Passer au contenu
ISMS.en ligne

ISO 27001:2022 Annexe A 7.9 Guide de liste de contrôle

L'utilisation d'une liste de contrôle pour A.7.9 Sécurité des actifs hors site rationalise les efforts de conformité en fournissant une approche structurée pour gérer les risques et protéger les actifs informationnels en dehors de l'environnement de bureau. Il garantit une surveillance complète et le respect des normes de sécurité, améliorant ainsi la résilience organisationnelle globale et la protection des données.

Auteur
Mike Jennings
Mise à jour en juillet 25, 2025
4 / 5 Etoiles

Liste de contrôle de la sécurité des actifs hors site ISO 27001 A.7.9

A.7.9 La sécurité des actifs hors site selon la norme ISO/IEC 27001:2022 est essentielle pour garantir que les informations et autres actifs associés restent sécurisés lorsqu'ils sont emportés ou utilisés en dehors des locaux physiques de l'organisation.

La protection de ces actifs est cruciale pour empêcher tout accès non autorisé, perte ou vol. Ce contrôle inclut les ordinateurs portables, les appareils mobiles, les supports de stockage et même les documents papier que les employés peuvent emporter hors site à des fins professionnelles.

La mise en œuvre de ce contrôle implique de relever des défis courants et de tirer parti de fonctionnalités et d'outils spécifiques pour atténuer les risques.


ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer

Pourquoi devriez-vous vous conformer à l’annexe A.7.9 ? Aspects clés et défis communs

1. Identification et classification des actifs

Défis courants :

  • Veiller à ce que tous les actifs hors site soient identifiés et classés avec précision.
  • Maintenir un inventaire à jour avec les mouvements fréquents des actifs.

Solutions:

  • Mettez en œuvre des systèmes automatisés de suivi des actifs pour garantir des mises à jour précises et en temps réel.
  • Utilisez des systèmes de classification robustes pour classer les actifs par sensibilité et criticité.

Clauses ISO 27001 associées :

  • Clause 8.1 Planification et contrôle opérationnels : Mettre en œuvre et maintenir des processus pour gérer les risques identifiés.
  • Clause 7.5 Informations documentées : Assurer une documentation et un contrôle appropriés des informations sur les actifs.

2. Contrôle d'accès

Défis courants :

  • Mettre en œuvre des mesures de contrôle d’accès robustes et conviviales.
  • Veiller à ce que des méthodes de cryptage et d’authentification solides soient appliquées de manière cohérente.

Solutions:

  • Utilisez l’authentification multifacteur (MFA) et des audits réguliers pour garantir la conformité.
  • Déployez des technologies de chiffrement pour protéger les données sur les actifs hors site.

Clauses ISO 27001 associées :

  • Clause 9.1 Surveillance, mesure, analyse et évaluation : auditer régulièrement les contrôles d'accès.
  • Clause 8.2 Évaluation des risques : évaluer les risques associés aux actifs hors site et appliquer les contrôles appropriés.

3. Protection physique

Défis courants :

  • S'assurer que les employés respectent les directives de sécurité physique à l'extérieur du bureau.
  • Prévenir la perte ou le vol dans les lieux publics ou non sécurisés.

Solutions:

  • Fournissez aux employés des étuis de transport sécurisés et appliquez une politique claire sur la gestion des actifs.
  • Organisez régulièrement des sessions de formation sur les meilleures pratiques en matière de sécurité physique.

Clauses ISO 27001 associées :

  • Clause 7.2 Compétence : S'assurer que les employés possèdent les compétences et les connaissances nécessaires.
  • Clause 8.3 Traitement des risques : Application de mesures visant à protéger les actifs physiques.

4. Politiques d'utilisation

Défis courants :

  • Élaborer des politiques complètes qui couvrent tous les scénarios potentiels hors site.
  • S’assurer que les employés connaissent et comprennent ces politiques.

Solutions:

  • Examiner et mettre à jour régulièrement les politiques et organiser des sessions de formation obligatoires.
  • Utilisez le suivi des accusés de réception pour confirmer que les employés ont lu et compris les politiques.

Clauses ISO 27001 associées :

  • Clause 7.3 Sensibilisation : Sensibiliser les employés aux politiques de sécurité de l'information.
  • Clause 5.2 Politique : Établir des politiques de sécurité de l'information alignées sur les objectifs de l'organisation.

5. Sécurité des communications

Défis courants :

  • Sécurisation des canaux de communication pour l'accès à distance.
  • Assurer le respect des politiques de sécurité de l'organisation lors de l'accès à distance.

Solutions:

  • Mettez en œuvre des VPN et des outils de communication sécurisés, et surveillez régulièrement les activités d'accès à distance.
  • Utilisez le cryptage pour protéger les données en transit.

Clauses ISO 27001 associées :

  • Clause 7.4 Communication : Assurer des canaux de communication sécurisés.
  • Clause 8.2 Évaluation des risques : évaluer et gérer les risques de communication.

6. Rapport d'incident

Défis courants :

  • Encourager le signalement en temps opportun des actifs perdus, volés ou compromis.
  • Enquêter et répondre efficacement aux incidents.

Solutions:

  • Simplifiez le processus de signalement et assurez-vous qu’il existe des procédures de réponse claires et immédiates.
  • Établissez une équipe dédiée à la réponse aux incidents et effectuez régulièrement des exercices de réponse aux incidents.

Clauses ISO 27001 associées :

  • Clause 10.1 Amélioration continue : Utiliser les incidents pour améliorer les mesures de sécurité.
  • Clause 9.2 Audit interne : Auditer régulièrement le processus de gestion des incidents.

7. Formation et sensibilisation

Défis courants :

  • Maintenir un haut niveau de sensibilisation à la sécurité parmi les employés.
  • Veiller à ce que la formation soit engageante et efficace.

Solutions:

  • Organisez des sessions de formation régulières et interactives et organisez des campagnes de sensibilisation continues.
  • Utilisez des évaluations pour mesurer la compréhension et la rétention des employés des pratiques de sécurité.

Clauses ISO 27001 associées :

  • Clause 7.2 Compétence : Fournir la formation et l'éducation nécessaires.
  • Clause 7.3 Sensibilisation : Assurer une sensibilisation continue à la sécurité de l'information.

8. Surveillance et examen

Défis courants :

  • Surveillez régulièrement les actifs hors site sans porter atteinte à la vie privée.
  • Mise à jour des contrôles en fonction de l'évolution des menaces et des commentaires.

Solutions:

  • Utilisez des outils de surveillance non intrusifs et établissez un calendrier d’examen régulier.
  • Effectuer des évaluations périodiques des risques pour identifier de nouvelles menaces et vulnérabilités.

Clauses ISO 27001 associées :

  • Clause 9.3 Revue de direction : Examen de l'efficacité du SMSI.
  • Clause 9.1 Surveillance, mesure, analyse et évaluation : évaluer régulièrement l'efficacité des contrôles.

En relevant ces défis et en mettant en œuvre des contrôles robustes, les organisations peuvent atténuer les risques associés au retrait des actifs hors site, garantissant ainsi que les informations sensibles restent sécurisées même en dehors de l'environnement contrôlé du lieu de travail.


escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo

Fonctionnalités ISMS.online pour démontrer la conformité à A.7.9

  • Gestion d’actifs:

    • Registre des actifs : maintient un inventaire complet de tous les actifs, y compris ceux retirés des locaux, pour garantir un suivi précis et des mises à jour de statut.
    • Système d'étiquetage : aide à classer et à étiqueter les actifs pour une identification et une gestion faciles.
  • Gestion des politiques:

    • Modèles de stratégie : fournit des modèles prédéfinis pour créer et appliquer des stratégies liées à l’utilisation acceptable des actifs hors site.
    • Communication sur les politiques : garantit que toutes les politiques pertinentes sont efficacement communiquées aux employés, avec un suivi des accusés de réception pour confirmer leur compréhension et leur conformité.
  • Gestion des incidents:

    • Incident Tracker : facilite le reporting, le suivi et la résolution des incidents impliquant des actifs hors site.
    • Flux de travail et notifications : gère les processus de réponse aux incidents et garantit des notifications en temps opportun aux parties prenantes concernées.
  • Gestion des formations:

    • Modules de formation : propose des programmes de formation spécifiquement axés sur la sécurité des actifs hors site, y compris les meilleures pratiques et la réponse aux incidents.
    • Suivi de la formation : surveille la participation des employés aux sessions de formation et suit leur compréhension et leur conformité.
  • Communication:

    • Système d'alerte : envoie des alertes et des rappels sur les protocoles de sécurité pour les actifs hors site.
    • Système de notification : fournit des mises à jour et des notifications en temps opportun concernant tout changement dans les politiques ou procédures liées à la sécurité des actifs hors site.
  • Gestion du risque:

    • Carte des risques dynamique : visualise les risques associés aux actifs hors site et aide à identifier et à atténuer ces risques.
    • Surveillance des risques : surveille en permanence les risques et veille à ce que les contrôles mis en œuvre restent efficaces.
  • Gestion de la conformité:

    • Base de données Regs : maintient une base de données des exigences réglementaires et garantit que les pratiques de gestion des actifs hors site sont conformes.
    • Suivi de la conformité : surveille la conformité aux normes et réglementations pertinentes, en fournissant une piste d'audit claire.

En utilisant ces fonctionnalités ISMS.online, les organisations peuvent démontrer efficacement leur conformité à la norme A.7.9 Sécurité des actifs hors site, garantissant des mesures de sécurité robustes et préservant l'intégrité de leurs actifs informationnels même lorsqu'ils se trouvent en dehors de l'environnement physique du bureau.

Annexe détaillée A.7.9 Liste de contrôle de conformité

Identification et classification des actifs

  • Créez et maintenez un inventaire complet de tous les actifs autorisés hors site.
  • Classez les actifs en fonction de leur sensibilité et de leur criticité.
  • Mettez régulièrement à jour l’inventaire des actifs pour refléter l’état et l’emplacement actuels.
  • Mettez en œuvre des systèmes de suivi automatisés pour surveiller les mouvements des actifs en temps réel.

Contrôle d'Accès

  • Implémentez l’authentification multifacteur (MFA) pour accéder aux actifs hors site.
  • Assurez-vous que toutes les données sur les actifs hors site sont chiffrées.
  • Effectuer régulièrement des audits de contrôle d’accès pour garantir la conformité.
  • Examinez et mettez à jour périodiquement les politiques de contrôle d’accès.

Protection physique

  • Fournissez aux employés des étuis de transport sécurisés pour les actifs hors site.
  • Appliquer une politique pour la sécurité physique des actifs, y compris des lignes directrices pour le stockage sécurisé.
  • Éduquez les employés pour éviter de laisser leurs actifs sans surveillance dans les lieux publics.
  • Surveiller le respect des politiques de protection physique par des contrôles réguliers.

Politiques d'utilisation

  • Élaborer des politiques détaillées pour l’utilisation acceptable des actifs hors site.
  • Communiquer les politiques d'utilisation à tous les employés et obtenir une reconnaissance de compréhension.
  • Examinez et mettez régulièrement à jour les politiques d’utilisation pour faire face aux nouveaux risques et scénarios.
  • Incluez des directives spécifiques pour différents types de scénarios hors site.

Sécurité des communications

  • Utilisez des VPN pour sécuriser l'accès à distance aux ressources de l'organisation.
  • Garantissez le respect des politiques de sécurité lors de l’accès à distance.
  • Surveillez les activités d’accès à distance pour détecter et répondre aux accès non autorisés.
  • Mettre en œuvre des outils de communication sécurisés pour la transmission des données.

Rapports d'incidents

  • Établissez une procédure claire pour signaler les actifs perdus, volés ou compromis.
  • Veiller à ce que tous les incidents soient rapidement signalés et fassent l’objet d’une enquête.
  • Tenir des registres de tous les incidents signalés et des mesures prises.
  • Organiser régulièrement des exercices et des formations sur les procédures de signalement des incidents.

Formation et sensibilisation

  • Organisez des sessions de formation régulières sur la sécurité des actifs hors site.
  • Inclure les meilleures pratiques et les procédures de réponse aux incidents dans les programmes de formation.
  • Surveiller et suivre la participation et la compréhension des employés aux sessions de formation.
  • Organiser des campagnes de sensibilisation continues pour renforcer les pratiques de sécurité clés.

Surveillance et examen

  • Surveillez régulièrement l’utilisation des actifs hors site pour garantir la conformité.
  • Utilisez des outils de surveillance non intrusifs pour respecter la vie privée des employés.
  • Examinez et mettez à jour les contrôles en fonction de l’évolution des menaces et des commentaires.
  • Établir un calendrier d’examen régulier pour évaluer l’efficacité des contrôles mis en œuvre.

En suivant cette liste de contrôle de conformité, les organisations peuvent garantir qu'elles répondent aux exigences de la section A.7.9 Sécurité des actifs hors site, en maintenant la sécurité et l'intégrité de leurs actifs même lorsqu'ils se trouvent en dehors de l'environnement physique du bureau.


ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo

Chaque tableau de la liste de contrôle de l'annexe A

Tableau de la liste de contrôle de contrôle ISO 27001 Annexe A.5
Numéro de contrôle ISO 27001 Liste de contrôle de contrôle ISO 27001
Annexe A.5.1 Liste de contrôle des politiques relatives à la sécurité des informations
Annexe A.5.2 Liste de contrôle des rôles et responsabilités en matière de sécurité de l'information
Annexe A.5.3 Liste de contrôle sur la séparation des tâches
Annexe A.5.4 Liste de contrôle des responsabilités de la direction
Annexe A.5.5 Liste de contrôle des contacts avec les autorités
Annexe A.5.6 Liste de contrôle des contacts avec les groupes d’intérêts particuliers
Annexe A.5.7 Liste de contrôle des renseignements sur les menaces
Annexe A.5.8 Liste de contrôle sur la sécurité de l'information dans la gestion de projet
Annexe A.5.9 Liste de contrôle de l’inventaire des informations et autres actifs associés
Annexe A.5.10 Liste de contrôle pour l’utilisation acceptable des informations et autres actifs associés
Annexe A.5.11 Liste de contrôle pour la restitution des actifs
Annexe A.5.12 Liste de contrôle de classification des informations
Annexe A.5.13 Liste de contrôle de l'étiquetage des informations
Annexe A.5.14 Liste de contrôle pour le transfert d'informations
Annexe A.5.15 Liste de contrôle du contrôle d'accès
Annexe A.5.16 Liste de contrôle pour la gestion des identités
Annexe A.5.17 Liste de contrôle des informations d'authentification
Annexe A.5.18 Liste de contrôle des droits d'accès
Annexe A.5.19 Liste de contrôle sur la sécurité de l'information dans les relations avec les fournisseurs
Annexe A.5.20 Aborder la sécurité des informations dans la liste de contrôle des accords avec les fournisseurs
Annexe A.5.21 Liste de contrôle pour la gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Annexe A.5.22 Liste de contrôle pour la surveillance, l'examen et la gestion des changements des services des fournisseurs
Annexe A.5.23 Liste de contrôle sur la sécurité des informations pour l'utilisation des services cloud
Annexe A.5.24 Liste de contrôle de planification et de préparation de la gestion des incidents de sécurité de l’information
Annexe A.5.25 Liste de contrôle pour l'évaluation et la décision concernant les événements liés à la sécurité de l'information
Annexe A.5.26 Liste de contrôle de réponse aux incidents de sécurité de l’information
Annexe A.5.27 Liste de contrôle des enseignements tirés des incidents de sécurité de l'information
Annexe A.5.28 Liste de contrôle pour la collecte de preuves
Annexe A.5.29 Liste de contrôle sur la sécurité des informations en cas de perturbation
Annexe A.5.30 Liste de contrôle de préparation aux TIC pour la continuité des activités
Annexe A.5.31 Liste de contrôle des exigences légales, statutaires, réglementaires et contractuelles
Annexe A.5.32 Liste de contrôle des droits de propriété intellectuelle
Annexe A.5.33 Liste de contrôle pour la protection des dossiers
Annexe A.5.34 Liste de contrôle de confidentialité et de protection des informations personnelles
Annexe A.5.35 Liste de contrôle de l'examen indépendant de la sécurité de l'information
Annexe A.5.36 Conformité aux politiques, règles et normes en matière de liste de contrôle de sécurité de l'information
Annexe A.5.37 Liste de contrôle des procédures opérationnelles documentées
Tableau de la liste de contrôle de contrôle ISO 27001 Annexe A.6
Numéro de contrôle ISO 27001 Liste de contrôle de contrôle ISO 27001
Annexe A.6.1 Liste de contrôle de dépistage
Annexe A.6.2 Liste de contrôle des conditions d'emploi
Annexe A.6.3 Liste de contrôle pour la sensibilisation, l'éducation et la formation à la sécurité de l'information
Annexe A.6.4 Liste de contrôle du processus disciplinaire
Annexe A.6.5 Responsabilités après une cessation d'emploi ou un changement d'emploi
Annexe A.6.6 Liste de contrôle des accords de confidentialité ou de non-divulgation
Annexe A.6.7 Liste de contrôle pour le travail à distance
Annexe A.6.8 Liste de contrôle pour le signalement des événements liés à la sécurité de l'information
Tableau de la liste de contrôle de contrôle ISO 27001 Annexe A.7
Numéro de contrôle ISO 27001 Liste de contrôle de contrôle ISO 27001
Annexe A.7.1 Liste de contrôle des périmètres de sécurité physique
Annexe A.7.2 Liste de contrôle d'entrée physique
Annexe A.7.3 Liste de contrôle pour la sécurisation des bureaux, des chambres et des installations
Annexe A.7.4 Liste de contrôle pour la surveillance de la sécurité physique
Annexe A.7.5 Liste de contrôle pour la protection contre les menaces physiques et environnementales
Annexe A.7.6 Liste de contrôle pour travailler dans des zones sécurisées
Annexe A.7.7 Liste de contrôle pour un bureau clair et un écran clair
Annexe A.7.8 Liste de contrôle pour l'emplacement et la protection des équipements
Annexe A.7.9 Liste de contrôle de la sécurité des actifs hors site
Annexe A.7.10 Liste de contrôle des supports de stockage
Annexe A.7.11 Liste de contrôle des utilitaires de support
Annexe A.7.12 Liste de contrôle de sécurité du câblage
Annexe A.7.13 Liste de contrôle pour l’entretien de l’équipement
Annexe A.7.14 Liste de contrôle pour l’élimination sécurisée ou la réutilisation de l’équipement
Tableau de la liste de contrôle de contrôle ISO 27001 Annexe A.8
Numéro de contrôle ISO 27001 Liste de contrôle de contrôle ISO 27001
Annexe A.8.1 Liste de contrôle des périphériques de point de terminaison utilisateur
Annexe A.8.2 Liste de contrôle des droits d'accès privilégiés
Annexe A.8.3 Liste de contrôle des restrictions d’accès aux informations
Annexe A.8.4 Liste de contrôle d'accès au code source
Annexe A.8.5 Liste de contrôle d'authentification sécurisée
Annexe A.8.6 Liste de contrôle pour la gestion des capacités
Annexe A.8.7 Liste de contrôle pour la protection contre les logiciels malveillants
Annexe A.8.8 Liste de contrôle pour la gestion des vulnérabilités techniques
Annexe A.8.9 Liste de contrôle de gestion de la configuration
Annexe A.8.10 Liste de contrôle pour la suppression des informations
Annexe A.8.11 Liste de contrôle de masquage des données
Annexe A.8.12 Liste de contrôle pour la prévention des fuites de données
Annexe A.8.13 Liste de contrôle de sauvegarde des informations
Annexe A.8.14 Liste de contrôle pour la redondance des installations de traitement de l'information
Annexe A.8.15 Liste de contrôle de journalisation
Annexe A.8.16 Liste de contrôle des activités de surveillance
Annexe A.8.17 Liste de contrôle de synchronisation d'horloge
Annexe A.8.18 Liste de contrôle pour l'utilisation des programmes utilitaires privilégiés
Annexe A.8.19 Liste de contrôle pour l'installation de logiciels sur les systèmes opérationnels
Annexe A.8.20 Liste de contrôle de sécurité des réseaux
Annexe A.8.21 Liste de contrôle de la sécurité des services réseau
Annexe A.8.22 Liste de contrôle pour la ségrégation des réseaux
Annexe A.8.23 Liste de contrôle du filtrage Web
Annexe A.8.24 Liste de contrôle pour l'utilisation de la cryptographie
Annexe A.8.25 Liste de contrôle du cycle de vie du développement sécurisé
Annexe A.8.26 Liste de contrôle des exigences de sécurité des applications
Annexe A.8.27 Liste de contrôle de l'architecture du système sécurisé et des principes d'ingénierie
Annexe A.8.28 Liste de contrôle de codage sécurisé
Annexe A.8.29 Liste de contrôle des tests de sécurité lors du développement et de l'acceptation
Annexe A.8.30 Liste de contrôle de développement externalisé
Annexe A.8.31 Liste de contrôle pour la séparation des environnements de développement, de test et de production
Annexe A.8.32 Liste de vérification de la gestion du changement
Annexe A.8.33 Liste de contrôle des informations sur les tests
Annexe A.8.34 Liste de contrôle pour la protection des systèmes d'information lors des tests d'audit

Comment ISMS.online aide avec A.7.9

Contactez ISMS.online dès aujourd'hui et réservez une démo pour voir comment notre plateforme peut vous aider à sécuriser vos actifs hors site et à atteindre facilement la conformité ISO 27001:2022.

Notre équipe d'experts est prête à vous guider à travers les outils et fonctionnalités puissants conçus pour rationaliser la gestion de la sécurité de vos informations et assurer la sécurité de vos données.

Faites le premier pas vers une sécurité des informations inégalée – réservez votre démo Maintenant

Mike Jennings

Mike est le responsable du système de gestion intégré (IMS) ici sur ISMS.online. En plus de ses responsabilités quotidiennes consistant à garantir que la gestion des incidents de sécurité du SGI, les renseignements sur les menaces, les actions correctives, les évaluations des risques et les audits sont gérés efficacement et tenus à jour, Mike est un auditeur principal certifié ISO 27001 et continue de améliorer ses autres compétences dans les normes et cadres de sécurité de l'information et de gestion de la confidentialité, notamment Cyber ​​Essentials, ISO 27001 et bien d'autres.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.