1 Domaine d'application
2 Références normatives
3 Définitions et abréviations
3.1 Définitions
3.2 Abréviations
4 Aperçu général
4.1 But de la protection des IIP
4.2 Besoins en matière de protection des IIP
4.3 Mesures de contrôle
4.4 Choix des mesures de contrôle
4.5 Elaboration de directives propres à l'organisation
4.6 Eléments concernant le cycle de vie
4.7 Structure de la présente spécification
5 Politiques de sécurité de l'information
5.1 Orientations de la direction en matière de sécurité de
l'information
6 Organisation de la sécurité de l'information
6.1 Organisation interne
6.2 Appareils mobiles et télétravail
7 La sécurité des ressources humaines
7.1 Avant l'embauche
7.2 Pendant la durée du contrat
7.3 Rupture, terme et modification du contrat de travail
8 Gestion des actifs
8.1 Responsabilités relatives aux actifs
8.2 Classification de l'information
8.3 Manipulation des supports
9 Contrôle d'accès
9.1 Exigences métier en matière de contrôle d'accès
9.2 Gestion de l'accès utilisateur
9.3 Responsabilités des utilisateurs
9.4 Contrôle de l'accès au système et aux applications
10 Cryptographie
10.1 Mesures cryptographiques
11 Sécurité physique et environnementale
11.1 Zones sécurisées
11.2 Matériels
12 Sécurité liée à l'exploitation
12.1 Procédures et responsabilités liées à l'exploitation
12.2 Protection contre les logiciels malveillants
12.3 Sauvegarde
12.4 Journalisation et surveillance
12.5 Maîtrise des logiciels en exploitation
12.6 Gestion des vulnérabilités techniques
12.7 Considérations sur l'audit du système d'information
13 Sécurité des communications
13.1 Management de la sécurité des réseaux
13.2 Transfert de l'information
14 Acquisition, développement et maintenance des systèmes d'information
14.1 Exigences de sécurité applicables aux systèmes d'information
14.2 Sécurité des processus de développement et d'assistance
technique
14.3 Données de test
15 Relations avec les fournisseurs
15.1 Sécurité de l'information dans les relations avec les
fournisseurs
15.2 Gestion de la prestation du service
16 Gestion des incidents liés à la sécurité de l'information
16.1 Gestion des incidents liés à la sécurité de l'information et
améliorations
17 Aspects de la sécurité de l'information dans la gestion de la continuité
de l'activité
17.1 Continuité de la sécurité de l'information
17.2 Redondances
18 Conformité
18.1 Conformité aux obligations légales et réglementaires
18.2 Revue de la sécurité de l'information
Annexe A – Extension des mesures de contrôle à la protection des IIP
A.1 Considérations générales
A.2 Politiques générales concernant l'utilisation et la protection
des IIP
A.3 Consentement et choix
A.4 Légitimité et définition du but
A.5 Limites du recueil d'informations
A.6 Réduction des informations au minimum
A.7 Limites d'utilisation, de conservation et de divulgation
A.8 Exactitude et qualité
A.9 Ouverture, transparence et notes d'information
A.10 Participation et accès de l'entité principale des IIP
A.11 Responsabilité
A.12 Sécurité des informations
A.13 Respect de la vie privée
Bibliographie