Annexe
Liste des contrôles de la norme ISO 27001:2022.
| Clause | Nom | Description | Contrôle |
|---|---|---|---|
| 5.01 | Politiques de sécurité de l'information | Assurer de manière continue la pertinence, l'adéquation, l'efficacité des orientations de la direction et de son soutien à la sécurité de l'information selon les exigences métier, légales, statutaires, réglementaires et contractuelles. | Contrôler l'existence de l'ensemble des politiques de sécurité, leur validé, leur diffusion et communication aux salariés et aux tiers concernés. |
| 5.02 | Fonctions et responsabilités liées à la sécurité de l'information | Établir une structure définie, approuvée et comprise pour la mise en œuvre, le fonctionnement et la gestion de la sécurité de l'information au sein de l'organisation. | Contrôler la définition et l'attribution des fonctions et responsabilités liées à la sécurité de l'information selon les besoins de l'organisation. |
| 5.03 | Séparation des tâches | Réduire le risque de fraude, d'erreur et de contournement des mesures de sécurité de l'information. | Contrôler que les tâches et domaines de responsabilité incompatibles sont séparés |
| 5.04 | Responsabilités de la direction | S’assurer que la direction comprend son rôle en matière de sécurité de l'information et qu'elle entreprend des actions visant à garantir que tout le personnel est conscient de ses responsabilités liées à la sécurité de l'information et qu'il les mène à bien. | Contrôler l'existence d'une communication de la direction sur l'importance de la sécurité de l'information. |
| 5.05 | Relations avec les autorités | Assurer la circulation adéquate de l'information en matière de sécurité de l’information, entre l'organisation et les autorités légales, réglementaires et de surveillance pertinente. | La procédure et l'inventaire sont à jour il existe des preuves de relation avec les autorités. |
| 5.06 | Relations avec des groupes de travail spécialisés | Assurer la circulation adéquate de l'information en matière de sécurité de l’information. | La procédure et l'inventaire des groupes de spécialistes sont à jour. Il existe des preuves de relation avec les groupes de spécialistes. |
| 5.07 | Intelligence des menaces | Apporter une connaissance de l'environnement des menaces de l'organisation afin que les mesures d'atténuation appropriées puissent être prises. | Il existe des sources d'information et des preuves d'analyses |
| 5.08 | Sécurité de l'information dans la gestion de projet | S'assurer que les risques de sécurité de l'information relatifs aux projets et aux livrables sont traités efficacement dans la gestion de projet tout au long du cycle de vie du projet. | Contrôler la prise en considération de la sécurité de l'information dans la gestion de projet. |
| 5.09 | Inventaire des informations et des autres actifs associés | Identifier les informations et autres actifs associés de l'organisation afin de préserver leur sécurité et d'en attribuer la propriété de manière appropriée. | Contrôler qu'un inventaire des informations et des autres actifs associés, y compris leurs propriétaires est tenu et mis à jour |
| 5.10 | Utilisation correcte de l'information et des autres actifs associés | Assurer que les informations et autres actifs associés sont protégés, utilisés et traités de manière appropriée. | Contrôler l'existence des règles Comparer la date de publication à la date du contrôle |
| 5.11 | Restitution des actifs | Protéger les actifs de l'organisation dans le cadre du processus du changement ou de la fin de leur emploi, contrat ou accord. | Contrôler la listes des employés ayant quitté l'organisation et les preuves de restitution des actifs à l'organisation. |
| 5.12 | Classification de l'information | Assurer l'identification et la compréhension des besoins de protection de l'information en fonction de son importance pour l'organisation. | Contrôler l'existence et la mise à jour de la procédure et son contenu en tenant compte du contexte de l'organisation |
| 5.13 | Marquage des informations | Faciliter la communication de la classification de l'information et appuyer l'automatisation de la gestion et du traitement de l'information. | Contrôler la procédure de marquage et sa mise en œuvre sur un échantillon des informations de l'organisation. |
| 5.14 | Transfert de l'information | Maintenir la sécurité de l'information transférée au sein de l'organisation et vers toute partie intéressée externe | Contrôler la mise en place des règles, procédures ou accords de transfert de l'information, l'inventaire des accords concernés et les termes des accords. |
| 5.15 | Contrôle d'accès | Assurer l'accès autorisé et empêcher l'accès non autorisé aux informations et autres actifs associés. | Contrôler la définition et la mise en oeuvre des règles visant à gérer l'accès physique et logique à l'information et aux autres actifs associés en fonction des exigences métier et de sécurité de l'information. |
| 5.16 | Gestion des identités | Permettre l'identification unique des personnes et des systèmes qui accèdent aux informations et autres actifs associés de l'organisation, et pour permettre l’attribution appropriée des droits d'accès. | Contrôler la gestion du cycle de vie complet des identités. |
| 5.17 | Informations d'authentification | Assurer l'authentification correcte de l'entité et éviter les défaillances des processus d'authentification. | Contrôler l'existence et l'application du processus de gestion de l'attribution des informations secrètes d'authentification |
| 5.18 | Droits d'accès | Assurer que l'accès aux informations et aux autres actifs associés est défini et autorisé conformément aux exigences métier | Contrôler l'existence du processus de maîtrise de la gestion des accès aux utilisateurs, la validité des preuves d'application du processus et la revue des droits d'accès |
| 5.19 | Sécurité de l'information dans les relations avec les fournisseurs | Maintenir le niveau de sécurité de l'information convenu dans les relations avec les fournisseurs. | Contrôler que les exigences sont documentées et mises à jour et que les mesures sont acceptées par les fournisseurs |
| 5.20 | Prise en compte de la sécurité de l'information dans les accords conclus avec les fournisseurs | Maintenir le niveau de sécurité de l'information convenu dans les relations avec les fournisseurs. | Contrôler que les exigences sont documentées et mises à jour et que les exigences sont convenues avec les fournisseurs |
| 5.21 | Management de la sécurité de l'information dans la chaîne d'approvisionnement TIC | Maintenir le niveau de sécurité de l'information convenu dans les relations avec les fournisseurs. | Contrôler que les exigences sont documentées et que les accords conclus contiennent les exigences |
| 5.22 | Suivi, revue et gestion des changements des services fournisseurs | Maintenir un niveau convenu de sécurité de l'information et de prestation de services, conformément aux accords conclus avec les fournisseurs. | Contrôler que l'organisation procède régulièrement à la surveillance, à la revue, à l'évaluation et à la gestion des changements de pratiques des fournisseurs en matière de sécurité de l'information et de prestation de services. |
| 5.23 | Sécurité de l'information dans l'utilisation de services en nuage | Spécifier et gérer la sécurité de l'information lors de l'utilisation de services en nuage. | Contrôler que les processus d'acquisition, d'utilisation, de management et de cessation des services en nuage sont définis conformément aux exigences de sécurité de l'information de l'organisation. |
| 5.24 | Planification et préparation de la gestion des incidents liés à la sécurité de l'information | Assurer une réponse rapide, efficace, cohérente et ordonnée aux incidents de sécurité de l'information, notamment la communication sur les événements de sécurité de l'information. | Contrôler que les responsabilités dans la gestion des incidents sont définies Contrôler que la procédure de gestion des incidents existe et est à jour |
| 5.25 | Appréciation des événements liés à la sécurité de l'information et prise de décision | Assurer une catégorisation et une priorisation efficaces des événements de sécurité de l'information. | Contrôler que le processus de sélection est appliqué |
| 5.26 | Réponse aux incidents liés à la sécurité de l'information | Assurer une réponse efficace et effective aux incidents de sécurité de l'information. | Contrôler que la procédure existe et est à jour Contrôler que la procédure est suivie |
| 5.27 | Tirer des enseignements des incidents liés à la sécurité de l'information | Réduire la probabilité ou les conséquences des incidents futurs. | Contrôler l'existence de l'amélioration dans la procédure Contrôler l'existence de preuve d'amélioration |
| 5.28 | Recueil de preuves | Assurer une gestion cohérente et efficace des preuves relatives aux incidents de sécurité de l'information pour les besoins d'actions judiciaires ou disciplinaires. | Contrôler la documentation de la collecte de preuve dans la procédure Contrôler l'application de la collecte de preuve |
| 5.29 | Sécurité de l'information durant une perturbation | Protéger les informations et autres actifs associés pendant une perturbation. | Contrôler l'existence et la mise à jour de la procédure Contrôler les exigences en matière de sécurité et de continuité |
| 5.30 | Préparation des TIC pour la continuité d'activité | Assurer la disponibilité des informations et autres actifs associés de l'organisation pendant une perturbation. | Contrôler l'identification des systèmes et de leurs objectifs de sécurité Contrôler la réalisation de tests de continuité |
| 5.31 | Identification des exigences légales, statutaires, réglementaires et contractuelles | Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives à la sécurité de l'information. | Contrôler que l'inventaire est à jour et que l'approche est documentée |
| 5.32 | Droits de propriété intellectuelle | Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux droits de propriété intellectuelle et à l'utilisation de produits propriétaires. | Contrôler l'existence de la procédure et sa mise à jour et les preuves d'application de la procédure |
| 5.33 | Protection des enregistrements | Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles, ainsi qu'aux attentes de la société ou de la communauté relatives à la protection et à la disponibilité des enregistrements. | - Contrôler que les mesures respectent les exigences. - Contrôler les preuves d'application des mesures - Contrôler la mise à jour de l'inventaire des sources d'information clé - Contrôler la suppression des informations |
| 5.34 | Vie privée et protection des DCP | Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux aspects de la sécurité de l'information portant sur la protection des DCP. | Contrôler l'existence et la mise à jour de la politique vie privée et l'application des mesures de protection |
| 5.35 | Revue indépendante de la sécurité de l'information | S’assurer que l’approche de l’organisation pour gérer la sécurité de l’information est continuellement adaptée, adéquate et efficace. | Contrôler que des revues indépendantes de l'approche retenue par l'organisation pour gérer et mettre en oeuvre la sécurité de l'information, y compris des personnes, processus et technologies sont menées à intervalles définis ou lorsque des changements importants sont intervenus. |
| 5.36 | Conformité aux politiques et normes de sécurité de l'information | S’assurer que la sécurité de l'information est mise en œuvre et fonctionne conformément à la politique de sécurité de l'information, aux politiques spécifiques à une thématique, aux règles et aux normes de l'organisation. | Contrôler que la conformité à la politique de sécurité de l'information, aux politiques portant sur des thèmes et aux normes de l'organisation est vérifiée régulièrement. |
| 5.37 | Procédures d'exploitation documentées | S'assurer du fonctionnement correct et sécurisé des moyens de traitement de l'information. | Contrôler l'existence et la mise à jour des procédures d'exploitation et la mise à disposition des procédures aux utilisateurs concernés |
| 6.01 | Présélection | S'assurer que tous les membres du personnel sont éligibles et adéquats pour remplir les fonctions pour lesquelles ils sont candidats, et qu'ils le restent tout au long de leur emploi. | Contrôler l'existence d'une procédure à jour et l'existence de preuves d’exécution du processus de sélection. |
| 6.02 | Conditions générales d'embauche | S'assurer que le personnel comprend ses responsabilités en termes de sécurité de l'information dans le cadre des fonctions que l’organisation envisage de lui confier. | Contrôler l'existence des termes et preuves de présence des termes les accords |
| 6.03 | Sensibilisation, apprentissage et formation à la sécurité de l'information | S'assurer que le personnel et les parties intéressées pertinentes connaissent et remplissent leurs responsabilités en matière de sécurité de l'information. | Contrôler l'existence d'un plan de sensibilisation à la sécurité et la participation du personnel à des formations |
| 6.04 | Processus disciplinaire | S'assurer que le personnel et d’autres parties intéressées pertinentes comprennent les conséquences des violations de la politique de sécurité de l'information, prévenir ces violations, et traiter de manière appropriée le personnel et d’autres parties intéressées qui ont commis des violations. | Contrôler qu'un processus disciplinaire permettant de prendre des mesures à l'encontre du personnel et des autres parties intéressées qui ont commis une violation de la politique de sécurité de l'information est formalisé et communiqué. |
| 6.05 | Responsabilités consécutivement à la fin ou à la modification du contrat de travail | Protéger les intérêts de l'organisation dans le cadre du processus de changement ou de fin d'un emploi ou d’un contrat. | Existence des termes et des preuves d'application |
| 6.06 | Engagements de confidentialité ou de non-divulgation | Assurer la confidentialité des informations accessibles par le personnel ou des parties externes. | Contrôler que les exigences sont identifiées et documentées |
| 6.07 | Travail à distance | Assurer la sécurité des informations lorsque le personnel travaille à distance. | Contrôler l'existence et la mise à jour des mesures de sécurité complémentaires et les preuves d'application de ces mesures |
| 6.08 | Signalement des événements liés à la sécurité de l'information | Permettre la déclaration des événements de sécurité de l'information qui peuvent être identifiés par le personnel, de manière rapide, cohérente et efficace. | Contrôler l'existence de la procédure, son application et sa mise à jour |
| 7.01 | Périmètre de sécurité physique | Empêcher l’accès physique non autorisé, les dommages ou interférences portant sur les informations et autres actifs associés de l'organisation. | Contrôler que des périmètres de sécurité servant à protéger les zones qui contiennent l'information sensible ou critique et les autres actifs associés sont définis. |
| 7.02 | Contrôles physiques des accès | Assurer que seul l'accès physique autorisé aux informations et autres actifs associés de l'organisation soit possible. | Contrôler que les zones sécurisées sont protégées par des contrôles adéquats à l’entrée pour s’assurer que seul le personnel autorisé est admis. |
| 7.03 | Sécurisation des bureaux, des salles et des équipements | Empêcher l’accès physique non autorisé, les dommages et les interférences impactant les informations et autres actifs associés de l'organisation dans les bureaux, salles et installations. | Contrôler l'inventaire, les mesures de sécurité et l'application des mesures. |
| 7.04 | Surveillance de la sécurité physique | Détecter et dissuader l’accès physique non autorisé. | Contrôler l'application des mesures de surveillances continue des locaux |
| 7.05 | Protection contre les menaces physiques et environnementales | Prévenir ou réduire les conséquences des événements issus des menaces physiques ou environnementales. | Contrôler l'inventaire et l'application des mesures. Compter le nombre d'anomalies. |
| 7.06 | Travail dans les zones sécurisées | Protéger les informations et autres actifs associés dans les zones sécurisées contre tout dommage et contre toutes interférences non autorisées par le personnel travaillant dans ces zones. | Contrôler que les inventaires existent et sont à jour. |
| 7.07 | Bureau propre et écran vide | Réduire les risques d'accès non autorisé, de perte et d'endommagement des informations sur les bureaux, les écrans et dans d’autres emplacements accessibles pendant et en dehors des heures normales de travail. | Contrôler que des règles du bureau propre pour les documents papier et les supports de stockage amovibles, et les règles de l'écran vide pour les moyens de traitement de l'information sont définies et d'appliquées. |
| 7.08 | Emplacement et protection du matériel | Réduire les risques liés à des menaces physiques et environnementales, et à des accès non autorisés et à des dommages. | Contrôler l'inventaire du matériel concerné et leurs emplacements. Contrôler l'application des mesures de protection. |
| 7.09 | Sécurité des actifs hors des locaux | Empêcher la perte, l'endommagement, le vol ou la compromission des terminaux hors du site et l'interruption des activités de l'organisation. | Contrôler l'application des mesures de sécurité |
| 7.10 | Supports de stockage | Assurer que seuls la divulgation, la modification, le retrait ou la destruction autorisés des informations de l'organisation sur des supports de stockage sont effectués. | - Contrôler que des procédures de gestion des supports amovibles sont mises en œuvre conformément au plan de classification adopté par l’organisation. - Contrôler que les supports qui ne sont plus nécessaires sont mis au rebut de manière sécurisée en suivant des procédures formelles. - Contrôler que les supports contenant de l’information sont protégés contre les accès non autorisés, les erreurs d’utilisation et l’altération lors du transport. |
| 7.11 | Services généraux | Empêcher la perte, l'endommagement ou la compromission des informations et autres actifs associés ou l'interruption des activités de l'organisation, causés par les défaillances et les perturbations des services supports. | Contrôler l'inventaire du matériel et l'application des mesures de protection. |
| 7.12 | Sécurité du câblage | Empêcher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associés et l'interruption des activités de l'organisation liés au câblage électrique et de communications. | Contrôler l'inventaire du câblage et l'application des mesures |
| 7.13 | Maintenance du matériel | Empêcher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associés et l'interruption des activités de l'organisation causés par un manque de maintenance. | Contrôler l'inventaire du matériel concerné, les mesures d'entretien et l'application des mesures |
| 7.14 | Mise au rebut ou recyclage sécurisé(e) du matériel | Éviter la fuite d'informations à partir de matériel à éliminer ou à réutiliser. | Contrôler que l'inventaire est à jour. Contrôler la présence des preuves d'effacement des données |
| 8.01 | Terminaux utilisateurs | Protéger les informations contre les risques liés à l'utilisation de terminaux finaux des utilisateurs. | Contrôler que toute information stockée sur un terminal utilisateur final, traitée par ou accessible via ce type d'appareil et protégée. |
| 8.02 | Privilèges d'accès | S'assurer que seuls les utilisateurs, composants logiciels et services autorisés sont dotés de droits d'accès privilégiés. | Contrôler l'existence des restrictions de droits d'accès à privilège et l'allocation des droits d'accès à privilèges |
| 8.03 | Restriction d'accès à l'information | Assurer les accès autorisés seulement et empêcher les accès non autorisés aux informations et autres actifs associés. | Contrôler les restriction d'accès à l'information et l'application de ces restrictions conformément à la politique portant sur le thème du contrôle d'accès. |
| 8.04 | Accès au code source | Empêcher l'introduction d'une fonctionnalité non autorisée, éviter les modifications non intentionnelles ou malveillantes et préserver la confidentialité de la propriété intellectuelle importante. | Contrôler l'effectivité de la restriction de l'accès au code source des programmes. |
| 8.05 | Authentification sécurisée | S'assurer qu'un utilisateur ou une entité est authentifié de façon sécurisée lorsque l'accès aux systèmes, applications et services lui est accordé. | Contrôler l'application des procédures de connexion sécurisée |
| 8.06 | Dimensionnement | Assurer les besoins en termes de moyens de traitement de l'information, de ressources humaines, de bureaux et autres installations. | Contrôler l'inventaire des ressources surveillées, les preuves de surveillances et les projections effectuées |
| 8.07 | Protection contre les programmes malveillants | S’assurer que les informations et autres actifs associés sont protégés contre les programmes malveillants. | Contrôler l'existence et la mise à jour des procédures d'exploitation et la mise à disposition des procédures aux utilisateurs concernés |
| 8.08 | Gestion des vulnérabilités techniques | Empêcher l’exploitation des vulnérabilités techniques. | Contrôler que l'inventaire est pertinent, qu'il existe des preuves de vérification les mesures prises |
| 8.09 | Gestion de la configuration | S'assurer que le matériel, les logiciels, les services et les réseaux fonctionnent correctement avec les paramètres de sécurité requis, et que la configuration n’est pas altérée par des changements non autorisés ou incorrects. | Contrôler que l'inventaire des systèmes concernés est complet, ainsi que la documentation de configuration et que des contrôles sont réalisés |
| 8.10 | Suppression d'information | Empêcher l'exposition inutile des informations sensibles et se conformer aux exigences légales, statutaires, réglementaires et contractuelles relatives à la suppression d'informations. | Contrôler l'inventaire des exigences, les informations concernées et les preuves de suppression |
| 8.11 | Masquage des données | Limiter l'exposition des données sensibles, y compris les DCP, et se conformer aux exigences légales, statutaires, réglementaires et contractuelles. | Contrôler l'existence et la mise à jour de la procédure de masquage, la pertinence des données concernées et l'application du masquage |
| 8.12 | Prévention de la fuite de données | Détecter et empêcher la divulgation et l'extraction non autorisées d'informations par des personnes ou des systèmes. | - Contrôler l'existence et la date de la procédure - Contrôler les données concernées - Contrôler l'application des mesures |
| 8.13 | Sauvegarde des informations | Permettre la récupération en cas de perte de données ou de systèmes. | - Contrôler l'existence et la mise à jour de la politique de sauvegarde - Existence des copies de sauvegarde - Tests des copies de sauvegarde |
| 8.14 | Redondance des moyens de traitement de l'information | S'assurer du fonctionnement continu des moyens de traitement de l'information. | Contrôler que l'inventaire est à jour, les exigences de disponibilité et l'existence de preuves de redondance |
| 8.15 | Journalisation | Enregistrer les événements, générer des preuves, assurer l'intégrité des informations de journalisation, empêcher les accès non autorisés, identifier les événements de sécurité de l'information qui peuvent engendrer un incident de sécurité de l'information et assister les investigations. | Contrôler que les journaux existent et sont à jour, les mesures de protection des journaux, les capacités de stockage et que l'analyse sur ces journaux est réalisée. |
| 8.16 | Activités de surveillance | Détecter les comportements anormaux et les éventuels incidents de sécurité de l'information. | Contrôler l'inventaire des réseaux, systèmes et application concernés, les mesures de détection mises en place et que des évaluations sont réalisées ou des incidents générés |
| 8.17 | Synchronisation des horloges | Permettre la corrélation et l'analyse d’événements de sécurité et autres données enregistrées, assister les investigations sur les incidents de sécurité de l'information. | Contrôler l'inventaire des horloges, la source temporelle unique utilisée et la synchronisation des horloges sur la source |
| 8.18 | Utilisation de programmes utilitaires à privilèges | S'assurer que l'utilisation de programmes utilitaires ne nuise pas aux mesures de sécurité de l'information des systèmes et des applications. | Contrôler l'application des contrôles sur l'utilisation des programmes utilitaires |
| 8.19 | Installation de logiciels sur des systèmes en exploitation | Assurer l'intégrité des systèmes opérationnels et empêcher l'exploitation des vulnérabilités techniques. | Contrôler l'effectivité de la procédure de contrôle d'installation |
| 8.20 | Mesures liées aux réseaux | Protéger les informations dans les réseaux et les moyens de traitement de l'information support contre les compromission via le réseau. | Contrôler que des contrôles sont en place et que ces contrôles sont effectifs |
| 8.21 | Sécurité des services en réseau | Assurer la sécurité lors de l'utilisation des services réseau. | Contrôler que l'inventaire des services réseau concernés est complet et à jour, que les mécanismes de sécurité, de niveaux de service et les exigences sont identifiés et sont intégrés dans les accords de service |
| 8.22 | Filtrage Internet | Diviser le réseau en périmètres de sécurité et contrôler le trafic entre eux en fonction des besoins métier. | Contrôler les règles d'accès aux sites web externes et les blocages réalisés. |
| 8.23 | Cloisonnement des réseaux | Protéger les systèmes contre la compromission des programmes malveillants et empêcher l'accès aux ressources web non autorisées. | Contrôler l'inventaire des groupes de services d'information, d'utilisateurs et de systèmes d'information et la mise en place des mesures de cloisonnement réseau |
| 8.24 | Utilisation de la cryptographie | Assurer l’utilisation correcte et efficace de la cryptographie afin de protéger la confidentialité, l'authenticité ou l'intégrité des informations conformément aux exigences métier et de sécurité de l'information, et en tenant compte des exigences légales, statutaires, réglementaires et contractuelles relatives à la cryptographie. | Contrôler les règles d'utilisation des mesures de cryptographie, leur élaboration et leur mise en œuvre ainsi que les clés et algorithmes cryptographiques utilisés. |
| 8.25 | Cycle de vie de développement sécurisé | S'assurer que la sécurité de l'information est conçue et mise en œuvre au cours du cycle de vie de développement sécurisé des logiciels et des systèmes. | Contrôler l'existence des règles de développement, leur mise à jour et l'application des règles de développement |
| 8.26 | Exigences de sécurité des applications | S'assurer que toutes les exigences de sécurité de l'information sont identifiées et traitées lors du développement ou de l’acquisition d'applications. | Contrôler l'inventaire des services réseau et l'effectivité des mesures contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées. |
| 8.27 | Principes d'ingénierie et d'architecture système sécurisée | S'assurer que les systèmes d'information sont conçus, mis en œuvre et exploités de manière sécurisée au cours du cycle de vie de développement. | Contrôler que les principes d'ingénierie sont établis et mis à jour et que ces principes sont appliqués dans les travaux de mise en œuvre des systèmes d'information |
| 8.28 | Codage sécurisé | S'assurer que les logiciels sont développés de manière sécurisée afin de réduire le nombre d’éventuelles vulnérabilités de sécurité de l'information dans les logiciels. | Contrôler l'inventaire des développements réalisés et l'application de règles de codage |
| 8.29 | Tests de sécurité dans le développement et l'acceptation | Valider le respect des exigences de sécurité de l'information lorsque des applications ou des codes sont déployés dans l'environnement . | S'assurer que des tests sont réalisés sur les nouveaux systèmes, lors de mise ) jour et sur les nouvelles versions |
| 8.30 | Développement externalisé | S'assurer que les mesures de sécurité de l'information requises par l'organisation sont mises en œuvre dans le cadre du développement externalisé des systèmes. | S'assurer que des contrôles sont réalisés sur les développements externalisés. |
| 8.31 | Séparation des environnements de développement, de test et de production | Protéger l'environnement opérationnel et les données correspondantes contre les compromissions qui pourraient être dues aux activités de développement et de test. | Contrôler la présence des environnements pour chaque application et l'effectivité de la séparation des environnements |
| 8.32 | Gestion des changements | Préserver la sécurité de l'information lors de l'exécution des changements. | Contrôler la procédure de gestion des changements, sa mise à jour et les changements réalisés suivent la procédure |
| 8.33 | Informations relatives aux tests | Assurer la pertinence des tests et la protection des informations opérationnelles utilisées pour les tests. | Contrôler l'application des mesures de protection aux données de test |
| 8.34 | Protection des systèmes d'information en cours d'audit et de test | Minimiser l'impact des activités d'audit et autres activités d'assurance sur les systèmes opérationnels et les processus métier. | Contrôler les exigences, la prévision et la validation des activités et l’existence de perturbations engendrées par ces vérifications |