ISO 27001 – Contrôles de l'Annexe A

Introduction des contrôles de l’Annexe A

Il existe 114 contrôles de l’annexe A, répartis en 14 catégories. La manière dont vous répondez à ces exigences lors de la création de votre SMSI dépend des spécificités de votre organisation.

Une manière utile de comprendre l’Annexe A est de la considérer comme un catalogue de contrôles de sécurité. Sur la base de vos évaluations des risques, vous sélectionnerez celles qui sont applicables à votre organisation, en fonction de vos risques particuliers.

L'aide est à portée de main avec ISMS.online

Les 114 contrôles de l’Annexe A peuvent sembler écrasants, mais l’aide est à portée de main. La plateforme ISMS.online est construite exactement de la même manière que la norme ISO 27001, ce qui vous permet de suivre et de comprendre facilement ce que vous devez faire. De plus, nous vous guidons étape par étape pour obtenir la certification ISO 27001 du premier coup, avec un taux de réussite de 100 %.

Annexe A Contrôles

Annexe A.5 – Politiques de sécurité de l'information

Annexe A.5.1 concerne l'orientation de la gestion pour la sécurité de l'information. L'objectif de la présente annexe est de gérer l'orientation et le soutien à la sécurité de l'information conformément aux exigences de l'organisation.

Annexe A.6 – Organisation de la sécurité de l'information

Annexe A.6.1 c'est une question d'organisation interne. L'objectif de ce domaine de l'Annexe A est d'établir un cadre de gestion pour lancer et contrôler la mise en œuvre et le fonctionnement de la sécurité de l'information au sein de l'organisation.

Annexe A.6.2 concerne les appareils mobiles et le télétravail. L’objectif de ce domaine de l’annexe A est d’établir un cadre de gestion pour assurer la sécurité du télétravail et de l’utilisation des appareils mobiles.

Annexe A.7 – Sécurité des ressources humaines

Annexe A.7.1 il s'agit d'avant l'emploi. L'objectif de cette annexe est de garantir que les employés et les entrepreneurs comprennent leurs responsabilités et conviennent aux rôles pour lesquels ils sont considérés.

Annexe A.7.2 – l'objectif de la présente annexe est de garantir que les employés et les sous-traitants connaissent et s'acquittent de leurs responsabilités en matière de sécurité des informations pendant leur emploi.

Annexe A.7.3 concerne la cessation d'emploi et le changement d'emploi. L'objectif de cette annexe est de protéger les intérêts de l'organisation dans le cadre du processus de changement et de cessation d'emploi.

Annexe A.8 – Gestion des actifs

Annexe A.8.1 concerne la responsabilité des actifs. L'objectif de l'annexe est d'identifier actifs informationnels dans le cadre du système de gestion et définir les responsabilités de protection appropriées.

Annexe A.8.2 concerne la classification des informations. L'objectif de cette annexe est de garantir que les informations bénéficient d'un niveau de protection approprié en fonction de leur importance pour l'organisation (et les parties intéressées telles que les clients).

Annexe A.8.3 concerne la gestion des médias. L'objectif de la présente annexe est d'empêcher la divulgation, la modification, la suppression ou la destruction non autorisée des informations stockées sur des supports.

Annexe A.9 – Contrôle d'accès

Annexe A.9.1 concerne les exigences commerciales du contrôle d'accès. L'objectif de cette annexe est de limiter l'accès à l'information et aux installations de traitement de l'information.

Annexe A.9.2 concerne la gestion des accès des utilisateurs. L'objectif de ce contrôle de l'Annexe A est de garantir que les utilisateurs sont autorisés à accéder aux systèmes et services ainsi que d'empêcher tout accès non autorisé.

Annexe A.9.3 concerne les responsabilités des utilisateurs. L'objectif de ce contrôle de l'annexe A est de rendre les utilisateurs responsables de la protection de leurs informations d'authentification.

Annexe A.9.4 concerne le contrôle d’accès au système et aux applications. L'objectif de la présente annexe est d'empêcher tout accès non autorisé aux systèmes et aux applications.

Annexe A.10 – Cryptographie

Annexe A.10.1 concerne les contrôles cryptographiques. L'objectif de la présente annexe est de garantir une utilisation appropriée et efficace de la cryptographie pour protéger la confidentialité, l'authenticité et/ou l'intégrité des informations.

Annexe A.11 – Sécurité physique et environnementale

Annexe A.11.1 Il s’agit de garantir la sécurité des zones physiques et environnementales. L'objectif de la présente annexe est d'empêcher l'accès physique non autorisé, les dommages et les interférences aux informations et aux installations de traitement de l'information de l'organisation.

Annexe A.11.2 c'est une question d'équipement. L'objectif du contrôle de cette annexe est de prévenir la perte, les dommages et le vol ou la compromission des actifs et l'interruption des opérations de l'organisation.

Annexe A.12 – Sécurité des opérations

Annexe A.12.1 concerne les procédures opérationnelles et les responsabilités. L'objectif de cette zone de l'annexe A est de garantir un fonctionnement correct et sécurisé des installations de traitement de l'information.

Annexe A.12.2 concerne la protection contre les logiciels malveillants. L’objectif ici est de garantir que les informations et les installations de traitement de l’information soient protégées contre les logiciels malveillants.

Annexe A.12.3 concerne la sauvegarde. L’objectif ici est de se protéger contre la perte de données.

Annexe A.12.4 concerne la journalisation et la surveillance. L’objectif de cette zone de l’annexe A est d’enregistrer les événements et de générer des preuves.

Annexe A.12.5 concerne le contrôle des logiciels opérationnels. L’objectif de ce domaine de l’annexe A est d’assurer l’intégrité des systèmes opérationnels.

Annexe A.12.6 concerne la gestion des vulnérabilités techniques. L’objectif de ce contrôle de l’annexe A est d’empêcher l’exploitation des vulnérabilités techniques.

Annexe A.12.7 concerne les systèmes d’information et les considérations d’audit. L’objectif de ce domaine de l’annexe A est de minimiser l’impact des activités d’audit sur les systèmes opérationnels.

Annexe A.13 – Sécurité des communications

Annexe A.13.1 concerne la gestion de la sécurité des réseaux. L'objectif de la présente annexe est d'assurer la protection des informations dans les réseaux et des installations de traitement de l'information qui les soutiennent.

Annexe A.13.2 concerne le transfert d’informations. L'objectif de la présente annexe est de maintenir la sécurité des informations transférées au sein de l'organisation et avec toute entité externe, par exemple un client, un fournisseur ou toute autre partie intéressée.

Annexe A.14 – Acquisition, développement et maintenance du système

Annexe A.14.1 concerne les exigences de sécurité des systèmes d’information. L’objectif de ce domaine de l’annexe est de garantir que la sécurité de l’information fait partie intégrante des systèmes d’information tout au long de leur cycle de vie. Cela inclut également les exigences relatives aux systèmes d'information qui fournissent des services sur les réseaux publics.

Annexe A.15 – Relations avec les fournisseurs

Annexe A.15.1 concerne la sécurité des informations dans les relations avec les fournisseurs. L'objectif ici est la protection des actifs précieux de l'organisation qui sont accessibles ou affectés par les fournisseurs.

Annexe A.15.2 concerne la gestion du développement des services fournisseurs. L'objectif de ce contrôle de l'Annexe A est de garantir qu'un niveau convenu de sécurité de l'information et de prestation de services est maintenu conformément aux accords avec les fournisseurs.

Annexe A.16 – Gestion des incidents de sécurité de l'information

Annexe A.16.1 concerne la gestion des incidents, événements et faiblesses en matière de sécurité de l’information. L’objectif de ce domaine de l’annexe est de garantir une approche cohérente et efficace du cycle de vie des incidents, des événements et des faiblesses.

Annexe A.17 – Aspects liés à la sécurité de l'information dans la gestion de la continuité des activités

Annexe A.17.1 concerne la continuité de la sécurité de l’information. L'objectif de ce contrôle de l'Annexe A est que la continuité de la sécurité de l'information soit intégrée dans les systèmes de gestion de la continuité des activités de l'organisation.

Annexe A.17.2 il s'agit de licenciements. L’objectif de ce contrôle de l’Annexe A est de garantir la disponibilité des installations de traitement de l’information.

Annexe A.18 – Conformité

Annexe A.18.1 Il s'agit du respect des exigences légales et contractuelles. L’objectif est d’éviter les violations des obligations légales, statutaires, réglementaires ou contractuelles liées à la sécurité des informations et de toute exigence de sécurité.