15
Dec
2018

exemple dda iso 27001

Pour conclure, ne pas avoir de contrôle d`accès signifie ne pas avoir de sécurité du tout-c`est l`un des principaux éléments constitutifs de la sécurité de l`information qui doit être techniquement bien exécuté, mais aussi conçu de sorte qu`il est à la fois suffisamment sécurisé et acceptable pour les utilisateurs. Cette tierce partie suggérera toutes les pratiques qui ont besoin d`être modifiées avant que vous ne puissiez devenir certifié. S`il y a un contrôle en place, on s`attend à ce que vous implémentez un processus ou une technologie qui réponde aux objectifs sous-jacents. Un auditeur questionnera votre rigueur si tout ce que vous avez fait est la liste des clauses de l`annexe A et n`a ajouté rien d`autre. Mais une grande partie de ce que j`entends au sujet de l`ISO 27001 est conjecture et la désinformation. Ainsi, une entreprise pourrait être certifiée ISO 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux exigences de ses clients en matière de sécurité. C`est là que les choses commencent à obtenir technique-vous devez définir comment vous avez besoin des utilisateurs de s`inscrire dans vos systèmes (e. Donc, la question serait: «avez-vous un inventaire pour les appareils mobiles, ordinateurs portables, ordinateurs de bureau, et les logiciels que votre organisation utilise? Ou votre réfrigérateur a envoyé des e-mails de spam en votre nom à des gens que vous ne connaissez même pas. Après tout, le temps et les efforts que vous aurez dépensés en interne seront beaucoup plus élevés que le coût d`un audit indépendant. Gardez cela à l`esprit si vous travaillez avec des ressources limitées. Lorsque votre auditeur vous donne votre rapport, il serait très inhabituel pour elle de ne pas contenir de résultats négatifs-non-conformités, comme on les appelle. Une fois que vous avez décidé quel bit (s) de l`entreprise que vous voulez certifier, vous devez décider les critères sous lesquels vous voulez les certifier.

Vous serez peut-être surpris d`apprendre que vous devriez également collaborer avec un vérificateur dès le début de votre mise en œuvre de l`ISO 27001. Afin de répondre adéquatement à cette question, l`organisation en question devrait montrer une liste de cet inventaire et le processus par lequel ils recueillent les articles ou l`information. Utilement, la norme vous donne un point de départ sous la forme de l`annexe A, qui commence à la page 18 du document et est une longue liste de contrôles que vous devriez envisager pour l`inclusion dans votre SoA. Ce qui importe, c`est que vous considérez chaque élément et décidez si elle est dans ou hors de portée. Ce qui est généralement fait, c`est que les entreprises définissent les profils utilisateur, et si un accès doit être approuvé ci-dessus, cela est considéré comme un accès privilégié, puis le propriétaire de l`actif doit approuver cette exception. Lorsque des contrôles sont nécessaires pour gérer les risques identifiés, les contrôles appropriés doivent être sélectionnés. Trop de fois, il est arrivé que les gens ont accès à certains systèmes quelques années après qu`ils ont quitté une entreprise, seulement parce que personne ne s`est souvenu de fermer cet accès. Son choix est libre, mais il est essentiel, voiture il figure ensuite le périmètre de certification. Bien que l`annexe A est de 13 pages de long, vous n`avez pas nécessairement à inclure tout-en particulier si une grande partie de ce que votre entreprise ne se rapporte à physique plutôt que la sécurité informatique. La norme précise que les exigences en matières de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus et impérativement ne pas être ni trop laxistes ni trop sévères. Imaginez maintenant que quelqu`un a piraté votre grille-pain et obtenu l`accès à votre réseau entier.

(Visited 1 times, 1 visits today)