'organisation,
description des services à fournir, le niveau de
service attendu, et le niveau de service
inacceptable, droits sur la propriété intellectuelle,
contrôle des accès, sous traitance.

7. 3. Gestion des avoirs

7.1 3.1 Responsabilités liées aux actifs
7.1.1 3.1.1 Inventaire des actifs
30 30 - Existe-t-il un inventaire des actifs du système
d'information maintenu à jour ?
31 31 - La responsabilité de sa maintenance a-t-elle
été clairement attribuée ?
7.2 3.2 Classification de l'information
7.2.1 3.2.1 Guide de classification
32 32 - Un système de classification des informations
a-t-il été défini et documenté ?
33 33 - La responsabilité de classer l'information
revient-elle à sa source/propriétaire (responsable) ?
7.2.2 3.2.2 Étiquetage et manipulation des actifs
34 34 - Des procédures de traitement, la copie, le
stockage, la transmission des informations, la
transmission verbale des informations et Un
étiquetage physique des actifs en fonction de leur
classification ont-elle été définie ?
8. 4. Sécurité au niveau des ressources humaines
8.1 4.1 Sécurité dans la définition des postes et des
ressources (Avant le recrutement)
8.1.1 4.1.1 Inclusion de la sécurité dans les responsabilités
du poste
35 35 - Les responsabilités et les rôles relatifs à la
sécurité de l'information du poste sont-ils
documentés ?
8.1.2 4.1.2 Enquête sur le personnel et politique
36 36 - Est ce que des vérifications des références des
candidats à l'embauche sont effectuées
systématiquement ?
8.1.3 4.1.3 Entente de confidentialité
37 37 - Les employés doivent-ils signer une entente de
confidentialité à l'embauche ?
8.1.4 4.1.4 Termes et conditions du recrutement
38 38 - Le contrat d'embauche précise-t-il les
responsabilités de l'employé relatives à la sécurité
de l'information ?
8.2 4.2 Formation des utilisateurs (Pendant l’emploi)
8.2.1 4.2.1 Sensibilisation et formation à la sécurité de
l'information
39 39 - Les employés sont-ils régulièrement formés
aux procédures d'exploitation ?
40 40 - Les employés sont-ils informés à chaque
changement dans les procédures et la politique de
sécurité ?
8.3 4.3 Réponse aux incidents de sécurité et
dysfonctionnements
8.3.1 4.3.1 Signalement des incidents de sécurité
41 41 - Une procédure de signalement des incidents
de sécurité a-t-elle été définie et documentée ?
8.3.2 4.3.2 Signalement des failles de sécurité
42 42 - Une procédure de signalement des failles de
sécurité détectées ou soupçonnées a-t-elle été
définie et documentée ?
8.3.3 4.3.3 Signalement des dysfonctionnements logiciels
43 43 - Une procédure de signalement de
dysfonctionnements logiciels a-t-elle été définie et
documentée ?
8.3.4 4.3.4 Apprentissage à partir des incidents
44 44 - Des mécanismes permettant de quantifier et de
surveiller les types, volumes et coûts des incidents
de sécurité ont-t-ils été mis en place ?
8.3.5 4.3.5 Mesures disciplinaires
45 45 - Des mesures disciplinaires sont-elles prises à
l'encontre des employés ayant enfreint la politique
de sécurité ou les procédures ?
8.4 4.4 Terminaison ou changement d'emploi
8.4.1 4.4.1 Terminaison des responsabilités
46 46 - Est-ce que les responsabilités de l’employé
après la terminaison ou le changement de l’emploi
sont clairement définies et assignés ?
8.4.2 4.4.2 Retour des actifs
47 47 - Est-ce que les employés de l'organisation et,
s'il y a lieu, les utilisateurs externes doivent rendre
les actifs de l’organisation qui sont en leur
possession aussitôt que leur contrat est achevé ?
8.4.3 4.4.3 Suppression des droits d'accès
48 48 - Est-ce que les droits d’accès des employés de
l'organisation et, s'il y a lieu, les utilisateurs externes
sont supprimés aussitôt que leur contrat est achevé
9. 5. Sécurité physique et de l'environnement :
Sécurité liée à l’infrastructure
9.1 5.1 Zones sécurisées
9.1.1 5.1.1 Périmètre de sécurité physique
49 49 - Le périmètre du bâtiment ou du site contenant
les infrastructures de traitement de l’information est-
il en bon état ?
50 50 - Les murs extérieurs du site sont-ils construits
solidement ?
51 51 - Les fenêtres et les bouches d’aération
extérieures au niveau du sol doivent être équipées
de grilles afin d’en limiter l’accès ?
52 52 - Les portes extérieures sont-elles équipées de
dispositifs de contrôle d’accès tels que des serrures,
des alarmes, etc. ?
53 53 - Les portes sont-elles assez robustes?
54 54 - Des portes coupe feu sont-elles installées
autour du périmètre de sécurité ?
55 55 - Les portes coupe-feu sur le périmètre de
sécurité sont-elles équipées d’alarmes?
56 56 - Les accès aux sites et aux bâtiments sont-ils
uniquement restreints au personnel autorisé ?
57 57 - Existe-t-il un contrôle d’accès physique au
bâtiment ou au site (ex : zone d’accueil avec
réceptionniste) ?
9.1.2 5.1.2 Mesures physiques à l'entrée
58 58 – Les visiteurs sont-ils accompagnés par un
membre du personnel autorisé?
59 59 - L’accès aux informations sensibles et aux
infrastructures de traitement de l’information est-il
uniquement restreint aux personnes autorisées?
9.1.3 5.1.3 Sécurisation des bureaux, des salles et des
infrastructures
60 60 - Les infrastructures clés sont-elles situées de
manière à éviter l’accès par le public ?
61 61 - Est-ce qu’aucun signe n’indique l’emplacement
des activités importantes de traitement de
l’information ?
62 62 - Les outils d’impression (photocopieurs,
télécopieurs, etc.) sont-ils situés à l’extérieur de la
zone de sécurité ?
63 63 - Les portes et les fenêtres sont-elles verrouillées
lorsque l’endroit est sans surveillance ?
64 64 - Les répertoires et annuaires téléphoniques
internes sont-ils accessibles uniquement au
personnel et non au public ?
65 65 - Le matériel de substitution et les supports de
sauvegarde sont-ils à l’abri d’une catastrophe sur le
site principal ?
9.1.4 5.1.4 Travail dans les zones de sécurité
66 66 - La zone de sécurité est-elle connue
uniquement du personnel ayant besoin de connaître
son existence?
67 67 - Est-il possible d’apporter du matériel
photographique sans autorisation, audio, vidéo ou
autre à l’intérieur de la zone de sécurité?
9.1.5 5.1.5 Isolation des zones de livraison et de
chargement
68 68 - L’accès du personnel de livraison aux locaux
de l’organisation est-il limité à la zone de livraison
uniquement?
9.2 5.2 Sécurité des équipements
9.2.1 5.2.1 Emplacement et protection du matériel
69 69 - Le matériel est-il situé de façon à minimiser tout
accès inutile aux zones de travail?
70 70 - Le matériel informatique est-il protégé contre
les dangers liés à l’environnement et les accès non
autorisés?
71 71 - Est-il interdit de manger, de boire ou de fumer à
proximité des infrastructures de traitement de
l’information?
9.2.2 5.2.2 Alimentations électriques
72 72 - Le matériel de l’organisation est-il protégé
contre les pannes de courant ou toutes autres
anomalies électriques et est-il équipé de lumières
d’urgence?
9.2.3 5.2.3 Sécurité du câblage
73 73 - Le câblage de réseau traverse-t-il des endroits
publics? Et est ce que les câbles électriques et de
télécommunication sont-ils séparés afin d’empêcher
toute interférence?
9.2.4 5.2.4 Maintenance du matériel
74 74 - Le matériel est-il entretenu régulièrement?
75 75 - Existe-t-il un registre de tous les défauts
détectés?
76 76 - Existe-t-il un registre de tous les équipements
envoyés à l’extérieur de l’organisation pour des
besoins d’entretien?
9.2.5 5.2.5 Sécurité du matériel utilisé à l’extérieur des
locaux
77 77 - Les équipements contenant de l’information
cruciale et sensible sont-ils sous surveillance
constante lorsqu’ils sont laissés dans des endroits
publics?
9.2.6 5.2.6 Mise au rebut ou réutilisation du matériel en
toute sécurité
78 78 - Les dispositifs de stockage contenant de
l’information sensible sont-ils détruits ou recouverts
de manière sûre?
9.3 5.3 Mesures générales
9.3.1 5.3.1 Politique de bureaux et d’écrans dégagés
79 79 - Les documents et les supports sont-ils rangés
dans un classeur verrouillé en dehors des heures
de travail?
80 80 - Les photocopieuses sont-elles verrouillées en
dehors des heures de travail?
9.3.2 5.3.2 Enlèvement des biens
81 81 - Est-il impossible d’enlever des locaux de
l’organisation du matériel ou de l’information sans
aucune autorisation?
82 82 - Des vérifications sont-elles effectuées
régulièrement afin de s’assurer qu’aucun
équipement n’est manquant?
10. 6. Gestion des communications et des
opérations
10.1 6.1 Procédures et responsabilité opérationnelles
10.1.1 6.1.1 Documentation des procédures d'exploitation
83 83 - Les procédures d'exploitation sont-elles
documentées et maintenues ?
84 84 - Les procédures d'exploitation précisent-elles la
manière de traiter les informations en sortie des
équipements ? (informations confidentielles,
suppression sécurisée des informations.)
10.1.2 6.1.2 Contrôle des changements opérationnels
85 85 - Des procédures pour le contrôle des
changements opérationnels ont-elles été définies ?
86 86 - Les responsabilités pour le contrôle des
changements opérationnels ont-elles été attribuées
?
10.1.3 6.1.3 Procédures de gestion des incidents
87 87 - Existence de procédures de gestion des
incidents documentées et à jour ?
88 88 - Des procédures pour la récupération des traces
d'audit et de preuves similaires sont-elles définies ?
89 89 - Les procédures pour l'information et la
communication avec le personnel affecté ou
impliqué dans la récupération après incident sont-
elles définies ?
90 90 - Des procédures de récupération après incident
ont-elles été définies ?
10.1.4 6.1.4 Division des responsabilités
91 91 - Les procédures d'exploitation tiennent-elles
compte de la nécessité de diviser les
responsabilités pour limiter le risque d'erreurs
humaines et de fraude ?
10.1.5 6.1.5 Division entre développement et production
92 92 - Les responsabilités de développement de
systèmes, de support technique et d'exploitation
des applications sont-elle séparées ?
10.2 6.2 Planification et approbation du système
10.2.1 6.2.1 Planification de la capacité
93 93 - Est-ce que les demandes d’augmentation en
capacité sont surveillées et est-ce que les
prévisions sur les besoins de capacité futurs ont été
évaluées afin d'assurer la disponibilité d'une
puissance de traitement et d'un stockage adéquat?
10.3 6.3 Protection contre les logiciels pernicieux
10.3.1 6.3.1 Mesures contre les logiciels malveillants
94 94 - Des mesures pour la détection et la prévention
contre les logiciels malveillants ont-elle été prises ?
95 95 - Des mesures de sensibilisation des utilisateurs
aux dangers et modes d'infection par les logiciels
malveillants ont-elle été définies ?
96 96 - L'utilisation de logiciels exclusivement sous
licence fait-elle partie de la politique (de sécurité) de
l'organisation ? (formalisée ?)
97 97 - La politique de l'organisation interdit-elle
explicitement l'utilisation de logiciels non autorisés
et définit-elle des mesures pour la protection contre
le téléchargement de fichiers et logiciels (depuis un
réseau externe ou autre media) ??

98 98 - Des logiciels antivirus sont-ils installés et

régulièrement mis à jour sur tous les postes ?
99 99 - Les fichiers électroniques de provenance
incertaine ou suspecte, ou reçus par des réseaux
externes sont-ils vérifiés systématiquement par un
antivirus ?
100 100 - Les pièces jointes au courrier électronique
sont-elles vérifiées systématiquement à différents
niveaux (serveur mail, passerelle antivirale, poste
client) ?
101 101 - Des plans de continuité permettant la
récupération après attaque virale, y compris la
récupération des données et logiciels ont-il été
définis ?
102 102 - Des procédures permettant à l'organisation
d'être au courant des nouvelles menaces virales à
partir de sources sûres ont-elle été définies ?
10.4 6.4 Maintenance
10.4.1 6.4.1 Sauvegarde des informations
103 103 - L’organisation possède-t-elle un processus de
sauvegarde de l’information?
104 104 - Les employés sont-ils informés de l’existence
et de l’utilisation de ces procédures de sauvegarde?
105 105 - Dans le cas où une personne a la
responsabilité d’effectuer les copies de sauvegarde,
est-ce qu’un autre employé peut la remplacer si elle
venait à s’absenter?
106 106 - Les procédures de restauration sont-elles
régulièrement vérifiées et testées de sorte qu’elles
puissent être implantées rapidement en cas
d’incident?
107 107 - Les exigences pour le stockage de données à
long terme ont-elles été établies?
108 108 - Une fois la sauvegarde complétée, les
supports ont-ils été testés pour s’assurer que les
données copiées sont intactes?
109 109 - Des mesures sont-elles prises pour vérifier
l’intégrité des données archivées?
110 110 - L’organisation possède-t-elle les copies des
pilotes et des logiciels utilisés? Sont-elles
entreposées dans un endroit sécurisé et facile
d’accès?
111 111 - L’organisation possède-t-elle une copie des
licences et des numéros de série nécessaires à
l’utilisation de certaines applications? Sont-elles
entreposées dans un endroit sécurisé et facile
d’accès?
10.4.2 6.4.2 Enregistrement des opérations
112 112 - Les activités des opérateurs sont-elles
enregistrées ?
10.4.3 6.4.3 Enregistrement des anomalies
113 113 - Les anomalies signalées par les utilisateurs
sont-elles enregistrées afin d'en assurer le suivi ?
10.5 6.5 Gestion de la sécurité des réseaux
10.5.1 6.5.1 Mesures de protection du réseau
114 114 - Est-ce que les caractéristiques et les
exigences de sécurité des services réseaux sont
identifiés et pris en considération lors de
l’exploitation du réseau ?
10.6 6.6 Manipulation des media
10.6.1 6.6.1 Manipulation des supports amovibles
115 115 - Existence de procédures ?
10.6.2 6.6.2 Suppression des supports
116 116 - Existence de procédures pour se débarrasser
des supports qui ne seront plus utilisés ? (CD,
disquettes, documentation …)
10.6.3 6.6.3 Procédures de manipulation de l'information
117 117 - Définitions de procédures de manipulation de
l'information en fonction de leur classification ?
118 118 - Restrictions d'accès aux informations par le
personnel non autorisé ?
10.6.4 6.6.4 Sécurité du système de documentation
119 119 - Stockage sécurisé de la documentation du
système ?
120 120 - Minimisation du nombre de personnes ayant
accès à la documentation ?
10.7 6.7 Échange d’information
10.7.1 6.7.1 Entente d'échanges d'informations et de
logiciels
121 121 - Existe-t-il des accords avec les organisations
tierces pour les échanges d'informations et de
logiciels ?
122 122 - Ces accords traitent-ils de la sécurité des
informations échangées ?
10.7.2 6.7.2 Sécurité pendant le transport des supports de
l'information
123 123 - Prise en compte de la sécurité lors du
transport des supports de l'information ? (sélection
de coursiers, scellement, remise en main propre,
cryptographie)
10.7.4 6.7.3 Sécurité du courrier électronique
124 124 - Une politique d'utilisation de courrier
électronique a-t-elle été définie ?
10.7.6 6.7.4 Systèmes ouverts au public
125 125 - Existe-t-il un processus pour la validation des
informations sur les serveurs web de l'organisation
?
10.8 6.8 Supervision, Monitoring
10.8.1 6.8.1 Audit des journaux
126 126 - Est-ce que les fichiers logs qui enregistrent les
activités, les exceptions et les évènements de
sécurité sont audités à des intervalles réguliers ?
10.8.2 6.8.2 Supervision des systèmes
127 127 - Les procédures de supervision des systèmes
sont-ils établis ? et les résultats des activités de
supervision sont-ils régulièrement revus?
10.8.3 6.8.3 Les journaux des administrateurs et des
opérateurs
128 128 - Est-ce que les activités des administrateurs et
des opérateurs du système sont archivées dans des
fichiers logs ?
10.8.4 6.8.4 Consignation des défauts
129 129 - Est-ce que les fautes commises sont
également archivées dans des fichiers logs,
analysées et prises en considération par des
actions conséquentes ?
10.8.5 6.8.5 Synchronisation d'horloge
130 130 - Est-ce que les horloges de tous les systèmes
au sein de la société sont synchronisées afin
d’assurer l’exactitude des journaux d’audit?
11. 7. Contrôle d'accès
11.1 7.1 Exigences de l`entreprise concernant les
contrôles des accès
11.1.1 7.1.1 Politique de contrôle d'accès
131 131 - Existe-t-il une politique d'accès documentée et
clairement définis?
11.2 7.2 Gestion des accès utilisateurs
11.2.1 7.2.1 Enregistrement des utilisateurs
132 132 - Existe-t-il des processus formalisés d'ajout et
de suppression et de modification des droits des
utilisateurs ?
11.2.2 7.2.2 Gestion des privilèges
133 133 - Une procédure pour l'attribution de privilèges
aux utilisateurs a-t-elle été définie et formalisée ?
11.2.3 7.2.3 Gestion des mots de passe
134 134 - Existence d'une politique d'utilisation de mots
de passe ?
135 135 - Conscience des utilisateurs par rapport au
caractère personnel et confidentiel des mots de
passe ?
11.2.4 7.2.4 Examen des droits d'accès des utilisateurs
136 136 - Existe-il un processus formalisé d'examen des
droits d'accès à des intervalles réguliers ?
11.3 7.3 Responsabilités des utilisateurs
11.3.1 7.3.1 Utilisation des mots de passe
137 137 - Les utilisateurs sont-ils formés à l'utilisation
sécurisée de leur mot de passe ?
11.3.2 7.3.2 Equipements non utilisés
138 138 - Les employés et intervenants externes sont-ils
sensibilisés au fait qu'il est de leur responsabilité de
veiller à la sécurité des équipements utilisés ?
11.4 7.4 Contrôle d'accès au réseau
11.4.1 7.4.1 Politique d'utilisation des services réseau
139 139 - Existe-t-il une politique de droits d'accès au
réseau qui spécifie les services pouvant être
accédés, les procédures d'autorisation, et les
mesures de protection d'accès devant être prise ?
11.4.2 7.4.2 Imposition de chemin
140 140 - Des mesures sont-elles mises en place afin
de limiter les méthodes d'accès aux services du
système d'information (routage statique, lignes
dédiées, menu minimal …)
11.4.4 7.4.3 Authentification des nœuds
141 141 - Existe-t-il des mécanismes d'authentification
des nœuds du réseau ?
11.4.5 7.4.4 Protection des ports d'administration à distance
142 142 - Des mécanismes sont-ils implémentés pour la
protection des ports d'administration à distance des
équipements ?
11.4.6 7.4.5 Séparation des réseaux
143 143 - Existe-t-il une séparation des réseaux
(adressage, firewall …)
11.4.7 7.4.6 Contrôle des connexions réseaux
144 144 - Des mécanismes de contrôle d'accès des
connexions réseaux sont-ils mis en place ? (filtrage,
proxy, firewalls…)
11.4.8 7.4.7 Contrôle du routage réseaux
145 145 - Les ACL au niveau des routeurs sont-elles
configurées pour restreindre le flux au strict
nécessaire conformément à la politique d'accès ?
11.4.9 7.4.8 Sécurité des services réseaux
146 146 - Les mécanismes de sécurité utilisés pour
protéger les services réseaux sont-ils connus des
utilisateurs afin qu'ils puissent les utiliser ?
11.5 7.5 Contrôle d'accès au système d'exploitation
11.5.1 7.5.1 identification automatique de terminal
147 147 - Des mécanismes d'identification de terminal
permettant l'authentification des accès sont-ils mis
en place ?
11.5.2 7.5.2 Procédures de connexion
148 148 - Une procédure de connexion a-t-elle été
définie et configurée sur le terminal ?
11.5.3 7.5.3 Identification et authentification des utilisateurs
149 149 - Existe-t-il des comptes partagés entre
plusieurs utilisateurs ?
11.5.4 7.5.4 Système de gestion des mots de passe
150 150 - Une politique de gestion des mots de passe a-
t-elle été définie et implémentée sur les systèmes ?
11.5.5 7.5.5 Utilisation des outils du système
151 151 - Une politique d'accès aux outils système a-t-
elle été définie et implémentée sur les systèmes ?
11.5.6 7.5.6 Protection contre l'obtention d'accès par la
contrainte
152 152 - Des systèmes d'alarmes sont-ils mis à
disposition du personnel susceptible d'être contraint
de fournir un accès ?
11.5.7 7.5.7 Délai d'inactivité des terminaux
153 153 - Un délai d'inactivité des terminaux a-t-il été
défini et mis en place ?
11.5.8 7.5.8 Limitation du temps de connexion
154 154 - Un temps limite de connexion aux systèmes
a-t-il été défini et implémenté ?
11.6 7.6 Contrôle d’accès aux applications et aux
informations
11.6.1 7.6.1 Restriction des accès à l'information
155 155 - Des mesures sont-elles mises en place afin
de ne fournir à l'utilisateur que les informations
dont-il a besoin pour effectuer son travail ?
156 156 - Les menus inutiles à l'utilisateur sont-ils
cachés ?
11.7 7.7 Surveillance des accès et utilisation des
systèmes
11.7.1 7.7.1 Enregistrement des évènements
157 157 - Les audits des événements sont-ils activés
sur les systèmes ?
158 158 - Les fichiers logs sont-ils régulièrement
archivés et purgés ?
11.7.2 7.7.2 Surveillance de l'utilisation du système
159 159 - Des procédures et des mécanismes ont-ils été
définis pour surveiller les activités des utilisateurs
sur les systèmes afin de garantir que les services
autorisés ?
160 160 - Les logs sont-ils régulièrement examinés ?
11.8 7.8 Informatique mobile et télétravail
11.8.1 7.8.1 Informatique mobile
161 161 - Des mesures de protection des équipements
mobiles sont-elles implémentées ?
12. 8. Acquisition, Développement et maintenance
des Systèmes d’information
12.1 8.1 Exigences de sécurité des systèmes
12.1.1 8.1.1 Analyse et spécification des exigences de
sécurité des systèmes
162 162 - Les cahiers de charge pour l'acquisition, le
développement ou l'amélioration de systèmes
spécifient-t-ils des exigences de sécurité ?
163 163 - Une évaluation de risque est-elle effectuée
avant le début du processus
d'acquisition/développement ?
12.2 8.2 Sécurité des systèmes applicatifs
12.2.1 8.2.1 Validation des données en entrée
164 164 - Les données en entrée des systèmes sont-
elles soumises à des procédures de contrôle de
validité ?
12.2.2 8.2.2 Contrôle des traitements internes
165 165 - Des mécanismes pour prévenir ou détecter
l'altération accidentelle ou délibérée des données
sont-ils implémentés ?
12.2.3 8.2.3 Authentification des messages
166 166 - Existe-t-il des mécanismes permettant
d'authentifier l'émetteur des messages échangés et
d'en garantir l'intégrité ?
12.2.4 8.2.4 Validation des données sen sortie
167 167 - Les données en sortie des systèmes sont-
elles vérifiées et validées ?
12.3 8.3 Mesures cryptographiques
12.3.1 8.3.1 Politique d'utilisation de mesures
cryptographiques
168 168 - L'organisation a-t-elle défini une politique
d'utilisation de techniques cryptographiques ?
12.3.2 8.3.2 Chiffrement
169 169 - Le chiffrement est-il utilisé afin de préserver la
confidentialité des données ?
12.3.3 8.3.3 Signatures électroniques
170 170 - Des mécanismes de signature électronique
sont-ils utilisés pour garantir l'authenticité et
l'intégrité des documents électroniques ?
12.3.4 8.3.4 Service de non répudiation
171 171 - Des mécanismes de non répudiation sont-ils
implémentés ?
12.3.5 8.3.5 Gestion des clés
172 172 - Un système de gestion des clés
cryptographiques a-t-il été mis en place ?
12.4 8.4 Sécurité des fichiers systèmes
12.4.1 8.4.1 Contrôle des logiciels en exploitation
173 173 - Existe-t-il des mécanismes de contrôle pour
l'implémentation de logiciels sur les systèmes en
exploitation afin de minimiser les risques de
corruption ?
12.4.2 8.4.2 Protection des données de test des systèmes
174 174 - Les données de test sont-elles protégées et
contrôlées ?
175 175 - Les données utilisées pour les tests de
validation des systèmes sont-elles des données
réelles ?
12.4.3 8.4.3 Contrôle d'accès à la bibliothèque du code
source du programme
176 176 - Existe-t-il des procédures et mécanismes
permettant de contrôler les accès au code source
des programmes ?
12.5 8.5 Sécurité dans les processus de développement
et de support
12.5.1 8.5.1 Procédures de contrôle des modifications
177 177 - Des procédures permettant de contrôler
l'implémentation des modifications sont-elles
définies et appliquées ?
12.5.2 8.5.2 Examen technique des modifications du
système d'exploitation
178 178 - Existe-t-il un processus d'examen et de test
des applications après un changement dans le SE ?
12.5.3 8.5.3 Restrictions sur les changements dans le code
des logiciels
179 179 - Les changements du code des logiciels par le
personnel de l'organisation est-il permis. Si oui est-il
soumis à des mécanismes et procédures de
contrôle ?
12.5.4 8.5.4 Portes dérobées et troyens
180 180 - Des mesures sont-elles prises pour s'assurer
que les logiciels utilisés ne contiennent pas de
portes dérobées ou de troyens
12.5.5 8.5.5 Développement externe de logiciels
181 181 - Les points suivants ont-ils discutés avec les
tierces parties : propriété intellectuelle, propriété du
code, licences, certifications nécessaires, cautions,
audit de la qualité et exactitude du travail,
exigences contractuelle pour la qualité du
développement, test de détection des chevaux de
Troie
13. 9. Management des incidents de la sécurité de
l'information
13.1 9.1 Signalisation des événements de la sécurité de
l'information et ses faiblesses
13.1.1 9.1.1 Signalisation des événements de la sécurité de
l'information
182 182 - Est-ce que les signalisations des évènements
de la sécurité de l’information sont reportées et
communiquées le plus rapidement possible ?
13.1.2 9.1.2 Signalisation des faiblesses de la sécurité
183 183 - Est-ce que les employées, contractuels et les
tiers signalent les faiblesses dans les systèmes ou
les services ?
13.2 9.2 Gestion des incidents de la sécurité de
l'information et améliorations
13.2.1 9.2.1 Responsabilité et procédures
184 184 - Y a t-il des procédures établies pour répondre
rapidement et efficacement aux incidents de
sécurité ?
13.2.2 9.2.2 Etude des incidents de sécurité de
l’information
185 185 - Existent-ils des mécanismes qui surveillent et
quantifient les coûts et les volumes des incidents de
sécurité ?
13.2.3 9.2.3 Collecte d’éléments de preuve
186 186 - Y a t-il une collecte des éléments de preuve
suite à un incident de sécurité ?
14. 10. Gestion de la continuité
14.1 10.1 Aspects de la gestion de la continuité
14.1.1 10.1.1 Processus de gestion de la continuité
187 187 - Existe-t-il un processus de gestion de la
continuité de l'activité de l'organisation ?
14.1.2 10.1.2 Continuité et analyse de l'impact
188 188 - La stratégie de continuité de l'entreprise est-
elle basée sur une analyse de risques ?
14.1.3 10.1.3 Rédaction et implémentation des plans de
continuité
189 189 - Des plans de continuité permettant la reprise
des activités critiques dans un délai fixé sont-ils
définis, documentés et testés ?
14.1.5 10.1.4 Tests, maintenance et réévaluation des plans
de continuité
190 190 - Les plans de continuité sont-ils testés
régulièrement afin de s'assurer qu'ils sont
réellement efficaces ?
191 191 - Un responsable pour la maintenance et
l'évaluation des plans de continuité a-t-il été désigné
?
15. 11. Conformité
15.1 11.1 Conformité aux exigences réglementaires
15.1.1 11.1.1 Identification de la législation applicable
192 192 - Les exigences légales statutaires et
contractuelles sont-elles identifiées et documentées
?
15.1.2 11.1.2 Droits sur la propriété intellectuelle
193 193 - Des mesures sont-elles prises pour éviter
l'utilisation illicite de contenu protége par copyright ?
15.1.3 11.1.3 Préservation des enregistrements de
l'organisation
194 194 - Les informations (enregistrements et logs)
qu'il est nécessaire de préserver (par rapport à la
législation ou contrat) ont-elles été identifiées ?
195 195 - Des procédures permettant leur collecte et
leur stockage de manière sécurisée ont-elles été
définies ?
15.1.4 11.1.4 Protection des données personnelles
196 196 - Des mesures sont-elles prises pour assurer la
protection des données personnelles des employés
et des citoyens ?
15.1.5 11.1.5 Prévention contre l'utilisation mal intentionnée
de l'infrastructure de traitement de l'information
197 197 - Les employés sont-ils informés du fait que
leurs activités sont surveillées.
198 198 - Ont-ils donné leur accord par écrit ?
15.1.6 11.1.6 Réglementation et cryptographie
199 199 - L'utilisation de la cryptographie est-elle
conforme à la législation en vigueur ?

Auditeur : Auditée :