ISO 27001
Serenetics s’engage à se conformer à la norme ISO 27001:2022
ANNEXES
Serenetics est une solution qui facilite la conformité aux annexes de l’ISO 27001 :
5.7 Renseignements sur les menaces
Il convient de collecter et d’analyser les informations relatives aux menaces de sécurité de l'information pour produire les renseignements sur les menaces.
Apporter une connaissance de l'environnement des menaces de l'organisation afin que les mesures d'atténuation appropriées puissent être prises.
5.9 Inventaire des informations et des autres actifs associés (inventaire des utilisateurs, de leurs matériels associés et de leurs logiciels installés)
Il convient d'élaborer et de tenir à jour un inventaire des informations et autres actifs associés, y compris leurs propriétaires.
Identifier les informations et autres actifs associés de l'organisation afin de préserver leur sécurité et d'en attribuer la propriété de manière appropriée.
5.11 Restitution des actifs
Il convient que le personnel et les autres parties intéressées, selon le cas, restituent tous les actifs de l'organisation qui sont en leur possession au moment du changement ou de la fin de leur emploi, contrat ou accord.
Protéger les actifs de l'organisation dans le cadre du processus du changement ou de la fin de leur emploi, contrat ou accord.
5.16 Gestion des identités
Il convient de gérer le cycle de vie complet des identités.
Permettre l'identification unique des personnes et des systèmes qui accèdent aux informations et autres actifs associés de l'organisation.
5.23 Sécurité de l’information dans l’utilisation de services en nuage
Il convient que les processus d'acquisition, d'utilisation, de gestion et de cessation des services en nuage soient établis conformément aux exigences de sécurité de l'information de l'organisation.
Spécifier et gérer la sécurité de l'information lors de l'utilisation de services en nuage, s’assurer que seuls les services cloud sélectionnés par votre entreprise sont utilisés.
5.24 Planification et préparation de la gestion des incidents liés à la sécurité de l’information
Il convient que l'organisation planifie et prépare la gestion des incidents de sécurité de l'information en procédant à la définition, à l'établissement et à la communication des processus, fonctions et responsabilités liés à la gestion des incidents de sécurité de l'information.
Assurer une réponse rapide, efficace, cohérente et ordonnée aux incidents de sécurité de l'information, notamment la communication sur les événements de sécurité de l'information
5.25 Appréciation des évènements liés à la sécurité de l’information et prise de décision
Il convient que l'organisation évalue les événements de sécurité de l'information et décide s'ils doivent être catégorisés comme des incidents de sécurité de l'information.
Assurer une catégorisation et une priorisation efficace des événements de sécurité de l'information.
5.27 Tirer des enseignements des incidents liés à la sécurité de l’information
Il convient que les connaissances acquises à partir des incidents de sécurité de l'information soient utilisées pour renforcer et améliorer les mesures de sécurité de l'information.
Réduire la probabilité ou les conséquences des incidents futurs.
5.28 Collecte de preuves
Il convient que l'organisation établisse et mette en œuvre des procédures pour l’identification, la collecte, l'acquisition et la préservation des preuves relatives aux événements de sécurité de l'information.
Assurer une gestion cohérente et efficace des preuves relatives aux incidents de sécurité de l'information pour les besoins d'actions judiciaires ou de disciplinaires.
5.31 Identification des exigences légales, statutaires, réglementaires et contractuelles
Il convient que les exigences légales, statutaires, réglementaires et contractuelles pertinentes pour la sécurité de l’information, ainsi que l'approche de l'organisation pour respecter ces exigences soient identifiées, documentées et tenues à jour.
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives à la sécurité de l'information.
5.34 Vie privée et protection des DCP
Il convient que l'organisation identifie et respecte les exigences relatives à la protection de la vie privée et des DCP conformément aux lois, réglementations et exigences contractuelles applicables.
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux aspects de la sécurité de l'information portant sur la protection des DCP.
5.36 Conformité aux politiques et normes de sécurité de l’information
Il convient que la conformité à la politique de sécurité de l'information, aux politiques spécifiques à une thématique, aux règles et aux normes de l'organisation soit régulièrement vérifiée.
S’assurer que la sécurité de l'information est mise en œuvre et fonctionne conformément à la politique de sécurité de l'information, aux politiques spécifiques à une thématique, aux règles et aux normes de l'organisation.
8.1 Terminaux utilisateurs
Il convient de protéger les informations stockées, traitées ou accessibles via des terminaux finaux des utilisateurs.
Protéger les informations contre les risques liés à l'utilisation de terminaux finaux des utilisateurs.
8.6 Dimensionnement
Il convient de limiter et de gérer l'attribution et l'utilisation des droits d'accès privilégiés.
S'assurer que seuls les utilisateurs, composants logiciels et services autorisés sont dotés de droits d'accès privilégiés.
8.7 Protection contre les programmes malveillants
Il convient qu’une protection contre les programmes malveillants soit mise en œuvre et renforcée par une sensibilisation appropriée des utilisateurs.
S’assurer que les informations et autres actifs associés sont protégés contre les programmes malveillants.
8.8 Gestion des vulnérabilités techniques
Il convient d'obtenir des informations sur les vulnérabilités techniques des systèmes d'information utilisés, d'évaluer l'exposition de l'organisation à ces vulnérabilités et de prendre les mesures appropriées.
Empêcher l’exploitation des vulnérabilités techniques.
8.15 Journalisation
Il convient que les journaux qui enregistrent les activités, les exceptions, les pannes et autres événements pertinents soient générés, conservés, protégés et analysés.
Enregistrer les événements, générer des preuves, assurer l'intégrité des informations de journalisation, empêcher les accès non autorisés, identifier les événements de sécurité de l'information qui peuvent engendrer un incident de sécurité de l'information et assister les investigations.
8.16 Activités de surveillance
Il convient de surveiller les réseaux, systèmes et applications pour détecter les comportements anormaux et de prendre les mesures appropriées pour évaluer les éventuels incidents de sécurité de l'information.
Détecter les comportements anormaux et les éventuels incidents de sécurité de l'information.
8.19 Installation de logiciels sur des systèmes en exploitation
Il convient de mettre en œuvre des procédures et des mesures pour gérer de manière sécurisée l'installation de logiciels sur les systèmes opérationnels.
Assurer l'intégrité des systèmes opérationnels et empêcher l'exploitation des vulnérabilités techniques.
8.24 Utilisation de la cryptographie
Il convient que des règles pour l'utilisation efficace de la cryptographie, notamment la gestion des clés cryptographiques, soient définies et mises en œuvre.
Assurer l’utilisation correcte et efficace de la cryptographie afin de protéger la confidentialité, l'authenticité ou l'intégrité des informations conformément aux exigences métier et de sécurité de l'information, et en tenant compte des exigences légales, statutaires, réglementaires et contractuelles relatives à la cryptographie.
8.34 Protection des systèmes d’information en cours d’audit et de tests
Il convient de planifier et de convenir entre le testeur et la direction le périmètre d'évaluation des systèmes opérationnels.
Minimiser l'impact des activités d'audit et autres activités d'assurance sur les systèmes opérationnels
Dernière mise à jour