Détails de l’initiative intégrée Conformité réglementaire pour ISO 27001:2013 (Azure Government)
L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée à des domaines de conformité et des contrôles dans ISO 27001:2013 (Azure Government). Pour plus d’informations sur cette norme de conformité, consultez ISO 27001:2013. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.
Les correspondances suivantes concernent les contrôles ISO 27001:2013. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée Conformité réglementaire ISO 27001:2013.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
Chiffrement
Stratégie sur l’utilisation des contrôles de chiffrement
ID : Propriété ISO 27001:2013 A.10.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 1.0.0 |
Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Documenter et distribuer une stratégie de confidentialité | CMA_0188 - Documenter et distribuer une stratégie de confidentialité | Manuel, désactivé | 1.1.0 |
Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Restreindre les communications | CMA_0449 - Restreindre les communications | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Gestion de clés
ID : Propriété ISO 27001:2013 A.10.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
Définir les exigences organisationnelles pour la gestion des clés de chiffrement | CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement | Manuel, désactivé | 1.1.0 |
Déterminer les exigences d’assertion | CMA_0136 – Déterminer les exigences d’assertion | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Établir une stratégie de mot de passe | CMA_0256 - Établir une stratégie de mot de passe | Manuel, désactivé | 1.1.0 |
Identifier les actions autorisées sans authentification | CMA_0295 - Identifier les actions autorisées sans authentification | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | Manuel, désactivé | 1.1.0 |
Implémenter des paramètres pour les vérificateurs de secrets mémorisés | CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés | Manuel, désactivé | 1.1.0 |
Émettre des certificats de clé publique | CMA_0347 – Émettre des certificats de clé publique | Manuel, désactivé | 1.1.0 |
Gérer les clés de chiffrement symétriques | CMA_0367 – Gérer les clés de chiffrement symétriques | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux clés privées | CMA_0445 – Restreindre l’accès aux clés privées | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Mettre fin aux informations d’identification de compte contrôlées par le client | CMA_C1022 - Mettre fin aux informations d’identification de compte contrôlées par le client | Manuel, désactivé | 1.1.0 |
Sécurité physique et environnementale
Périmètre de sécurité physique
ID : Propriété ISO 27001:2013 A.11.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
Établir et tenir à jour un inventaire des ressources | CMA_0266 - Établir et tenir à jour un inventaire des ressources | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Installer un système d’alarme | CMA_0338 - Installer un système d’alarme | Manuel, désactivé | 1.1.0 |
Gérer un système de caméras de surveillance sécurisé | CMA_0354 - Gérer un système de caméras de surveillance sécurisé | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Contrôles d’entrée physique
ID : Propriété ISO 27001:2013 A.11.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
Désigner du personnel pour surveiller les activités de maintenance non autorisées | CMA_C1422 - Désigner du personnel pour surveiller les activités de maintenance non autorisées | Manuel, désactivé | 1.1.0 |
Établir et tenir à jour un inventaire des ressources | CMA_0266 - Établir et tenir à jour un inventaire des ressources | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Tenir à jour la liste du personnel de maintenance à distance autorisé | CMA_C1420 - Tenir à jour la liste du personnel de maintenance à distance autorisé | Manuel, désactivé | 1.1.0 |
Gérer le personnel de maintenance | CMA_C1421 - Gérer le personnel de maintenance | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Sécurisation des bureaux, des salles et des installations
ID : Propriété ISO 27001:2013 A.11.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
Établir et tenir à jour un inventaire des ressources | CMA_0266 - Établir et tenir à jour un inventaire des ressources | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Protection contre les menaces externes et environnementales
ID : Propriété ISO 27001:2013 A.11.1.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Créer des sites de stockage alternatifs et principaux distincts | CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts | Manuel, désactivé | 1.1.0 |
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal | CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal | Manuel, désactivé | 1.1.0 |
Vérifier que le système d’informations échoue dans un état connu | CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu | Manuel, désactivé | 1.1.0 |
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde | CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde | Manuel, désactivé | 1.1.0 |
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif | CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Installer un système d’alarme | CMA_0338 - Installer un système d’alarme | Manuel, désactivé | 1.1.0 |
Planifier la continuité des fonctions métier essentielles | CMA_C1255 - Planifier la continuité des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Travailler dans des zones sécurisées
ID : Propriété ISO 27001:2013 A.11.1.5 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Zones de livraison et de chargement
ID : Propriété ISO 27001:2013 A.11.1.6 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la gestion des ressources | CMA_0125 - Définir les exigences pour la gestion des ressources | Manuel, désactivé | 1.1.0 |
Installer un système d’alarme | CMA_0338 - Installer un système d’alarme | Manuel, désactivé | 1.1.0 |
Gérer un système de caméras de surveillance sécurisé | CMA_0354 - Gérer un système de caméras de surveillance sécurisé | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Placement et protection des équipements
ID : Propriété ISO 27001:2013 A.11.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Utilitaires de prise en charge
ID : Propriété ISO 27001:2013 A.11.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un éclairage d’urgence automatique | CMA_0209 - Utiliser un éclairage d’urgence automatique | Manuel, désactivé | 1.1.0 |
Établir les exigences pour les fournisseurs de services Internet | CMA_0278 - Établir les exigences pour les fournisseurs de services Internet | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Sécurité du câblage
ID : Propriété ISO 27001:2013 A.11.2.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Maintenance des équipements
ID : Propriété ISO 27001:2013 A.11.2.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser les activités de maintenance à distance | CMA_C1402 - Automatiser les activités de maintenance à distance | Manuel, désactivé | 1.1.0 |
Contrôler les activités de maintenance et de réparation | CMA_0080 - Contrôler les activités de maintenance et de réparation | Manuel, désactivé | 1.1.0 |
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Produire des enregistrements complets des activités de maintenance à distance | CMA_C1403 - Produire des enregistrements complets des activités de maintenance à distance | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Assurer la maintenance en temps opportun | CMA_C1425 - Assurer la maintenance en temps opportun | Manuel, désactivé | 1.1.0 |
Suppression des ressources
ID : Propriété ISO 27001:2013 A.11.2.5 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler les activités de maintenance et de réparation | CMA_0080 - Contrôler les activités de maintenance et de réparation | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la gestion des ressources | CMA_0125 - Définir les exigences pour la gestion des ressources | Manuel, désactivé | 1.1.0 |
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Sécurité des équipements et des ressources hors site local
ID : Propriété ISO 27001:2013 A.11.2.6 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les exigences pour les appareils mobiles | CMA_0122 - Définir les exigences pour les appareils mobiles | Manuel, désactivé | 1.1.0 |
S’assurer que les protections de sécurité ne sont pas nécessaires quand les personnes reviennent | CMA_C1183 - S’assurer que les protections de sécurité ne sont pas nécessaires quand les personnes reviennent | Manuel, désactivé | 1.1.0 |
Établir les conditions générales d’accès aux ressources | CMA_C1076 - Établir les conditions générales d’accès aux ressources | Manuel, désactivé | 1.1.0 |
Établir les conditions générales pour le traitement des ressources | CMA_C1077 - Établir les conditions générales pour le traitement des ressources | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Empêcher les systèmes d’information d’être associés à des personnes | CMA_C1182 - Empêcher les systèmes d’information d’être associés à des personnes | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Vérifier les contrôles de sécurité pour les systèmes d’information externes | CMA_0541 - Vérifier les contrôles de sécurité pour les systèmes d’information externes | Manuel, désactivé | 1.1.0 |
Élimination ou réutilisation sécurisée des équipements
ID : Propriété ISO 27001:2013 A.11.2.7 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Effectuer une révision avant destruction | CMA_0391 - Effectuer une révision avant destruction | Manuel, désactivé | 1.1.0 |
Vérifier que les données personnelles sont supprimées à la fin du traitement | CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement | Manuel, désactivé | 1.1.0 |
Équipement d’utilisateur sans surveillance
ID : Propriété ISO 27001:2013 A.11.2.8 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Terminer automatiquement la session utilisateur | CMA_C1054 – Terminer automatiquement la session utilisateur | Manuel, désactivé | 1.1.0 |
Stratégie d’effacement du bureau et de l’écran
ID : Propriété ISO 27001:2013 A.11.2.9 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Sécurité des opérations
Procédures d’exploitation documentées
ID : Propriété ISO 27001:2013 A.12.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Distribuer la documentation du système d’information | CMA_C1584 - Distribuer la documentation du système d’information | Manuel, désactivé | 1.1.0 |
Documenter les actions définies par le client | CMA_C1582 - Documenter les actions définies par le client | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Obtenir la documentation sur l’administration | CMA_C1580 - Obtenir la documentation sur l’administration | Manuel, désactivé | 1.1.0 |
Obtenir la documentation sur la fonction de sécurité utilisateur | CMA_C1581 - Obtenir la documentation sur la fonction de sécurité utilisateur | Manuel, désactivé | 1.1.0 |
Protéger la documentation de l’administrateur et de l’utilisateur | CMA_C1583 - Protéger la documentation de l’administrateur et de l’utilisateur | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Gestion des changements
ID : Propriété ISO 27001:2013 A.12.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Résoudre les vulnérabilités de codage | CMA_0003 - Résoudre les vulnérabilités de codage | Manuel, désactivé | 1.1.0 |
Automatiser la demande d’approbation pour les modifications proposées | CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées | Manuel, désactivé | 1.1.0 |
Automatiser l’implémentation des notifications de modification approuvées | CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de documentation des modifications implémentées | CMA_C1195 - Automatiser le processus de documentation des modifications implémentées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de mise en évidence des propositions de modification non révisées | CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées | Manuel, désactivé | 1.1.0 |
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées | CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées | Manuel, désactivé | 1.1.0 |
Automatiser les modifications documentées proposées | CMA_C1191 - Automatiser les modifications documentées proposées | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et documenter les exigences de sécurité des applications | CMA_0148 - Développer et documenter les exigences de sécurité des applications | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir un programme de développement de logiciels sécurisés | CMA_0259 - Établir un programme de développement de logiciels sécurisés | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Installer un système d’alarme | CMA_0338 - Installer un système d’alarme | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils gèrent l’intégrité des modifications | CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications | Manuel, désactivé | 1.1.0 |
Gestion des capacités
ID : Propriété ISO 27001:2013 A.12.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer la planification des capacités | CMA_C1252 - Effectuer la planification des capacités | Manuel, désactivé | 1.1.0 |
Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
Séparation des environnements de développement, de test et d’exploitation
ID : Propriété ISO 27001:2013 A.12.1.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Vérifier qu’il n’existe aucun authentificateur statique non chiffré | CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour protéger les informations d’identification personnelle | CMA_C1839 - Implémenter des contrôles pour protéger les informations d’identification personnelle | Manuel, désactivé | 1.1.0 |
Incorporer des pratiques de sécurité et de confidentialité des données dans le traitement des recherches | CMA_0331 - Incorporer des pratiques de sécurité et de confidentialité des données dans le traitement des recherches | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Contrôles contre les programmes malveillants
ID : Propriété ISO 27001:2013 A.12.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Contrôler les activités de maintenance et de réparation | CMA_0080 - Contrôler les activités de maintenance et de réparation | Manuel, désactivé | 1.1.0 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Fournir une formation périodique sur la sensibilisation à la sécurité | CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité pour les nouveaux utilisateurs | CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs | Manuel, désactivé | 1.1.0 |
Fournir une formation de sensibilisation à la sécurité mise à jour | CMA_C1090 - Fournir une formation de sensibilisation à la sécurité mise à jour | Manuel, désactivé | 1.1.0 |
Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
Passer en revue l’état de la protection contre les menaces chaque semaine | CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine | Manuel, désactivé | 1.1.0 |
Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
Sauvegarde des informations
ID : Propriété ISO 27001:2013 A.12.3.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Effectuer une sauvegarde de la documentation du système d’information | CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information | Manuel, désactivé | 1.1.0 |
Créer des sites de stockage alternatifs et principaux distincts | CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts | Manuel, désactivé | 1.1.0 |
Vérifier que le système d’informations échoue dans un état connu | CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu | Manuel, désactivé | 1.1.0 |
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
Établir des stratégies et des procédures de sauvegarde | CMA_0268 - Établir des stratégies et des procédures de sauvegarde | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Implémenter une récupération basée sur les transactions | CMA_C1296 - Implémenter une récupération basée sur les transactions | Manuel, désactivé | 1.1.0 |
Effectuer une révision avant destruction | CMA_0391 - Effectuer une révision avant destruction | Manuel, désactivé | 1.1.0 |
Planifier la continuité des fonctions métier essentielles | CMA_C1255 - Planifier la continuité des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Stocker séparément les informations de sauvegarde | CMA_C1293 - Stocker séparément les informations de sauvegarde | Manuel, désactivé | 1.1.0 |
Transférer les informations de sauvegarde vers un autre site de stockage | CMA_C1294 - Transférer les informations de sauvegarde vers un autre site de stockage | Manuel, désactivé | 1.1.0 |
Vérifier que les données personnelles sont supprimées à la fin du traitement | CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement | Manuel, désactivé | 1.1.0 |
Journalisation des événements
ID : Propriété ISO 27001:2013 A.12.4.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1-preview |
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés | Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. | AuditIfNotExists | 2.0.1 |
Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
Autoriser, surveiller et contrôler la VoIP | CMA_0025 - Autoriser, surveiller et contrôler la VoIP | Manuel, désactivé | 1.1.0 |
Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | Manuel, désactivé | 1.1.0 |
Effectuer une analyse de texte intégral des commandes privilégiées journalisées | CMA_0056 - Effectuer une analyse de texte intégral des commandes privilégiées journalisées | Manuel, désactivé | 1.1.0 |
Configurer les fonctionnalités d’audit d’Azure | CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure | Manuel, désactivé | 1.1.1 |
Mettre en corrélation les enregistrements d’audit | CMA_0087 - Mettre en corrélation les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Dependency Agent doit être activé pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées | Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Découvrir tous les indicateurs de compromission | CMA_C1702 - Découvrir tous les indicateurs de compromission | Manuel, désactivé | 1.1.0 |
Documenter la base légale pour le traitement des informations personnelles | CMA_0206 - Documenter la base légale pour le traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Appliquer et auditer les restrictions d’accès | CMA_C1203 - Appliquer et auditer les restrictions d’accès | Manuel, désactivé | 1.1.0 |
Établir des exigences pour la révision et la création de rapports d’audit | CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit | Manuel, désactivé | 1.1.0 |
Implémenter des méthodes pour les demandes des consommateurs | CMA_0319 - Implémenter des méthodes pour les demandes des consommateurs | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Intégrer la révision d’audit, l’analyse et la création de rapports | CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports | Manuel, désactivé | 1.1.0 |
Intégrer la sécurité des applications cloud à un SIEM | CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM | Manuel, désactivé | 1.1.0 |
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées | Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Surveiller l’activité des comptes | CMA_0377 - Surveiller l’activité des comptes | Manuel, désactivé | 1.1.0 |
Surveiller l’attribution de rôle privilégié | CMA_0378 – Surveiller l’attribution de rôle privilégié | Manuel, désactivé | 1.1.0 |
Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Obtenir un avis juridique pour la supervision des activités du système | CMA_C1688 - Obtenir un avis juridique pour la supervision des activités du système | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Fournir des informations de supervision selon les besoins | CMA_C1689 - Fournir des informations de supervision selon les besoins | Manuel, désactivé | 1.1.0 |
Publier les procédures d’accès dans des réseaux SORN | CMA_C1848 - Publier les procédures d’accès dans des réseaux SORN | Manuel, désactivé | 1.1.0 |
Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité | CMA_C1847 - Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue les affectations d’administrateurs toutes les semaines | CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les événements définis dans AU-02 | CMA_C1106 - Passer en revue et mettre à jour les événements définis dans AU-02 | Manuel, désactivé | 1.1.0 |
Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Passer en revue les modifications non autorisées | CMA_C1204 - Passer en revue les modifications non autorisées | Manuel, désactivé | 1.1.0 |
Passer en revue la vue d’ensemble du rapport des identités cloud | CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud | Manuel, désactivé | 1.1.0 |
Passer en revue les événements accès contrôlé aux dossiers | CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers | Manuel, désactivé | 1.1.0 |
Examiner l’activité des fichiers et des dossiers | CMA_0473 - Examiner l’activité des fichiers et des dossiers | Manuel, désactivé | 1.1.0 |
Passer en revue les modifications apportées aux groupes de rôles chaque semaine | CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Router le trafic via des points d’accès réseau gérés | CMA_0484 - Router le trafic via des points d’accès réseau gérés | Manuel, désactivé | 1.1.0 |
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Utiliser Privileged Identity Management | CMA_0533 – Utiliser la gestion des identités privilégiées | Manuel, désactivé | 1.1.0 |
Protection des informations des journaux
ID : Propriété ISO 27001:2013 A.12.4.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Définir les tâches des processeurs | CMA_0127 - Définir les tâches des processeurs | Manuel, désactivé | 1.1.0 |
Activer l’autorisation double ou conjointe | CMA_0226 – Activer l’autorisation double ou conjointe | Manuel, désactivé | 1.1.0 |
Effectuer une révision avant destruction | CMA_0391 - Effectuer une révision avant destruction | Manuel, désactivé | 1.1.0 |
Protéger les informations d’audit | CMA_0401 – Protéger les informations d’audit | Manuel, désactivé | 1.1.0 |
Enregistrer les divulgations d’informations personnelles à des tiers | CMA_0422 - Enregistrer les divulgations d’informations personnelles à des tiers | Manuel, désactivé | 1.1.0 |
Former le personnel sur le partage d’informations personnelles et ses conséquences | CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences | Manuel, désactivé | 1.1.0 |
Vérifier que les données personnelles sont supprimées à la fin du traitement | CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement | Manuel, désactivé | 1.1.0 |
Journaux des administrateurs et opérateurs
ID : Propriété ISO 27001:2013 A.12.4.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1-preview |
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés | Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. | AuditIfNotExists | 2.0.1 |
Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
Autoriser, surveiller et contrôler la VoIP | CMA_0025 - Autoriser, surveiller et contrôler la VoIP | Manuel, désactivé | 1.1.0 |
Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | Manuel, désactivé | 1.1.0 |
Effectuer une analyse de texte intégral des commandes privilégiées journalisées | CMA_0056 - Effectuer une analyse de texte intégral des commandes privilégiées journalisées | Manuel, désactivé | 1.1.0 |
Dependency Agent doit être activé pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées | Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
Activer l’autorisation double ou conjointe | CMA_0226 – Activer l’autorisation double ou conjointe | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées | Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Surveiller l’activité des comptes | CMA_0377 - Surveiller l’activité des comptes | Manuel, désactivé | 1.1.0 |
Surveiller l’attribution de rôle privilégié | CMA_0378 – Surveiller l’attribution de rôle privilégié | Manuel, désactivé | 1.1.0 |
Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Obtenir un avis juridique pour la supervision des activités du système | CMA_C1688 - Obtenir un avis juridique pour la supervision des activités du système | Manuel, désactivé | 1.1.0 |
Protéger les informations d’audit | CMA_0401 – Protéger les informations d’audit | Manuel, désactivé | 1.1.0 |
Fournir des informations de supervision selon les besoins | CMA_C1689 - Fournir des informations de supervision selon les besoins | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Router le trafic via des points d’accès réseau gérés | CMA_0484 - Router le trafic via des points d’accès réseau gérés | Manuel, désactivé | 1.1.0 |
Utiliser Privileged Identity Management | CMA_0533 – Utiliser la gestion des identités privilégiées | Manuel, désactivé | 1.1.0 |
Synchronisation des horloges
ID : Propriété ISO 27001:2013 A.12.4.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1-preview |
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés | Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. | AuditIfNotExists | 2.0.1 |
L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
Compiler les enregistrements d’audit dans l’audit à l’échelle du système | CMA_C1140 - Compiler les enregistrements d’audit dans l’audit à l’échelle du système | Manuel, désactivé | 1.1.0 |
Dependency Agent doit être activé pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées | Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées | Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1 |
Utiliser des horloges système pour les enregistrements d’audit | CMA_0535 - Utiliser des horloges système pour les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Installation de logiciels sur les systèmes d’exploitation
ID : Propriété ISO 27001:2013 A.12.5.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser la demande d’approbation pour les modifications proposées | CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées | Manuel, désactivé | 1.1.0 |
Automatiser l’implémentation des notifications de modification approuvées | CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de documentation des modifications implémentées | CMA_C1195 - Automatiser le processus de documentation des modifications implémentées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de mise en évidence des propositions de modification non révisées | CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées | Manuel, désactivé | 1.1.0 |
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées | CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées | Manuel, désactivé | 1.1.0 |
Automatiser les modifications documentées proposées | CMA_C1191 - Automatiser les modifications documentées proposées | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Gouverner la conformité des fournisseurs de services cloud | CMA_0290 - Gouverner la conformité des fournisseurs de services cloud | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Visualiser et configurer les données de diagnostic système | CMA_0544 - Visualiser et configurer les données de diagnostic système | Manuel, désactivé | 1.1.0 |
Gestion des vulnérabilités techniques
ID : Propriété ISO 27001:2013 A.12.6.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques et distribuer ses résultats | CMA_C1544 - Effectuer une évaluation des risques et distribuer ses résultats | Manuel, désactivé | 1.1.0 |
Effectuer l’évaluation des risques et documenter ses résultats | CMA_C1542 - Effectuer l’évaluation des risques et documenter ses résultats | Manuel, désactivé | 1.1.0 |
Incorporer la correction des défauts dans la gestion de configuration | CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité | CMA_C1149 - Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
Restrictions liées à l’installation de logiciels
ID : Propriété ISO 27001:2013 A.12.6.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser la demande d’approbation pour les modifications proposées | CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées | Manuel, désactivé | 1.1.0 |
Automatiser l’implémentation des notifications de modification approuvées | CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de documentation des modifications implémentées | CMA_C1195 - Automatiser le processus de documentation des modifications implémentées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de mise en évidence des propositions de modification non révisées | CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées | Manuel, désactivé | 1.1.0 |
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées | CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées | Manuel, désactivé | 1.1.0 |
Automatiser les modifications documentées proposées | CMA_C1191 - Automatiser les modifications documentées proposées | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Gouverner la conformité des fournisseurs de services cloud | CMA_0290 - Gouverner la conformité des fournisseurs de services cloud | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Visualiser et configurer les données de diagnostic système | CMA_0544 - Visualiser et configurer les données de diagnostic système | Manuel, désactivé | 1.1.0 |
Contrôles d’audit des systèmes d’information
ID : Propriété ISO 27001:2013 A.12.7.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser une équipe indépendante pour les tests d’intrusion | CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion | Manuel, désactivé | 1.1.0 |
Sécurité des communications
Contrôles de réseau
ID : Propriété ISO 27001:2013 A.13.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Documenter et implémenter les instructions d’accès sans fil | CMA_0190 - Documenter et implémenter les instructions d’accès sans fil | Manuel, désactivé | 1.1.0 |
Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Utiliser la protection des limites pour isoler les systèmes d’information | CMA_C1639 - Utiliser la protection des limites pour isoler les systèmes d’information | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Établir les conditions générales d’accès aux ressources | CMA_C1076 - Établir les conditions générales d’accès aux ressources | Manuel, désactivé | 1.1.0 |
Établir les conditions générales pour le traitement des ressources | CMA_C1077 - Établir les conditions générales pour le traitement des ressources | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Implémenter une interface managée pour chaque service externe | CMA_C1626 - Implémenter une interface managée pour chaque service externe | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | Manuel, désactivé | 1.1.0 |
Empêcher le tunneling fractionné pour les appareils distants | CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants | Manuel, désactivé | 1.1.0 |
Produire, contrôler et distribuer des clés de chiffrement asymétriques | CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Protéger l’accès sans fil | CMA_0411 - Protéger l’accès sans fil | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Fournir des services sécurisés de résolution de noms et d’adresses | CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses | Manuel, désactivé | 1.1.0 |
Réauthentifier ou mettre fin à une session utilisateur | CMA_0421 - Réauthentifier ou mettre fin à une session utilisateur | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Sécuriser l’interface pour les systèmes externes | CMA_0491 - Sécuriser l’interface pour les systèmes externes | Manuel, désactivé | 1.1.0 |
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information | CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information | Manuel, désactivé | 1.1.0 |
Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Utiliser des machines dédiées pour les tâches d’administration | CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration | Manuel, désactivé | 1.1.0 |
Vérifier les contrôles de sécurité pour les systèmes d’information externes | CMA_0541 - Vérifier les contrôles de sécurité pour les systèmes d’information externes | Manuel, désactivé | 1.1.0 |
Sécurité des services réseau
ID : Propriété ISO 27001:2013 A.13.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Définir et documenter la supervision du secteur public | CMA_C1587 - Définir et documenter la supervision du secteur public | Manuel, désactivé | 1.1.0 |
Établir les exigences de signature électronique et de certificat | CMA_0271 - Établir les exigences de signature électronique et de certificat | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Empêcher le tunneling fractionné pour les appareils distants | CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Exiger des contrats de sécurité des interconnexion | CMA_C1151 - Exiger des contrats de sécurité des interconnexions | Manuel, désactivé | 1.1.0 |
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | Manuel, désactivé | 1.1.0 |
Router le trafic via des points d’accès réseau gérés | CMA_0484 - Router le trafic via des points d’accès réseau gérés | Manuel, désactivé | 1.1.0 |
Sécuriser l’interface pour les systèmes externes | CMA_0491 - Sécuriser l’interface pour les systèmes externes | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Mettre à jour les contrats de sécurité des interconnexions | CMA_0519 - Mettre à jour les contrats de sécurité des interconnexions | Manuel, désactivé | 1.1.0 |
Séparation des réseaux
ID : Propriété ISO 27001:2013 A.13.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Utiliser la protection des limites pour isoler les systèmes d’information | CMA_C1639 - Utiliser la protection des limites pour isoler les systèmes d’information | Manuel, désactivé | 1.1.0 |
Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Implémenter une interface managée pour chaque service externe | CMA_C1626 - Implémenter une interface managée pour chaque service externe | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | Manuel, désactivé | 1.1.0 |
Empêcher le tunneling fractionné pour les appareils distants | CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants | Manuel, désactivé | 1.1.0 |
Fournir des services sécurisés de résolution de noms et d’adresses | CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses | Manuel, désactivé | 1.1.0 |
Sécuriser l’interface pour les systèmes externes | CMA_0491 - Sécuriser l’interface pour les systèmes externes | Manuel, désactivé | 1.1.0 |
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information | CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information | Manuel, désactivé | 1.1.0 |
Utiliser des machines dédiées pour les tâches d’administration | CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration | Manuel, désactivé | 1.1.0 |
Stratégies et procédures de transfert d’informations
ID : Propriété ISO 27001:2013 A.13.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Définir les exigences pour les appareils mobiles | CMA_0122 - Définir les exigences pour les appareils mobiles | Manuel, désactivé | 1.1.0 |
Documenter et implémenter les instructions d’accès sans fil | CMA_0190 - Documenter et implémenter les instructions d’accès sans fil | Manuel, désactivé | 1.1.0 |
Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Établir les conditions générales d’accès aux ressources | CMA_C1076 - Établir les conditions générales d’accès aux ressources | Manuel, désactivé | 1.1.0 |
Établir les conditions générales pour le traitement des ressources | CMA_C1077 - Établir les conditions générales pour le traitement des ressources | Manuel, désactivé | 1.1.0 |
Notifier explicitement l’utilisation d’appareils informatiques collaboratifs | CMA_C1649 - Notifier explicitement l’utilisation d’appareils informatiques collaboratifs | Manuel, désactivé | 1.1.1 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Implémenter une interface managée pour chaque service externe | CMA_C1626 - Implémenter une interface managée pour chaque service externe | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | Manuel, désactivé | 1.1.0 |
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
Produire, contrôler et distribuer des clés de chiffrement asymétriques | CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques | Manuel, désactivé | 1.1.0 |
Interdire l’activation à distance d’appareils informatiques collaboratifs | CMA_C1648 - Interdire l’activation à distance d’appareils informatiques collaboratifs | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Protéger l’accès sans fil | CMA_0411 - Protéger l’accès sans fil | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Fournir des services sécurisés de résolution de noms et d’adresses | CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses | Manuel, désactivé | 1.1.0 |
Exiger des contrats de sécurité des interconnexion | CMA_C1151 - Exiger des contrats de sécurité des interconnexions | Manuel, désactivé | 1.1.0 |
Sécuriser l’interface pour les systèmes externes | CMA_0491 - Sécuriser l’interface pour les systèmes externes | Manuel, désactivé | 1.1.0 |
La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
Mettre à jour les contrats de sécurité des interconnexions | CMA_0519 - Mettre à jour les contrats de sécurité des interconnexions | Manuel, désactivé | 1.1.0 |
Vérifier les contrôles de sécurité pour les systèmes d’information externes | CMA_0541 - Vérifier les contrôles de sécurité pour les systèmes d’information externes | Manuel, désactivé | 1.1.0 |
Accords sur le transfert d’informations
ID : Propriété ISO 27001:2013 A.13.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir et documenter la supervision du secteur public | CMA_C1587 - Définir et documenter la supervision du secteur public | Manuel, désactivé | 1.1.0 |
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Identifier les fournisseurs de services externes | CMA_C1591 - Identifier les fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Obtenir le consentement avant la collecte ou le traitement des données personnelles | CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Exiger des contrats de sécurité des interconnexion | CMA_C1151 - Exiger des contrats de sécurité des interconnexions | Manuel, désactivé | 1.1.0 |
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Mettre à jour les contrats de sécurité des interconnexions | CMA_0519 - Mettre à jour les contrats de sécurité des interconnexions | Manuel, désactivé | 1.1.0 |
Messagerie électronique
ID : Propriété ISO 27001:2013 A.13.2.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Produire, contrôler et distribuer des clés de chiffrement asymétriques | CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Fournir des services sécurisés de résolution de noms et d’adresses | CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses | Manuel, désactivé | 1.1.0 |
Accords de confidentialité ou de non-divulgation
ID : Propriété ISO 27001:2013 A.13.2.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Développer une stratégie de code de conduite de l’organisation | CMA_0159 - Développer une stratégie de code de conduite de l’organisation | Manuel, désactivé | 1.1.0 |
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
Documenter les contrats d’accès de l’organisation | CMA_0192 - Documenter les contrats d’accès de l’organisation | Manuel, désactivé | 1.1.0 |
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu | CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu | Manuel, désactivé | 1.1.0 |
Interdire les pratiques déloyales | CMA_0396 - Interdire les pratiques déloyales | Manuel, désactivé | 1.1.0 |
Exiger des utilisateurs qu’ils signent un contrat d’accès | CMA_0440 - Exiger des utilisateurs qu’ils signent un contrat d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et signer les règles de comportement révisées | CMA_0465 - Passer en revue et signer les règles de comportement révisées | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour les contrats d’accès de l’organisation | CMA_0520 - Mettre à jour les contrats d’accès de l’organisation | Manuel, désactivé | 1.1.0 |
Mettre à jour les règles de comportement et les contrats d’accès | CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès | Manuel, désactivé | 1.1.0 |
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans | CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans | Manuel, désactivé | 1.1.0 |
Acquisition, développement et maintenance des systèmes
Analyse et spécification des exigences en matière de sécurité des informations
ID : Propriété ISO 27001:2013 A.14.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les rôles et les responsabilités de sécurité des informations | CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Développer un concept d’opérations (CONOPS) | CMA_0141 - Développer un concept d’opérations (CONOPS) | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Développer un SSP qui répond aux critères | CMA_C1492 - Développer un SSP qui répond aux critères | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Identifier les fournisseurs de services externes | CMA_C1591 - Identifier les fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | Manuel, désactivé | 1.1.1 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Intégrer le processus de gestion des risques au SDLC | CMA_C1567 - Intégrer le processus de gestion des risques au SDLC | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour l’architecture de sécurité des informations | CMA_C1504 - Passer en revue et mettre à jour l’architecture de sécurité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue le processus, les standards et les outils de développement | CMA_C1610 - Passer en revue le processus, les standards et les outils de développement | Manuel, désactivé | 1.1.0 |
Sécurisation des services d’application sur des réseaux publics
ID : Propriété ISO 27001:2013 A.14.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Appliquer l’unicité de l’utilisateur | CMA_0250 – Appliquer l’unicité de l’utilisateur | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | Manuel, désactivé | 1.1.0 |
Produire, contrôler et distribuer des clés de chiffrement asymétriques | CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Fournir des services sécurisés de résolution de noms et d’adresses | CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | Manuel, désactivé | 1.1.0 |
Protection des transactions des services d’application
ID : Propriété ISO 27001:2013 A.14.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
Utiliser la protection des limites pour isoler les systèmes d’information | CMA_C1639 - Utiliser la protection des limites pour isoler les systèmes d’information | Manuel, désactivé | 1.1.0 |
Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Appliquer l’unicité de l’utilisateur | CMA_0250 – Appliquer l’unicité de l’utilisateur | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | Manuel, désactivé | 1.1.0 |
Empêcher le tunneling fractionné pour les appareils distants | CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants | Manuel, désactivé | 1.1.0 |
Produire, contrôler et distribuer des clés de chiffrement asymétriques | CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Fournir des services sécurisés de résolution de noms et d’adresses | CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Sécuriser l’interface pour les systèmes externes | CMA_0491 - Sécuriser l’interface pour les systèmes externes | Manuel, désactivé | 1.1.0 |
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information | CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information | Manuel, désactivé | 1.1.0 |
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | Manuel, désactivé | 1.1.0 |
Utiliser des machines dédiées pour les tâches d’administration | CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration | Manuel, désactivé | 1.1.0 |
Stratégie de développement sécurisé
ID : Propriété ISO 27001:2013 A.14.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les rôles et les responsabilités de sécurité des informations | CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations | Manuel, désactivé | 1.1.0 |
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | Manuel, désactivé | 1.1.1 |
Intégrer le processus de gestion des risques au SDLC | CMA_C1567 - Intégrer le processus de gestion des risques au SDLC | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils créent une architecture de sécurité | CMA_C1612 - Exiger des développeurs qu’ils créent une architecture de sécurité | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises | CMA_C1613 - Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité | CMA_C1614 - Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité | Manuel, désactivé | 1.1.0 |
Passer en revue le processus, les standards et les outils de développement | CMA_C1610 - Passer en revue le processus, les standards et les outils de développement | Manuel, désactivé | 1.1.0 |
Procédures de contrôle de modification des systèmes
ID : Propriété ISO 27001:2013 A.14.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Résoudre les vulnérabilités de codage | CMA_0003 - Résoudre les vulnérabilités de codage | Manuel, désactivé | 1.1.0 |
Automatiser la demande d’approbation pour les modifications proposées | CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées | Manuel, désactivé | 1.1.0 |
Automatiser l’implémentation des notifications de modification approuvées | CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de documentation des modifications implémentées | CMA_C1195 - Automatiser le processus de documentation des modifications implémentées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de mise en évidence des propositions de modification non révisées | CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées | Manuel, désactivé | 1.1.0 |
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées | CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées | Manuel, désactivé | 1.1.0 |
Automatiser les modifications documentées proposées | CMA_C1191 - Automatiser les modifications documentées proposées | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et documenter les exigences de sécurité des applications | CMA_0148 - Développer et documenter les exigences de sécurité des applications | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir un programme de développement de logiciels sécurisés | CMA_0259 - Établir un programme de développement de logiciels sécurisés | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Incorporer la correction des défauts dans la gestion de configuration | CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils gèrent l’intégrité des modifications | CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications | Manuel, désactivé | 1.1.0 |
Révision technique des applications suite à la modification de la plateforme d’exploitation
ID : Propriété ISO 27001:2013 A.14.2.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser la demande d’approbation pour les modifications proposées | CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées | Manuel, désactivé | 1.1.0 |
Automatiser l’implémentation des notifications de modification approuvées | CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de documentation des modifications implémentées | CMA_C1195 - Automatiser le processus de documentation des modifications implémentées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de mise en évidence des propositions de modification non révisées | CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées | Manuel, désactivé | 1.1.0 |
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées | CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées | Manuel, désactivé | 1.1.0 |
Automatiser les modifications documentées proposées | CMA_C1191 - Automatiser les modifications documentées proposées | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Incorporer la correction des défauts dans la gestion de configuration | CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Restrictions de l’apport de modifications aux packages logiciels
ID : ISO 27001:2013 A.14.2.4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Résoudre les vulnérabilités de codage | CMA_0003 - Résoudre les vulnérabilités de codage | Manuel, désactivé | 1.1.0 |
Automatiser la demande d’approbation pour les modifications proposées | CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées | Manuel, désactivé | 1.1.0 |
Automatiser l’implémentation des notifications de modification approuvées | CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de documentation des modifications implémentées | CMA_C1195 - Automatiser le processus de documentation des modifications implémentées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de mise en évidence des propositions de modification non révisées | CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées | Manuel, désactivé | 1.1.0 |
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées | CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées | Manuel, désactivé | 1.1.0 |
Automatiser les modifications documentées proposées | CMA_C1191 - Automatiser les modifications documentées proposées | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et documenter les exigences de sécurité des applications | CMA_0148 - Développer et documenter les exigences de sécurité des applications | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir un programme de développement de logiciels sécurisés | CMA_0259 - Établir un programme de développement de logiciels sécurisés | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils gèrent l’intégrité des modifications | CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications | Manuel, désactivé | 1.1.0 |
Principes d’ingénierie système sécurisés
ID : Propriété ISO 27001:2013 A.14.2.5 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer la validation des entrées d’informations | CMA_C1723 - Effectuer la validation des entrées d’informations | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils créent une architecture de sécurité | CMA_C1612 - Exiger des développeurs qu’ils créent une architecture de sécurité | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises | CMA_C1613 - Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité | CMA_C1614 - Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité | Manuel, désactivé | 1.1.0 |
Passer en revue le processus, les standards et les outils de développement | CMA_C1610 - Passer en revue le processus, les standards et les outils de développement | Manuel, désactivé | 1.1.0 |
Environnement de développement sécurisé
ID : Propriété ISO 27001:2013 A.14.2.6 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Définir les rôles et les responsabilités de sécurité des informations | CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | Manuel, désactivé | 1.1.1 |
Intégrer le processus de gestion des risques au SDLC | CMA_C1567 - Intégrer le processus de gestion des risques au SDLC | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Développement externalisé
ID : Propriété ISO 27001:2013 A.14.2.7 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Résoudre les vulnérabilités de codage | CMA_0003 - Résoudre les vulnérabilités de codage | Manuel, désactivé | 1.1.0 |
Évaluer les risques dans les relations avec les tiers | CMA_0014 - Évaluer les risques dans les relations avec les tiers | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la fourniture de biens et de services | CMA_0126 - Définir les exigences pour la fourniture de biens et de services | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Développer et documenter les exigences de sécurité des applications | CMA_0148 - Développer et documenter les exigences de sécurité des applications | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Établir un programme de développement de logiciels sécurisés | CMA_0259 - Établir un programme de développement de logiciels sécurisés | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils gèrent l’intégrité des modifications | CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité | CMA_C1602 - Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Tests de sécurité des systèmes
ID : Propriété ISO 27001:2013 A.14.2.8 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Fournir les résultats de l’évaluation de la sécurité | CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Vérifier qu’il n’existe aucun authentificateur statique non chiffré | CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Produire un rapport d’évaluation de la sécurité | CMA_C1146 - Produire un rapport d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité | CMA_C1602 - Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Test d’acceptation des systèmes
ID : Propriété ISO 27001:2013 A.14.2.9 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Affecter un responsable des autorisations | CMA_C1158 - Affecter un responsable des autorisations | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Vérifier que les ressources sont autorisées | CMA_C1159 - Vérifier que les ressources sont autorisées | Manuel, désactivé | 1.1.0 |
Vérifier qu’il n’existe aucun authentificateur statique non chiffré | CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré | Manuel, désactivé | 1.1.0 |
Protection des données de test
ID : Propriété ISO 27001:2013 A.14.3.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Vérifier qu’il n’existe aucun authentificateur statique non chiffré | CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Effectuer une révision avant destruction | CMA_0391 - Effectuer une révision avant destruction | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Vérifier que les données personnelles sont supprimées à la fin du traitement | CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement | Manuel, désactivé | 1.1.0 |
Relations avec les fournisseurs
Stratégie de sécurité des informations pour les relations avec les fournisseurs
ID : Propriété ISO 27001:2013 A.15.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les risques dans les relations avec les tiers | CMA_0014 - Évaluer les risques dans les relations avec les tiers | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la fourniture de biens et de services | CMA_0126 - Définir les exigences pour la fourniture de biens et de services | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Clauses relatives à la sécurité dans les contrats avec les fournisseurs
ID : Propriété ISO 27001:2013 A.15.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les risques dans les relations avec les tiers | CMA_0014 - Évaluer les risques dans les relations avec les tiers | Manuel, désactivé | 1.1.0 |
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la fourniture de biens et de services | CMA_0126 - Définir les exigences pour la fourniture de biens et de services | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Développer une stratégie de code de conduite de l’organisation | CMA_0159 - Développer une stratégie de code de conduite de l’organisation | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | Manuel, désactivé | 1.1.0 |
Identifier les fournisseurs de services externes | CMA_C1591 - Identifier les fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Interdire les pratiques déloyales | CMA_0396 - Interdire les pratiques déloyales | Manuel, désactivé | 1.1.0 |
Passer en revue et signer les règles de comportement révisées | CMA_0465 - Passer en revue et signer les règles de comportement révisées | Manuel, désactivé | 1.1.0 |
Mettre à jour les règles de comportement et les contrats d’accès | CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès | Manuel, désactivé | 1.1.0 |
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans | CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans | Manuel, désactivé | 1.1.0 |
Chaîne logistique des technologies de l’information et de la communication
ID : Propriété ISO 27001:2013 A.15.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les risques dans les relations avec les tiers | CMA_0014 - Évaluer les risques dans les relations avec les tiers | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la fourniture de biens et de services | CMA_0126 - Définir les exigences pour la fourniture de biens et de services | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | Manuel, désactivé | 1.1.0 |
Surveillance et évaluation des services de fournisseurs
ID : Propriété ISO 27001:2013 A.15.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir et documenter la supervision du secteur public | CMA_C1587 - Définir et documenter la supervision du secteur public | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Gestion des modifications apportées aux services des fournisseurs
ID : Propriété ISO 27001:2013 A.15.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir et documenter la supervision du secteur public | CMA_C1587 - Définir et documenter la supervision du secteur public | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Gestion des incidents de sécurité informatique
Responsabilités et procédures
ID : Propriété ISO 27001:2013 A.16.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les événements de sécurité des informations | CMA_0013 - Évaluer les événements de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Conserver les enregistrements de divulgation de données | CMA_0351 - Conserver les enregistrements de divulgation de données | Manuel, désactivé | 1.1.0 |
Gérer le plan de réponse aux incidents | CMA_0352 - Gérer le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Protéger le plan de réponse aux incidents | CMA_0405 - Protéger le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Signalement d’événements de sécurité des informations
ID : Propriété ISO 27001:2013 A.16.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettre en corrélation les enregistrements d’audit | CMA_0087 - Mettre en corrélation les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Documenter les opérations de sécurité | CMA_0202 – Documenter les opérations de sécurité | Manuel, désactivé | 1.1.0 |
Établir des exigences pour la révision et la création de rapports d’audit | CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Intégrer la révision d’audit, l’analyse et la création de rapports | CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports | Manuel, désactivé | 1.1.0 |
Intégrer la sécurité des applications cloud à un SIEM | CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM | Manuel, désactivé | 1.1.0 |
Signaler le comportement atypique de comptes d’utilisateur | CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue les affectations d’administrateurs toutes les semaines | CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines | Manuel, désactivé | 1.1.0 |
Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Passer en revue la vue d’ensemble du rapport des identités cloud | CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud | Manuel, désactivé | 1.1.0 |
Passer en revue les événements accès contrôlé aux dossiers | CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers | Manuel, désactivé | 1.1.0 |
Examiner l’activité des fichiers et des dossiers | CMA_0473 - Examiner l’activité des fichiers et des dossiers | Manuel, désactivé | 1.1.0 |
Passer en revue les modifications apportées aux groupes de rôles chaque semaine | CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine | Manuel, désactivé | 1.1.0 |
Signalement de faiblesses de la sécurité des informations
ID : Propriété ISO 27001:2013 A.16.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les opérations de sécurité | CMA_0202 – Documenter les opérations de sécurité | Manuel, désactivé | 1.1.0 |
Incorporer la correction des défauts dans la gestion de configuration | CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Signaler le comportement atypique de comptes d’utilisateur | CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur | Manuel, désactivé | 1.1.0 |
Évaluation des événements de sécurité des informations et décision
ID : Propriété ISO 27001:2013 A.16.1.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les événements de sécurité des informations | CMA_0013 - Évaluer les événements de sécurité des informations | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Mettre en corrélation les enregistrements d’audit | CMA_0087 - Mettre en corrélation les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
Activer la protection du réseau | CMA_0238 - Activer la protection réseau | Manuel, désactivé | 1.1.0 |
Éradiquer les informations contaminées | CMA_0253 - Éradiquer les informations contaminées | Manuel, désactivé | 1.1.0 |
Établir des exigences pour la révision et la création de rapports d’audit | CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit | Manuel, désactivé | 1.1.0 |
Exécuter des actions en réponse à des fuites d’informations | CMA_0281 - Exécuter des actions en réponse à des fuites d’informations | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Intégrer la révision d’audit, l’analyse et la création de rapports | CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports | Manuel, désactivé | 1.1.0 |
Intégrer la sécurité des applications cloud à un SIEM | CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM | Manuel, désactivé | 1.1.0 |
Gérer le plan de réponse aux incidents | CMA_0352 - Gérer le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Signaler le comportement atypique de comptes d’utilisateur | CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue les affectations d’administrateurs toutes les semaines | CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines | Manuel, désactivé | 1.1.0 |
Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Passer en revue la vue d’ensemble du rapport des identités cloud | CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud | Manuel, désactivé | 1.1.0 |
Passer en revue les événements accès contrôlé aux dossiers | CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers | Manuel, désactivé | 1.1.0 |
Examiner l’activité des fichiers et des dossiers | CMA_0473 - Examiner l’activité des fichiers et des dossiers | Manuel, désactivé | 1.1.0 |
Passer en revue les modifications apportées aux groupes de rôles chaque semaine | CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine | Manuel, désactivé | 1.1.0 |
Visualiser et examiner les utilisateurs restreints | CMA_0545 - Visualiser et examiner les utilisateurs restreints | Manuel, désactivé | 1.1.0 |
Réponse aux incidents de sécurité des informations
ID : Propriété ISO 27001:2013 A.16.1.5 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les événements de sécurité des informations | CMA_0013 - Évaluer les événements de sécurité des informations | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
Activer la protection du réseau | CMA_0238 - Activer la protection réseau | Manuel, désactivé | 1.1.0 |
Éradiquer les informations contaminées | CMA_0253 - Éradiquer les informations contaminées | Manuel, désactivé | 1.1.0 |
Exécuter des actions en réponse à des fuites d’informations | CMA_0281 - Exécuter des actions en réponse à des fuites d’informations | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Gérer le plan de réponse aux incidents | CMA_0352 - Gérer le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Signaler le comportement atypique de comptes d’utilisateur | CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur | Manuel, désactivé | 1.1.0 |
Visualiser et examiner les utilisateurs restreints | CMA_0545 - Visualiser et examiner les utilisateurs restreints | Manuel, désactivé | 1.1.0 |
Enseignements à tirer des incidents de sécurité des informations
ID : Propriété ISO 27001:2013 A.16.1.6 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les événements de sécurité des informations | CMA_0013 - Évaluer les événements de sécurité des informations | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
Découvrir tous les indicateurs de compromission | CMA_C1702 - Découvrir tous les indicateurs de compromission | Manuel, désactivé | 1.1.0 |
Activer la protection du réseau | CMA_0238 - Activer la protection réseau | Manuel, désactivé | 1.1.0 |
Éradiquer les informations contaminées | CMA_0253 - Éradiquer les informations contaminées | Manuel, désactivé | 1.1.0 |
Exécuter des actions en réponse à des fuites d’informations | CMA_0281 - Exécuter des actions en réponse à des fuites d’informations | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Gérer le plan de réponse aux incidents | CMA_0352 - Gérer le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Signaler le comportement atypique de comptes d’utilisateur | CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur | Manuel, désactivé | 1.1.0 |
Visualiser et examiner les utilisateurs restreints | CMA_0545 - Visualiser et examiner les utilisateurs restreints | Manuel, désactivé | 1.1.0 |
Collecte de preuves
ID : Propriété ISO 27001:2013 A.16.1.7 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | Manuel, désactivé | 1.1.0 |
Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Signaler le comportement atypique de comptes d’utilisateur | CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur | Manuel, désactivé | 1.1.0 |
Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Aspects de la sécurité des informations de la gestion de la continuité des activités
Planification de la continuité de la sécurité des informations
ID : Propriété ISO 27001:2013 A.17.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Communiquer les modifications apportées au plan d’urgence | CMA_C1249 - Communiquer les modifications apportées au plan d’urgence | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Développer et documenter un plan de continuité d’activité et de reprise d’activité | CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité | Manuel, désactivé | 1.1.0 |
Développer un plan d’urgence | CMA_C1244 - Développer un plan d’urgence | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de planification d’urgence | CMA_0156 - Développer des stratégies et des procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Distribuer des stratégies et des procédures | CMA_0185 - Distribuer des stratégies et des procédures | Manuel, désactivé | 1.1.0 |
Planifier la reprise des fonctions métier essentielles | CMA_C1253 - Planifier la reprise des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Reprendre toutes les fonctions des missions et des métiers | CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue le plan d’urgence | CMA_C1247 - Passer en revue le plan d’urgence | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan d’urgence | CMA_C1248 - Mettre à jour le plan d’urgence | Manuel, désactivé | 1.1.0 |
Implémentation de la continuité de la sécurité des informations
ID : Propriété ISO 27001:2013 A.17.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Communiquer les modifications apportées au plan d’urgence | CMA_C1249 - Communiquer les modifications apportées au plan d’urgence | Manuel, désactivé | 1.1.0 |
Effectuer une sauvegarde de la documentation du système d’information | CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Créer des sites de stockage alternatifs et principaux distincts | CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts | Manuel, désactivé | 1.1.0 |
Développer un plan d’urgence | CMA_C1244 - Développer un plan d’urgence | Manuel, désactivé | 1.1.0 |
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal | CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal | Manuel, désactivé | 1.1.0 |
Vérifier que le système d’informations échoue dans un état connu | CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu | Manuel, désactivé | 1.1.0 |
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde | CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde | Manuel, désactivé | 1.1.0 |
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
Établir des stratégies et des procédures de sauvegarde | CMA_0268 - Établir des stratégies et des procédures de sauvegarde | Manuel, désactivé | 1.1.0 |
Établir les exigences pour les fournisseurs de services Internet | CMA_0278 - Établir les exigences pour les fournisseurs de services Internet | Manuel, désactivé | 1.1.0 |
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif | CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Implémenter une récupération basée sur les transactions | CMA_C1296 - Implémenter une récupération basée sur les transactions | Manuel, désactivé | 1.1.0 |
Planifier la continuité des fonctions métier essentielles | CMA_C1255 - Planifier la continuité des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Planifier la reprise des fonctions métier essentielles | CMA_C1253 - Planifier la reprise des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Récupérer et reconstruire des ressources après toute interruption | CMA_C1295 - Récupérer et reconstruire des ressources après toute interruption | Manuel, désactivé | 1.1.1 |
Reprendre toutes les fonctions des missions et des métiers | CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers | Manuel, désactivé | 1.1.0 |
Vérifier, passer en revue et évaluer la continuité de la sécurité des informations
ID : Propriété ISO 27001:2013 A.17.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Lancer des actions correctives du test du plan d’urgence | CMA_C1263 - Lancer des actions correctives du test du plan d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue les résultats des tests du plan d’urgence | CMA_C1262 - Passer en revue les résultats des tests du plan d’urgence | Manuel, désactivé | 1.1.0 |
Tester le plan de continuité d’activité et de reprise d’activité | CMA_0509 - Tester le plan de continuité d’activité et de reprise d’activité | Manuel, désactivé | 1.1.0 |
Disponibilité des installations de traitement des informations
ID : Propriété ISO 27001:2013 A.17.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Communiquer les modifications apportées au plan d’urgence | CMA_C1249 - Communiquer les modifications apportées au plan d’urgence | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Créer des sites de stockage alternatifs et principaux distincts | CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts | Manuel, désactivé | 1.1.0 |
Développer et documenter un plan de continuité d’activité et de reprise d’activité | CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité | Manuel, désactivé | 1.1.0 |
Développer un plan d’urgence | CMA_C1244 - Développer un plan d’urgence | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de planification d’urgence | CMA_0156 - Développer des stratégies et des procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Distribuer des stratégies et des procédures | CMA_0185 - Distribuer des stratégies et des procédures | Manuel, désactivé | 1.1.0 |
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal | CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal | Manuel, désactivé | 1.1.0 |
Vérifier que le système d’informations échoue dans un état connu | CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu | Manuel, désactivé | 1.1.0 |
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde | CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde | Manuel, désactivé | 1.1.0 |
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif | CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif | Manuel, désactivé | 1.1.0 |
Planifier la continuité des fonctions métier essentielles | CMA_C1255 - Planifier la continuité des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Planifier la reprise des fonctions métier essentielles | CMA_C1253 - Planifier la reprise des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Reprendre toutes les fonctions des missions et des métiers | CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers | Manuel, désactivé | 1.1.0 |
Passer en revue le plan d’urgence | CMA_C1247 - Passer en revue le plan d’urgence | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan d’urgence | CMA_C1248 - Mettre à jour le plan d’urgence | Manuel, désactivé | 1.1.0 |
Conformité
Législation et exigences contractuelles applicables à l’identification
ID : Propriété ISO 27001:2013 A.18.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Protéger le plan du programme de sécurité des informations | CMA_C1732 - Protéger le plan du programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Droits de propriété intellectuelle
ID : Propriété ISO 27001:2013 A.18.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Exiger la conformité avec les droits de propriété intellectuelle | CMA_0432 - Exiger la conformité avec les droits de propriété intellectuelle | Manuel, désactivé | 1.1.0 |
Suivre l’utilisation des licences logicielles | CMA_C1235 - Suivre l’utilisation des licences logicielles | Manuel, désactivé | 1.1.0 |
Protection des enregistrements
ID : Propriété ISO 27001:2013 A.18.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Effectuer une sauvegarde de la documentation du système d’information | CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information | Manuel, désactivé | 1.1.0 |
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Activer l’autorisation double ou conjointe | CMA_0226 – Activer l’autorisation double ou conjointe | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Vérifier que le système d’informations échoue dans un état connu | CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu | Manuel, désactivé | 1.1.0 |
Établir des stratégies et des procédures de sauvegarde | CMA_0268 - Établir des stratégies et des procédures de sauvegarde | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Implémenter une récupération basée sur les transactions | CMA_C1296 - Implémenter une récupération basée sur les transactions | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Protéger les informations d’audit | CMA_0401 – Protéger les informations d’audit | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Confidentialité et protection des informations d’identification personnelle
ID : Propriété ISO 27001:2013 A.18.1.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Gérer les activités de conformité | CMA_0358 - Gérer les activités de conformité | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Réglementation des contrôles de chiffrement
ID : Propriété ISO 27001:2013 A.18.1.5 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
S’authentifier auprès du module de chiffrement | CMA_0021 – S’authentifier auprès du module de chiffrement | Manuel, désactivé | 1.1.0 |
Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
Évaluation indépendante de la sécurité des informations
ID : Propriété ISO 27001:2013 A.18.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser une équipe indépendante pour les tests d’intrusion | CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Conformité aux stratégies et normes de sécurité
ID : Propriété ISO 27001:2013 A.18.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | Manuel, désactivé | 1.1.0 |
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Fournir les résultats de l’évaluation de la sécurité | CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Produire un rapport d’évaluation de la sécurité | CMA_C1146 - Produire un rapport d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Protéger le plan du programme de sécurité des informations | CMA_C1732 - Protéger le plan du programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Évaluation de la conformité technique
ID : Propriété ISO 27001:2013 A.18.2.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Fournir les résultats de l’évaluation de la sécurité | CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Utiliser une équipe indépendante pour les tests d’intrusion | CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion | Manuel, désactivé | 1.1.0 |
Produire un rapport d’évaluation de la sécurité | CMA_C1146 - Produire un rapport d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Stratégies de sécurité des informations
Stratégies pour la sécurité des informations
ID : Propriété ISO 27001:2013 A.5.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services | CMA_C1810 - Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Gérer les activités de conformité | CMA_0358 - Gérer les activités de conformité | Manuel, désactivé | 1.1.0 |
Protéger le plan du programme de sécurité des informations | CMA_C1732 - Protéger le plan du programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Évaluation des stratégies de sécurité des informations
ID : Propriété ISO 27001:2013 A.5.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Protéger le plan du programme de sécurité des informations | CMA_C1732 - Protéger le plan du programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Organisation de la sécurité des informations
Rôles et responsabilités pour la sécurité des informations
ID : Propriété ISO 27001:2013 A.6.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Communiquer les modifications apportées au plan d’urgence | CMA_C1249 - Communiquer les modifications apportées au plan d’urgence | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Créer une protection du plan de configuration | CMA_C1233 - Créer une protection du plan de configuration | Manuel, désactivé | 1.1.0 |
Définir et documenter la supervision du secteur public | CMA_C1587 - Définir et documenter la supervision du secteur public | Manuel, désactivé | 1.1.0 |
Définir les rôles et les responsabilités de sécurité des informations | CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations | Manuel, désactivé | 1.1.0 |
Désigner des personnes pour qu’elles exercent des rôles et des responsabilités spécifiques | CMA_C1747 - Désigner des personnes pour qu’elles exercent des rôles et des responsabilités spécifiques | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer et documenter un plan de continuité d’activité et de reprise d’activité | CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Développer et tenir à jour les configurations de base | CMA_0153 – Développer et tenir à jour les configurations de base | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer un plan d’identification des éléments de configuration | CMA_C1231 - Développer un plan d’identification des éléments de configuration | Manuel, désactivé | 1.1.0 |
Développer un plan de gestion des configurations | CMA_C1232 - Développer un plan de gestion des configurations | Manuel, désactivé | 1.1.0 |
Développer un plan d’urgence | CMA_C1244 - Développer un plan d’urgence | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de planification d’urgence | CMA_0156 - Développer des stratégies et des procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Distribuer des stratégies et des procédures | CMA_0185 - Distribuer des stratégies et des procédures | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée | CMA_0189 - Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Documenter les exigences de sécurité pour le personnel de tiers | CMA_C1531 - Documenter les exigences de sécurité pour le personnel de tiers | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Vérifier que les informations du programme de confidentialité sont disponibles publiquement | CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Établir et documenter un plan de gestion de la configuration | CMA_0264 – Établir et documenter un plan de gestion de la configuration | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour le personnel de tiers | CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | Manuel, désactivé | 1.1.1 |
Implémenter un outil de gestion de la configuration automatisée | CMA_0311 – Implémenter un outil de gestion de la configuration automatisée | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Intégrer le processus de gestion des risques au SDLC | CMA_C1567 - Intégrer le processus de gestion des risques au SDLC | Manuel, désactivé | 1.1.0 |
Gérer l’état de la sécurité des systèmes d’information | CMA_C1746 - Gérer l’état de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Surveiller la conformité des fournisseurs tiers | CMA_C1533 - Surveiller la conformité des fournisseurs tiers | Manuel, désactivé | 1.1.0 |
Planifier la reprise des fonctions métier essentielles | CMA_C1253 - Planifier la reprise des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Protéger le plan du programme de sécurité des informations | CMA_C1732 - Protéger le plan du programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Exiger une notification de transfert ou de fin de contrat du personnel de tiers | CMA_C1532 - Exiger une notification de transfert ou de fin de contrat du personnel de tiers | Manuel, désactivé | 1.1.0 |
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Reprendre toutes les fonctions des missions et des métiers | CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | Manuel, désactivé | 1.1.0 |
Passer en revue le plan d’urgence | CMA_C1247 - Passer en revue le plan d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan d’urgence | CMA_C1248 - Mettre à jour le plan d’urgence | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Répartition des tâches
ID : Propriété ISO 27001:2013 A.6.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
Définir des autorisations d’accès pour prendre en charge la séparation des tâches | CMA_0116 - Définir des autorisations d’accès pour prendre en charge la séparation des tâches | Manuel, désactivé | 1.1.0 |
Documenter la séparation des tâches | CMA_0204 - Documenter la séparation des tâches | Manuel, désactivé | 1.1.0 |
Séparer les tâches des personnes | CMA_0492 - Séparer les tâches des personnes | Manuel, désactivé | 1.1.0 |
Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Contact avec les autorités
ID : Propriété ISO 27001:2013 A.6.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Gérer les contacts pour les autorités et les groupes d’intérêt spéciaux | CMA_0359 - Gérer les contacts pour les autorités et les groupes d’intérêt spéciaux | Manuel, désactivé | 1.1.0 |
Contact avec des groupes d’intérêts spéciaux
ID : Propriété ISO 27001:2013 A.6.1.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Diffuser les alertes de sécurité au personnel | CMA_C1705 - Diffuser les alertes de sécurité au personnel | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de renouvellement sur les menaces | CMA_0260 - Établir un programme de renseignement sur les menaces | Manuel, désactivé | 1.1.0 |
Générer des alertes de sécurité internes | CMA_C1704 - Générer des alertes de sécurité internes | Manuel, désactivé | 1.1.0 |
Implémenter des directives de sécurité | CMA_C1706 - Implémenter des directives de sécurité | Manuel, désactivé | 1.1.0 |
Gérer les contacts pour les autorités et les groupes d’intérêt spéciaux | CMA_0359 - Gérer les contacts pour les autorités et les groupes d’intérêt spéciaux | Manuel, désactivé | 1.1.0 |
Sécurité des informations dans la gestion de projet
ID : Propriété ISO 27001:2013 A.6.1.5 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Aligner les objectifs métier et les objectifs de l’informatique | CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique | Manuel, désactivé | 1.1.0 |
Allouer des ressources pour déterminer les exigences du système d’information | CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information | Manuel, désactivé | 1.1.0 |
Définir et documenter la supervision du secteur public | CMA_C1587 - Définir et documenter la supervision du secteur public | Manuel, désactivé | 1.1.0 |
Définir les rôles et les responsabilités de sécurité des informations | CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Établir un élément de ligne discret dans la documentation du budget | CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner l’allocation des ressources | CMA_0293 - Gouverner l’allocation des ressources | Manuel, désactivé | 1.1.0 |
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | Manuel, désactivé | 1.1.1 |
Intégrer le processus de gestion des risques au SDLC | CMA_C1567 - Intégrer le processus de gestion des risques au SDLC | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | Manuel, désactivé | 1.1.0 |
Passer en revue le processus, les standards et les outils de développement | CMA_C1610 - Passer en revue le processus, les standards et les outils de développement | Manuel, désactivé | 1.1.0 |
Sécuriser l’engagement de la part de la direction | CMA_0489 - Sécuriser l’engagement de la part de la direction | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Stratégie pour les appareils mobiles
ID : Propriété ISO 27001:2013 A.6.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Définir les exigences pour les appareils mobiles | CMA_0122 - Définir les exigences pour les appareils mobiles | Manuel, désactivé | 1.1.0 |
Documenter et implémenter les instructions d’accès sans fil | CMA_0190 - Documenter et implémenter les instructions d’accès sans fil | Manuel, désactivé | 1.1.0 |
Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger l’accès sans fil | CMA_0411 - Protéger l’accès sans fil | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Télétravail
ID : Propriété ISO 27001:2013 A.6.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Sécurité des ressources humaines
Filtrage
ID : Propriété ISO 27001:2013 A.7.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Habiliter le personnel ayant accès aux informations classifiées | CMA_0054 - Habiliter le personnel ayant accès aux informations classifiées | Manuel, désactivé | 1.1.0 |
Implémenter le filtrage du personnel | CMA_0322 - Implémenter le filtrage du personnel | Manuel, désactivé | 1.1.0 |
Refiltrer les personnes à une fréquence définie | CMA_C1512 - Refiltrer les personnes à une fréquence définie | Manuel, désactivé | 1.1.0 |
Conditions de travail
ID : Propriété ISO 27001:2013 A.7.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les contrats d’accès de l’organisation | CMA_0192 - Documenter les contrats d’accès de l’organisation | Manuel, désactivé | 1.1.0 |
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu | CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu | Manuel, désactivé | 1.1.0 |
Vérifier que les informations du programme de confidentialité sont disponibles publiquement | CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Obtenir le consentement avant la collecte ou le traitement des données personnelles | CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Exiger des utilisateurs qu’ils signent un contrat d’accès | CMA_0440 - Exiger des utilisateurs qu’ils signent un contrat d’accès | Manuel, désactivé | 1.1.0 |
Mettre à jour les contrats d’accès de l’organisation | CMA_0520 - Mettre à jour les contrats d’accès de l’organisation | Manuel, désactivé | 1.1.0 |
Responsabilités de la gestion
ID : Propriété ISO 27001:2013 A.7.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir et documenter la supervision du secteur public | CMA_C1587 - Définir et documenter la supervision du secteur public | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les contrats d’accès de l’organisation | CMA_0192 - Documenter les contrats d’accès de l’organisation | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Documenter les exigences de sécurité pour le personnel de tiers | CMA_C1531 - Documenter les exigences de sécurité pour le personnel de tiers | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu | CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour le personnel de tiers | CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers | Manuel, désactivé | 1.1.0 |
Surveiller la conformité des fournisseurs tiers | CMA_C1533 - Surveiller la conformité des fournisseurs tiers | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Exiger une notification de transfert ou de fin de contrat du personnel de tiers | CMA_C1532 - Exiger une notification de transfert ou de fin de contrat du personnel de tiers | Manuel, désactivé | 1.1.0 |
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Exiger des utilisateurs qu’ils signent un contrat d’accès | CMA_0440 - Exiger des utilisateurs qu’ils signent un contrat d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Mettre à jour les contrats d’accès de l’organisation | CMA_0520 - Mettre à jour les contrats d’accès de l’organisation | Manuel, désactivé | 1.1.0 |
Sensibilisation, éducation et formation en matière de sécurité des informations
ID : Propriété ISO 27001:2013 A.7.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Utiliser un environnement de formation automatisé | CMA_C1357 - Utiliser un environnement de formation automatisé | Manuel, désactivé | 1.1.0 |
Établir un programme de développement et d’amélioration du personnel en matière de sécurité des informations | CMA_C1752 - Établir un programme de développement et d’amélioration du personnel en matière de sécurité des informations | Manuel, désactivé | 1.1.0 |
Surveiller la réalisation des formations sur la sécurité et la confidentialité | CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité | Manuel, désactivé | 1.1.0 |
Fournir une formation à l’urgence | CMA_0412 - Fournir une formation à l’urgence | Manuel, désactivé | 1.1.0 |
Fournir une formation sur les fuites d’informations | CMA_0413 - Fournir une formation sur les fuites d’informations | Manuel, désactivé | 1.1.0 |
Fournir une formation périodique sur la sécurité basée sur les rôles | CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles | Manuel, désactivé | 1.1.0 |
Fournir une formation périodique sur la sensibilisation à la sécurité | CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité basée sur les rôles | CMA_C1094 - Fournir une formation sur la sécurité basée sur les rôles | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité avant de fournir l’accès | CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité pour les nouveaux utilisateurs | CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs | Manuel, désactivé | 1.1.0 |
Fournir une formation de sensibilisation à la sécurité mise à jour | CMA_C1090 - Fournir une formation de sensibilisation à la sécurité mise à jour | Manuel, désactivé | 1.1.0 |
Conserver les dossiers de formation | CMA_0456 - Conserver les dossiers de formation | Manuel, désactivé | 1.1.0 |
Former le personnel à la divulgation d’informations non publiques | CMA_C1084 - Former le personnel à la divulgation d’informations non publiques | Manuel, désactivé | 1.1.0 |
Procédure disciplinaire
ID : Propriété ISO 27001:2013 A.7.2.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter un processus formel de sanctions | CMA_0317 - Implémenter un processus formel de sanctions | Manuel, désactivé | 1.1.0 |
Notifier le personnel en cas de sanctions | CMA_0380 - Notifier le personnel en cas de sanctions | Manuel, désactivé | 1.1.0 |
Cessation ou modification des responsabilités professionnelles
ID : Propriété ISO 27001:2013 A.7.3.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mener un entretien de sortie après la fin du contrat de travail | CMA_0058 - Mener un entretien de sortie après la fin du contrat de travail | Manuel, désactivé | 1.1.0 |
Désactiver les authentificateurs lors de l’arrêt | CMA_0169 – Désactiver les authentificateurs lors de l’arrêt | Manuel, désactivé | 1.1.0 |
Lancer des actions de transfert ou de réaffectation | CMA_0333 - Lancer des actions de transfert ou de réaffectation | Manuel, désactivé | 1.1.0 |
Modifier les autorisations d’accès lors du transfert de personnel | CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel | Manuel, désactivé | 1.1.0 |
Notifier après une fin de contrat ou un transfert | CMA_0381 - Notifier après une fin de contrat ou un transfert | Manuel, désactivé | 1.1.0 |
Protéger contre et empêcher le vol de données par des employés sur le départ | CMA_0398 - Protéger contre et empêcher le vol de données par des employés sur le départ | Manuel, désactivé | 1.1.0 |
Réévaluer l’accès lors du transfert de personnel | CMA_0424 - Réévaluer l’accès lors du transfert de personnel | Manuel, désactivé | 1.1.0 |
Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Gestion des ressources
Inventaire des ressources
ID : Propriété ISO 27001:2013 A.8.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Créer un inventaire des données | CMA_0096 - Créer un inventaire des données | Manuel, désactivé | 1.1.0 |
Conserver les enregistrements de traitement des données personnelles | CMA_0353 - Conserver les enregistrements de traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Propriété des ressources
ID : Propriété ISO 27001:2013 A.8.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Contrôler l’utilisation des périphériques de stockage portables | CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables | Manuel, désactivé | 1.1.0 |
Créer un inventaire des données | CMA_0096 - Créer un inventaire des données | Manuel, désactivé | 1.1.0 |
Établir et tenir à jour un inventaire des ressources | CMA_0266 - Établir et tenir à jour un inventaire des ressources | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Conserver les enregistrements de traitement des données personnelles | CMA_0353 - Conserver les enregistrements de traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Restreindre l’utilisation des médias | CMA_0450 - Restreindre l’utilisation des médias | Manuel, désactivé | 1.1.0 |
Utilisation acceptable des ressources
ID : Propriété ISO 27001:2013 A.8.1.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Retour de ressources
ID : Propriété ISO 27001:2013 A.8.1.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mener un entretien de sortie après la fin du contrat de travail | CMA_0058 - Mener un entretien de sortie après la fin du contrat de travail | Manuel, désactivé | 1.1.0 |
Désactiver les authentificateurs lors de l’arrêt | CMA_0169 – Désactiver les authentificateurs lors de l’arrêt | Manuel, désactivé | 1.1.0 |
Lancer des actions de transfert ou de réaffectation | CMA_0333 - Lancer des actions de transfert ou de réaffectation | Manuel, désactivé | 1.1.0 |
Modifier les autorisations d’accès lors du transfert de personnel | CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel | Manuel, désactivé | 1.1.0 |
Notifier après une fin de contrat ou un transfert | CMA_0381 - Notifier après une fin de contrat ou un transfert | Manuel, désactivé | 1.1.0 |
Protéger contre et empêcher le vol de données par des employés sur le départ | CMA_0398 - Protéger contre et empêcher le vol de données par des employés sur le départ | Manuel, désactivé | 1.1.0 |
Réévaluer l’accès lors du transfert de personnel | CMA_0424 - Réévaluer l’accès lors du transfert de personnel | Manuel, désactivé | 1.1.0 |
Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Classification des informations
ID : Propriété ISO 27001:2013 A.8.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Catégoriser les informations | CMA_0052 - Catégoriser les informations | Manuel, désactivé | 1.1.0 |
Développer des schémas de classification métier | CMA_0155 - Développer des schémas de classification métier | Manuel, désactivé | 1.1.0 |
Vérifier que la catégorisation de sécurité est approuvée | CMA_C1540 - Vérifier que la catégorisation de sécurité est approuvée | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
Étiquetage des informations
ID : Propriété ISO 27001:2013 A.8.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Gestion des ressources
ID : Propriété ISO 27001:2013 A.8.2.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Contrôler l’utilisation des périphériques de stockage portables | CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la gestion des ressources | CMA_0125 - Définir les exigences pour la gestion des ressources | Manuel, désactivé | 1.1.0 |
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Produire, contrôler et distribuer des clés de chiffrement asymétriques | CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
Fournir des services sécurisés de résolution de noms et d’adresses | CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses | Manuel, désactivé | 1.1.0 |
Restreindre l’utilisation des médias | CMA_0450 - Restreindre l’utilisation des médias | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Gestion des médias amovibles
ID : Propriété ISO 27001:2013 A.8.3.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Contrôler l’utilisation des périphériques de stockage portables | CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables | Manuel, désactivé | 1.1.0 |
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Restreindre l’utilisation des médias | CMA_0450 - Restreindre l’utilisation des médias | Manuel, désactivé | 1.1.0 |
Élimination des médias
ID : Propriété ISO 27001:2013 A.8.3.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Transfert de médias physiques
ID : Propriété ISO 27001:2013 A.8.3.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Contrôle d’accès
Stratégie de contrôle d’accès
ID : Propriété ISO 27001:2013 A.9.1.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Accès aux réseaux et aux services réseau
ID : Propriété ISO 27001:2013 A.9.1.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 1.4.0 |
Auditer les machines Linux qui ont des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe | AuditIfNotExists, Désactivé | 1.4.0 |
Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
Activer la détection des périphériques réseau | CMA_0220 - Activer la détection des périphériques réseau | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Appliquer l’unicité de l’utilisateur | CMA_0250 – Appliquer l’unicité de l’utilisateur | Manuel, désactivé | 1.1.0 |
Établir les exigences de signature électronique et de certificat | CMA_0271 - Établir les exigences de signature électronique et de certificat | Manuel, désactivé | 1.1.0 |
Identifier les actions autorisées sans authentification | CMA_0295 - Identifier les actions autorisées sans authentification | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | Manuel, désactivé | 1.1.0 |
Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Router le trafic via des points d’accès réseau gérés | CMA_0484 - Router le trafic via des points d’accès réseau gérés | Manuel, désactivé | 1.1.0 |
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. | Audit, Refuser, Désactivé | 1.0.0 |
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | Manuel, désactivé | 1.1.0 |
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
Inscription et désinscription des utilisateurs
ID : Propriété ISO 27001:2013 A.9.2.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Affecter des gestionnaires de comptes | CMA_0015 - Affecter des gestionnaires de comptes | Manuel, désactivé | 1.1.0 |
Attribuer des identificateurs système | CMA_0018 - Attribuer des identificateurs système | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Définir des types de comptes de système d’information | CMA_0121 - Définir des types de comptes de système d’information | Manuel, désactivé | 1.1.0 |
Documenter les privilèges d’accès | CMA_0186 - Documenter les privilèges d’accès | Manuel, désactivé | 1.1.0 |
Activer la détection des périphériques réseau | CMA_0220 - Activer la détection des périphériques réseau | Manuel, désactivé | 1.1.0 |
Appliquer l’unicité de l’utilisateur | CMA_0250 – Appliquer l’unicité de l’utilisateur | Manuel, désactivé | 1.1.0 |
Établir des types et des processus d’authentificateur | CMA_0267 - Établir des types et des processus d’authentificateur | Manuel, désactivé | 1.1.0 |
Établir des conditions pour l’appartenance à un rôle | CMA_0269 - Établir des conditions pour l’appartenance à un rôle | Manuel, désactivé | 1.1.0 |
Établir des procédures pour la distribution initiale de l’authentificateur | CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur | Manuel, désactivé | 1.1.0 |
Identifier les actions autorisées sans authentification | CMA_0295 - Identifier les actions autorisées sans authentification | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | Manuel, désactivé | 1.1.0 |
Implémenter une formation pour la protection des authentificateurs | CMA_0329 – Implémenter une formation pour la protection des authentificateurs | Manuel, désactivé | 1.1.0 |
Gérer la durée de vie et la réutilisation de l’authentificateur | CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur | Manuel, désactivé | 1.1.0 |
Gérer les authentificateurs | CMA_C1321 - Gérer les authentificateurs | Manuel, désactivé | 1.1.0 |
Notifier les gestionnaires de compte des comptes contrôlés par le client | CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client | Manuel, désactivé | 1.1.0 |
Empêcher la réutilisation de l’identificateur pour la période définie | CMA_C1314 - Empêcher la réutilisation de l’identificateur pour la période définie | Manuel, désactivé | 1.1.0 |
Actualiser les authentificateurs | CMA_0425 - Actualiser les authentificateurs | Manuel, désactivé | 1.1.0 |
Réémettre les authentificateurs pour les groupes et les comptes modifiés | CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue et réévaluer les privilèges | CMA_C1207 - Passer en revue et réévaluer les privilèges | Manuel, désactivé | 1.1.0 |
Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | Manuel, désactivé | 1.1.0 |
Vérifier l’identité avant de distribuer les authentificateurs | CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs | Manuel, désactivé | 1.1.0 |
Provisionnement des accès utilisateur
ID : Propriété ISO 27001:2013 A.9.2.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Affecter des gestionnaires de comptes | CMA_0015 - Affecter des gestionnaires de comptes | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
Définir des types de comptes de système d’information | CMA_0121 - Définir des types de comptes de système d’information | Manuel, désactivé | 1.1.0 |
Documenter les privilèges d’accès | CMA_0186 - Documenter les privilèges d’accès | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Établir des conditions pour l’appartenance à un rôle | CMA_0269 - Établir des conditions pour l’appartenance à un rôle | Manuel, désactivé | 1.1.0 |
Limiter les privilèges pour apporter des modifications dans l’environnement de production | CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production | Manuel, désactivé | 1.1.0 |
Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Notifier les gestionnaires de compte des comptes contrôlés par le client | CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client | Manuel, désactivé | 1.1.0 |
Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue et réévaluer les privilèges | CMA_C1207 - Passer en revue et réévaluer les privilèges | Manuel, désactivé | 1.1.0 |
Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
Gestion des droits d’accès privilégié
ID : Propriété ISO 27001:2013 A.9.2.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Affecter des gestionnaires de comptes | CMA_0015 - Affecter des gestionnaires de comptes | Manuel, désactivé | 1.1.0 |
Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
Définir des types de comptes de système d’information | CMA_0121 - Définir des types de comptes de système d’information | Manuel, désactivé | 1.1.0 |
Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Documenter les privilèges d’accès | CMA_0186 - Documenter les privilèges d’accès | Manuel, désactivé | 1.1.0 |
Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des conditions pour l’appartenance à un rôle | CMA_0269 - Établir des conditions pour l’appartenance à un rôle | Manuel, désactivé | 1.1.0 |
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Limiter les privilèges pour apporter des modifications dans l’environnement de production | CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production | Manuel, désactivé | 1.1.0 |
Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Surveiller l’attribution de rôle privilégié | CMA_0378 – Surveiller l’attribution de rôle privilégié | Manuel, désactivé | 1.1.0 |
Notifier les gestionnaires de compte des comptes contrôlés par le client | CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client | Manuel, désactivé | 1.1.0 |
Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue et réévaluer les privilèges | CMA_C1207 - Passer en revue et réévaluer les privilèges | Manuel, désactivé | 1.1.0 |
Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Utiliser Privileged Identity Management | CMA_0533 – Utiliser la gestion des identités privilégiées | Manuel, désactivé | 1.1.0 |
Gestion des informations d’authentification par secret des utilisateurs
ID : Propriété ISO 27001:2013 A.9.2.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 1.4.0 |
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
Désactiver les authentificateurs lors de l’arrêt | CMA_0169 – Désactiver les authentificateurs lors de l’arrêt | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Établir une stratégie de mot de passe | CMA_0256 - Établir une stratégie de mot de passe | Manuel, désactivé | 1.1.0 |
Établir des types et des processus d’authentificateur | CMA_0267 - Établir des types et des processus d’authentificateur | Manuel, désactivé | 1.1.0 |
Établir des procédures pour la distribution initiale de l’authentificateur | CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur | Manuel, désactivé | 1.1.0 |
Implémenter des paramètres pour les vérificateurs de secrets mémorisés | CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés | Manuel, désactivé | 1.1.0 |
Implémenter une formation pour la protection des authentificateurs | CMA_0329 – Implémenter une formation pour la protection des authentificateurs | Manuel, désactivé | 1.1.0 |
Gérer la durée de vie et la réutilisation de l’authentificateur | CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur | Manuel, désactivé | 1.1.0 |
Gérer les authentificateurs | CMA_C1321 - Gérer les authentificateurs | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Actualiser les authentificateurs | CMA_0425 - Actualiser les authentificateurs | Manuel, désactivé | 1.1.0 |
Réémettre les authentificateurs pour les groupes et les comptes modifiés | CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Vérifier l’identité avant de distribuer les authentificateurs | CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs | Manuel, désactivé | 1.1.0 |
Examen des droits d’accès utilisateur
ID : Propriété ISO 27001:2013 A.9.2.5 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Affecter des gestionnaires de comptes | CMA_0015 - Affecter des gestionnaires de comptes | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Définir des types de comptes de système d’information | CMA_0121 - Définir des types de comptes de système d’information | Manuel, désactivé | 1.1.0 |
Documenter les privilèges d’accès | CMA_0186 - Documenter les privilèges d’accès | Manuel, désactivé | 1.1.0 |
Établir des conditions pour l’appartenance à un rôle | CMA_0269 - Établir des conditions pour l’appartenance à un rôle | Manuel, désactivé | 1.1.0 |
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Notifier les gestionnaires de compte des comptes contrôlés par le client | CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client | Manuel, désactivé | 1.1.0 |
Réaffecter ou supprimer des privilèges utilisateur selon les besoins | CMA_C1040 – Réaffecter ou supprimer des privilèges utilisateur selon les besoins | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue et réévaluer les privilèges | CMA_C1207 - Passer en revue et réévaluer les privilèges | Manuel, désactivé | 1.1.0 |
Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
Passer en revue les privilèges utilisateur | CMA_C1039 – Vérifier les privilèges utilisateur | Manuel, désactivé | 1.1.0 |
Suppression ou adaptation des droits d’accès
ID : Propriété ISO 27001:2013 A.9.2.6 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Affecter des gestionnaires de comptes | CMA_0015 - Affecter des gestionnaires de comptes | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Définir des types de comptes de système d’information | CMA_0121 - Définir des types de comptes de système d’information | Manuel, désactivé | 1.1.0 |
Documenter les privilèges d’accès | CMA_0186 - Documenter les privilèges d’accès | Manuel, désactivé | 1.1.0 |
Établir des conditions pour l’appartenance à un rôle | CMA_0269 - Établir des conditions pour l’appartenance à un rôle | Manuel, désactivé | 1.1.0 |
Lancer des actions de transfert ou de réaffectation | CMA_0333 - Lancer des actions de transfert ou de réaffectation | Manuel, désactivé | 1.1.0 |
Modifier les autorisations d’accès lors du transfert de personnel | CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel | Manuel, désactivé | 1.1.0 |
Notifier les gestionnaires de compte des comptes contrôlés par le client | CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client | Manuel, désactivé | 1.1.0 |
Notifier après une fin de contrat ou un transfert | CMA_0381 - Notifier après une fin de contrat ou un transfert | Manuel, désactivé | 1.1.0 |
Réévaluer l’accès lors du transfert de personnel | CMA_0424 - Réévaluer l’accès lors du transfert de personnel | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue et réévaluer les privilèges | CMA_C1207 - Passer en revue et réévaluer les privilèges | Manuel, désactivé | 1.1.0 |
Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
Utilisation des informations d’authentification secrètes
ID : Propriété ISO 27001:2013 A.9.3.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désactiver les authentificateurs lors de l’arrêt | CMA_0169 – Désactiver les authentificateurs lors de l’arrêt | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Établir une stratégie de mot de passe | CMA_0256 - Établir une stratégie de mot de passe | Manuel, désactivé | 1.1.0 |
Établir des types et des processus d’authentificateur | CMA_0267 - Établir des types et des processus d’authentificateur | Manuel, désactivé | 1.1.0 |
Établir des procédures pour la distribution initiale de l’authentificateur | CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur | Manuel, désactivé | 1.1.0 |
Implémenter des paramètres pour les vérificateurs de secrets mémorisés | CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés | Manuel, désactivé | 1.1.0 |
Implémenter une formation pour la protection des authentificateurs | CMA_0329 – Implémenter une formation pour la protection des authentificateurs | Manuel, désactivé | 1.1.0 |
Gérer la durée de vie et la réutilisation de l’authentificateur | CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur | Manuel, désactivé | 1.1.0 |
Gérer les authentificateurs | CMA_C1321 - Gérer les authentificateurs | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Actualiser les authentificateurs | CMA_0425 - Actualiser les authentificateurs | Manuel, désactivé | 1.1.0 |
Réémettre les authentificateurs pour les groupes et les comptes modifiés | CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Mettre fin aux informations d’identification de compte contrôlées par le client | CMA_C1022 - Mettre fin aux informations d’identification de compte contrôlées par le client | Manuel, désactivé | 1.1.0 |
Vérifier l’identité avant de distribuer les authentificateurs | CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs | Manuel, désactivé | 1.1.0 |
Restriction d’accès aux informations
ID : Propriété ISO 27001:2013 A.9.4.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Limiter les privilèges pour apporter des modifications dans l’environnement de production | CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production | Manuel, désactivé | 1.1.0 |
Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Sécuriser les procédures de connexion
ID : Propriété ISO 27001:2013 A.9.4.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Activer la détection des périphériques réseau | CMA_0220 - Activer la détection des périphériques réseau | Manuel, désactivé | 1.1.0 |
Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué | CMA_C1044 - Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué | Manuel, désactivé | 1.1.0 |
Appliquer l’unicité de l’utilisateur | CMA_0250 – Appliquer l’unicité de l’utilisateur | Manuel, désactivé | 1.1.0 |
Établir les exigences de signature électronique et de certificat | CMA_0271 - Établir les exigences de signature électronique et de certificat | Manuel, désactivé | 1.1.0 |
Générer des messages d’erreur | CMA_C1724 - Générer des messages d’erreur | Manuel, désactivé | 1.1.0 |
Identifier les actions autorisées sans authentification | CMA_0295 - Identifier les actions autorisées sans authentification | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | Manuel, désactivé | 1.1.0 |
Masquer les informations de feedback lors du processus d’authentification | CMA_C1344 - Masquer les informations de feedback lors du processus d’authentification | Manuel, désactivé | 1.1.0 |
Afficher les messages d’erreur | CMA_C1725 - Afficher les messages d’erreur | Manuel, désactivé | 1.1.0 |
Router le trafic via des points d’accès réseau gérés | CMA_0484 - Router le trafic via des points d’accès réseau gérés | Manuel, désactivé | 1.1.0 |
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | Manuel, désactivé | 1.1.0 |
Terminer automatiquement la session utilisateur | CMA_C1054 – Terminer automatiquement la session utilisateur | Manuel, désactivé | 1.1.0 |
Système de gestion des mots de passe
ID : Propriété ISO 27001:2013 A.9.4.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 | AuditIfNotExists, Désactivé | 1.1.0 |
Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours | AuditIfNotExists, Désactivé | 1.1.0 |
Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour | AuditIfNotExists, Désactivé | 1.1.0 |
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé | AuditIfNotExists, Désactivé | 1.0.0 |
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères | AuditIfNotExists, Désactivé | 1.1.0 |
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Désactiver les authentificateurs lors de l’arrêt | CMA_0169 – Désactiver les authentificateurs lors de l’arrêt | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Établir une stratégie de mot de passe | CMA_0256 - Établir une stratégie de mot de passe | Manuel, désactivé | 1.1.0 |
Établir des types et des processus d’authentificateur | CMA_0267 - Établir des types et des processus d’authentificateur | Manuel, désactivé | 1.1.0 |
Établir des procédures pour la distribution initiale de l’authentificateur | CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur | Manuel, désactivé | 1.1.0 |
Implémenter des paramètres pour les vérificateurs de secrets mémorisés | CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés | Manuel, désactivé | 1.1.0 |
Implémenter une formation pour la protection des authentificateurs | CMA_0329 – Implémenter une formation pour la protection des authentificateurs | Manuel, désactivé | 1.1.0 |
Gérer la durée de vie et la réutilisation de l’authentificateur | CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur | Manuel, désactivé | 1.1.0 |
Gérer les authentificateurs | CMA_C1321 - Gérer les authentificateurs | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Actualiser les authentificateurs | CMA_0425 - Actualiser les authentificateurs | Manuel, désactivé | 1.1.0 |
Réémettre les authentificateurs pour les groupes et les comptes modifiés | CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Vérifier l’identité avant de distribuer les authentificateurs | CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs | Manuel, désactivé | 1.1.0 |
Utilisation de programmes utilitaires privilégiés
ID : Propriété ISO 27001:2013 A.9.4.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Contrôle d’accès au code source des programmes
ID : Propriété ISO 27001:2013 A.9.4.5 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Limiter les privilèges pour apporter des modifications dans l’environnement de production | CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Amélioration
Non-conformité et action corrective
ID : Propriété ISO 27001:2013 C.10.1.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Non-conformité et action corrective
ID : Propriété ISO 27001:2013 C.10.1.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Non-conformité et action corrective
ID : Propriété ISO 27001:2013 C.10.1.f : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Non-conformité et action corrective
ID : Propriété ISO 27001:2013 C.10.1.g : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Contexte de l’organisation
Détermination de l’étendue du système de gestion de la sécurité des informations
ID : Propriété ISO 27001:2013 C.4.3.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un SSP qui répond aux critères | CMA_C1492 - Développer un SSP qui répond aux critères | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Détermination de l’étendue du système de gestion de la sécurité des informations
ID : Propriété ISO 27001:2013 C.4.3.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un SSP qui répond aux critères | CMA_C1492 - Développer un SSP qui répond aux critères | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Détermination de l’étendue du système de gestion de la sécurité des informations
ID : Propriété ISO 27001:2013 C.4.3.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Aligner les objectifs métier et les objectifs de l’informatique | CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Développer un SSP qui répond aux critères | CMA_C1492 - Développer un SSP qui répond aux critères | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Utiliser un cas métier pour enregistrer les ressources nécessaires | CMA_C1735 - Utiliser un cas métier pour enregistrer les ressources nécessaires | Manuel, désactivé | 1.1.0 |
Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires | CMA_C1734 - Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires | Manuel, désactivé | 1.1.0 |
Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services | CMA_C1810 - Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services | Manuel, désactivé | 1.1.0 |
Gouverner l’allocation des ressources | CMA_0293 - Gouverner l’allocation des ressources | Manuel, désactivé | 1.1.0 |
Sécuriser l’engagement de la part de la direction | CMA_0489 - Sécuriser l’engagement de la part de la direction | Manuel, désactivé | 1.1.0 |
Système de gestion de la sécurité des informations
ID : Propriété ISO 27001:2013 C.4.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Leadership
Leadership et engagement
ID : Propriété ISO 27001:2013 C.5.1.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Leadership et engagement
ID : Propriété ISO 27001:2013 C.5.1.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Leadership et engagement
ID : Propriété ISO 27001:2013 C.5.1.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Aligner les objectifs métier et les objectifs de l’informatique | CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique | Manuel, désactivé | 1.1.0 |
Allouer des ressources pour déterminer les exigences du système d’information | CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information | Manuel, désactivé | 1.1.0 |
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Utiliser un cas métier pour enregistrer les ressources nécessaires | CMA_C1735 - Utiliser un cas métier pour enregistrer les ressources nécessaires | Manuel, désactivé | 1.1.0 |
Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires | CMA_C1734 - Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires | Manuel, désactivé | 1.1.0 |
Vérifier que les informations du programme de confidentialité sont disponibles publiquement | CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement | Manuel, désactivé | 1.1.0 |
Établir un élément de ligne discret dans la documentation du budget | CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner l’allocation des ressources | CMA_0293 - Gouverner l’allocation des ressources | Manuel, désactivé | 1.1.0 |
Sécuriser l’engagement de la part de la direction | CMA_0489 - Sécuriser l’engagement de la part de la direction | Manuel, désactivé | 1.1.0 |
Leadership et engagement
ID : Propriété ISO 27001:2013 C.5.1.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Leadership et engagement
ID : Propriété ISO 27001:2013 C.5.1.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Définir des métriques de performances | CMA_0124 - Définir des métriques de performances | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Leadership et engagement
ID : Propriété ISO 27001:2013 C.5.1.f : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Aligner les objectifs métier et les objectifs de l’informatique | CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique | Manuel, désactivé | 1.1.0 |
Allouer des ressources pour déterminer les exigences du système d’information | CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information | Manuel, désactivé | 1.1.0 |
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Utiliser un cas métier pour enregistrer les ressources nécessaires | CMA_C1735 - Utiliser un cas métier pour enregistrer les ressources nécessaires | Manuel, désactivé | 1.1.0 |
Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires | CMA_C1734 - Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires | Manuel, désactivé | 1.1.0 |
Établir un élément de ligne discret dans la documentation du budget | CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner l’allocation des ressources | CMA_0293 - Gouverner l’allocation des ressources | Manuel, désactivé | 1.1.0 |
Sécuriser l’engagement de la part de la direction | CMA_0489 - Sécuriser l’engagement de la part de la direction | Manuel, désactivé | 1.1.0 |
Leadership et engagement
ID : Propriété ISO 27001:2013 C.5.1.g : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Définir des métriques de performances | CMA_0124 - Définir des métriques de performances | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Leadership et engagement
ID : Propriété ISO 27001:2013 C.5.1.h : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Policy
ID : Propriété ISO 27001:2013 C.5.2.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Policy
ID : Propriété ISO 27001:2013 C.5.2.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Policy
ID : Propriété ISO 27001:2013 C.5.2.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Policy
ID : Propriété ISO 27001:2013 C.5.2.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Policy
ID : Propriété ISO 27001:2013 C.5.2.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Policy
ID : Propriété ISO 27001:2013 C.5.2.f : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Policy
ID : Propriété ISO 27001:2013 C.5.2.g : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettre à jour le plan, les stratégies et les procédures de confidentialité | CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité | Manuel, désactivé | 1.1.0 |
Rôles, responsabilités et autorités de l’organisation
ID : Propriété ISO 27001:2013 C.5.3.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir des métriques de performances | CMA_0124 - Définir des métriques de performances | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Planification
Général
ID : Propriété ISO 27001:2013 C.6.1.1.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Général
ID : Propriété ISO 27001:2013 C.6.1.1.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Général
ID : Propriété ISO 27001:2013 C.6.1.1.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Général
ID : Propriété ISO 27001:2013 C.6.1.1.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Général
ID : Propriété ISO 27001:2013 C.6.1.1.e.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Général
ID : Propriété ISO 27001:2013 C.6.1.1.e.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.a.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.a.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.c.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.c.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.d.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.d.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.d.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.e.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.2.e.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la stratégie de gestion des risques | CMA_C1744 - Implémenter la stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Traitement des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.3.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Traitement des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.3.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Traitement des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.3.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Traitement des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.3.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un SSP qui répond aux critères | CMA_C1492 - Développer un SSP qui répond aux critères | Manuel, désactivé | 1.1.0 |
Traitement des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.3.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Traitement des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.6.1.3.f : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Objectifs de sécurité des informations et planification pour les atteindre
ID : Propriété ISO 27001:2013 C.6.2.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Support
Ressources
ID : Propriété ISO 27001:2013 C.7.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Aligner les objectifs métier et les objectifs de l’informatique | CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique | Manuel, désactivé | 1.1.0 |
Allouer des ressources pour déterminer les exigences du système d’information | CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information | Manuel, désactivé | 1.1.0 |
Utiliser un cas métier pour enregistrer les ressources nécessaires | CMA_C1735 - Utiliser un cas métier pour enregistrer les ressources nécessaires | Manuel, désactivé | 1.1.0 |
Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires | CMA_C1734 - Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires | Manuel, désactivé | 1.1.0 |
Établir un élément de ligne discret dans la documentation du budget | CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget | Manuel, désactivé | 1.1.0 |
Gouverner l’allocation des ressources | CMA_0293 - Gouverner l’allocation des ressources | Manuel, désactivé | 1.1.0 |
Sécuriser l’engagement de la part de la direction | CMA_0489 - Sécuriser l’engagement de la part de la direction | Manuel, désactivé | 1.1.0 |
Compétence
ID : Propriété ISO 27001:2013 C.7.2.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Surveiller la réalisation des formations sur la sécurité et la confidentialité | CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Compétence
ID : Propriété ISO 27001:2013 C.7.2.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Surveiller la réalisation des formations sur la sécurité et la confidentialité | CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité | Manuel, désactivé | 1.1.0 |
Compétence
ID : Propriété ISO 27001:2013 C.7.2.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Surveiller la réalisation des formations sur la sécurité et la confidentialité | CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité | Manuel, désactivé | 1.1.0 |
Compétence
ID : Propriété ISO 27001:2013 C.7.2.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Conserver les dossiers de formation | CMA_0456 - Conserver les dossiers de formation | Manuel, désactivé | 1.1.0 |
Sensibilisation
ID : Propriété ISO 27001:2013 C.7.3.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Sensibilisation
ID : Propriété ISO 27001:2013 C.7.3.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Sensibilisation
ID : Propriété ISO 27001:2013 C.7.3.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Communication
ID : Propriété ISO 27001:2013 C.7.4.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désigner le personnel autorisé à publier des informations accessibles publiquement | CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Communication
ID : Propriété ISO 27001:2013 C.7.4.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désigner le personnel autorisé à publier des informations accessibles publiquement | CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Communication
ID : Propriété ISO 27001:2013 C.7.4.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désigner le personnel autorisé à publier des informations accessibles publiquement | CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Communication
ID : Propriété ISO 27001:2013 C.7.4.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désigner le personnel autorisé à publier des informations accessibles publiquement | CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Communication
ID : Propriété ISO 27001:2013 C.7.4.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désigner le personnel autorisé à publier des informations accessibles publiquement | CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Création et mise à jour
ID : Propriété ISO 27001:2013 C.7.5.2.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un SSP qui répond aux critères | CMA_C1492 - Développer un SSP qui répond aux critères | Manuel, désactivé | 1.1.0 |
Contrôle des informations documentées
ID : Propriété ISO 27001:2013 C.7.5.3.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Contrôle des informations documentées
ID : Propriété ISO 27001:2013 C.7.5.3.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Contrôle des informations documentées
ID : Propriété ISO 27001:2013 C.7.5.3.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Contrôle des informations documentées
ID : Propriété ISO 27001:2013 C.7.5.3.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Contrôle des informations documentées
ID : Propriété ISO 27001:2013 C.7.5.3.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Contrôle des informations documentées
ID : Propriété ISO 27001:2013 C.7.5.3.f : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Opération
Planification et contrôle opérationnels
ID : Propriété ISO 27001:2013 C.8.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser la demande d’approbation pour les modifications proposées | CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées | Manuel, désactivé | 1.1.0 |
Automatiser l’implémentation des notifications de modification approuvées | CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de documentation des modifications implémentées | CMA_C1195 - Automatiser le processus de documentation des modifications implémentées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de mise en évidence des propositions de modification non révisées | CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées | Manuel, désactivé | 1.1.0 |
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées | CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées | Manuel, désactivé | 1.1.0 |
Automatiser les modifications documentées proposées | CMA_C1191 - Automatiser les modifications documentées proposées | Manuel, désactivé | 1.1.0 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils gèrent l’intégrité des modifications | CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Évaluation des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.8.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer l’évaluation des risques et documenter ses résultats | CMA_C1542 - Effectuer l’évaluation des risques et documenter ses résultats | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Traitement des risques liés à la sécurité des informations
ID : Propriété ISO 27001:2013 C.8.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Sécuriser l’interface pour les systèmes externes | CMA_0491 - Sécuriser l’interface pour les systèmes externes | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Évaluation des performances
Supervision, mesure, analyse et évaluation
ID : Propriété ISO 27001:2013 C.9.1.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Supervision, mesure, analyse et évaluation
ID : Propriété ISO 27001:2013 C.9.1.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Supervision, mesure, analyse et évaluation
ID : Propriété ISO 27001:2013 C.9.1.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Supervision, mesure, analyse et évaluation
ID : Propriété ISO 27001:2013 C.9.1.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Supervision, mesure, analyse et évaluation
ID : Propriété ISO 27001:2013 C.9.1.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Supervision, mesure, analyse et évaluation
ID : Propriété ISO 27001:2013 C.9.1.f : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Audit interne
ID : Propriété ISO 27001:2013 C.9.2.a.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Audit interne
ID : Propriété ISO 27001:2013 C.9.2.a.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Audit interne
ID : Propriété ISO 27001:2013 C.9.2.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Audit interne
ID : Propriété ISO 27001:2013 C.9.2.c : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Audit interne
ID : Propriété ISO 27001:2013 C.9.2.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Audit interne
ID : Propriété ISO 27001:2013 C.9.2.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Ajuster le niveau d’évaluation, d’analyse et de production de rapports d’audit | CMA_C1123 - Ajuster le niveau d’évaluation, d’analyse et de production de rapports d’audit | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Utiliser des évaluateurs indépendants pour effectuer des évaluations des contrôles de sécurité | CMA_C1148 - Utiliser des évaluateurs indépendants pour effectuer des évaluations des contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Audit interne
ID : Propriété ISO 27001:2013 C.9.2.f : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir les résultats de l’évaluation de la sécurité | CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Audit interne
ID : Propriété ISO 27001:2013 C.9.2.g : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.a : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Implémenter des plans d’action et des jalons pour le processus du programme de sécurité | CMA_C1737 - Implémenter des plans d’action et des jalons pour le processus du programme de sécurité | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.b : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.c.1 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Définir des métriques de performances | CMA_0124 - Définir des métriques de performances | Manuel, désactivé | 1.1.0 |
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.c.2 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.c.3 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Définir des métriques de performances | CMA_0124 - Définir des métriques de performances | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.c.4 : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Définir des métriques de performances | CMA_0124 - Définir des métriques de performances | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.d : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.e : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Passage en revue de la gestion
ID : Propriété ISO 27001:2013 C.9.3.f : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.