deming-27001_2022.sql

-- MySQL dump 10.13  Distrib 8.0.33, for Linux (x86_64)
--
-- Host: localhost    Database: deming
-- ------------------------------------------------------
-- Server version	8.0.33-0ubuntu0.22.04.2

/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!50503 SET NAMES utf8mb4 */;
/*!40103 SET @OLD_TIME_ZONE=@@TIME_ZONE */;
/*!40103 SET TIME_ZONE='+00:00' */;
/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;

--
-- Dumping data for table `attributes`
--

LOCK TABLES `attributes` WRITE;
/*!40000 ALTER TABLE `attributes` DISABLE KEYS */;
INSERT INTO `attributes` (`id`, `name`, `values`, `created_at`, `updated_at`) VALUES 
(1,'Mesures de sécurité','#Préventive #Détective #Corrective','2023-01-30 19:35:24','2023-01-30 19:35:24'),
(2,'Concepts de cybersécurité','#Identifier #Protéger  #Détecter  #Répondre #Rétablir','2023-01-30 19:37:12','2023-03-12 13:33:52'),
(3,'Domaines de sécurité','#Gouvernance_et_Écosystème #Protection #Défense #Résilience','2023-01-30 19:37:53','2023-01-30 19:37:53'),
(4,'Sécurité de l\'information','#Confidentialité #Intégrité #Disponibilité','2023-01-30 19:44:10','2023-01-30 19:44:10'),
(5,'Capacités opérationnelles','#Gouvernance #Gestion_des_actifs #Protection_des_informations #Sécurité_des_ressources_humaines #Sécurité_physique #Sécurité_système_et_réseau #Sécurité_des_applications #Configuration_sécurisée #Gestion_des_identités_et_des_accès #Gestion_des_menaces_et_des_vulnérabilités #Continuité #Assurance_de_sécurité_de_l\'information','2023-01-30 19:46:23','2023-03-12 14:14:55'),
(7,'Club-27001','#Gouvernance #Ressources_humaines #Protection_des_informations #Gestion_des_actifs #Gestion_des_identités_et_des_accès #Sécurité_système_et_réseau #Gestion_des_menaces_et_des_vulnérabilités #Protection_physique #Gestion_et_durcissement_des_configurations #Protection_des_applications #Relations_fournisseurs #Continuité #Gestion_des_événements_et_des_incidents #Conformité','2023-03-29 13:25:53','2023-03-29 13:25:53');
/*!40000 ALTER TABLE `attributes` ENABLE KEYS */;
UNLOCK TABLES;

--
-- Dumping data for table `domains`
--

LOCK TABLES `domains` WRITE;
/*!40000 ALTER TABLE `domains` DISABLE KEYS */;
INSERT INTO `domains` (`id`, `title`, `description`, `created_at`, `updated_at`) VALUES 
(25,'27001:2022','SMSI','2023-04-06 17:51:24','2023-04-06 17:51:24'),
(26,'27001:2022-5','Sécurité organisationnelle','2023-04-06 17:51:56','2023-04-06 17:51:56'),
(27,'27001:2022-6','Sécurité des personnes','2023-04-06 17:52:35','2023-04-06 17:52:35'),
(28,'27001:2022-7','Sécurité physique','2023-04-06 17:53:00','2023-04-06 17:53:00'),
(29,'27001:2022-8','Sécurité technique','2023-04-06 17:53:51','2023-04-06 17:53:51');
/*!40000 ALTER TABLE `domains` ENABLE KEYS */;
UNLOCK TABLES;

--
-- Dumping data for table `measures`
--

LOCK TABLES `measures` WRITE;
/*!40000 ALTER TABLE `measures` DISABLE KEYS */;
INSERT INTO `measures` (`id`, `domain_id`, `name`, `clause`, `objective`, `input`, `model`, `indicator`, `action_plan`, `created_at`, `updated_at`, `standard`, `attributes`) VALUES 
(335,25,'Compréhension de l\'organisation et de son contexte','4.x','Comprendre l\'organisation et son contexte, définir le domaine d\'application et mettre en place un SMSI','- Compréhension de l\'organisation et de son contexte\n- Compréhension des besoins et des attentes des parties intéressées\n- Détermination du domaine d\'application du SMSI\n- Système de management de la sécurité de l\'information','Contrôler la compréhension de l\'organisation et de son contexte, la compréhension des besoins et attentes des parties intéressées, le domaine d\'application et le système de management de la sécurité de l\'information.','Vert : conforme\nRouge : non-conforme','Revoir la compréhension de l\'organisation et de son contexte',NULL,'2023-06-18 18:32:39',NULL,NULL),
(336,25,'Leadership','5.x','Etre en capacité de diriger l\'organisation afin d\'atteindre les objectifs du SMSI.','- Preuves de leadership de la direction\n- Politique de sécurité de l\'information\n- Définitions des rôles, responsabilités et autorités en matière de sécurité de l\'information','Contrôler :\n- Les preuves de leadership et d\'engagement de la direction\n- La politique de sécurité de l\'information\n- Les rôles, responsabilités et autorités au sein de l\'organisation','Vert : conforme\nRouge : non-conforme','Définir et assigner au sein de l\'organisation les rôles, responsabilités et autorités en matière de sécurité de l\'information ;\nEtablir une politique de sécurité de l\'information ;\nIdentifier les personnes responsables nominativement.',NULL,'2023-06-18 18:32:39',NULL,NULL),
(337,25,'Planification','6.x','- Mettre en œuvre des actions face aux risques et aux opportunités\n- Définir des objectifs de sécurité de l\'information et plans pour les atteindre\n- Planifier les modifications du SMSI','- Appréciation des risques\n- Registre des risques\n- Plan de traitement des risques\n- Objectifs de sécurité de l\'information','Contrôler les actions mises en œuvre face aux risques et opportunités\n- Objectifs de sécurité de l\'information\n- Plan de modifications du SMSI','Vert : conforme\nRouge : non-conforme','Mettre en œuvre des actions face aux risques et aux opportunités, des objectifs de sécurité de l\'information et un plan de modification du SMSI.',NULL,'2023-06-18 18:32:39',NULL,NULL),
(338,25,'Compétences','7.2','Disposer des ressources et compétences nécessaires  pour la mise en place du SMSI.','- Ressources nécessaires\n- Matrice de compétences','Contrôler que les ressources nécessaires sont disponibles et disposent des compétences nécessaires.','Vert : conforme\nRouge : non-conforme','Disposer des ressources nécessaires ayant les compétences requises pour la gestion du SMSI.',NULL,'2023-06-18 18:32:39',NULL,NULL),
(339,25,'Support','7.x','Sensibiliser et communiquer sur l\'importance de la sécurité de l\'information et documenter le SMSI\n','- Actions de sensibilisation réalisées\n- Communication aux parties prenantes\n- Processus de documentation du SMSI.','Contrôler les actions de sensibilisation réalisés et la communication aux parties prenantes.\nVérifier la qualité de la documentation du SMSI.','Vert : conforme\nRouge : non-conforme','Sensibiliser à la politique de sécurité de l\'information, communiquer aux parties prenantes. Revoir la documentation du SMSI.',NULL,'2023-06-18 18:32:39',NULL,NULL),
(340,25,'Fonctionnement','8.x','Contrôler le fonctionnement du SMSI, apprécier et traiter les risques.','- contrôle des processus du SMSI\n- appréciations des risques\n- plan de traitement des risques','Contrôler que l\'appréciation des risques et le plan de traitement des risques sont à jour.','Vert : conforme\nRouge : non-conforme','Planifier, mettre en œuvre et contrôler les processus nécessaires à la satisfaction des exigences liées à la sécurité de l’information ;\nRéaliser des appréciations des risques de sécurité de l’information ; et\nMettre en œuvre le plan de traitement des risques de sécurité de l’information.',NULL,'2023-06-18 18:32:39',NULL,NULL),
(341,25,'Audit Interne','9.2','Recueillir des informations permettant de déterminer si le système de management de la sécurité de l\'information est conforme et efficacement mise en œuvre et maintenu.','- Plan d\'audit interne\n- Audits internes réalisés\n- Plan dactions','Contrôler l\'existence et la cohérence du plan d\'audit interne, des audits internes réalisés et le suivi des plans d\'action','Vert : conforme\nRouge : non-conforme','Définir un plan d\'audit interne.\nRéaliser des audits internes\nSuivre les recommandations d\'audit dans un plan d\'action',NULL,'2023-06-18 18:32:39',NULL,NULL),
(342,25,'Revue de Direction','9.3','S\'assurer que le SMSI est toujours approprié, adapté et efficace.','- Documentation de la revue de direction','Contrôler la documentation de la revue de direction, son contenu et les conclusions de la revue.','Vert : conforme\nRouge : non-conforme','Planifier une revue de direction conformément aux attentes de la norme',NULL,'2023-06-18 18:32:39',NULL,NULL),
(343,25,'Amélioration continue','10.1','Mettre en place l\'amélioration continue au sein du SMSI.','- plan d\'amélioration continue','Contrôler l\'amélioration de la pertinence, de l\'adéquation et de l\'efficacité du système de management de la sécurité de l\'information.','Vert : conforme\nRouge : non-conforme','Améliorer continuellement la pertinence, l\'adéquation et l\'efficacité du système de management de la sécurité de l\'information.',NULL,'2023-06-21 05:03:03',NULL,NULL),
(344,25,'Non-conformité et actions correctives','10.2','S’assurer que les non-conformités et les actions correctives sont traitées.','- Le plan de suivi des non-conformités et d\'actions correctives','Contrôler le plan de traitement des non-conformités et des actions correctives','Vert : conforme\nRouge : non-conforme','Mettre en place un plan de gestion des non-conformités et des actions correctives',NULL,'2023-06-18 18:32:39',NULL,NULL),
(345,26,'Politiques de sécurité de l\'information','5.01 ','Assurer de manière continue la pertinence, l\'adéquation, l\'efficacité des orientations de la direction et de  son soutien à la sécurité de l\'information selon les exigences métier, légales, statutaires, réglementaires  et contractuelles.','- ensemble de politique de sécurité de l\'information\n- preuves d\'approbation\n- preuves de diffusion','Contrôler l\'existence de l\'ensemble des politiques de sécurité, leur validé, leur diffusion et communication aux salariés et aux tiers concernés.','Vert: conforme\nOrange: manquements mineurs\nRouge: non-conforme','Définir une politique de sécurité de l\'information et des politiques portant sur des thèmes, de les faire approuver par la direction, de les publier, de les communiquer et d\'en demander confirmation au personnel et aux parties intéressées concernés, ainsi que de les réviser à intervalles planifiés et si des changements notoires interviennent.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Gouvernance #Gouvernance_et_Écosystème #Résilience'),
(346,26,'Fonctions et responsabilités liées à la sécurité de l\'information','5.02 ','Établir une structure définie, approuvée et comprise pour la mise en œuvre, le fonctionnement et la  gestion de la sécurité de l\'information au sein de l\'organisation.','- Politique d\'organisation de la sécurité\n- Attribution par la direction des responsabilités en matière de sécurité de l\'information','Contrôler la définition et l\'attribution des fonctions et responsabilités liées à la sécurité de l\'information selon les besoins de  l\'organisation.','Vert : présence des preuves\nOrange : manquement mineur\nRouge : absence de preuves','Définir et attribuer toutes les responsabilités en matière de sécurité de l’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Gouvernance #Gouvernance_et_Écosystème #Protection #Résilience'),
(347,26,'Séparation des tâches','5.03 ','Réduire le risque de fraude, d\'erreur et de contournement des mesures de sécurité de l\'information.','- Définition des tâches et domaines de responsabilités incompatibles','Contrôler que les tâches et domaines de responsabilité incompatibles sont séparés','Vert: présence des preuves\nOrange : non-conformité mineure\nRouge : absence de preuves','Séparer les tâches et domaines de responsabilité incompatibles.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gouvernance #Gestion_des_identités_et_des_accès #Gouvernance_et_Écosystème'),
(348,26,'Responsabilités de la direction','5.04 ','S’assurer que la direction comprend son rôle en matière de sécurité de l\'information et qu\'elle  entreprend des actions visant à garantir que tout le personnel est conscient de ses responsabilités liées  à la sécurité de l\'information et qu\'il les mène à bien.','- communication de la direction \n- date du contrôle','Contrôler l\'existence d\'une communication de la direction sur l\'importance de la sécurité de l\'information.','Vert : =< 1 an\nOrange : > 1 an\nRouge : absence de communication','Publier une communication de la direction sur l\'importance de la sécurité de l\'information pour l\'organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Gouvernance #Gouvernance_et_Écosystème'),
(349,26,'Relations avec les autorités','5.05 ','Assurer la circulation adéquate de l\'information en matière de sécurité de l’information, entre  l\'organisation et les autorités légales, réglementaires et de surveillance pertinente.','- procédure d\'organisation de la sécurité\n- inventaire des autorités compétentes\n- preuve de relation avec les autorités','La procédure et l\'inventaire sont à jour\nil existe des preuves de relation avec les autorités','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge: absence de preuves','Des relations appropriées avec les autorités compétentes doivent être entretenues.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Répondre #Rétablir #Gouvernance #Défense #Résilience'),
(350,26,'Relations avec des groupes de travail spécialisés','5.06 ','Assurer la circulation adéquate de l\'information en matière de sécurité de l’information.','- procédure d\'organisation de la sécurité\n- inventaire des groupes de spécialistes\n- preuves de relation avec les groupes de spécialistes','La procédure et l\'inventaire des groupes de spécialistes sont à jour.\nIl existe des preuves de relation avec les groupes de spécialistes.','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge: preuves manquantes','Revoir la procédure, mettre à jour l\'inventaire et entretenir des relations avec les groupes de spécialistes.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Répondre #Rétablir #Gouvernance #Défense'),
(351,26,'Intelligence des menaces','5.07 ','Apporter une connaissance de l\'environnement des menaces de l\'organisation afin que les mesures  d\'atténuation appropriées puissent être prises.','- sources d\'information sur les menaces\n- preuves d\'analyses','Il existe des sources d\'information et des preuves d\'analyses','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge: preuves manquantes','Recueillir et analyser des informations sur les menaces.',NULL,NULL,NULL,'#Préventive #Détective #Corrective #Confidentialité #Intégrité #Disponibilité #Identification #Détecter #Répondre #Gestion_des_menaces_et_des_vulnérabilités #Défense #Résilience'),
(352,26,'Sécurité de l\'information dans la gestion de projet','5.08 ','Assurer que les risques de sécurité de l\'information relatifs aux projets et aux livrables sont traités  efficacement dans la gestion de projet, tout au long du cycle de vie du projet.','- procédure d\'organisation de la sécurité\n- preuves de la prise en considération de la sécurité de l\'information dans la gestion des projets','Contrôler la prise en considération de la sécurité de l\'information dans la gestion de projet.','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge : absence de preuves','Intégrer la sécurité de l\'information aux activités de gestion de projet de l\'organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Gouvernance #Gouvernance_et_Écosystème #Protection'),
(353,26,'Inventaire des informations et des autres actifs associés','5.09 ','Identifier les informations et autres actifs associés de l\'organisation afin de préserver leur sécurité et  d\'en attribuer la propriété de manière appropriée.','- extrait de l\'inventaire \n- contrôle physique de l\'inventaire\n- vérifier l\'attribution d\'un propriétaire','Contrôler qu\'un inventaire des informations et des autres actifs associés, y compris leurs propriétaires et tenu et mis à jour','Vert : présence des preuves\nOrange : manquement mineur\nRouge : absence de preuves','Elaborer et de tenir à jour un inventaire des informations et des autres actifs associés, y compris leurs propriétaires.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Gestion_des_actifs #Gouvernance_et_Écosystème #Protection'),
(354,26,'Utilisation correcte de l\'information et des autres actifs associés','5.10 ','Assurer que les informations et autres actifs associés sont protégés, utilisés et traités de manière  appropriée.','- Règle d\'utilisation correcte des actifs\n- Date de publication','Contrôler l\'existence des règles\nComparer la date de publication à la date du contrôle','Vert : présence des preuves\nOrange : manquement mineur\nRouge : absence de preuves','Identifier, documenter et mettre en oeuvre des règles d\'utilisation correcte et des procédures de traitement de l\'information et des autres actifs associés.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection_des_informations #Gouvernance_et_Écosystème #Protection'),
(355,26,'Restitution des actifs','5.11 ','Protéger les actifs de l\'organisation dans le cadre du processus du changement ou de la fin de leur  emploi, contrat ou accord.','- échantillon des employés ayant quitté l\'organisation sur la période\n- preuves de restitution des assets','Contrôler la listes de employés ayant quitté l\'organisation et les preuves de restitution des actifs à l\'organisation.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Le personnel et les autres parties intéressées, au besoin, restituent tous les actifs de l\'organisation qui sont en leur possession en cas de modification ou de rupture de leur relation de travail, contrat de travail ou engagement.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection'),
(356,26,'Classification de l\'information','5.12 ','Assurer l\'identification et la compréhension des besoins de protection de l\'information en fonction de son importance pour l\'organisation.','- vérifier la date de mise à jour de la procédure\n- vérifier avec le DPO et juriste la conformité de la procédure au vu des changements du contexte de l\'organisation','Contrôler l\'existence et la mise à jour de la procédure et son contenu compte-tenu du contexte de l\'organisation','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Classifier l\'information conformément aux besoins de l\'organisation en termes de sécurité de l\'information sur le plan de la confidentialité, de l\'intégrité, de la disponibilité et des exigences des parties intéressées.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protection_des_informations #Protection #Défense'),
(357,26,'Marquage des informations','5.13 ','Faciliter la communication de la classification de l\'information et appuyer l\'automatisation de la gestion  et du traitement de l\'information.','- procédure de marquage\n- échantillon d’information (procédure, formulaire ...)','Contrôler la procédure de marquege et sa mise en œuvre sur un échantillon des informations de l\'organisation.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Revoir la procédure de marquage de l\'information et son application',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Protection_des_informations #Défense #Protection'),
(358,26,'Transfert de l\'information','5.14 ','Maintenir la sécurité de l\'information transférée au sein de l\'organisation et vers toute partie intéressée  externe','- règles, procédures ou accords de transfert de l\'information\n- inventaire des accords concernés\n- termes des accords','Contrôler la mise place des règles, procédures ou accords de transfert de l\'information, l\'inventaire des accords concernés et les termes des accords.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Mettre en place des politiques, des procédures et des mesures de transfert formelles pour protéger les transferts d’information transitant par tous types d’équipements de communication.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection_des_informations #Protection'),
(359,26,'Contrôle d\'accès','5.15 ','Assurer l\'accès autorisé et empêcher l\'accès non autorisé aux informations et autres actifs associés.','- Politique de contrôle d\'accès\n- Date de revue de la politique\n- Date du contrôle','Contrôler la définition et la mise en oeuvre des règles visant à gérer l\'accès physique et logique à l\'information et aux autres actifs associés en fonction des exigences métier et de sécurité de l\'information.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Etablir, documenter et revoir la politique de contrôle d\'accès',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'),
(360,26,'Gestion des identités','5.16 ','Permettre l\'identification unique des personnes et des systèmes qui accèdent aux informations et  autres actifs associés de l\'organisation, et pour permettre l’attribution appropriée des droits d\'accès.','- processus d\'enregistrement et de désinscription des utilisateurs\n- date du contrôle','Contrôler la gestion du cycle de vie complet des identités.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Gérer le cycle de vie complet des identités.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'),
(361,26,'Informations d\'authentification','5.17 ','Assurer l\'authentification correcte de l\'entité et éviter les défaillances des processus d\'authentification.','- processus de gestion de l\'attribution des informations secrètes d\'authentification','Contrôler l\'existence et l\'application du processus de gestion de l\'attribution des informations secrètes d\'authentification','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Mettre en place un processus de gestion formel de l’attribution des informations secrètes d’authentification.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'),
(362,26,'Droits d\'accès','5.18 ','Assurer que l\'accès aux informations et aux autres actifs associés est défini et autorisé conformément aux  exigences métier','- Processus de maîtrise de la gestion des accès aux utilisateurs\n- Preuves d\'application du processus de maîtrise de la gestion des accès aux utilisateurs\n- Revue des droits d\'accès','Contrôler l\'existence du processus de maîtrise de la gestion des accès aux utilisateurs, la validité des preuves d\'application du processus et la revue des droits d\'accès','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Les droits d\'accès à l\'information et aux autres actifs associés sont mis en service, révisés, modifiés et supprimés conformément à la politique portant sur le thème de l\'organisation et aux règles de contrôle d\'accès.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'),
(363,26,'Sécurité de l\'information dans les relations avec les fournisseurs','5.19 ','Maintenir le niveau de sécurité de l\'information convenu dans les relations avec les fournisseurs.','- fournisseurs soumis aux exigences de sécurité de l\'information\n- exigences de sécurité de l\'information\n- acceptations par les fournisseurs','Contrôler que les exigences sont documentées et mises à jour et que les mesures sont acceptées par les fournisseurs','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Définir et faire accepter par les fournisseurs des exigences de sécurité de l’information pour limiter les risques résultant de l’accès de ces fournisseurs aux actifs de l’organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_relations_fournisseurs #Gouvernance_et_Écosystème #Protection'),
(364,26,'Prise en compte de la sécurité de l\'information dans les accords conclus avec les fournisseurs','5.20 ','Maintenir le niveau de sécurité de l\'information convenu dans les relations avec les fournisseurs.','- exigences applicables liées à la sécurité de l’information\n- fournisseurs concernés\n- convention avec les fournisseurs','Contrôler que les exigences sont documentées et mises à jour et que les exigences sont convenues avec les fournisseurs','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Etablir et convenir avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou fournir des composants de l’infrastructure informatique destinés à l’information de l’organisation, des exigences applicables liées à la sécurité de l’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_relations_fournisseurs #Gouvernance_et_Écosystème #Protection'),
(365,26,'Management de la sécurité de l\'information dans la chaîne d\'approvisionnement TIC','5.21 ','Maintenir le niveau de sécurité de l\'information convenu dans les relations avec les fournisseurs.','- fournisseurs concernés\n- exigences sur le traitement des risques\n- accords conclus avec ces fournisseurs','Contrôler les exigences sont documentées et que les accords conclus contiennent les exigences','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Inclure dans les accords conclus avec les fournisseurs, des exigences sur le traitement des risques liés à la sécurité de l’information associé à la chaîne d’approvisionnement des produits et des services informatiques.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_relations_fournisseurs #Gouvernance_et_Écosystème #Protection'),
(366,26,'Suivi, revue et gestion des changements des services fournisseurs','5.22 ','Maintenir un niveau convenu de sécurité de l\'information et de prestation de services, conformément  aux accords conclus avec les fournisseurs.','- Fournisseurs concernés\n- Surveillances, vérifications et audits effectués','Contrôler que l\'organisation procède régulièrement à la surveillance, à la revue, à l\'évaluation et à la gestion des changements de pratiques des fournisseurs en matière de sécurité de l\'information et de prestation de services.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Surveiller, vérifier et auditer à intervalles réguliers la prestation des services assurés par les fournisseurs.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_relations_fournisseurs #Assurance_de_sécurité_de_l\'information #Gouvernance_et_Écosystème #Protection #Défense'),
(367,26,'Sécurité de l\'information dans l\'utilisation de services en nuage','5.23 ','Spécifier et gérer la sécurité de l\'information lors de l\'utilisation de services en nuage.','- Services en nuage concernés\n- Processus d\'acquisition, d\'utilisation, de management et de cessation des services en nuages\n- Preuves d\'application des processus d\'acquisition, d\'utilisation de management et de cessation','Contrôler que les processus d\'acquisition, d\'utilisation, de management et de cessation des services en nuage sont définis conformément aux exigences de sécurité de l\'information de l\'organisation.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Définir et surveiller les processus d\'acquisition, d\'utilisation, de management et de cessation des services en nuage conformément aux exigences de sécurité de l\'information de l\'organisation',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_relations_fournisseurs #Gouvernance_ et_Écosystème #Protection'),
(368,26,'Planification et préparation de la gestion des incidents liés à la sécurité de\nl\'information','5.24 ','Assurer une réponse rapide, efficace, cohérente et ordonnée aux incidents de sécurité de l\'information,  notamment la communication sur les événements de sécurité de l\'information.','- procédure de gestion des incidents\n- date de mise à jour','Contrôler que les responsabilités dans la gestion des incidents sont définies\nContrôler que la procédure de gestion des incidents existe et est à jour','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Etablir des responsabilités et des procédures permettant de garantir une réponse rapide, efficace et pertinente en cas d’incident lié à la sécurité de l’information.',NULL,NULL,NULL,'#Corrective #Confidentialité #Intégrité #Disponibilité #Répondre #Rétablir #Gouvernance #Gestion_des_événements_de_sécurité_de_l\'information #Défense'),
(369,26,'Appréciation des événements liés à la sécurité de l\'information et prise de décision','5.25 ','Assurer une catégorisation et une priorisation efficaces des événements de sécurité de l\'information.','- liste des incidents\n- processus de sélection\n- liste des incidents liés à la sécurité de l\'information','Contrôler que le processus de sélection est appliqué','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Revoir le processus d\'appréciation des incidents',NULL,NULL,NULL,'#Détective #Confidentialité #Intégrité #Disponibilité #Détecter #Répondre #Gestion_des_événements_de_sécurité_de_l\'information #Défense'),
(370,26,'Réponse aux incidents liés à la sécurité de l\'information','5.26 ','Assurer une réponse efficace et effective aux incidents de sécurité de l\'information.','Procédure de gestion des incidents de sécurité\nPreuves d\'application de la procédure','Contrôler que la procédure existe et est à jour\nContrôler que la procédure est suivie','Vert: conforme\nOrange : anomalie\nRouge : non-conforme','Traiter les incidents liés à la sécurité de l’information conformément aux procédures documentées.',NULL,NULL,NULL,'#Corrective #Confidentialité #Intégrité #Disponibilité #Répondre #Rétablir #Gestion_des_événements_de_sécurité_de_l\'information #Défense'),
(371,26,'Tirer des enseignements des incidents liés à la sécurité de l\'information','5.27 ','Réduire la probabilité ou les conséquences des incidents futurs.','- Procédure de gestion des incidents\n- Preuves d\'utilisation des connaissances','Contrôler l\'existence de l\'amélioration dans la procédure\nContrôler l\'existence de preuve d\'amélioration','Vert: conforme\nOrange : anomalie\nRouge : non-conforme','Utiliser les connaissances recueillies suite à l’analyse et la résolution d’incidents pour réduire la probabilité ou l’impact d’incidents ultérieurs.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Gestion_des_événements_de_sécurité_de_l\'information #Défense'),
(372,26,'Recueil de preuves','5.28 ','Assurer une gestion cohérente et efficace des preuves relatives aux incidents de sécurité de l\'information  pour les besoins d\'actions judiciaires ou de disciplinaires.','- procédure de collecte de preuves\n- preuve de collecte de preuves','Contrôler la documentation de la collecte de preuve dans la procédure\nContrôler l\'application de la collecte de preuve','Vert : conforme\nOrange : anomalie\nRouge : non conforme','Définir et appliquer des procédures d’identification, de collecte, d’acquisition et de protection de l’information pouvant servir de preuve.',NULL,NULL,NULL,'#Corrective #Confidentialité #Intégrité #Disponibilité #Détecter #Répondre #Gestion_des_événements_de_sécurité_de_l\'information #Défense'),
(373,26,'Sécurité de l\'information durant une perturbation','5.29 ','Protéger les informations et autres actifs associés pendant une perturbation.','- Procédure de gestion de la continuité d\'activité\n- Exigences en matière de sécurité et de continuité\n- Preuves de vérification des mesures','Contrôler l\'existence et la mise à jour de la procédure\nContrôler les exigences en matière de sécurité et de continuité','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Déterminer ses exigences en matière de sécurité de l’information et de continuité de management de la sécurité de l’information dans des situations défavorables, comme lors d’une crise ou d’un sinistre.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Répondre #Continuité #Protection #Résilience'),
(374,26,'Préparation des TIC pour la continuité d\'activité','5.30 ','Assurer la disponibilité des informations et autres actifs associés de l\'organisation pendant une  perturbation.','- Systèmes concernés\n- Objectifs de continuité\n- Tests de continuité','Contrôler l\'identification des systèmes et de leurs objectifs de sécurité\nContrôler la réalisation de tests de continuité','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Identifier les objectifs de continuité d\'action et les exigences de continuité des TIC. Réaliser des tests de continuité.',NULL,NULL,NULL,'#Corrective #Disponibilité #Répondre #Continuité #Résilience'),
(375,26,'Identification des exigences légales, statutaires, réglementaires et contractuelles','5.31 ','Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives à la  sécurité de l\'information.','- inventaire des exigences légales, statutaires, réglementaires et contractuelles en vigueur\n- approche adoptée par l’organisation pour satisfaire à ces exigences','Contrôler que l\'inventaire est à jour et que l\'approche est documentée','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Définir explicitement, documenter et mettre à jour toutes les exigences légales, statutaires, réglementaires et contractuelles en vigueur, ainsi que l’approche adoptée par l’organisation pour satisfaire à ces exigences pour chaque système d’information et pour l’organisation elle-même.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Réglementation_et_conformité #Gouvernance_et_Écosystème #Protection'),
(376,26,'Droits de propriété intellectuelle','5.32 ','Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux  droits de propriété intellectuelle et à l\'utilisation de produits propriétaires.','- procédure pour garantir la propriété intellectuelle\n- preuves d\'application de la procédure','Contrôler l\'existence de la procédure et sa mise à jour et les preuves d\'application de la procédure','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Mettre en œuvre des procédures appropriées pour garantir la conformité avec les exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à l’usage des licences de logiciels propriétaires.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Réglementation_et_conformité #Gouvernance_et_Écosystème'),
(377,26,'Protection des enregistrements','5.33 ','Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles, ainsi  qu\'aux attentes de la société ou de la communauté relatives à la protection et à la disponibilité des  enregistrements.','- mesures de protection des enregistrements\n- exigences légales, réglementaires, contractuelles et aux exigences métier\n- Inventaire des sources d\'information clé','- Contrôler que les mesures respectent les exigences.\n- Contrôler les preuves d\'application des mesures\n- Contrôler la mise à jour de l\'inventaire des sources d\'information clé\n- Contrôler la suppression des informations','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Protéger les enregistrements de la perte, de la destruction, de la falsification, des accès non autorisés et des diffusions non autorisées, conformément aux exigences légales, réglementaires, contractuelles et aux exigences métier.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Réglementation_et_conformité #Gestion_des_actifs #Protection_des_informations #Défense'),
(378,26,'Vie privée et protection des DCP','5.34 ','Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux  aspects de la sécurité de l\'information portant sur la protection des DCP.','- Politique vie privée\n- mesures de protection','Contrôler l\'existence et la mise à jour de la politique vie privée et l\'application des mesures de protection','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Garantir la protection de la vie privée et la protection des données à caractère personnel telles que l’exigent la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Protection_des_informations #Réglementation_et_conformité #Protection'),
(379,26,'Revue indépendante de la sécurité de l\'information','5.35 ','S’assurer que l’approche de l’organisation pour gérer la sécurité de l’information est continuellement  adaptée, adéquate et efficace.','- Revues indépendantes\n- Plan de suivi des revues\n- Changements dans l\'organisaiton','Contrôler que des revues indépendantes de l\'approche retenue par l\'organisation pour gérer et mettre en oeuvre la sécurité de l\'information, y compris des personnes, processus et technologies sont menées à intervalles définis ou lorsque des changements importants sont intervenus.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Effectuer une revue indépendante de l’approche retenue par l’organisme pour gérer et mettre en œuvre la sécurité de l’information (à savoir le suivi des objectifs de sécurité, les mesures, les politiques, les procédures et les processus relatifs à la sécurité de l’information) et mettre en place un plan de suivi de la revue.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Assurance_de_sécurité_de_l\'information #Gouvernance_et_Écosystème'),
(380,26,'Conformité aux politiques et normes de sécurité de l\'information','5.36 ','S’assurer que la sécurité de l\'information est mise en œuvre et fonctionne conformément à la politique  de sécurité de l\'information, aux politiques spécifiques à une thématique, aux règles et aux normes de  l\'organisation.','- inventaire des systèmes d\'information concernés\n- preuves de vérification','Contrôler que la conformité à la politique de sécurité de l\'information, aux politiques portant sur des thèmes et aux normes de l\'organisation est vérifiée régulièrement.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Examiner les systèmes d’information quant à leur conformité avec les politiques et les normes de sécurité de l’information de l’organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Réglementation_et_conformité #Assurance_de_sécurité_de_l\'information #Gouvernance_et_Écosystème'),
(381,26,'Procédures d\'exploitation documentées','5.37 ','S\'assurer du fonctionnement correct et sécurisé des moyens de traitement de l\'information.','- procédure d\'exploitation\n- disponibilité des procédures aux utilisateurs','Contrôler l\'existence et la mise à jour des procédures d\'exploitation et la mise à disposition des procédures aux utilisateurs concernés','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Documenter et mettre à disposition des utilisateurs concernés les procédures d’exploitation.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Rétablir #Gestion_des_actifs #Sécurité_physique #Sécurité_système_et_réseau #Sécurité_des_applications #Configuration_sécurisée #Gestion_des_identités_et_des_accès #Gestion_des_menaces_et_des_vulnérabilités #Continuité #Gestion_des_événements_de_sécurité_de_l\'information #Gouvernance_et_Écosystème #Protection #Défense'),
(382,27,'Présélection','6.01 ','S\'assurer que tous les membres du personnel sont éligibles et adéquats pour remplir les fonctions pour lesquelles ils sont candidats, et qu\'ils le restent tout au long de leur emploi.','- Procédure de sélection des candidats\n- Preuves d\'exécution du processus de sélection','Contrôler l\'existence d\'une procédure à jour et l\'existence de preuves d’exécution du processus de sélection.','Vert : conforme\nOrange : non-conformité mineure\nRouge : absence de preuves','Mettre à jour la procédure et effectuer des vérifications sur tous les candidats à l’embauche.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_ressources_humaines #Gouvernance_et_Écosystème'),
(383,27,'Conditions générales d\'embauche','6.02 ','S\'assurer que le personnel comprend ses responsabilités en termes de sécurité de l\'information dans le cadre des fonctions que l’organisation envisage de lui confier.','- définitions des termes\n- preuves d\'existence des termes dans les accords','Contrôler l\'existence des termes et preuves de présence des termes les accords','Vert : présence de preuves\nOrange : Non-conformité mineure\nRouge : absence de preuves','Définir les responsabilités et celles de l’organisation en matière de sécurité de l’information dans les accords contractuels entre les salariés et les sous-traitants.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_ressources_humaines #Gouvernance_et_Écosystème'),
(384,27,'Sensibilisation, apprentissage et formation à la sécurité de l\'information','6.03 ','S\'assurer que le personnel et les parties intéressées pertinentes connaissent et remplissent leurs responsabilités en matière de sécurité de l\'information.','- plan de sensibilisation à la sécurité de l\'information\n- feuilles de présence','Contrôler l\'existence d\'un plan de sensibilisation à la sécurité et la participation du personnel à des formations','Vert : existence d\'un plan et présence du personnel\nOrange : non-conformité mineure\nRouge : Absence de sensibilisation','Sensibilier le personnel de l\'organisation et les parties intéressées  à la sécurité de l\'information, leur communiquer un apprentissage et des formations à la sécurité de l\'information adaptés, et leur transmettre régulièrement les mises à jour des politiques et procédures de l\'organisation s\'appliquant à leur fonction.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_ressources_humaines #Gouvernance_et_Écosystèm'),
(385,27,'Processus disciplinaire','6.04 ','S\'assurer que le personnel et d’autres parties intéressées pertinentes comprennent les conséquences  des violations de la politique de sécurité de l\'information, prévenir ces violations, et traiter de manière  appropriée le personnel et d’autres parties intéressées qui ont commis des violations.','- Processus disciplinaire\n- Communication du process\n- Parties intéressées','Contrôler qu\'un processus disciplinaire permettant de prendre des mesures à l\'encontre du personnel et des autres parties intéressées qui ont commis une violation de la politique de sécurité de l\'information est formalisé et de communiqué.','Vert : existe\nOrange : non-conformité mineure\nRouge : absence de preuves','Formaliser et communiquer un processus disciplinaire permettant de prendre des mesures à l\'encontre du personnel et des autres parties intéressées qui ont commis une violation de la politique de sécurité de l\'information.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Répondre #Sécurité_des_ressources_humaines #Gouvernance_et_Écosystème'),
(386,27,'Responsabilités consécutivement à la fin ou à la modification du contrat de tr','6.05 ','Protéger les intérêts de l\'organisation dans le cadre du processus de changement ou de fin d\'un emploi  ou d’un contrat.','- définition des termes\n- preuves d\'application','Existence des termes et des preuves d\'application','Vert : existe\nOrange : non-conformités mineures\nRouge : absence de preuves','Définir les responsabilités et les missions liées à la sécurité de l’information qui restent valables à l’issue de la rupture, du terme ou de la modification du contrat de travail.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_ressources_humaines #Gestion_des_actifs #Gouvernance_et_Écosystème'),
(387,27,'Engagements de confidentialité ou de non-divulgation','6.06 ','Assurer la confidentialité des informations accessibles par le personnel ou des parties externes.','- les exigences en matière d\'engagement de confidentialité ou de non-divulgation sont documentées \n- les engagements de confidentialités ont été signés par les prestataires lors des derniers projets effectués.','Contrôler que les exigences sont identifiées et documentées','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Identifier, vérifier et documenter les exigences en matière d’engagements de confidentialité ou de non-divulgation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Sécurité_des_ressources_humaines #Protection_des_informations #Relations_fournisseurs #Gouvernance_et_Écosystème'),
(388,27,'Travail à distance','6.07 ','Assurer la sécurité des informations lorsque le personnel travaille à distance.','- Mesures de sécurité complémentaires \n- Preuves d\'application des mesures complémentaires','Contrôler l\'existence et mise à jour des mesures de sécurité complémentaires et les preuves d\'application de ces mesures','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge : absence de preuves','Définir et mettre en oeuvre une politique et des mesures de sécurité complémentaires pour protéger les informations consultées, traitées ou stockées sur des sites de télétravail.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection_des_informations #Sécurité_physique #Sécurité_système_et_réseau #Protection'),
(389,27,'Signalement des événements liés à la sécurité de l\'information','6.08 ','Permettre la déclaration des événements de sécurité de l\'information qui peuvent être identifiés par le  personnel, de manière rapide, cohérente et efficace.','- Procédure de gestion des incidents\n- Exemple d\'incident signalé par les voies hiérarchiques','Contrôler l\'existence de la procédure, son application et sa mise à jour','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Signaler les événements liés à la sécurité de l’information dans les meilleurs délais par les voies hiérarchiques appropriées.',NULL,NULL,NULL,'#Détective #Confidentialité #Intégrité #Disponibilité #Détecter #Gestion_des_événements_de_sécurité_de_l\'information #Défense'),
(390,28,'Périmètre de sécurité physique','7.01 ','Empêcher l’accès physique non autorisé, les dommages ou interférences portant sur les informations et  autres actifs associés de l\'organisation.','- définition des périmètres de sécurité\n- inventaire des zones contenant de l\'information sensible','Contrôler que des périmètres de sécurité servant à protéger les zones qui contiennent l\'information sensible ou critique et les autres actifs associés sont définis.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Définir des périmètres de sécurité pour protéger les zones contenant l’information sensible ou critique et les moyens de traitement de l’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Protection'),
(391,28,'Contrôles physiques des accès','7.02 ','Assurer que seul l\'accès physique autorisé aux informations et autres actifs associés de l\'organisation  soit possible.','- inventaire des zones sécurisées\n- contrôles adéquats à l\'entrée\n- application des contrôles','Contrôler que les zones sécurisées sont protégées par des contrôles adéquats à l’entrée pour s’assurer que seul le personnel autorisé est admis.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Mettre en place des contrôles adéquats à l’entrée des zones sécurisées pour s’assurer que seul le personnel autorisé est admis.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_identités_et_des_accès #Protection'),
(392,28,'Sécurisation des bureaux, des salles et des équipements','7.03 ','Empêcher l’accès physique non autorisé, les dommages et les interférences impactant les informations et autres actifs associés de l\'organisation dans les bureaux, salles et installations.','- inventaire des bureaux, salles et équipements\n- mesures de sécurité physique\n- application des mesures','Contrôler l\'inventaire, les mesures de sécurité et l\'application des mesures.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Concevoir et appliquer des mesures de sécurité physique aux bureaux, aux salles et aux équipements.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'),
(393,28,'Surveillance de la sécurité physique','7.04 ','Détecter et dissuader l’accès physique non autorisé.','- locaux physiques concernés\n- mesures de sécurité mises en place\n- preuves de surveillance','Contrôler l\'application des mesures de surveillances continue des locaux','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Identifier les locaux concernés, identifier les mesures à mettre en place et surveiller en continu l\'accès physique non autorisé',NULL,NULL,NULL,'#Préventive #Détective #Confidentialité #Intégrité #Disponibilité #Protéger #Détecter #Sécurité_physique #Protection #Défense'),
(394,28,'Protection contre les menaces physiques et environnementales','7.05 ','Prévenir ou réduire les conséquences des événements issus des menaces physiques ou environnementales.','- inventaire des désastres naturels attaques malveillantes ou les accidents pris en compte\n- mesures de protection physique\n- application de ces mesures','Contrôler l\'inventaire et l\'application des mesures. Compter le nombre d\'anomalies.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Concevoir et appliquer des mesures de protection physique contre les désastres naturels, les attaques malveillantes ou les accidents.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Protection'),
(395,28,'Travail dans les zones sécurisées','7.06 ','Protéger les informations et autres actifs associés dans les zones sécurisées contre tout dommage et  contre toutes interférences non autorisées par le personnel travaillant dans ces zones.','- procédure pour le travail dans les zones sécurisées \n- zones sécurisées\n- application de la procédure','Contrôler que les invantaires existent et sont à jour.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Concevoir et appliquer des procédures pour le travail dans les zones sécurisées.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Protection'),
(396,28,'Bureau propre et écran vide','7.07 ','Réduire les risques d\'accès non autorisé, de perte et d\'endommagement des informations sur les  bureaux, les écrans et dans d’autres emplacements accessibles pendant et en dehors des heures  normales de travail.','- Politique du bureau propre\n- Respect de la politique par les utilisateurs','Contrôler que des règles du bureau propre pour les documents papier et les supports de stockage amovibles, et les règles de l\'écran vide pour les moyens de traitement de l\'information sont définies et d\'appliquées.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','- Revoir la politique du bureau propre pour les documents papier et les supports de stockage amovibles, \n- Sensibiliser les utilisateurs au respect de la politique du bureau propre et de l’écran verrouillé',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Sécurité_physique #Protection'),
(397,28,'Emplacement et protection du matériel','7.08 ','Réduire les risques liés à des menaces physiques et environnementales, et à des accès non autorisés et  à des dommages.','- inventaire du matériel concerné\n- menaces et dangers environnementaux retenus\n- emplacements\n- mesures mises en œuvre','Contrôler l\'inventaire du matériel concerné et leurs emplacements.\nContrôler l\'application des mesures de protection.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Protéger les matériels contre les risques liés à des menaces et des dangers environnementaux et les possibilités d’accès non autorisé.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'),
(398,28,'Sécurité des actifs hors des locaux','7.09 ','Empêcher la perte, l\'endommagement, le vol ou la compromission des terminaux hors du site et  l\'interruption des activités de l\'organisation.','- mesures de sécurité appliquées\n- preuves d\'application des mesures de sécurité','Contrôler l\'application des mesures de sécurité','Vert : conforme\nOrange : non-conformité mineure\nRouge : non-conforme','Appliquer des mesures de sécurité aux matériels utilisés hors des locaux de l’organisation en tenant compte des différents risques associés au travail hors site.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'),
(399,28,'Supports de stockage','7.10 ','Assurer que seuls la divulgation, la modification, le retrait ou la destruction autorisés des informations  de l\'organisation sur des supports de stockage sont effectués.','- procédure de gestion des supports de stockage\n- échantillons de supports\n- preuves de gestion des supports (conservation, classification ...)\n- Echantillon de transports effectués\n- Preuve de transport\n- Preuves de mise au rebut','- Contrôler que des procédures de gestion des supports amovibles sont mises en œuvre conformément au plan de classification adopté par l’organisation.\n- Contrôler que les supports qui ne sont plus nécessaires sont mis au rebut de manière sécurisée en suivant des procédures formelles.\n- Contrôler que les supports contenant de l’information sont protégés contre les accès non autorisés, les erreurs d’utilisation et l’altération lors du transport.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Gérer les supports de stockage tout au long de leur cycle de vie d\'acquisition, d\'utilisation, de transport et de mise au rebut conformément au plan de classification et aux exigences de manipulation de l\'organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'),
(400,28,'Services généraux','7.11 ','Empêcher la perte, l\'endommagement ou la compromission des informations et autres actifs associés,  ou l\'interruption des activités de l\'organisation, causés par les défaillances et les perturbations des  services supports.','- inventaire du matériel concerné\n- mesures de protection','Contrôler l\'inventaire du matériel et l\'application des mesures de protection.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Protéger les matériels des coupures de courant et autres perturbations dues à une défaillance des services généraux.',NULL,NULL,NULL,'#Préventive #Détective #Intégrité #Disponibilité #Protéger #Détecter #Sécurité_physique #Protection'),
(401,28,'Sécurité du câblage','7.12 ','Empêcher la perte, l\'endommagement, le vol ou la compromission des informations et autres actifs  associés et l\'interruption des activités de l\'organisation liés au câblage électrique et de communications.','- inventaire du câblage concerné \n- mesures de protection contre les interceptions et les dommages','Contrôler l\'inventaire du câblage et l\'application des mesures','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Protéger les câbles électriques, transportant des données ou supportant les services d\'information contre toute interception, interférence ou tout dommage.',NULL,NULL,NULL,'#Préventive #Confidentialité #Disponibilité #Protéger #Sécurité_physique #Protection'),
(402,28,'Maintenance du matériel','7.13 ','Empêcher la perte, l\'endommagement, le vol ou la compromission des informations et autres actifs  associés et l\'interruption des activités de l\'organisation causés par un manque de maintenance.','- inventaire du matériel concerné\n- mesures d’entretiens\n- preuves d\'application des mesures d\'entretien','Contrôler l\'inventaire du matériel concerné, les mesures d\'entretien et l\'application des mesures','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Entretenir correctement les matériels pour garantir leur disponibilité permanente et leur intégrité.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection #Résilience'),
(403,28,'Mise au rebut ou recyclage sécurisé(e) du matériel','7.14 ','Éviter la fuite d\'informations à partir de matériel à éliminer ou à réutiliser.','- inventaire du matériel contenant des données sensibles\n- preuves d\'effacement des données','Contrôler que l\'inventaire est à jour.\nContrôler la présence des preuves d\'effacement des données','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','S’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée  du matériel contenant des données sensibles avant leur mise au rebut ou leur réutilisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'),
(404,29,'Terminaux utilisateurs','8.01 ','Protéger les informations contre les risques liés à l\'utilisation de terminaux finaux des utilisateurs.','- Mesure de sécurité mises en place\n- Inventaire des terminaux utilisateur\n- Preuves d\'application de mesures de protection','Contrôler que toute information stockée sur un terminal utilisateur final, traitée par ou accessible via ce type d\'appareil et protégée.','Vert : présence de preuves\nOrange : non-conformité mineure\nRouge : absence de preuves','Protéger toute information stockée ou traitée sur un terminal utilisateur final ou accessible via ce type d\'appareil.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection_des_informations #Protection'),
(405,29,'Privilèges d\'accès','8.02 ','S\'assurer que seuls les utilisateurs, composants logiciels et services autorisés sont dotés de droits d\'accès privilégiés.','- restrictions des droits d\'accès à privilèges\n- contrôle des droits d\'accès à privilèges','Contrôler l\'existence des restrictions de droits d\'accès à privilège et l\'allocation des doits d\'accès à privilèges','Vert : conforme\nOrange: non conformités mineures\nRouge: non conforme','Restreindre et contrôler l’allocation et l’utilisation des droits d’accès à privilèges',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'),
(406,29,'Restriction d\'accès à l\'information','8.03 ','Assurer les accès autorisés seulement et empêcher les accès non autorisés aux informations et autres actifs associés.','- restrictions d\'accès à l\'information \n- application de ces restrictions','Contrôler les restriction d\'accès à l\'information et l\'application de ces restriction conformément à la politique portant sur le thème du contrôle d\'accès.','Vert : conforme\nOrange : conconformité mineure\nRouge : non-conforme','Revoir les restrictions d\'accès à l\'information et leur application',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'),
(407,29,'Accès au code source','8.04 ','Empêcher l\'introduction d\'une fonctionnalité non autorisée, éviter les modifications non intentionnelles  ou malveillantes et préserver la confidentialité de la propriété intellectuelle importante.','- inventaire du code source des programmes\n- restriction d\'accès au code source','Contrôler l\'effectivité de la restriction de l\'accès au code source des programmes.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Restreindre l’accès au code source des programmes.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Sécurité_des_applications #Configuration_sécurisée #Protection'),
(408,29,'Authentification sécurisée','8.05 ','S\'assurer qu\'un utilisateur ou une entité est authentifié de façon sécurisée lorsque l\'accès aux systèmes, applications et services lui est accordé.','- procédures de connexion sécurisée\n- application de la procédure de connexion','Contrôler l\'application des procédures de connexion sécurisée','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Lorsque la politique de contrôle d’accès l’exige, contrôler par une procédure de connexion sécurisée l\'accès aux systèmes et aux applications.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'),
(409,29,'Dimensionnement','8.06 ','Assurer les besoins en termes de moyens de traitement de l\'information, de ressources humaines, de bureaux et autres installations.','- ressources surveillées\n- preuves de surveillance et de dimensionnement des ressources\n- projection sur les dimensionnements futurs','Contrôler l\'inventaire des ressources surveillées, les preuves de surveillances et les projections effectuées','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Surveiller et ajuster l’utilisation des ressources et effectuer des projections sur les dimensionnements futurs pour garantir les performances exigées du système.',NULL,NULL,NULL,'#Préventive #Détective #Intégrité #Disponibilité #Identifier #Protéger #Détecter #Continuité #Gouvernance_et_Écosystème #Protection'),
(410,29,'Protection contre les programmes malveillants','8.07 ','S’assurer que les informations et autres actifs associés sont protégés contre les programmes malveillants.','- procédure d\'exploitation\n- disponibilité des procédures aux utilisateurs','Contrôler l\'existence et la mise à jour des procédures d\'exploitation et la mise à disposition des procédures aux utilisateurs concernés','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Documenter et mettre à disposition des utilisateurs concernés les procédures d’exploitation.',NULL,NULL,NULL,'#Préventive #Détective #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Détecter #Sécurité_système_et_réseau #Protection_des_informations #Protection #Défense'),
(411,29,'Gestion des vulnérabilités techniques','8.08 ','Empêcher l’exploitation des vulnérabilités techniques.','- vulnérabilités techniques obtenues\n- preuves d\'analyse\n- mesures appropriées prises','Contrôler que l\'inventaire est pertinent, qu\'il existe des preuves de vérification lees mesures prises','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Obtenir des informations sur les vulnérabilités techniques des systèmes d\'information, évaluer l\'exposition de l\'organisation à ces vulnérabilités et prendre les mesures appropriées.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Gestion_des_menaces_et_des_vulnérabilités #Gouvernance_et_Écosystème #Protection #Défense'),
(412,29,'Gestion de la configuration','8.09 ','S\'assurer que le matériel, les logiciels, les services et les réseaux fonctionnent correctement avec les paramètres de sécurité requis, et que la configuration n’est pas altérée par des changements non autorisés ou incorrects.','- Systèmes concernés \n- documentations de configuration\n- vérifications réalisées','Contrôler que l\'inventaire des systèmes concernés est complet, la documentation de configuration et que des contrôles sont réalisés','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Vérifier le matériel, les logiciels, les services et les réseaux afin de s\'assurer qu\'ils fonctionnent correctement avec les paramètres de sécurité requis, et que la configuration n’est pas altérée par des changements non autorisés ou incorrects.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Configuration_sécurisée #Protection'),
(413,29,'Suppression d\'information','8.10 ','Empêcher l\'exposition inutile des informations sensibles et se conformer aux exigences légales, statutaires, réglementaires et contractuelles relatives à la suppression d\'informations.','- Inventaire des exigences légales,  statutaires, réglementaires et contractuelles relatives à la suppression d\'informations\n- Informations, dispositifs et informations concernées\n- Preuves de suppression sécurisée des informations','Contrôler l\'inventaire des exigences, les informations concernées et les preuves de suppression','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Supprimer l\'information stockée dans les systèmes d\'information et les dispositifs lorsqu\'elle n\'est plus utile.',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Protection_des_informations #Réglementation_et_conformité #Protection'),
(414,29,'Masquage des données','8.11 ','Limiter l\'exposition des données sensibles, y compris les DCP, et se conformer aux exigences légales, statutaires, réglementaires et contractuelles.','- Procédure de masquage des données\n- Données concernées\n- Preuves d\'application du masquage','Contrôler l\'existence et la mise à jour de la procédure de masquage, la pertinence des données concernées et l\'application du masquage','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Utiliser le masquage des données conformément à la politique de l\'organisation portant sur le thème du contrôle d\'accès et aux exigences métier, tout en prenant en compte les exigences d\'ordre légal.',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Protection_des_informations #Protection'),
(415,29,'Prévention de la fuite de données','8.12 ','Détecter et empêcher la divulgation et l\'extraction non autorisées d\'informations par des personnes ou des systèmes.','- Procédure de prévention de la fuite de données\n- Données concernées\n- Preuve d\'application des mesures','- Contrôler l\'existence et la date de la procédure\n- Contrôler les données concernées\n- Contrôler l\'application des mesures','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Appliquer des mesures de prévention de la fuite de données aux systèmes, réseaux et terminaux qui traitent, stockent ou transmettent de l\'information sensible.',NULL,NULL,NULL,'#Préventive #Détective #Confidentialité #Protéger #Détecter #Protection_des_informations #Protection #Défense'),
(416,29,'Sauvegarde des informations','8.13 ','Permettre la récupération en cas de perte de données ou de systèmes.','- Politique de sauvegarde\n- Copies de sauvegarde\n- Tests de copies de sauvegarde','- Contrôler l\'existence et la mise à jour de la politique de sauvegarde\n- Existence des copies de sauvegarde\n- Tests des copies de sauvegarde','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Conserver des copies de sauvegarde de l\'information, des logiciels et des systèmes et de les tester régulièrement à l\'aide de la politique définie sur le thème de la sauvegarde.',NULL,NULL,NULL,'#Corrective #Intégrité #Disponibilité #Rétablir #Continuité #Protection'),
(417,29,'Redondance des moyens de traitement de l\'information','8.14 ','S\'assurer du fonctionnement continu des moyens de traitement de l\'information.','- Inventaire des moyens de traitement de l\'information concernés\n- exigence de disponibilité\n- preuve de redondance','Contrôler que l\'inventaire est à jour, les exigences de disponibilité et l\'existence de preuves de redondance','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Mettre en œuvre des moyens de traitement de l’information avec suffisamment de redondances pour répondre aux exigences de disponibilité.',NULL,NULL,NULL,'#Préventive #Disponibilité #Protéger #Continuité #Gestion_des_actifs #Protection #Résilience'),
(418,29,'Journalisation','8.15 ','Enregistrer les événements, générer des preuves, assurer l\'intégrité des informations de journalisation, empêcher les accès non autorisés, identifier les événements de sécurité de l\'information qui peuvent engendrer un incident de sécurité de l\'information et assister les investigations.','- inventaire des journaux\n- mesures de protection des journaux\n- stockage des journaux\n- analyses des journaux','Contrôler que les journaux existent et sont à jour, les mesures de protection des journaux\nles capacités de stockage et que l\'analyse réalisée sur ces journaux.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Créer, protéger, stocker et dnalyser des journaux enregistrant les activités, exceptions, pannes et autres événements pertinents.',NULL,NULL,NULL,'#Détective #Confidentialité #Intégrité #Disponibilité #Détecter #Gestion_des_événements_de_sécurité_de_l\'information #Protection #Défense'),
(419,29,'Activités de surveillance','8.16 ','Détecter les comportements anormaux et les éventuels incidents de sécurité de l\'information.','- Inventaire des réseaux, systèmes et applications concernées\n- Mesures de détection mise en place\n- Evaluation / Incidents détectés','Contrôler l\'inventaire des réseaux, systèmes et application concernés, les mesures de détection mises en place et que des évaluations sont réalisées ou des incidents générés','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Surveiller les réseaux, systèmes et applications pour détecter tout comportement anormal et de prendre les mesures appropriées pour évaluer les incidents liés à la sécurité de l\'information potentiels.',NULL,NULL,NULL,'#Détective #Corrective #Confidentialité #Intégrité #Disponibilité #Détecter #Répondre #Gestion_des_événements_de_sécurité_de_l\'information #Défense'),
(420,29,'Synchronisation des horloges','8.17 ','Permettre la corrélation et l\'analyse d’événements de sécurité et autres données enregistrées, assister les investigations sur les incidents de sécurité de l\'information.','- inventaire des horloges concernées\n- source temporelle unique\n- mécanisme de synchronisation\n- effectivité de la synchronisation','Contrôler l\'inventaire des horloges, la source temporelle unique utilisée et la synchronisation des horloges sur la source','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Synchronisées sur une source de référence temporelle unique les horloges de l’ensemble des systèmes de traitement de l’information concernés d’une organisation ou d’un domaine de sécurité.',NULL,NULL,NULL,'#Détective #Intégrité #Protéger #Détecter #Gestion_des_événements_de_sécurité_de_l\'information #Protection #Défense'),
(421,29,'Utilisation de programmes utilitaires à privilèges','8.18 ','S\'assurer que l\'utilisation de programmes utilitaires ne nuise pas aux mesures de sécurité de  l\'information des systèmes et des applications.','- inventaire des programmes utilitaires\n- contrôles mis en place','Contrôler l\'application des contrôles sur l\'utilisation des programmes utilitaires','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Faire l\'inventaire des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application, limiter et étroitement contrôler leur utilisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Configuration_sécurisée #Sécurité_des_applications #Protection'),
(422,29,'Installation de logiciels sur des systèmes en exploitation','8.19 ','Assurer l\'intégrité des systèmes opérationnels et empêcher l\'exploitation des vulnérabilités techniques.','- procédures de contrôle d\'installation\n- mise en oeuvre des mesures','Contrôler l\'effectivité de la procédure de contrôle d\'installation','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Mettre en œuvre des procédures sont mises en œuvre pour contrôler l’installation de logiciels dans les systèmes opérationnels.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Configuration_sécurisée #Sécurité_des_applications #Protection'),
(423,29,'Mesures liées aux réseaux','8.20 ','Protéger les informations dans les réseaux et les moyens de traitement de l\'information support contre  les compromission via le réseau.','- réseaux concernés\n- contrôles mis en œuvre\n- vérification des contrôles','Contrôler que des contrôles sont en place et que ces contrôles sont effectifs','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Gérer et contrôler les réseaux pour protéger l’information contenue dans les systèmes et les applications.',NULL,NULL,NULL,'#Préventive #Détective #Confidentialité #Intégrité #Disponibilité #Protéger #Détecter #Sécurité_système_et_réseau #Protection'),
(424,29,'Sécurité des services en réseau','8.21 ','Assurer la sécurité lors de l\'utilisation des services réseau.','- Inventaire des services de réseau concernés\n- Mécanismes de sécurité, niveaux de service et exigence de gestion identifiée','Contrôler que l\'inventaire des services de réseau concernés est complet et à jour, que les mécanismes de sécurité de niveaux de service et les exigences sont identifiés et sont intégrés dans les accords de service','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Pour tous les services de réseau, identifier et intégrer dans les accords de services de réseau, les mécanismes de sécurité, les niveaux de service et les exigences de gestion.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Protection'),
(425,29,'Filtrage Internet','8.22 ','Diviser le réseau en périmètres de sécurité et contrôler le trafic entre eux en fonction des besoins  métier.','- mesures d\'accès mises en place\n- blocages réalisés','Contrôler les règles d\'accès aux sites web externes et les blocages réalisés.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Gérer l\'accès aux sites Web externes pour réduire l\'exposition à tout contenu malveillant.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Protection'),
(426,29,'Cloisonnement des réseaux','8.23 ','Protéger les systèmes contre la compromission des programmes malveillants et empêcher l\'accès aux  ressources web non autorisées.','- inventaire des groupes de services d\'information, d\'utilisateurs et de systèmes d\'information\n- mesures de cloisonnement réseau','Contrôler l\'inventaire des groupes de services d\'information, d\'utilisateurs et de systèmes d\'information et la mise en place des mesures de cloisonnement réseau','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Cloisonner sur les réseaux les groupes de services d’information, d’utilisateurs et de systèmes d’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Protection'),
(427,29,'Utilisation de la cryptographie','8.24 ','Assurer l’utilisation correcte et efficace de la cryptographie afin de protéger la confidentialité,  l\'authenticité ou l\'intégrité des informations conformément aux exigences métier et de sécurité de  l\'information, et en tenant compte des exigences légales, statutaires, réglementaires et contractuelles  relatives à la cryptographie.','- Règles d\'utilisation de la cryptographie\n- Preuves d\'élaboration et de mise en œuvre de ces règles\n- Clés et algorithmes cryptographiques utilisés','Contrôles les règles d\'utilisation des mesures de cryptographie, leur élaboration et leur mise en œuvre ainsi que les clés et algorithmes cryptographiqes utilisés.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Définir et de mettre en oeuvre des règles relatives à l\'utilisation de la cryptographie, notamment la gestion des clés cryptographiques.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Configuration_sécurisée #Protection'),
(428,29,'Cycle de vie de développement sécurisé','8.25 ','S\'assurer que la sécurité de l\'information est conçue et mise en œuvre au cours du cycle de vie de  développement sécurisé des logiciels et des systèmes.','- règles de développement\n- développements réalisés\n- preuves d\'application des règles','Contrôler l\'existence des règles de développement, leur mise à jour et l\'application des règles de développement','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Etablir et appliquer des règles de développement des logiciels et des systèmes aux développements de l’organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'),
(429,29,'Exigences de sécurité des applications','8.26 ','S\'assurer que toutes les exigences de sécurité de l\'information sont identifiées et traitées lors du  développement ou de l’acquisition d\'applications.','- services d\'application transmis sur les réseaux publics\n- mesures de protection','Contrôler l\'inventaire des services réseau et l\'effectivité des mesures contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Protéger contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées les informations liées aux services d’application transmises sur les réseaux publics.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection #Défense'),
(430,29,'Principes d\'ingénierie et d\'architecture système sécurisée','8.27 ','S\'assurer que les systèmes d\'information sont conçus, mis en œuvre et exploités de manière sécurisée  au cours du cycle de vie de développement.','- principes d\'ingénierie de la sécurité des systèmes\n- travaux de mise en œuvre des systèmes d\'information','Contrôler que les principes d\'ingénierie sont établis et mis à jour et que ces principes sont appliqués dans les travaux de mise en ouvre des systèmes d\'information','Vert: conforme\nOrange : anomalie\nRouge : non-conforme','Etablir et documenter des principes d’ingénierie de la sécurité des systèmes, les tenir à jour et les appliquer à tous les travaux de mise en œuvre des systèmes d’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'),
(431,29,'Codage sécurisé','8.28 ','S\'assurer que les logiciels sont développés de manière sécurisée afin de réduire le nombre d’éventuelles  vulnérabilités de sécurité de l\'information dans les logiciels.','- inventaire des développements réalisés\n- preuves d\'application des règles de codage','Contrôler l\'inventaire des développements réalisés et l\'application de règles de codage','Vert: conforme\nOrange : anomalie\nRouge : non-conforme','Appliquer des principes de codage sécurisé au développement de logiciels.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'),
(432,29,'Tests de sécurité dans le développement et l\'acceptation','8.29 ','Valider le respect des exigences de sécurité de l\'information lorsque des applications ou des codes sont  déployés dans l\'environnement .','- programmes de tests de conformités\n- nouveaux systèmes, mises à jour et nouvelles versions\n- tests réalisés','Contrôler que des tests sont réalisés sur les nouveaux systèmes, lors de mise ) jour er sur les nouvelles versions','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Réaliser des tests de fonctionnalité de la sécurité pendant le développement.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_applications #Assurance_de_sécurité_de_l\'information #Sécurité_système_et_réseau #Protection'),
(433,29,'Développement externalisé','8.30 ','S\'assurer que les mesures de sécurité de l\'information requises par l\'organisation sont mises en œuvre  dans le cadre du développement externalisé des systèmes.','- développements externalisés\n- contrôles réalisés','Contrôler que des contrôles sont réalisés sur les développements externalisés.','Vert : conforme\nOrange : anomalie\nRourge : non-conforme','Superviser et contrôler l’activité de développement du système externalisée.',NULL,NULL,NULL,'#Préventive #Détective #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Détecter #Sécurité_système_et_réseau #Sécurité_des_applications #Sécurité_des_relations_fournisseurs #Gouvernance_et_Écosystème #Protection'),
(434,29,'Séparation des environnements de développement, de test et de production','8.31 ','Protéger l\'environnement opérationnel et les données correspondantes contre les compromissions qui  pourraient être dues aux activités de développement et de test.','- inventaire des applications concernées\n- environnements de développement, de test et d\'exploitation\n- mesures de séparation des environnements','Contrôler la présence des environnements pour chaque application et l\'effectivité de la séparation des environnements','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Séparer les environnements de développement, de test et d’exploitation pour réduire les risques d’accès ou de changements non autorisés dans l’environnement en exploitation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'),
(435,29,'Gestion des changements','8.32 ','Préserver la sécurité de l\'information lors de l\'exécution des changements.','- procédure de gestion des changements\n- changements réalisés','Contrôler la procédure gestion des changements, sa mise à jour et les changements réalisés suivent la procédure','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Contrôler les changements des systèmes dans le cadre du cycle de développement par le biais de procédures formelles.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'),
(436,29,'Informations relatives aux tests','8.33 ','Assurer la pertinence des tests et la protection des informations opérationnelles utilisées pour les tests.','- inventaire des environnements contenant des données de test\n- mesures de protection appliquées (anonymisation)','Contrôler l\'application des mesures de protection aux données de test','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Sélectionner avec soin, protéger et contrôler les données de test.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Protéger #Protection_des_informations #Protection'),
(437,29,'Protection des systèmes d\'information en cours d\'audit et de test','8.34 ','Minimiser l\'impact des activités d\'audit et autres activités d\'assurance sur les systèmes opérationnels  et les processus métier.','- exigences et activités d\'audit impliquant des vérifications sur des systèmes en exploitation\n- prévision et validation des activités\n- perturbations engendrées par ces vérifications','Contrôler les exigences, la prévision et la validation des activités et l’existence de perturbations engendrées par ces vérifications','Vert : conforme\nOrange : anomalie\nRouge :  non-conforme','Prévoir avec soin et valider les exigences et activités d’audit impliquant des vérifications sur des systèmes en exploitation afin de réduire au minimum les perturbations subies par les processus métier.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Protection_des_informations #Gouvernance_et_Écosystème #Protection');
/*!40000 ALTER TABLE `measures` ENABLE KEYS */;
UNLOCK TABLES;
/*!40103 SET TIME_ZONE=@OLD_TIME_ZONE */;

/*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;

-- Dump completed on 2023-06-22  7:48:55