Indicateur |
Description du risque |
Solutions possibles |
Références |
Généralités |
Accès non autorisé et/ou intrusion dans les systèmes et/ou programmes informatiques de l’opérateur économique. |
mise en place d’une politique générale, de procédures et de normes en matière de sécurité et communication au personnel; présentation d’un certificat ISO 27001 comme preuve de respect de normes élevées en matière de sécurité informatique; adoption d’une politique générale en matière de sécurité de l’information; désignation d’un agent responsable de la sécurité de l’information; procédures d’octroi des droits d’accès aux personnes autorisées. Les droits d’accès doivent être retirés immédiatement au moment du transfert vers un autre poste ou à la fin de l’engagement; - accès aux données selon le principe du besoin d’en connaître; utilisation d’un logiciel de cryptage le cas échéant; utilisation de pare-feu; protection antivirus; protection par mot de passe sur tous les PC et éventuellement sur des programmes importants. Si les employés quittent leur lieu de travail, l’ordinateur doit toujours être protégé par mot-clé. Le mot de passe doit se composer d’au moins huit caractères formant un mélange de deux ou plusieurs lettres majuscules et minuscules, de nombres et d’autres caractères. Plus le mot de passe est long, plus il est difficile à trouver. Les identifiants et les mots de passe ne doivent jamais être partagés; tests contre tout accès non autorisé; accès aux salles des serveurs restreint aux personnes autorisées; réalisation de tests anti-intrusion à intervalles réguliers. Les tests anti-intrusion doivent être enregistrés; mise en place de procédures pour la gestion des incidents. |
QAE - 3.7 ISO 27001:2013 |
Généralités |
Destruction délibérée ou perte d’informations pertinentes. |
plan de sécurité en cas de perte de données; procédures de sauvegarde en cas de défaillances/pannes du système; procédures de suppression des droits d’accès; procédures pour restreindre l’accès à des sites internet qui sont uniquement destinés aux activités professionnelles. |
ISO 28001:2007, section A.3 ISO 27001:2013 |