politique de sécurité du système...décrit dans le document elatif au domaine d [application. a...

Document libre de diffusion. Le graphisme, l'iconographie et le contenu sont la propriété d'IT Link

Politique de Sécurité du Système

d’Information

PSSI – Version 1.02

IT Link - SMSI Politique de Sécurité du Système d’Information


SSI-PSSI-1.02 30/01/2018 2/14

Sommaire

Introduction ........................................................................................................................................................................... 4

4. Contexte de l’Organisation ............................................................................................................................................ 5

4.1. Compréhension de l’organisation et de son contexte ................................................................................................... 5

4.1.1. Contexte et enjeux internes IT Link...................................................................................................................... 5

4.1.2. Contexte et enjeux externes IT Link ..................................................................................................................... 5

4.2. Compréhension des besoins et des attentes des parties intéressées ............................................................................ 6

4.3. Détermination du domaine d’application du système de management de la sécurité ................................................ 6

4.4. Système de management de la sécurité de l’information ............................................................................................. 6

5. Leadership ..................................................................................................................................................................... 6

5.1. Leadership et engagement ........................................................................................................................................... 6

5.2. Politique ........................................................................................................................................................................ 7

5.3. Rôles, responsabilités et autorités au sein de l’organisation ........................................................................................ 7

6. Planification .................................................................................................................................................................. 8

6.1. Généralités .................................................................................................................................................................... 8

6.1.1. Actions liées aux risques et opportunités ............................................................................................................ 8

6.1.2. Appréciation des risques de sécurité de l’information ........................................................................................ 8

6.1.3. Traitement des risques de sécurité de l’information ........................................................................................... 8

6.2. Objectifs de sécurité de l’information et plans pour les atteindre ................................................................................ 8

7. Support ......................................................................................................................................................................... 8

7.1. Ressources .................................................................................................................................................................... 8

7.2. Compétence .................................................................................................................................................................. 9

7.3. Sensibilisation ............................................................................................................................................................... 9

7.4. Communication ............................................................................................................................................................. 9

7.5. Informations documentées ........................................................................................................................................... 9

8. Fonctionnement ............................................................................................................................................................ 9

8.1. Planification et contrôle opérationnels ......................................................................................................................... 9

8.2. Appréciation des risques de sécurité de l’information .................................................................................................. 9

8.3. Traitement des risques de sécurité de l’information ..................................................................................................... 9

9. Evaluation des performances ...................................................................................................................................... 10

9.1. Surveillance, mesures, analyse et évaluation ............................................................................................................. 10

9.2. Audit interne ............................................................................................................................................................... 10

9.3. Revue de direction ...................................................................................................................................................... 10

10. Amélioration ............................................................................................................................................................... 10



SSI-PSSI-1.02 30/01/2018 3/14

10.1. Non-conformité et actions correctives ........................................................................................................................ 10

10.2. Amélioration continue ................................................................................................................................................ 10

Annexe A – Objectifs et mesures de référence ..................................................................................................................... 11



SSI-PSSI-1.02 30/01/2018 4/14

Introduction

Le Groupe IT Link met en œuvre un Système de Management de la Sécurité de l’information conformément aux exigences de la norme internationale ISO 27001-2013 dans le but d’être certifié au regard de cette norme sur les activités retenues dans le périmètre concerné tel que décrit dans le document relatif au domaine d’application.

A ce titre, l’entreprise s’engage à répondre aux exigences spécifiées aux articles 4 à 10 de la norme et à mettre en œuvre l’ensemble des objectifs de sécurité de l’annexe A de la norme au travers des mesures déclarées applicables à son contexte tel que défini dans sa déclaration d’applicabilité.

La Politique de Sécurité du Système d’Information (PSSI) du Groupe d’IT Link vise à définir les règles de sécurité au sein de l’organisme que tout manager ou collaborateur se doit de connaitre et appliquer.

Des documents de politiques additionnelles (contrôle d’accès, mise au rebut, classification des documents, ...) ou plus opérationnels (procédures, modes d’emploi, consignes, …) viennent compléter cette PSSI pour aider les usagers à mettre en application les règles et mesures dans leur périmètre de responsabilités.

Les détails de mise en œuvre et fonctionnement de cette PSSI au sein d’IT Link sont décrits dans un document fonctionnel interne, annexe de la PSSI.

La PSSI est un document public accessible à l’ensemble des parties intéressées du Groupe IT Link.

Son annexe peut être portée à la connaissance des parties intéressées externes lorsque la protection des actifs de l’entreprise le justifie ou encore lorsque l’entreprise doit attester de ses bonnes pratiques en matière de sécurité.

Organisation du document

Le document reprend la numérotation et les intitulés de la norme ISO 27001 :2013 et de son annexe A pour faciliter la lecture et le contrôle de sa conformité à la norme.

L’alignement à la norme de la structure du document vise également à simplifier son usage lorsque la PSSI sera consultée par des tiers externes (clients, auditeurs, fournisseurs, …) au regard de leur propre Politique de Sécurité si celle-ci est également basée sur le référentiel ISO 27001.



SSI-PSSI-1.02 30/01/2018 5/14

4. Contexte de l’Organisation

Le profil des clients IT Link, le souhait de privilégier le partenariat et la Co-construction à la relation client plus traditionnelle, et l’importance de la sécurité de l’information dans les offres proposées par le Groupe sont autant d’éléments qui ont conduit IT Link à mettre en place un SMSI pour l’exploitation de son SI et à le faire certifier par la norme internationale ISO 27001.

La mise en œuvre d’un SMQ a déjà permis de mener à bien des réformes structurantes au sein d'IT Link. Cette nouvelle certification vient compléter cette démarche. Elle va permettre de renforcer la relation de confiance entre IT Link et ses clients, prospects, fournisseurs et partenaires dans un environnement de plus en plus concurrentiel.

4.1. Compréhension de l’organisation et de son contexte

Le groupe IT Link a déterminé les enjeux externes et internes pertinents pour sa mission. L’étude de son contexte telle que définie dans la norme ISO 31000:2009 (§ 5.3 – Etablissement du contexte) a permis d’identifier les facteurs et influences internes et externes pouvant influer sur sa capacité à obtenir les résultats attendus de son SMSI.

La direction du groupe a retenu les axes suivants comme principes stratégiques pour satisfaire à l’objectif final de la certification, la création de valeur pour IT Link.

Objectifs de la certification (Enjeux Externes et Internes IT Link)

CREER DE LA VALEUR POUR IT LINK

1 Répondre aux nouvelles exigences de certains de nos clients

2 Cibler de nouveaux clients ayant de fortes exigences de sécurité

3 Soutenir la stratégie d’Ingénierie Collaborative

4 Soutenir le développement de l’offre d’expertise en cybersécurité (audit, analyse de risques, test, conseil)

5 Disposer d’un Système d’information de confiance

4.1.1. Contexte et enjeux internes IT Link

IT Link est une ESN (Entreprise de Services du Numérique) française regroupant plusieurs entités réparties sur plusieurs sites et agences en France et à l’étranger, qui couvrent des activités telles que le développement au forfait, l’assistance technique ou la fourniture de prestations en centre de services dans le domaine des systèmes connectés industriels.

Les enjeux internes de l’entreprise sont décidés par la direction du groupe qui définit les plans stratégiques, organisations, politiques et moyens pour atteindre les objectifs qu’elle s’est fixés.

Si certains de ces enjeux sont stables et s’inscrivent sur la durée (culture d’entreprise, principes directeurs, etc…) d’autres évoluent en fonction par exemple du contexte économique externe, qui nécessitent d’être définis dans un document spécifique.

4.1.2. Contexte et enjeux externes IT Link

IT Link établit également sa politique de sécurité en fonction d’obligations contractuelles ou réglementaires ainsi que de référentiels externes. On citera ici pour exemple la loi LCEN, la réglementation européenne (RGPD) ou encore les accords de confidentialité signés avec certains clients.



SSI-PSSI-1.02 30/01/2018 6/14

L’ensemble de ces éléments est consigné dans un document évolutif décrivant le domaine sur lequel le SMSI doit s’appliquer.

4.2. Compréhension des besoins et des attentes des parties intéressées

Les parties intéressées, concernées par le SMSI du groupe d’IT Link, telles que validées par la Direction, sont les suivantes :

Les Clients

Les Actionnaires

Les Collaborateurs

Les Fournisseurs et sous-traitants

Les Autorités Administratives

Les Partenaires

Les exigences de ces parties prenantes sont prises en compte dans la définition du SMSI et les objectifs de sécurité retenus relatifs à la sécurité de l’information.

Ces exigences sont régulièrement revues et validées par la Direction. La revue régulière de ces exigences permet leur prise en considération lors des analyses de risques et la bonne adéquation des mesures mises en place.

4.3. Détermination du domaine d’application du système de management de la sécurité

Le domaine d’application du SMSI est décrit dans un document spécifique pour faciliter les mises à jour dues notamment aux évolutions du contexte interne/externe du groupe IT Link. Ce document décrit les limites du SMSI et son applicabilité.

Y sont notamment détaillés les enjeux cités au §4.1, les parties intéressées citées au §4.2 et leurs exigences de sécurité ainsi que les interfaces et dépendances pouvant exister entre les activités d’IT Link et celles d’organisations externes.

Les évolutions du domaine d’application sont validées par la Direction et prises en compte lors des analyses de risque.

4.4. Système de management de la sécurité de l’information

Conformément aux exigences de la norme ISO 27001 :2013, le Groupe IT Link met en œuvre un Système de Management de la Sécurité de l’Information (SMSI).

L’amélioration continue inhérente à tout système de management et en particulier à la norme ISO 27001 impose le cycle PDCA et implicitement des mises à jour régulières du SMSI.

A cet effet, la description du SMSI fait l’objet d’un document complémentaire à la PSSI qui décrit le fonctionnement du SMSI (mise en application et évolutions, gestion de l’amélioration continue, responsabilités, …)

5. Leadership

5.1. Leadership et engagement

La direction du groupe IT Link est engagée à satisfaire aux exigences applicables en matière de leadership en faveur du SMSI notamment sur les points suivants :



SSI-PSSI-1.02 30/01/2018 7/14

Validation de la PSSI et des objectifs de sécurité (ce document) en s’assurant que sont bien pris en compte les enjeux internes et externes du groupe IT Link.

Intégration progressive des processus SMSI dans les processus métier définis dans le cadre de la Qualité (ISO 9001) avec pour objectif à terme la fusion des exigences dans un seul et même Système de Management pour optimiser la gestion des parties identiques.

Adéquation des ressources disponibles pour permettre le bon fonctionnement du SMSI.

Communication fréquente vers l’ensemble des collaborateurs pour promouvoir les bonnes pratiques en matière de sécurité de l’information et rappeler à chacun la nécessité d’être conforme aux exigences de la norme pour permettre notamment la certification du SMSI.

Vérification régulière des résultats obtenus en matière de SSI pour s’assurer que le SMSI est sous contrôle et conforme aux attentes.

Soutien des personnes en vue de contribuer à l’efficacité du SMSI.

Promotion de l’amélioration continue par la conduite d’audits et mesurages aptes à détecter les points à corriger pour produire les résultats escomptés mais aussi les opportunités d’amélioration.

Aide aux autres managers pour les inciter à relayer, à leur niveau, le leadership nécessaire au bon fonctionnement du SMSI.

5.2. Politique

La direction du groupe IT Link s’assure que la présente politique, ses objectifs et les mesures associées sont compatibles avec les activités de l’entreprise, ses orientations stratégiques et les exigences de la norme, qu’elle s’inscrit notamment dans un processus d’amélioration continue.

La PSSI telle que documentée ici est disponible sur le site d’assistance informatique accessible à tous les collaborateurs IT Link et sur le site Web de l’entreprise. Son existence a été communiquée à l’ensemble du personnel.

La nature volontairement générique de la PSSI facilite sa diffusion vers des parties intéressées potentiellement externes à la société après validation par le RSSI.

Les salariés et sous-traitants de l’entreprise se doivent de respecter les règles de sécurité définies dans les documents de politique en vigueur chez IT Link.

Des politiques plus opérationnelles viennent compléter la PSSI, elles déclinent les exigences initiales de la norme en les appliquant aux métiers.

En dernier lieu, si nécessaire, ces politiques sont elles-mêmes déclinées en procédures pour traduire en gestes techniques de plus bas niveau, les principes et objectifs qui pourraient être encore trop généraux pour être mis en œuvre.

5.3. Rôles, responsabilités et autorités au sein de l’organisation

La direction d’IT Link a nommé un RSSI pour s’assurer de la conformité du SMSI aux exigences de la norme ISO 27001 :2013.

Le RSSI s’appuie sur des instances internes complémentaires pour l’assister dans ses missions.

Les rôles et responsabilités ont été définis et communiqués au sein de l’organisation. La gestion du SMSI est décrite dans un document accessible à tous les collaborateurs sur le site d’assistance informatique.

Le RSSI rend régulièrement compte à la direction de la performance du SMSI.



SSI-PSSI-1.02 30/01/2018 8/14

6. Planification

6.1. Généralités

6.1.1. Actions liées aux risques et opportunités

Des analyses de risque sont conduites régulièrement afin de s’assurer de la bonne adéquation du SMSI avec le contexte (enjeux, exigences des parties intéressées internes et externes, etc…) et d’identifier puis se protéger des effets indésirables pouvant l’affecter.

Ces analyses menées sous la responsabilité du RSSI sont aussi l’occasion de mettre en évidence des axes possibles d’amélioration.

A l’issue des analyses de risque, un plan de traitement est proposé qui décrit quand et comment seront réalisées les actions identifiées (correction, prévention, amélioration, …) ainsi que la façon dont leur efficacité pourra être évaluée.

6.1.2. Appréciation des risques de sécurité de l’information

Un processus d‘appréciation des risques de sécurité de l’information a été établi et documenté.

Il répond aux exigences de la norme et s’appuie sur une méthode afin de produire des résultats cohérents, valides et comparables.

6.1.3. Traitement des risques de sécurité de l’information

Les options de traitement des risques retenues par IT Link sont conformes aux critères d’acceptation définies avec la Direction. Selon l’option choisie, des mesures pourront être mises en œuvre tel que proposé dans l’annexe A, en cohérence avec la déclaration d’applicabilité, ou issues de propositions de l’équipe IT.

A l’issue de l’appréciation des risques un plan de traitement est proposé aux propriétaires des risques qui valident le plan et priorisent les actions proposées. Les risques non traités appelés « risques résiduels » font également l’objet d’une validation formelle.

Les informations afférentes aux analyses de risques sont documentées et conservées.

6.2. Objectifs de sécurité de l’information et plans pour les atteindre

Le groupe IT Link a retenu l’ensemble des objectifs de sécurité proposés par l’annexe A de la norme ISO 27001 :2013.

La déclaration d’applicabilité précise et justifie les inclusions comme les exclusions de mesures proposées par la norme pour chacun de ces objectifs, en cohérence avec la PSSI d’IT Link et le résultat des analyses de risque.

7. Support

7.1. Ressources

Le RSSI du groupe IT Link s’appuie sur des ressources internes au groupe pour la gestion de son SMSI afin de garantir la qualité et la continuité du suivi. Impliqués au quotidien dans la mise en œuvre et la tenue à jour, ces acteurs internes permettent d’identifier les axes possibles d’amélioration du système de management.



SSI-PSSI-1.02 30/01/2018 9/14

7.2. Compétence

Le groupe s’appuie sur de fortes compétences internes pour réaliser les tâches nécessaires au maintien de la sécurité de l’information.

Ces compétences sont régulièrement formées et bénéficient également de transfert de connaissances lorsque l’organisation fait appel à des ressources externes sur des sujets d’expertise.

7.3. Sensibilisation

Les collaborateurs et intervenants externes sont informés des enjeux liés à la sécurité de l’information. Leur nécessaire implication leur est régulièrement rappelée par des dispositifs permettant d’attester de leur connaissance des règles et consignes puis d’évaluer lorsque c’est possible leur compréhension et application à les respecter.

Il est de la responsabilité de chacun d’œuvrer en vue de respecter et d’atteindre les objectifs de sécurité et mesures retenus par l’organisation.

7.4. Communication

Afin de régulièrement communiquer les enjeux du SMSI, le groupe IT Link s'appuie sur la Direction Communication qui prend en charge les opérations de communication interne/externe et assiste la DSI dans la définition des sujets, moyens et moments pour améliorer la pertinence et l’efficacité des messages passés.

7.5. Informations documentées

Les documents utiles au SMSI et/ou exigés par la norme constituent le corpus documentaire du SMSI IT Link. Ces informations documentées (preuves, procédures, méthodes, etc…) respectent des règles de gestion documentaire allant du suivi des mises à jour jusqu’à la classification de sécurité. Chacun de ces documents est soumis à la validation du RSSI.

8. Fonctionnement

8.1. Planification et contrôle opérationnels

Le SMSI fait l’objet de contrôles réguliers planifiés (mesurages, audits) afin de s’assurer de sa conformité aux exigences de la norme et aux objectifs de sécurité que le groupe IT Link s’est fixés.

Les changements apportés au SI et les processus externalisés sont également contrôlés au travers des processus ITIL définis dans le cadre de la gouvernance IT.

8.2. Appréciation des risques de sécurité de l’information

Des analyses de risques régulières, imposées par la norme ou déclenchées sur modification importante du SI, participent également au contrôle du SMSI et à la vérification de sa bonne adéquation au contexte changeant.

8.3. Traitement des risques de sécurité de l’information

Le plan de traitement des risques et les corrections/améliorations identifiées lors des différentes opérations de contrôle sont validés puis suivis dans un plan d’actions global dont les résultats sont enregistrés.



SSI-PSSI-1.02 30/01/2018 10/14

9. Evaluation des performances

9.1. Surveillance, mesures, analyse et évaluation

Le groupe IT Link a défini des indicateurs relatifs aux mesures de sécurité et aux processus du SMSI ainsi que des méthodes de mesurage et d’audit des valeurs portées par ces indicateurs.

Examinés à intervalles réguliers et planifiés ils permettent de juger de la performance du Système de management de la sécurité et de l’efficacité des actions d’améliorations implémentées.

9.2. Audit interne

Afin de s’assurer de sa conformité à la norme et d’en mesurer le cas échant les écarts, des audits internes sont régulièrement menés. La méthode définie par IT Link pour mener à bien ces opérations reprend les principes établis dans la norme ISO 19011 :2012.

9.3. Revue de direction

La direction du groupe IT Link procède à des revues régulières de son SMSI pour s’assurer du respect des exigences de la norme, prendre connaissance des résultats d’audits, de mesurages et d’analyses de risque mais aussi si nécessaire, réactualiser les enjeux internes/externes de l’entreprise et les exigences des parties intéressées.

Au cours de ces revues et conformément à ses engagements, la direction peut être appelée à se prononcer sur des opportunités d’amélioration, sur la pertinence de plans de traitement des risques ou encore réaffirmer son soutien et son rôle de leadership dans la démarche de certification ISO 27001.

10. Amélioration

10.1. Non-conformité et actions correctives

Les non conformités décelées pendant les audits internes comme externes et les actions correctives identifiées lors de mesurages ou à la suite d’incidents sont suivies et leur traitement fait l’objet d’une validation par le RSSI.

10.2. Amélioration continue

Chaque élément du SMSI (méthodes, procédures, actions, processus, …) est appelé à évoluer dans l’optique d’une amélioration continue du système global mis en place.

La pertinence, l’adéquation et l’efficacité du SMSI dans le contexte de l’entreprise sont évalués de façon formelle ou informelle et les actions d’amélioration enregistrées pour faire état de la prise en compte de cet impératif de la norme.



SSI-PSSI-1.02 30/01/2018 11/14

Annexe A – Objectifs et mesures de référence

Les mesures applicables au contexte IT Link, issues de l’annexe A de la norme ISO 27001 ou d’autres sources, visent à répondre à l’ensemble des objectifs de sécurité de l’annexe A rappelés ci-dessous.

En rapport avec ces objectifs de sécurité, IT Link met en œuvre des dispositifs techniques et/ou organisationnels pour répondre à tout ou partie des 114 mesures de la norme ISO 27001 :2013 conformément à sa déclaration d’applicabilité (DDA).

Le détail des dispositions prises par le groupe IT Link pour atteindre les objectifs de sécurité fixés et s’assurer du respect des mesures retenues fait l’objet d’un document interne consultable sur demande.

A.5 Politique de sécurité de l’information

A.5.1. Orientations de la direction en matière de sécurité de l’information

Objectif : Apporter à la sécurité de l’information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur.

A.6 Organisation de la sécurité de l’information

A.6.1. Organisation interne

Objectif : Établir un cadre de management pour lancer et vérifier la mise en place et le fonctionnement opérationnel de la sécurité de l’information au sein de l’organisation.

A.6.2. Appareils mobiles et télétravail

Objectif : Assurer la sécurité du télétravail et de l’utilisation d’appareils mobiles.

A.7 Sécurité des ressources humaines

A.7.1. Avant l’embauche

Objectif : S’assurer que les salariés et les sous-traitants comprennent leurs responsabilités et sont qualifiés pour les rôles qu’on envisage de leur donner.

A.7.2. Pendant la durée du contrat

Objectif : S’assurer que les salariés et les sous-traitants sont conscients de leurs responsabilités en matière de sécurité de l’information et qu’ils assument ces responsabilités.

A.7.3. Rupture, terme ou modification du contrat de travail

Objectif : Protéger les intérêts de l’organisation dans le cadre du processus de modification, de rupture ou de terme d’un contrat de travail.

A.8 Gestion des actifs

A.8.1. Responsabilités relatives aux actifs

Objectif : Identifier les actifs de l’organisation et définir les responsabilités pour une protection appropriée.



SSI-PSSI-1.02 30/01/2018 12/14

A.8.2. Classification de l’information

Objectif : S’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance pour l’organisation

A.8.3. Manipulation des supports

Objectif : Empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) de l’information de l’organisation stockée sur des supports.

A.9 Contrôle d’accès

A.9.1. Exigences métier en matière de contrôle d’accès

Objectif : Limiter l’accès à l’information et aux moyens de traitement de l’information.

A.9.2. Gestion de l’accès utilisateur

Objectif : Maîtriser l’accès utilisateur par le biais d’autorisations et empêcher les accès non autorisés aux systèmes et services d’information.

A.9.3. Responsabilités des utilisateurs

Objectif : Rendre les utilisateurs responsables de la protection de leurs informations d’authentification.

A.9.4. Contrôle de l’accès au système et à l’information

Objectif : Empêcher les accès non autorisés aux systèmes et aux applications.

A.10 Cryptographie

A.10.1. Mesures cryptographiques

Objectif : Garantir l’utilisation correcte et efficace de la cryptographie en vue de protéger la confidentialité, l’authenticité et/ou l’intégrité de l’information.

A.11 Sécurité physique et environnementale

A.11.1. Zones sécurisées

Objectif : Empêcher tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et les moyens de traitement de l’information de l’organisation.

A.11.2. Matériels

Objectif : Empêcher la perte, l’endommagement, le vol ou la compromission des actifs et l’interruption des activités de l’organisation.

A.12 Sécurité liée à l’exploitation

A.12.1. Procédures et responsabilités liées à l’exploitation

Objectif : Assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information.

A.12.2. Protection contre les logiciels malveillants

Objectif : S’assurer que l’information et les moyens de traitement de l’information sont protégés contre les logiciels malveillants.



SSI-PSSI-1.02 30/01/2018 13/14

A.12.3. Sauvegarde

Objectif : Se protéger de la perte de données.

A.12.4. Journalisation et surveillance

Objectif : Enregistrer les événements et générer des preuves.

A.12.5. Maîtrise des logiciels en exploitation

Objectif : Garantir l’intégrité des systèmes en exploitation.

A.12.6. Gestion des vulnérabilités techniques

Objectif : Empêcher toute exploitation des vulnérabilités techniques.

A.12.7. Considérations sur l’audit des systèmes d’information

Objectif : Réduire au minimum l’impact des activités d’audit sur les systèmes en exploitation.

A.13 Sécurité des communications

A.13.1. Gestion de la sécurité des réseaux

Objectif : Garantir la protection de l’information sur les réseaux et des moyens de traitement de l’information sur lesquels elle s’appuie.

A.13.2. Transfert de l’information

Objectif : Maintenir la sécurité de l’information transférée au sein de l’organisme et vers une entité extérieure.

A.14 Acquisition, développement et maintenance des systèmes d’information

A.14.1. Exigences de sécurité applicables aux systèmes d’information

Objectif : Veiller à ce que la sécurité de l’information fasse partie intégrante des systèmes d’information tout au long de leur cycle de vie. Cela inclut également des exigences pour les systèmes d’information fournissant des services sur les réseaux publics.

A.14.2. Sécurité des processus de développement et d’assistance technique

Objectif : S’assurer que les questions de sécurité de l’information sont étudiées et mises en œuvre dans le cadre du cycle de développement des systèmes d’information.

A.14.3. Données de test

Objectif : Garantir la protection des données utilisées pour les tests.

A.15 Relations avec les fournisseurs

A.15.1. Sécurité dans les relations avec les fournisseurs

Objectif : Garantir la protection des actifs de l’organisation accessible aux fournisseurs.

A.15.2. Gestion de la prestation du service

Objectif : Maintenir le niveau convenu de sécurité de l’information et de service conforme aux accords conclus avec les fournisseurs.



SSI-PSSI-1.02 30/01/2018 14/14

A.16 Gestion des incidents liés à la sécurité de l’information

A.16.1. Gestion des incidents liés à la sécurité de l’information et améliorations

Objectif : Garantir une méthode cohérente et efficace de gestion des incidents liés à la sécurité de l’information, incluant la communication des événements et des failles liés à la sécurité.

A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité

A.17.1. Continuité de la sécurité de l’information

Objectif : La continuité de la sécurité de l’information doit faire partie intégrante de la gestion de la continuité de l’activité.

A.17.2. Redondances

Objectif : Garantir la disponibilité des moyens de traitement de l’information.

A.18 Conformité

A.18.1. Conformité aux obligations légales et réglementaires

Objectif : Éviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles relatives à la sécurité de l’information, éviter toute violation des exigences de sécurité.

A.18.2. Revue de la sécurité de l’information

Objectif : Garantir que la sécurité de l’information est mise en œuvre et appliquée conformément aux politiques et procédures organisationnelles.

politique de sécurité du système...décrit dans le document elatif au domaine d [application. a...

Documents