Upload
truonghanh
View
214
Download
0
Embed Size (px)
Citation preview
ISO27k Statement of ApplicabilityOriginally contributed to the ISO27k Toolkit by Richard O. Regalado, Information Security Consultant
Updated for the 2013 release of the standards and translated into Spanish by White Hat Consultores: December 2013
Control numbering and text corrected: April/July 2015
German version contributed by Comma Soft AG: August 2015
French version contributed by Bachir Benyammi: July 2016 & updated by Laurent Legastelois: August 2017
Speak to your certification auditors or ISO27k advisors for further advice, or ask the ISO27k Forum.
Copyright
This is atemplate orskeleton SOA based on Annex A of ISO/IEC 27001:2013. It is a starting point for use in ISO27k implementations. Other formats and styles are valid too - this is just one way to do it. Feel free to customize or adapt the template to suit your unique circumstances, specifically your information risks.
Please consult the ISO/IEC 27000-series standards for more detail about the controls listed herein, and about the Information Security Management System used to manage them. This SoA alone is woefully inadequate. While Annex A of ISO/IEC 27001 briefly names the controls, ISO/IEC 27002 provides additional explanation including useful implementation notes. ISO/IEC 27005 explains how to identify, assess and decide how to treat your information risks: it is not necessarily appropriate to mitigate or reduce information risks by implementing security controls. Furthermore, you may need additional or alternative controls, other than those listed here.
This work is copyright © 2016, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons Attribution-Noncommercial-Share Alike 3.0 License. You are welcome to reproduce, circulate, use and create derivative works from this provided that (a) it is not sold or incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum at www.ISO27001security.com, and (c) if they are published or shared, derivative works are shared under the same terms as this.
The copyright in parts of this document belong to ISO/IEC. They own the standards! We are reliant on the fair use provisions of copyright law and the goodwill of ISO/IEC to reproduce a small part of their content here.
Statement of ApplicabilityLegend (for Selected Controls and Reasons for controls selection)
ISO/IEC 27001:2013 Annex A controls
Clause Sec Control Objective/Control
5 Security Policies5.1 Management direction for information security
5.1.1 Policies for information5.1.2 Review of the policies for information security
6.1 Internal organisation6.1.1 Information security roles and responsibilities6.1.2 Segregation of duties6.1.3 Contact with authorities6.1.4 Contact with special interest groups6.1.5 Information security in project management
6.2 Mobile devices and teleworking6.2.1 Mobile device policy6.2.2 Teleworking
7.1 Prior to employment7.1.1 Screening7.1.2 Terms and conditions of employment
7.2 During employment7.2.1 Management responsibilities7.2.2 Information security awareness, education and training7.2.3 Disciplinary process
7.3 Termination and change of employment7.3.1 Termination or change of employment responsibilities
8.1 Responsibility for assets8.1.1 Inventory of assets8.1.2 Ownership of assets8.1.3 Acceptable use of assets8.1.4 Return of assets
8.2 Information classification8.2.1 Classification of information8.2.2 Labeling of information8.2.3 Handling of assets
8.3 Media handling8.3.1 Management of removable media8.3.2 Disposal of media8.3.3 Physical media transfer
9 Access control
9.1 Business requirements of access control
LR: legal requirements,CO: contractual obligations,BR/BP: business requirements/adopted best practices,RRA: results of risk assessment,TSE: to some extent
6 Organisation of information
security
7 Human resource security
8 Asset management
9 Access control
9.1.1 Access control policy9.1.2 Access to networks and network services
9.2 User access management9.2.1 User registration and de-registration9.2.2 User access provisioning9.2.3 Management of privileged access rights
9.2.4Management of secret authentication information of users
9.2.5 Review of user access rights9.2.6 Removal or adjustment of access rights
9.3 User responsibilities9.3.1 Use of secret authentication information
9.4 System and application access control9.4.1 Information access restriction9.4.2 Secure log-on procedures9.4.3 Password management system9.4.4 Use of privileged utility programs9.4.5 Access control to program source code
10 Cryptography10.1 Cryptographic controls
10.1.1 Policy on the use of cryptographic controls10.1.2 Key management
11.1 Secure areas11.1.1 Physical security perimeter11.1.2 Physical entry controls11.1.3 Securing office, room and facilities11.1.4 Protecting against external end environmental threats11.1.5 Working in secure areas11.1.6 Delivery and loading areas
11.2 Equipment11.2.1 Equipment siting and protection11.2.2 Supporting utilities11.2.3 Cabling security11.2.4 Equipment maintenance11.2.5 Removal of assets11.2.6 Security of equipment and assets off-premises11.2.7 Secure disposal or re-use of equipment11.2.8 Unattended user equipment11.2.9 Clear desk and clear screen policy
12.1 Operational procedures and responsibilities12.1.1 Documented operating procedures12.1.2 Change management12.1.3 Capacity management
12.1.4
12.2 Protection from malware
11 Physical and environmental
security
12 Operations security
Separation of development, testing and operational environments
12.2.1 Controls against malware12.3 Backup
12.3.1 Information backup12.4 Logging and monitoring
12.4.1 Event logging12.4.2 Protection of log information12.4.3 Administrator and operator logs12.4.4 Clock synchronisaton
12.5 Control of operational software12.5.1 Installation of software on operational systems
12.6 Technical vulnerability management12.6.1 Management of technical vulnerabilities12.6.2 Restrictions on software installation
12.7 Information systems audit considerations12.7.1 Information systems audit controls
13.1 Network security management13.1.1 Network controls13.1.2 Security of network services13.1.3 Segregation in networks
13.2 Information transfer13.2.1 Information transfer policies and procedures13.2.2 Agreements on information transfer13.2.3 Electronic messaging13.2.4 Confidentiality or non-disclosure agreements
14.1 Security requirements of information systems14.1.1 Information security requirements analysis and specification14.1.2 Securing applications services on public networks14.1.3 Protecting application services transactions
14.2 Security in development and support processes14.2.1 Secure development policy14.2.2 System change control procedures
14.2.3
14.2.4 Restrictions on changes to software packages14.2.5 Secure system engineering principles14.2.6 Secure development environment14.2.7 Outsourced development14.2.8 System security testing14.2.9 System acceptance testing
14.3 Test data14.3.1 Protection of test data
15.1 Information security in supplier relationships15.1.1 Information security policy for supplier relationships15.1.2 Addressing security within supplier agreements15.1.3 Information and communication technology supply chain
12 Operations security
13 Communications
security
14 System acquisition,
development and maintenance
Technical review of applications after operating platform changes
15 Supplier relationships
15.2 Supplier service delivery management15.2.1 Monitoring and review of supplier services15.2.2 Managing changes to supplier services
16.1
16.1.1 Responsibilities and procedures16.1.2 Reporting information security events16.1.3 Reporting information security weaknesses16.1.4 Assessment of and decision on information security events16.1.5 Response to information security incidents16.1.6 Learning from information security incidents16.1.7 Collection of evidence
17.1 Information security continuity17.1.1 Planning information security continuity17.1.2 Implementing information security continuity
17.1.3Verify, review and evaluate information security continuity
17.2 Redundancies17.2.1 Availability of information processing facilities
18 Compliance
18.1 Compliance with legal and contractual requirements
18.1.1
18.1.2 Intellectual property rights18.1.3 Protection of records18.1.4 Privacy and protection of personally identifiable information18.1.5 Regulation of cryptographic controls
18.2 Information security reviews18.2.1 Independent review of information security18.2.2 Compliance with security policies and standards18.2.3 Technical compliance review
15 Supplier relationships
16 Information security incident
management
Management of information security incidents and improvements
17 Information security aspects of
business continuity
management
Identification of applicable legislation and contractual requirements
LR CO BR/BP RRA
: business requirements/adopted best practices,RRA: results of risk assessment,TSE: to some extent
Current controls
Remarks (with justification for
exclusions)
Selected controls and reasons for selection
Current as of: DD/MM/YYYY
TSE: to some extent
Remarks (overview of implementation)
Declaración de AplicabilidadLeyenda (para la selección de controles y razón por la que se seleccionaron):
ISO 27001:2013 Controles de Seguridad
Cláusula Sección Objetivo de control / control
5.1
5.1.1 Políticas de seguridad de la información5.1.2 Revisión de las políticas de seguridad de la información
6.1 Organización interna6.1.1 Roles y responsabilidad de seguridad de la información6.1.2 Segregación de deberes6.1.3 Contacto con autoridades6.1.4 Contacto con grupos de interés especial
6.1.5Seguridad de la información en la gestión de proyectos
6.2 Dispositivos móviles y teletrabajo6.2.1 Política de dispositivos móviles6.2.2 Teletrabajo
7.1 Previo al empleo7.1.1 Verificación de antecedentes7.1.2 Términos y condiciones del empleo
7.2 Durante el empleo7.2.1 Responsabilidades de la Alta Gerencia
7.2.2
7.2.3 Proceso disciplinario7.3 Terminación y cambio de empleo
7.3.1 Termino de responsabilidades o cambio de empleo
8.1 Responsabilidad de los activos8.1.1 Inventario de activos8.1.2 Propiedad de activos8.1.3 Uso aceptable de los activos8.1.4 Devolución de activos
8.2 Clasificación de la información8.2.1 Clasificación de la información8.2.2 Etiquetado de la información
LR: requerimientos legales,CO: obligaciones contractuales,BR/BP: requerimientos del negocio/mejores prácticas adoptadas ,RRA: resultado de la valoración de riesgos;TSE: hasta cierto punto
5 Políticas de Seguridad
Dirección de la alta gerencia para la seguridad de la información
6 Organización de la Seguridad de la
Información
7 Seguridad en los Recursos
Humanos Conciencia, educación y entrenamiento de seguridad de la información
8 Gestión de Activos
8.2.3 Manejo de activos8.3 Manejo de medios
8.3.1 Gestión de medios removibles8.3.2 Eliminación de medios8.3.3 Transporte de medios físicos
9 Control de Acceso
9.1 Requerimientos de negocio para el control de acceso9.1.1 Política de control de acceso9.1.2 Acceso a redes y servicios de red
9.2 Gestión de accesos de usuario9.2.1 Registro y baja del usuario9.2.2 Provisión de acceso a usuarios9.2.3 Gestión de derechos de acceso privilegiados
9.2.4
9.2.5 Revisión de derechos de acceso de usuarios9.2.6 Eliminación o ajuste de derechos de acceso
9.3 Responsabilidades del usuario9.3.1 Uso de información de autenticación secreta
9.4 Control de acceso de sistemas y aplicaciones9.4.1 Restricción de acceso a la información9.4.2 Procedimientos de inicio de sesión seguro9.4.3 Sistema de gestión de contraseñas9.4.4 Uso de programas y utilidades privilegiadas9.4.5 Control de acceso al código fuente del programa
10 Criptografía10.1 Controles criptográficos
10.1.1 Política en el uso de controles criptográficos10.1.2 Gestión de llaves
11.1 Áreas seguras11.1.1 Perímetro de seguridad físico11.1.2 Controles físicos de entrada11.1.3 Seguridad de oficinas, habitaciones y facilidades11.1.4 Protección contra amenazas externas y del ambiente11.1.5 Trabajo en áreas seguras11.1.6 Áreas de entrega y carga
11.2 Equipo11.2.1 Instalación y protección de equipo11.2.2 Servicios de soporte11.2.3 Seguridad en el cableado11.2.4 Mantenimiento de equipos11.2.5 Retiro de activos11.2.6 Seguridad del equipo y activos fuera de las instalaciones11.2.7 Eliminación segura o reuso del equipo11.2.8 Equipo de usuario desatendido
8 Gestión de Activos
Gestión de información de autenticación secreta de usuarios
11 Seguridad Física y del
Entorno
11.2.9 Política de escritorio limpio y pantalla limpia
12.1 Procedimientos Operacionales y Responsabilidades12.1.1 Documentación de procedimientos operacionales12.1.2 Gestión de cambios12.1.3 Gestión de la capacidad
12.1.4
12.2 Protección de Software Malicioso12.2.1 Controles contra software malicioso
12.3 Respaldo12.3.1 Respaldo de información
12.4 Bitácoras y monitoreo12.4.1 Bitácoras de eventos12.4.2 Protección de información en bitácoras12.4.3 Bitácoras de administrador y operador12.4.4 Sincronización de relojes
12.5 Control de software operacional12.5.1 Instalación de software en sistemas operacionales
12.6 Gestión de vulnerabilidades técnicas12.6.1 Gestión de vulnerabilidades técnicas12.6.2 Restricciones en la instalación de software
12.7Consideraciones de auditoria de sistemas de información
12.7.1 Controles de auditoría de sistemas de información
13.1 Gestión de seguridad en red13.1.1 Controles de red13.1.2 Seguridad en los servicios en red13.1.3 Segregación en redes
13.2 Transferencia de información
13.2.1
13.2.2 Acuerdos en la transferencia de información13.2.3 Mensajería electrónica13.2.4 Acuerdos de confidencialidad o no-revelación
14.1Requerimientos de seguridad en sistemas de información
14.1.1 Análisis y especificación de requerimientos de seguridad
14.1.2Aseguramiento de servicios de aplicación en redes públicas
14.1.3Protección de transacciones en servicios de aplicación
14.2 Seguridad en el proceso de desarrollo y soporte14.2.1 Política de desarrollo seguro
11 Seguridad Física y del
Entorno
12 Seguridad en las Operaciones
Separación de los ambientes de desarrollo, pruebas y operación
13 Seguridad en las
Comunicaciones Políticas y procedimientos para la transferencia de información
14 Adquisición, Desarrollo y
Mantenimiento de Sistemas
14.2.2 Procedimientos de control de cambios del sistema
14.2.3
14.2.4 Restricción de cambios en paquetes de software14.2.5 Principios de seguridad en la ingeniería de sistemas14.2.6 Entorno de desarrollo seguro14.2.7 Desarrollo tercerizado14.2.8 Pruebas de seguridad del sistema14.2.9 Pruebas de aceptación del sistema
14.3 Datos de prueba14.3.1 Protección de datos de prueba
15.1Seguridad de la información en relaciones con el proveedor
15.1.1
15.1.2
15.1.3
15.2 Gestión de entrega de servicios de proveedor15.2.1 Monitoreo y revisión de servicios del proveedor15.2.2 Gestión de cambios a los servicios del proveedor
16.1
16.1.1 Responsabilidades y procedimientos16.1.2 Reporte de eventos de seguridad de la información
16.1.3Reporte de debilidades de seguridad de la información
16.1.4
16.1.5Respuesta a incidentes de seguridad de la información
16.1.6Aprendizaje de incidentes de seguridad de la información
16.1.7 Colección de evidencia
17.1 Continuidad de la seguridad de la información
17.1.1
17.1.2
17.1.3
17.2 Redundancias
14 Adquisición, Desarrollo y
Mantenimiento de Sistemas Revisión técnica de aplicaciones después de cambios a la
plataforma operativa
15 Relaciones con Proveedores
Política de seguridad de la información en las relaciones con el proveedor
Atención de tópicos de seguridad en los acuerdos con el proveedor
Cadena de suministros de tecnologías de la información y comunicaciones
16 Gestión de Incidentes de
Seguridad de la Información
Gestión de incidentes de seguridad de la información y mejoras
Valoración y decisión de eventos de seguridad de la información
17 Aspectos de Seguridad de la
Información para la Gestión de la Continuidad del
Negocio
Planeación de la continuidad de la seguridad de la información
Implementación de la continuidad de la seguridad de la información
Verificación, revisión y evaluación de la continuidad de la seguridad de la información
17.2.1
18 Cumplimiento
18.1Cumplimiento con Requerimientos Legales y Contractuales
18.1.1
18.1.2 Derechos de propiedad intelectual (IPR)18.1.3 Protección de registros
18.1.4
18.1.5 Regulación de controles criptográficos18.2 Revisiones de seguridad de la información
18.2.1Revisión independiente de seguridad de la información
18.2.2 Cumplimiento con políticas y estándares de seguridad18.2.3 Revisión del cumplimiento técnico
17 Aspectos de Seguridad de la
Información para la Gestión de la Continuidad del
Negocio
Disponibilidad de facilidades de procesamiento de información
Identificación de legislación aplicable y requerimientos contractuales
Privacidad y protección de información personal identificable (PIR)
LR CO BR/BP RRA
: requerimientos del negocio/mejores prácticas adoptadas ,RRA: resultado de la valoración de riesgos;TSE: hasta cierto
Controles actuales
Comentarios (justificación de exclusión)
Controles seleccionados y razones de selección
Vigente para el: dd/mm/aaaa
: resultado de la valoración de riesgos;TSE: hasta cierto
Comentarios (visión general de la implementación)
Statement of Applicability (Erklärung zur Anwendbarkeit)Legende (für ausgewählte Maßnahmen und Gründe für die Auswahl von Maßnahmen)
DIN ISO/IEC 27001:2015 Annex Amaßnahmen
Clause Sec Control Objective/Control5.1 Vorgaben der Leitung für Informationssicherheit
5.1.1 Informationssicherheitsrichtlinien5.1.2 Überprüfung der Informationssicherheitsrichtlinien
6.1 Interne Organisation6.1.1 Informationssicherheitsrollen und -verantwortlichkeiten6.1.2 Aufgabentrennung6.1.3 Kontakt mit Behörden6.1.4 Kontakt mit speziellen Interessengruppen6.1.5 Informationssicherheit im Projektmanagement
6.2 Mobilgeräte und Telearbeit6.2.1 Richtlinie zu Mobilgeräten6.2.2 Telearbeit
7.1 Vor der Beschäftigung7.1.1 Sicherheitsüberprüfung7.1.2 Beschäftigungs- und Vertragsbedingungen
7.2 Während der Beschäftigung7.2.1 Verantwortlichkeiten der Leitung
7.2.2Informationssicherheitsbewusstsein, -ausbildung und -schulung
7.2.3 Maßregelungsprozess7.3 Beendigung und Änderung der Beschäftigung
7.3.1
8.1 Verantwortlichkeit für Werte8.1.1 Inventarisierung der Werte8.1.2 Zuständigkeit für Werte8.1.3 Zulässiger Gebrauch von Werten8.1.4 Rückgabe von Werten
8.2 Informationsklassifizierung8.2.1 Klassifizierung von Information8.2.2 Kennzeichnung von Information8.2.3 Handhabung von Werten
8.3 Handhabung von Datenträgern8.3.1 Handhabung von Wechseldatenträgern8.3.2 Entsorgung von Datenträgern8.3.3 Transport von Datenträgern
LR: gesetzliche Anforderungen,CO: vertragliche Verpflichtungen,BR/BP: Geschäftsanforderungen/angeandte Best Practices,RRA: Ergebnisse der Risikobeurteilung,TSE: zum Teil
5 Informationssicher
heitsrichtlinien
6 Organisation der Informationssicher
heit
7 Personalsicherheit
Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
8 Verwaltung der Werte
9.1 Geschäftsanforderungen an die Zuganssteuerung9.1.1 Zugangssteuerungsrichtlinie9.1.2 Zugang zu Netzwerken und Netzwerkdiensten
9.2 Benutzerzugangsverwaltung9.2.1 Registrierung und Deregistrierung von Benutzern9.2.2 Zuteilung von Benutzerzugängen9.2.3 Verwaltung privilegierter Zugangsrechte
9.2.4
9.2.5 Überprüfung von Benutzerzugangsrechten9.2.6 Entzug oder Anpassung von Zugangsrechten
9.3 Benutzerverantwortlichkeiten9.3.1 Gebrauch geheimer Authentisierungsinformation
9.4 Zugangssteuerung für Systeme und Anwendungen9.4.1 Informationszugangsbeschränkung9.4.2 Sichere Anmeldeverfahren9.4.3 System zur Verwaltung von Kennwörtern
9.4.4Gebrauch von Hilfsprogrammen mit privilegierten Rechten
9.4.5 Zugangssteuerung für Quellcode von Programmen
10 Kryptographie10.1 Kryptographische Maßnahmen
10.1.1 Richtlinie zum Gebrauch von kryptographischen Maßnahmen10.1.2 Schlüsselverwaltung
11.1 Sicherheitsbereiche11.1.1 Physische Sicherheitsperimeter11.1.2 Physische Zutrittssteuerung11.1.3 Sichern von Büros, Räumen und Einrichtungen11.1.4 Schutz vor externen und umweltbedingten Bedrohungen11.1.5 Arbeiten in Sicherheitsbereichen11.1.6 Anlieferungs- und Ladebereiche
11.2 Geräte und Betriebsmittel11.2.1 Platzierung und Schutz von Geräten und Betriebsmitteln11.2.2 Versorgungseinrichtungen11.2.3 Sicherheit der Verkabelung11.2.4 Instandhaltung von Geräten und Betriebsmitteln11.2.5 Entfernen von Werten
11.2.6
11.2.7
11.2.8 Unbeaufsichtigte Benutzergeräte
11.2.9
12.1 Betriebsabläufe und -verantwortlichkeiten
9 Zugangssteuerung
Verwaltung geheimer Authentisierungsinformation von Benutzern
11 Physische und umgebungsbezoge
ne Sicherheit
Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren
12 Betriebssicherheit
12.1.1 Dokumentierte Bedienabläufe12.1.2 Änderungssteuerung12.1.3 Kapazitätssteuerung12.1.4 Trennung von Entwicklungs-, Test- und Betriebsumgebungen
12.2 Schutz vor Schadsoftware12.2.1 Maßnahmen gegen Schadsoftware
12.3 Datensicherung12.3.1 Sicherung von Information
12.4 Protokollierung und Überwachung12.4.1 Ereignisprotokollierung12.4.2 Schutz der Protokollinformation12.4.3 Administratoren- und Bedienerprotokolle12.4.4 Uhrensynchronisation
12.5 Steuerung von Software im Betrieb12.5.1 Installation von Software auf Systemen im Betrieb
12.6 Handhabung technischer Schwachstellen12.6.1 Handhabung von technischen Schwachstellen12.6.2 Einschränkung von Softwareinstallation
12.7 Audit von Informationssystemen12.7.1 Maßnahmen für Audits von Informationssystemen
13.1 Netzwerksicherheitsmanagement13.1.1 Netzwerksteuerungsmaßnahmen13.1.2 Sicherheit von Netzwerkdiensten13.1.3 Trennung in Netzwerken
13.2 Informationsübertragung13.2.1 Richtlinien und Verfahren zur Informationsübertragung13.2.2 Vereinbarungen zur Informationsübertragung13.2.3 Elektronische Nachrichtenübermittlung13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
14.1 Sicherheitsanforderungen an Informationssysteme14.1.1
14.1.2
14.1.3 Schutz der Transaktionen bei Anwendungsdiensten14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen
14.2.1 Richtlinie für sichere Entwicklung14.2.2 System change control procedures
14.2.3
14.2.4 Beschränkung von Änderungen an Softwarepaketen14.2.514.2.6 Sichere Entwicklungsumgebung14.2.7 Ausgegliederte Entwicklung14.2.8 Testen der Systemsicherheit14.2.9 Systemabnahmetest
14.3 Testdaten
12 Betriebssicherheit
13 Kommunikationssi
cherheit
14 Anschaffung, Entwicklung und
Instandhalten von Systemen
Analyse und Spezifikation von Informationssicherheitsanforderungen
Sicherung von Anwendungsdiensten in öffentlichen Netzwerken
Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform
Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
14.3.1 Schutz von Testdaten
15.1 Informationssicherheit in Lieferantenbeziehungen
15.1.1Informationssicherheitsrichtlinie für Lieferantenbeziehungen
15.1.2 Behandlung von Sicherheit in Lieferantenvereinbarungen
15.1.3Lieferkette für Informations- und Kommunikationstechnologie
15.2 Steuerung der Dienstleistungserbringung von Lieferanten
15.2.1
15.2.2Handhabung der Änderungen von Lieferantendienstleistungen
16.1
16.1.1 Verantwortlichkeiten und Verfahren16.1.2 Meldung von Informationssichrheitsereignissen16.1.3 Meldung von Schwächen in der Informationssicherheit
16.1.4
16.1.5 Reaktion auf Informationssicherheitsvorfälle16.1.6 Erkenntnisse aus Informationssicherheitsvorfällen16.1.7 Sammeln von Beweismaterial
17.1 Aufrechterhaltung der Informationssicherheit17.1.1 Planung zur Aufrechterhaltung der Informationssicherheit17.1.2 Umsetzen der Aufrechterhaltung der Informationssicherheit
17.1.3
17.2 Redundanzen17.2.1 Verfügbarkeit von informationsverarbeitenden Einrichtungen
18 Compliance
18.1 Einhalten gesetzlicher und vertraglicher Anforderungen
18.1.1
18.1.2 Geistige Eigentumsrechte18.1.3 Schutz von Aufzeichnungen18.1.4 Privatsphäre und Schutz personenbezogener Information18.1.5 Regelungen bezüglich kryptographischer Maßnahmen
18.2 Überprüfungen der Informationssicherheit18.2.1 Unabhängige Überprüfung der Informationssicherheit18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards18.2.3 Überprüfung der Einhaltung von technischen Vorgaben
14 Anschaffung, Entwicklung und
Instandhalten von Systemen
15 Lieferantenbezieh
ungen
Überwachung und Überprüfung von Lieferantendienstleistungen
16 Handhabung von
Informationssicherheitsvorfällen
Handhabung von Informationssicherheitsvorfällen und Verbesserungen
Beurteilung von und Entscheidung über Informationssicherheitsereignisse
17 Informationssicherheitsaspekte beim
Business Continuity
Management
Überprüfen und Bewerten der Aufrechterhaltung der Informationssicherheit
Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen
LR CO BR/BP RRA
: Geschäftsanforderungen/angeandte Best Practices,RRA: Ergebnisse der Risikobeurteilung,TSE: zum Teil
Aktuelle Maß-
nahmen
Bemerkungen (mit Begründung für
Ausschlüsse)
Ausgewählte Maßnahmen und Gründe für die
Auswahl
Gültig ab: DD/MM/YYYY
: Ergebnisse der Risikobeurteilung,TSE: zum Teil
Bemerkungen (Überblick der Implementierung)
Déclaration d'applicabilitéLégende (pour les mesures sélectionnées et raisons de la sélection des mesures)
ISO/IEC 27001:2013 Annexe A : Mesures de sécurité
Clause Sec
5.15.1.15.1.2
6.16.1.16.1.26.1.36.1.46.1.5
6.26.2.16.2.2
7.17.1.17.1.2
7.27.2.1
7.2.27.2.3
7.3
7.3.1
8 Gestion des actifs
8.18.1.18.1.28.1.38.1.4
8.28.2.18.2.28.2.3
8.38.3.18.3.2
LR: exigences légales,CO: obligations contractuelles,BR/BP: exigences opérationnelles/meilleures pratiques adoptées,RRA: résultats d’appréciation des risques,TSE: jusqu'à un certain point
5 Politiques de sécurité
6 Organisation de la sécurité de
l'information
7 Sécurité des ressources humaines
8 Gestion des actifs
8.3.3
9 Contrôle d'accès
9.19.1.19.1.2
9.29.2.19.2.29.2.3
9.2.49.2.59.2.6
9.39.3.1
9.49.4.19.4.29.4.39.4.49.4.5
10 Cryptographie10.1
10.1.110.1.2
11.111.1.111.1.211.1.311.1.411.1.511.1.6
11.211.2.111.2.211.2.311.2.411.2.511.2.611.2.711.2.811.2.9
12.112.1.112.1.212.1.3
11 Sécurité physique et
environnementale
12 Sécurité liée à l'exploitation
12.1.412.2
12.2.112.3
12.3.112.4
12.4.112.4.212.4.312.4.4
12.512.5.1
12.612.6.112.6.2
12.712.7.1
13.113.1.113.1.213.1.3
13.213.2.113.2.213.2.313.2.4
14.1
14.1.114.1.214.1.3
14.214.2.114.2.2
14.2.314.2.414.2.514.2.614.2.714.2.814.2.9
14.3
12 Sécurité liée à l'exploitation
13 Sécurité des communications
14 Acquisition, développement et maintenance des
systèmes d’information
14.3.1
15.1
15.1.115.1.2
15.1.315.2
15.2.1
15.2.2
16.116.1.116.1.216.1.3
16.1.416.1.5
16.1.616.1.7
17.117.1.117.1.2
17.1.317.2
17.2.1
18 Conformité
18.1
18.1.118.1.218.1.3
18.1.418.1.5
18.218.2.118.2.218.2.3
14 Acquisition, développement et maintenance des
systèmes d’information
15 Relations avec les fournisseurs
16 Gestion des incidents liés à la
sécurité de l’information
17 Aspects de la sécurité de
l’information dans la gestion de la continuité de
l’activité
Déclaration d'applicabilitéLégende (pour les mesures sélectionnées et raisons de la sélection des mesures)
ISO/IEC 27001:2013 Annexe A : Mesures de sécurité
Objectif de sécurité/Mesure
Orientations de la direction en matière de sécurité de l'informationPolitiques de sécurité de l'informationRevue des politiques de sécurité de l’information
Organisation interneFonctions et responsabilités liées à la sécurité de l'informationSéparation des tâchesRelations avec les autoritésRelations avec des groupes de travail spécialisésLa sécurité de l'information dans la gestion de projetAppareils mobiles et télétravailPolitique en matière d'appareils mobilesTélétravail
Avant l'embaucheSélection des candidatsTermes et conditions d’embauchePendant la durée du contratResponsabilités de la direction
Processus disciplinaireRupture, terme ou modification du contrat de travail
Responsabilités relatives aux actifsInventaire des actifsPropriété des actifsUtilisation correcte des actifsRestitution des actifsClassification de l'informationClassification des informationsMarquage des informationsManipulation des actifsManipulation des supportsGestion des supports amoviblesMise au rebut des supports
CO: obligations contractuelles,BR/BP: exigences opérationnelles/meilleures pratiques adoptées,RRA: résultats d’appréciation des risques,TSE: jusqu'à un certain point
Mesures actuelles
Sensibilisation, apprentissage et formation à la sécurité de l’information
Achèvement ou modification des responsabilités associées au contrat de travail
Transfert physique des supports
Exigences métier en matière de contrôle d'accèsPolitique de contrôle d’accèsAccès aux réseaux et aux services réseauGestion de l’accès utilisateurEnregistrement et désinscription des utilisateursDistribution des accès utilisateursGestion des droits d'accès à privilèges
Gestion des informations secrètes d'authentification des utilisateursRevue des droits d’accès utilisateursSuppression ou adaptation des droits d'accèsResponsabilités des utilisateursUtilisation d'informations secrètes d'authentificationContrôle de l'accès au système et à l’informationRestriction d’accès à l’informationSécuriser les procédures de connexionSystème de gestion des mots de passeUtilisation de programmes utilitaires à privilègesContrôle d’accès au code source des programmes
Mesures cryptographiquesPolitique d’utilisation des mesures cryptographiquesGestion des clés
Zones sécuriséesPérimètre de sécurité physiqueContrôle d'accès physiqueSécurisation des bureaux, des salles et des équipementsProtection contre les menaces extérieures et environnementalesTravail dans les zones sécuriséesZones de livraison et de chargementMatérielsEmplacement et protection du matérielServices générauxSécurité du câblageMaintenance du matérielSortie des actifsSécurité du matériel et des actifs hors des locauxMise au rebut ou recyclage sécurisé(e) des matérielsMatériels utilisateur laissés sans surveillancePolitique du bureau propre et de l’écran verrouillé
Procédures et responsabilités liées à l’exploitationProcédures d’exploitation documentéesGestion des changementsDimensionnement
Protection contre les logiciels malveillantsMesures contre les logiciels malveillantsSauvegardeSauvegarde des informationsJournalisation et surveillanceJournalisation des événementsProtection de l’information journaliséeJournaux administrateur et opérateurSynchronisation des horlogesMaîtrise des logiciels en exploitationInstallation de logiciels sur des systèmes en exploitationGestion des vulnérabilités techniquesGestion des vulnérabilités techniquesRestrictions liées à l'installation de logicielsConsidérations sur l’audit des systèmes d’informationMesures relatives à l’audit des systèmes d’information
Gestion de la sécurité des réseauxContrôle des réseauxSécurité des services de réseauCloisonnement des réseauxTransfert de l'informationPolitiques et procédures de transfert de l'informationAccords en matière de transfert d'informationMessagerie électroniqueEngagements de confidentialité ou de non-divulgation
Exigences de sécurité applicables aux systèmes d’information
Sécurisation des services d'application sur les réseaux publicsProtection des transactions liées aux services d'application
Sécurité des processus de développement et d’assistance techniquePolitique de développement sécuriséProcédures de contrôle des changements de système
Restrictions relatives aux changements apportés aux progicielsPrincipe d'ingénierie de la sécurité des systèmesEnvironnement de développement sécuriséDéveloppement externaliséTest de la sécurité du systèmeTest de conformité du systèmeDonnées de test
Séparation des environnements de développement, de test et d'exploitation
Analyse et spécification des exigences de sécurité de l 'information
Revue technique des applications après changement apporté à la plateforme d’exploitation
Protection des données de test
Sécurité dans les relations avec les fournisseurs
Sécurité dans les accords conclus avec les fournisseurs
chaîne d'approvisionnement des produits et services informatiquesGestion de la prestation du serviceSurveillance et revue des services des fournisseurs
Gestion des changements apportés dans les services des fournisseurs
Responsabilités et procéduresSignalement des événements liés à la sécurité de l’informationSignalement des failles liées à la sécurité de l’information
Réponse aux incidents liés à la sécurité de l’information
Collecte de preuves
Continuité de la sécurité de l'informationOrganisation de la continuité de la sécurité de l'informationMise en oeuvre de la continuité de la sécurité de l'information
Vérifier, revoir et évaluer la continuité de la sécurité de l'informationRedondancesDisponibilité des moyens de traitement de l’information
Conformité aux obligations légales et réglementaires
Droits de propriété intellectuelle (DPI)Protection des enregistrements
Réglementation relative aux mesures cryptographiquesRevue de la sécurité de l’informationRevue indépendante de la sécurité de l’informationConformité avec les politiques et les normes de sécuritéVérification de la conformité technique
Politique de sécurité de l'information dans les relations avec les fournisseurs
Gestion des incidents liés à la sécurité de l’information et améliorations
Appréciation des événements liés à la sécurité de l'information et prise de décision
Tirer des enseignements des incidents liés à la sécurité de l’information
Identification de la législation et des exigences contractuelles applicables
Protection de la vie privée et protection des données à caractère personnel
À jour au: JJ/MM/AAAA
LR CO BR/BP RRA
: exigences opérationnelles/meilleures pratiques adoptées,RRA: résultats d’appréciation des risques,TSE: jusqu'à un certain point
Remarques (avec justification des
exclusions)
Mesures sélectionnées et raisons de sélection Remarques (aperçu de la mise
en œuvre)