4 évaluation et le traitement des risques

4 évaluation et le traitement des risques4.1 Évaluation des risques de sécuritéLes évaluations des risques devraient identifier , quantifier ethiérarchiser les risques par rapport aux critères d'acceptation desrisques et objectifs pertinents pour l'organisation . Les résultatsdevraient guider et déterminer le cas échéant action et les priorités degestion de l'information des risques de sécurité et de mise en œuvre lagestion contrôles sélectionnés pour se protéger contre ces risques . Leprocessus d'évaluation des risques et la sélection des contrôles faudrapeut-être effectué un certain nombre de fois pour couvrir différentesparties de l'organisation ou de l'individu systèmes d'information .L'évaluation des risques doit inclure l'approche systématique del'estimation de l'ampleur des risques ( risque analyse ) et le processusde comparaison des risques estimés par rapport aux critères de risquepour déterminer le importance des risques (évaluation des risques ) .Les évaluations des risques doivent également être effectuéespériodiquement pour les changements d'adresse dans la sécurité et lesexigences de la situation de risque , par exemple dans les actifs, lesmenaces, les vulnérabilités, les impacts , les risques évaluation, etlorsque des changements importants se produisent. Ces évaluations desrisques doivent être réalisées dans un façon méthodique capable deproduire des résultats comparables et reproductibles . L'évaluation desrisques de sécurité de l'information doit avoir une portée clairementdéfinie afin d'être efficace

et devrait inclure les relations avec l'évaluation des risques dansd'autres domaines , le cas échéant . La portée d'une évaluation desrisques peut être toute l'organisation , les parties de l'organisation ,une système d'information individuelle , composants spécifiques dusystème , ou services lorsque cela est possible réaliste et utile .Exemples de méthodes d'évaluation des risques sont décrits dans la normeISO / IEC TR13335-3 (Lignes directrices pour la gestion de la sécuritédes TI : Techniques pour la gestion des TI Sécurité ) .

4.2 Le traitement des risques de sécuritéAvant d'examiner le traitement d'un risque, l'organisation doit déciderdes critères pour déterminer

Si oui ou non les risques peuvent être acceptés. Les risques peuventêtre acceptées que si , par exemple , il est estimé que le risque estfaible ou que le coût du traitement n'est pas rentable pourl'organisation . Ces décisions devraient être enregistrées. Pour chacun

des risques identifiés suite à l'évaluation des risques d'une décisionde traitement des risques doit être faite. Les options possibles pour letraitement des risques comprennent :

a) l'application de mesures de contrôle appropriées pour réduire lesrisques ;

b ) sciemment et objectivement accepter des risques , à condition qu'ilsrépondent clairement la politique et les critères d'acceptation durisque de l'organisation ;

c ) éviter les risques en ne permettant pas les actions qui pourraientcauser des risques de se produire ;

d ) le transfert des risques associés à d'autres parties , par exemple,les assureurs ou les fournisseurs .

Pour ces risques où la décision de traitement du risque a étéd'appliquer des contrôles appropriés , ces contrôles

doit être sélectionné et mis en œuvre pour répondre aux exigencesidentifiées par une évaluation des risques . contrôles devraients'assurer que les risques sont réduits à un niveau acceptable en tenantcompte :

a) les exigences et les contraintes de la législation et de laréglementation nationale et internationale ;

b ) objectifs de l'organisation ;

c ) les exigences opérationnelles et les contraintes ;

d) les coûts de mise en œuvre et l'exploitation par rapport aux risquesest réduite, et le reste Proportionnelle aux besoins et aux contraintesde l'organisation ;

e ) la nécessité d'équilibrer l'investissement dans la mise en œuvre etle fonctionnement des contrôles contre la de nature à causer desdéfaillances de sécurité .

Les contrôles peuvent être choisis à partir de cette norme ou d'autresensembles de contrôle ou de nouveaux contrôles peuvent être conçus pourrépondre aux besoins spécifiques de l'organisation . Il est nécessairede reconnaître que certains contrôles ne peuvent pas être applicable àtout système d'information ou de l'environnement , et pourrait ne pas

être possible pour tous organisations . A titre d'exemple , 10.1.3décrit comment les droits peuvent être séparés pour éviter les fraudeset erreur . Il peut ne pas être possible pour les petites organisationsde séparer tous les droits et autres moyens de atteindre le mêmeobjectif de contrôle peut être nécessaire . Comme autre exemple, décritcomment 10,10 l'utilisation du système peut être surveillé et lespreuves recueillies . Les contrôles décrits par exemple lajournalisation des événements , force conflit avec la législationapplicable , telle que la protection de la vie privée pour les clientsou dans le lieu de travail .

Information contrôles de sécurité doivent être considérées comme lessystèmes et projets exigences

Spécification et conception. Ne pas le faire peut entraîner des coûtssupplémentaires et moins efficace solutions , et peut-être , dans lepire des cas , l'incapacité à assurer la sécurité adéquate . Il fautgarder à l'esprit qu'aucun ensemble de contrôles peut assurer lasécurité complète , et que plus des mesures de gestion devrait être misen place pour surveiller , évaluer et améliorer l'efficacité etl'efficacité des contrôles de sécurité à l'appui des objectifs del'organisation .

6 Organisation de la sécurité de l'information 6.1 Organisation interneObjectif: gérer la sécurité de l'information au sein de l'organisation.Un cadre de gestion devrait être créé pour initier et contrôler la miseen œuvre de sécurité de l'information au sein de l'organisation. Ladirection doit approuver la politique de sécurité de l'information,attribuer des rôles de sécurité et de coordonner et examiner la mise enœuvre de la sécurité dans toute l'organisation. Si nécessaire, unesource d'informations spécialisées des conseils de sécurité doit êtreétablie et disponibles dans l'organisation. Contacts avec desspécialistes externes de sécurité ou des groupes, y compris autoritéscompétentes, devraient être élaborés pour suivre les tendancesindustrielles, contrôler les normes et méthodes d'évaluation et assurerla liaison approprié souligne lors de la manipulation d'informationincidents de sécurité. Une approche multi-disciplinaire pour la sécuritéde l'information devrait être encouragée.

6.1.1 Engagement de la direction à la sécurité de l'information

contrôle

La direction devrait soutenir activement la sécurité au sein de l'organisation à travers une orientation claire, engagement démontré, affectation explicite, et accusé de sécurité de l'information responsabilités.

Des conseils de mise en œuvre

Gestion devrait:

a) veiller à ce que les objectifs de sécurité de l'information sont identifiés,rencontrer l'organisation

exigences, et sont intégrés dans les processus pertinents;

b) formuler, examiner et approuver la politique d'information de la sécurité;

c) examiner l'efficacité de la mise en œuvre de la politique de sécurité de l'information;

d) fournir une orientation claire et de soutien de gestion visible pour les initiatives en matière de sécurité;

e) de fournir les ressources nécessaires à la sécurité de l'information;

f) d'approuver l'attribution des rôles et des responsabilités spécifiques en matière de sécurité de l'information dans

L’organisation;

g) initier des plans et des programmes afin de maintenir la sensibilisation de l'information de sécurité;

h) veiller à ce que la mise en œuvre de l'information contrôles de sécurité estcoordonnée à travers l'organisation (voir 6.1.2).

La direction doit identifier les besoins en matière de conseils internes ou externes de la sécurité de l'information spécialisée, et examiner et coordonnerles résultats de l'avis de l'organisation. Selon la taille de l'organisation, ces responsabilités pourraient être traitées par un dédié forum de gestion ou par un organisme de gestion existant, tel que le conseil d'administration.

Autres informations

De plus amples informations figurent dans la norme ISO / IEC 13335-1:2004.

6.1.2 Informations coordination de la sécurité

Contrôle

Activités de sécurité de l'information doivent être coordonnés par des représentants des différentes parties du

organisation des rôles et des fonctions d'emploi pertinentes .


En règle générale, la sécurité des informations coordination devrait impliquer la coopération et la collaboration de

les gestionnaires, les utilisateurs, les administrateurs, les concepteurs d’applications, les auditeurs et le personnel de sécurité , et des compétences spécialisées dans des domaines tels que les assurances, les questions juridiques , ressources humaines, informatique ou la gestion des risques .

Cette activité devrait:

a) veiller à ce que les activités de sécurité sont exécutées dans le respect dela sécurité de l'information la politique ;

b ) identifier comment gérer les non-conformités ;

c ) d'approuver les méthodes et les processus de sécurité de l'information , par exemple évaluation des risques , classification de l'information ;

d) identifier les changements sur les menaces importantes et l'exposition de l'information et de l'information

installations de traitement aux menaces ;

e ) évaluer la pertinence et de coordonner la mise en œuvre de la sécurité de l'information contrôles ;

f ) de promouvoir efficacement l'information l'éducation en matière de sécurité, de formation et de sensibilisation tout au long de l'organisation ;

g ) évaluer les informations reçues de la surveillance et l'examen des informations incidents de sécurité, et recommander des mesures appropriées en réponse à identifié l'information des incidents de sécurité .

Si l'organisation n'utilise pas un groupe inter-fonctionnelle séparée, par exemple, car un tel groupe n'est pas

approprié à la taille de l'organisation, les actions décrites ci-dessus doiventêtre prises par un autre organisme de gestion adapté ou gestionnaire.

6.1.3 Répartition des responsabilités d'information de sécurité

contrôle

Toutes les informations responsabilités en matière de sécurité doivent être clairement définis .


Répartition de l'information responsabilités de sécurité doit être fait en conformité avec les informations

la politique de sécurité ( voir l'article 4 ) . Responsabilités pour la protection des biens individuels et pour la mise en

processus de sécurité sur spécifiques doivent être clairement identifiés . Cette responsabilité devrait être

complétée , le cas échéant , avec des orientations plus détaillées pour les sites spécifiques et les informations

installations de traitement . Responsabilités locales pour la protection des biens et de la mise en oeuvre spécifique

processus de sécurité , tels que la planification de la continuité des affaires, doivent être clairement définis .

Les personnes ayant des responsabilités en matière de sécurité alloués peuvent déléguer des tâches de sécurité à d'autres. Cependant ils demeurent responsables et doivent déterminer que les tâches déléguées ont été correctement effectuée .Les zones pour lesquelles les individus sont responsables doivent être clairement énoncés , en particulier ce qui suit devrait lieu :

a) les actifs et processus de sécurité associés à chaque système particulier, devraient être

identifiés et clairement définis ;

b ) l'entité responsable pour chaque actif ou processus de sécurité devra être attribué et les détails

de cette responsabilité doit être documentée (voir aussi 7.1.2 ) ;

c) les niveaux d'autorisation doivent être clairement définis etdocumentés.

Autres informations

Dans de nombreuses organisations un responsable de la sécurité del'information sera nommé pour assumer la responsabilité globale

pour le développement et la mise en œuvre de la sécurité et de soutenirl'identification des commandes .

Toutefois, la responsabilité pour le ressourcement et la mise en œuvredes contrôles resteront souvent avec

gestionnaires individuels . Une pratique courante consiste à nommer unpropriétaire pour chaque actif qui devient alors responsable de saprotection au jour le jour . Processus d'autorisation

6.1.4 Pour des informations sur les installations de traitementContrôle

Un processus d'autorisation de gestion pour les nouvelles installationsde traitement de l'information doit être définie et mis en œuvre.


Les directives suivantes doivent être prises en considération pour leprocessus d'autorisation :

a) les nouvelles installations devraient avoir l'autorisation de gestiondes utilisateurs approprié , autorisant leur

but et l'utilisation . Autorisation doit également être obtenue à partirdu gestionnaire responsable de

maintien de l'environnement de sécurité du système d' information localepour s'assurer que tous pertinente

les politiques et les exigences de sécurité sont remplies ;

b ) le cas échéant , le matériel et les logiciels doivent être vérifiéspour s'assurer qu'ils sont

compatible avec les autres composants du système ;

c ) l'utilisation des informations personnelles ou des installationsprivées de traitement , par exemple ordinateurs portables,

maison -ordinateurs ou des appareils portatifs , pour traitement del'information de l'entreprise , peut

introduire de nouvelles vulnérabilités et les contrôles nécessairesdevraient être identifiés et

mis en oeuvre .

6.1.5 Les accords de confidentialitécontrôle

Exigences relatives aux ententes de confidentialité ou de non-divulgation qui reflètent les besoins de l'organisation pour

la protection des renseignements doit être identifié et examinérégulièrement .


Les accords de confidentialité ou de non-divulgation doivent satisfaireà l'exigence de protéger la confidentialité

informations en utilisant des termes juridiquement contraignants . Pouridentifier les besoins en matière de confidentialité ou de non-divulgation

accords , les éléments suivants doivent être pris en compte:

a) une définition de l'information à protéger ( par exemple desinformations confidentielles ) ;

b ) la durée prévue de l'accord , y compris les cas où laconfidentialité peut-être nécessaire

maintenu indéfiniment ;

c ) les actions nécessaires quand un accord est résilié ;

d) les responsabilités et les actions des signataires à éviter ladivulgation non autorisée d'informations

(comme « besoin de savoir» ) ;

e ) la propriété de l'information , les secrets commerciaux et lapropriété intellectuelle , et comment cela se rapporte à la protectiondes informations confidentielles ;

f ) l'utilisation autorisée d'informations confidentielles , et lesdroits des signataires à utiliser l'information;

g ) le droit de vérifier et de contrôler les activités qui impliquentdes informations confidentielles ;

h ) processus de notification et de rapports de divulgation nonautorisée ou confidentielles

violations de l'information ;

i ) les modalités d'information à être retournés ou détruits à accord decessation , et actions j ) devraient être

prises en cas de violation de cet accord .

Basé sur les exigences de sécurité d'une organisation , d'autreséléments peuvent être nécessaires dans une confidentialité ou accord denon- divulgation . Les accords de confidentialité et de non-divulgationdoivent se conformer à toutes les lois et règlements en vigueur pour lajuridiction à laquelle elle s'applique (voir aussi 15.1.1 ) . Exigencesrelatives aux ententes de confidentialité et de non-divulgationdevraient être réexaminées périodiquement et lorsque surviennent deschangements qui influencent ces exigences .

Autres informations

Les accords de confidentialité et de non-divulgation de protégerl'information organisationnelle et informer

signataires de leur responsabilité de protéger , utiliser et communiquerdes renseignements de façon responsable et manière autorisée . Il peut y

avoir un besoin pour une organisation d'utiliser différentes formes deconfidentialité ou de non - divulgation accords dans des circonstancesdifférentes.

6.1.6 Le contact avec les autoritéscontrôle

Des contacts appropriés avec les autorités compétentes devraient êtremaintenues.


Les organisations doivent avoir des procédures en place qui précisentquand et par qui les autorités ( par exemple le droit application ,service d'incendie , les autorités de contrôle ) doit être contacté , etcomment identifiée Informations incidents de sécurité doivent êtresignalés en temps opportun si l'on soupçonne que les lois peuvent ontété brisés . Organisations de l' attaque de l' Internet peuvent avoirbesoin des tiers externes ( par exemple, un service Internet fournisseurou opérateur de télécommunications ) à prendre des mesures contre lasource de l'attaque .

Autres informations

Le maintien de ces contacts peut être une exigence pour appuyer lagestion des incidents de sécurité de l'information Processus deplanification (section 13.2) ou de la continuité des activités et de lacontingence (article 14 ) . contacts avec les organismes deréglementation sont également utiles pour anticiper et se préparer auxchangements à venir dans la loi ou règlements, qui doivent être suiviespar l'organisation . Contacts avec d'autres autorités comprennent lesservices publics, les services d'urgence , et la santé et la sécurité ,par exemple les services d'incendie (dans le cadre de l'entreprise lacontinuité , voir aussi l'article 14 ) , les fournisseurs detélécommunications ( dans le cadre de l'acheminement de ligne etdisponibilité ) , les fournisseurs d'eau ( dans le cadre desinstallations de refroidissement pour les équipements ) .

6.1.7 Le contact avec les groupes d'intérêt spécial Contrôle

Des contacts appropriés avec des groupes d'intérêts spéciaux ou d'autresinstances de sécurité spécialisé et professionnel associations doiventêtre maintenues.


Appartenance à des groupes d'intérêts spéciaux ou des forums devraitêtre considérée comme un moyen de:

a) améliorer les connaissances sur les meilleures pratiques et de resterà jour avec la sécurité pertinentes

l'information;

b ) de veiller à la compréhension de l'environnement de sécurité del'information est à jour et complètes ;

c ) recevoir des alertes précoces d'alertes , des avis et des correctifsrelatifs à des attaques et vulnérabilités ;

d) avoir accès à un spécialiste des conseils de sécurité del'information;

e ) partager et échanger des informations sur les nouvelles technologies, les produits , les menaces, ou vulnérabilités ;

f ) fournir des points de liaison appropriés lorsqu'il s'agit del'information incidents de sécurité (voir aussi

13.2.1 ) .

Autres informations

Accords de partage de l'information peuvent être mis en place pouraméliorer la coopération et la coordination des questions de sécurité .Ces accords doivent déterminer les exigences relatives à la protectiondes informations sensibles information.

6.1.8 examen indépendant de la sécurité de l'informationcontrôle

L'approche de l' organisation de gestion de la sécurité de l'informationet sa mise en œuvre ( c.-à- contrôle

contrôles objectifs, les politiques , les processus et les procédures desécurité de l'information ) devraient être

examinés indépendamment à intervalle prévu , ou lorsque des changementsimportants à la mise en œuvre de la sécurité se produisent .


L'examen indépendant devrait être lancé par la direction. Un tel examenindépendant est nécessaire de garantir la pertinence continue ,l'adéquation et l'efficacité de l'approche de l'organisation à gestionde la sécurité de l'information. L'examen doit comprendre l'évaluationd'opportunités d'amélioration et la nécessité de modifier l' approche dela sécurité , y compris les objectifs de la politique et de contrôle .Un tel examen devrait être effectué par des personnes indépendantes dela zone à l'étude , par exemple, la fonction d'audit interne , ungestionnaire indépendant ou un organisme tiers spécialisé dans ce avis .Les personnes qui effectuent ces examens devraient avoir les compétenceset l'expérience nécessaires . Les résultats de l'examen indépendantdoivent être enregistrés et communiqués à la direction, qui amorcél'examen . Ces documents doivent être conservés . Si l'examenindépendant identifie que l'approche et la mise en œuvre del'organisation de la gestion des sécurité de l'information estinsuffisante ou n'est pas conforme à la direction de la sécurité del'information a déclaré dans le document de politique de sécurité del'information ( voir 5.1.1 ) , la direction devrait envisager decorrection actions .

Autres informations

La zone , dont les gestionnaires doivent examiner régulièrement ( voir15.2.1 ) , peut également être examiné indépendamment . Techniquesd'examen peuvent comprendre des entrevues à la gestion , les dossiers devérification ou d'un examen de la sécurité documents de politique. ISO19011:2002, Lignes directrices pour la qualité et / ou de managementenvironnemental l'audit des systèmes , peut également fournir desorientations utiles pour la réalisation de l'examen indépendant, ycompris l'établissement et la mise en œuvre de programme d'examen.L'article 15.3 précise les contrôles pertinents à l'examen indépendantsur le système d'information opérationnel et l'utilisation d'outilsd'audit de système .

6.2 Les parties externes Objectif: assurer la sécurité de l'information et de l'information de latransformation de l'organisation

installations qui sont accessibles, traités, communiqués ou gérés pardes tiers. La sécurité de l'information et de l'information desinstallations de transformation de l'organisation ne doit pas êtreréduite par l'introduction de produits ou services de tiers externes.Tout accès à l'information et les installations de traitement et decommunication de transformation de l'organisation d'informations par destiers doit être contrôlée. Là où il ya un besoin d'affaires pourtravailler avec les parties externes qui peuvent avoir accès à lal'information et l'information des installations de traitement del'organisation, ou pour obtenir ou fournir une produits et de servicesen provenance ou à une partie externe, une évaluation des risques doitêtre effectuée afin de déterminer conséquences sur la sécurité et lesexigences de contrôle. Les contrôles doivent être convenues et définiesdans un accord avec la partie externe.

6.2.1 Identification des risques liés à des parties externescontrôle

Les risques pour l'information et l'information des installations del'entreprise de transformation de l'organisation processus impliquantdes parties externes doivent être identifiées et mises en œuvre descontrôles appropriés avant accorder l'accès .


Là où il ya un besoin pour permettre un accès des tiers à l'extérieurdes installations de traitement de l'information ou informations d'uneorganisation , une évaluation des risques ( voir également la section4 ) doit être effectuée pour identifier les toutes les exigences decontrôles spécifiques . L'identification des risques liés à l'accès destiers externe devrait prendre en compte les questions suivantes :

a) les informations des installations de traitement d'une partie externeest nécessaire pour accéder ;

b ) le type d'accès la partie externe devra l'information et del'information installations de traitement , par exemple :

1 ) l'accès physique , par exemple aux bureaux , salles informatiques ,classeurs;

2 ) l'accès logique , par exemple aux bases de données de l'organisation, systèmes d'information ;

3 ) la connectivité réseau entre l'organisation de la partie externe etde réseau (x ), par exemple connexion permanente , l'accès à distance ;

4 ) si l'accès a lieu sur site ou hors site ;

c ) la valeur et la sensibilité des renseignements en cause , et sacriticité pour les entreprises opérations ;

d) les contrôles nécessaires pour protéger les renseignements qui nesont pas destinés à être accessibles par

parties externes ;

e ) les personnes externes des partis impliqués dans le traitement del'information de l'organisation ;

f ) la façon dont l'organisation ou le personnel autorisé à avoir accèspeuvent être identifiés , le autorisation vérifiée , et à quellefréquence cela doit être confirmé ;

g) les différents moyens et les contrôles utilisés par la partie externepour le stockage , le traitement, communiquer , partager et échanger desinformations ;

h ) l' impact de l'accès ne pas être disponible pour la partie externeen cas de besoin , et la partie externe entrant ou recevoir desinformations inexactes ou trompeuses ;

i ) les pratiques et les procédures pour faire face à l'information etle potentiel incidents de sécurité dommages , et les conditions pour lapoursuite de l'accès externe du parti dans la cas d'incident de sécuritéde l'information

j ) les exigences légales et réglementaires et autres obligationscontractuelles relatives à la partie externe qui devrait être prise encompte ;

k ) la façon dont les intérêts de toutes les autres parties prenantespeuvent être affectés par les arrangements .

Accès par des tiers à l' information de l'organisation ne doit pas êtrefournie jusqu'à ce que le contrôles appropriés ont été mis en œuvre et,si possible , un contrat a été signé définition les termes et conditionspour la connexion ou l'accès et le régime de travail . En règlegénérale, tous exigences de sécurité résultant de travaux avec des tiersexternes ou des contrôles internes devraient être reflétées par l'accordavec la partie externe (voir également 6.2.2 et 6.2.3 ) .

Il convient de veiller à ce que la partie externe est au courant deleurs obligations , et accepte la responsabilités et obligations liés àl'accès , le traitement, la communication , ou la gestion de lal'information et l'information des installations de traitement del'organisation.

Autres informations

Information pourrait être mis en péril par des parties externes avec ladirection de la sécurité insuffisante . contrôles doivent êtreidentifiées et appliquées pour administrer l'accès externe du parti autraitement de l'information installations. Par exemple, si il ya unbesoin particulier de la confidentialité de l'information , la non-divulgation accords pourraient être utilisés . Les organisations peuventfaire face aux risques associés aux processus inter-organisationnels ,la gestion , et communication si un degré élevé de sous-traitance estappliqué , ou où il ya plusieurs parties externes impliqués . Lescontrôles 6.2.2 et 6.2.3 couverture différents arrangements des partisexterne , par exemple comprenant :

a) les fournisseurs de services , tels que les FAI, les fournisseurs deréseau , les services de téléphonie , d'entretien et services de soutien;

b ) services de sécurité gérés ;

c ) les clients ;

d) l'externalisation de services et / ou des opérations , par exemple,Systèmes informatiques , les services de collecte de données , l'appelopérations de centre ;

e) la gestion et consultants d'affaires , et les vérificateurs ;

f ) les développeurs et les fournisseurs , par exemple des logiciels etdes systèmes informatiques ;

g ) le nettoyage, la restauration, et autres services de soutien ensous-traitance ;

h ) le personnel temporaire , le placement de l'élève , et d'autresrendez-vous occasionnels à court terme .

Ces accords peuvent aider à réduire les risques associés avec desparties externes .

6.2.2 La sécurité lorsqu'ils traitent avec les clientscontrôle

Toutes les exigences de sécurité identifiées doivent être adresséesavant de donner aux clients un accès à la

les informations ou les actifs de l'organisation. Des conseils de miseen œuvre Les termes suivants doivent être considérés pour assurer lasécurité avant de donner aux clients un accès à tout des actifs del'organisation ( selon le type et l'étendue de l'accès donné, tous nepourraient s'applique ) :

a) la protection des actifs , y compris :

1 ) les procédures visant à protéger les actifs de l'organisation , ycompris l'information et des logiciels , et la gestion desvulnérabilités connues ;

2 ) procédures visant à déterminer si un compromis des actifs , parexemple, perte ou modification de données , a eu lieu;

3 ) l'intégrité ;

4 ) les restrictions sur la copie et la divulgation des renseignements ;

b ) la description du produit ou du service à fournir ;

c ) les raisons différentes , les exigences et les avantages pourl'accès à la clientèle ;

d) la politique de contrôle d'accès , couvrant:

1) permis méthodes d'accès , et le contrôle et l'utilisation desidentificateurs uniques comme utilisateur

Identifiants et mots de passe ;

2 ) un processus d'autorisation pour l'accès des utilisateurs et desprivilèges ;

3 ) une déclaration que tous les accès qui n'est pas explicitementautorisé est interdit ;

4 ) un processus de révocation de droits d'accès ou d'interrompre laconnexion entre les systèmes ;

e ) les modalités de déclaration, de notification , et enquête sur desinexactitudes de l'information

(par exemple des données personnelles ) , les incidents de sécurité del'information et des atteintes à la sécurité;

f ) une description de chaque service à être mis à disposition ;

g ) le niveau des niveaux de service et inacceptables de service cible ;

h ) le droit de surveiller et révoquer , toute activité liée à l'actifde l'organisation ;

i ) les responsabilités respectives de l' organisme et le client ;

j) les responsabilités en ce qui concerne les questions juridiques et lafaçon dont il est assuré que le juridique

ces exigences sont remplies , par exemple législation sur la protectiondes données , en particulier en prenant en compte différents systèmesjuridiques nationaux si l'accord implique une coopération avec lesclients

d'autres pays (voir aussi 15.1 ) ;

k ) les droits de propriété intellectuelle (DPI) et la cession desdroits d'auteur ( voir 15.1.2 ) et la protection des tout travailcollaboratif (voir aussi 6.1.5 ) .

Autres informations

Les exigences de sécurité relatives aux clients un accès actifs del'organisation peuvent varier considérablement selon les informationsdes installations de traitement et des informations étant accessibles .Ces sécurité exigences peuvent être traitées au moyen de contrats declients , qui contient tous les risques identifiés et exigences desécurité ( voir 6.2.1 ) . Accords avec des parties externes peuventégalement impliquer d'autres parties. Les accords concédant partieexterne l'accès doit inclure l'allocation pour la désignation des autresparties et les conditions admissibles pour leur l'accès et laparticipation .

6.2.3 la sécurité dans les accords de tierscontrôle

Accords avec des tiers concernant l'accès , le traitement, lacommunication ou la gestion de la l'information ou l'information desinstallations de traitement de l'organisation , de produits ou deservices en ajoutant à

installations de traitement de l'information doivent couvrir toutes lesexigences de sécurité pertinentes .


L'accord doit s'assurer qu'il n'y a pas de malentendu entrel'organisation et le troisième partie . Les organisations doivents'assurer de l'indemnité de la troisième partie .

Les termes suivants doivent être considérés pour l'inclusion dansl'accord afin de satisfaire la

exigences de sécurité identifiées ( voir 6.2.1 ) :

a) la politique de sécurité de l'information ;

b) les contrôles pour assurer la protection des actifs , y compris :

1 ) les procédures pour protéger les actifs de l'organisation , ycompris les informations, logiciels et matériel ;

2 ) les contrôles de protection physique nécessaires et les mécanismes ;

3 ) les contrôles à assurer une protection contre les logicielsmalveillants ( voir 10.4.1 ) ;

4) Les procédures pour déterminer si un compromis des actifs , parexemple, perte ou modification de l'information , les logiciels et lematériel , a eu lieu;

5 ) contrôle afin d'assurer le retour ou la destruction desrenseignements et des biens à la fin de , ou à un moment convenu lors ,l'accord ;

6 ) la confidentialité , l'intégrité , la disponibilité , et toute autrepropriété pertinente ( voir 2.1.5 ) de les actifs

7 ) les restrictions sur la copie et la divulgation d'informations , etl'aide de la confidentialité accords (voir 6.1.5 ) ;

c ) l'utilisateur et administrateur de formation dans les méthodes , lesprocédures et la sécurité ;

d) veiller à la sensibilisation des utilisateurs pour l'information desresponsabilités et des questions de sécurité

e ) des dispositions pour le transfert du personnel , le cas échéant ;

f ) les responsabilités concernant le matériel et le logicield'installation et d'entretien;

g ) une structure de rapports clairs et convenus formats de rapports;

h) un processus clair et déterminé de la gestion du changement ;

i) la politique de contrôle d'accès , couvrant:

1 ) les raisons différentes , les exigences et les avantages qui font del' accès à la troisième

fête nécessaire ;

2 ) autorisé des méthodes d'accès , et le contrôle et l'utilisation desidentificateurs uniques comme utilisateur

Identifiants et mots de passe ;

3 ) un processus d'autorisation pour l'accès des utilisateurs et desprivilèges ;

4 ) l'obligation de tenir une liste des personnes autorisées à utiliserles services étant mis à disposition , et quels sont leurs droits etprivilèges sont à l'égard de cette utilisation ;

5 ) une déclaration que tous les accès qui n'est pas explicitementautorisé est interdit ;

6 ) un processus de révocation de droits d'accès ou d'interrompre laconnexion entre les systèmes ;

j ) les modalités de déclaration, de notification , et de l'enquête desécurité de l'information les incidents et les violations de la sécurité, ainsi que des violations des exigences énoncées dans la accord ;

k ) une description du produit ou du service à fournir , et unedescription de l'information

être mis à disposition ainsi que sa classification de sécurité ( voir7.2.1 ) ;

l) le niveau des niveaux de service et inacceptables de service cible ;

m ) la définition de critères de performance vérifiables , leur suivi etde rapports;

n ) le droit de surveiller et révoquer , toute activité liée à l'actifde l'organisation ;

o ) le droit de vérifier les responsabilités définies dans l'accord ,d'avoir ces vérifications effectuées par un tiers , et d'énumérer lesdroits légaux des comptes;

p ) la mise en place d' un processus d'escalade pour la résolution deproblèmes ; exigences de continuité ) du service de q , y compris desmesures pour la disponibilité et la fiabilité , en conformément auxpriorités de l'entreprise d'une organisation;

r ) les responsabilités respectives des parties à l'accord ;

s ) les responsabilités en ce qui concerne les questions juridiques etla façon dont il est assuré que le juridique

ces exigences sont remplies , par exemple législation sur la protectiondes données , en particulier en prenant en compte différents systèmesjuridiques nationaux si l'accord implique une coopération avec lesorganisations

dans d'autres pays (voir aussi 15.1 ) ; droits t) de propriétéintellectuelle (DPI) et le droit d'auteur affectation ( voir 15.1.2 ) etla protection des tout travail collaboratif (voir aussi 6.1.5 ) ;

u ) la participation de la troisième partie des sous-traitants , et lasécurité contrôle les sous-traitants doivent mettre en œuvre ;

v ) les conditions de renégociation / résiliation de contrats :

1 ) un plan d'urgence doit être mis en place dans le cas où l'une desparties souhaite mettre fin à la

rapport avant la fin des accords ;

2 ) la renégociation des accords si les exigences de sécurité de lamodification de l'organisation ;

3 ) la documentation actuelle des listes d'actifs , licences, accords oudes droits y afférents .

Autres informations

Les accords peuvent varier considérablement pour différents organismeset parmi les différents types d'

tiers . Par conséquent , il faut prendre soin d'inclure tous les risquesidentifiés et les exigences de sécurité

(voir aussi 6.2.1 ) dans les accords . Le cas échéant , les contrôles etprocédures nécessaires peuvent être

élargi dans un plan de gestion de la sécurité . Si la gestion de lasécurité de l'information est sous-traitée , les accords devraientporter sur la façon dont le tiers garantira que la sécurité adéquate ,telle que définie par l'évaluation des risques , sera maintenu , etcomment sécurité sera adapté pour identifier et faire face auxchangements à risques . Certaines des différences entrel'externalisation et les autres formes de prestation de services tiersparti inclure la question de la responsabilité , la planification de lapériode de transition et la perturbation potentielle de ses activités aucours de cette période , les dispositions de planification d'urgence etde vérifications diligentes , et la collecte et gestion de l'information

sur les incidents de sécurité . Par conséquent, il est important quel'organisation planifier et gérer la transition vers un arrangementsous-traitance et a des procédés appropriés en place pour gérer leschangements et la renégociation / résiliation de contrats . Lesmodalités de la poursuite du traitement dans le cas où le tiers devientincapable de fournir son

services doivent être pris en compte dans l'accord afin d'éviter toutretard dans l'organisation des services de remplacement . Accords avecdes tierces parties peuvent également impliquer d'autres parties. Lesaccords concédant l'accès des tiers devrait inclure l'allocation pour ladésignation des autres parties et les conditions admissibles pour leuraccès et participation . Généralement accords sont principalementdéveloppés par l'organisation . Il peut arriver dans certains les cas oùun accord peut être développée et imposée à une organisation par untiers partie . L'organisation doit s'assurer que sa propre sécurité nesoit pas inutilement impacté par tiers exigences du parti stipulées dansles accords imposés .

4 évaluation et le traitement des risques

Documents

Transcript of 4 évaluation et le traitement des risques