diff --git a/config.fr/index.html b/config.fr/index.html
index 9b8f808..8886355 100644
--- a/config.fr/index.html
+++ b/config.fr/index.html
@@ -165,8 +165,9 @@ <h3 id="rapports">Rapports <a name="report"></a></h3>
 <p><a href="../images/report1.png"><img alt="Screenshot" src="../images/report1.png" style="width:600px" /></a></p>
 <p><a href="../images/report2.png"><img alt="Screenshot" src="../images/report2.png" style="width:600px" /></a></p>
 <h3 id="import">Import <a name="import"></a></h3>
-<p>Il est possible d'importer des mesures de sécurité depuis un fichier .XLSX.</p>
-<p><a href="images/import.fr.png"><img alt="Screenshot" src="images/import.fr.png" style="width:600px" /></a></p>
+<p>Il est possible d'importer des mesures de sécurité depuis un fichier .XLSX ou depuis la base de données de modèles.</p>
+<p>Lors de l'importation, il est possible de supprimer tous les autres contrôles et mesures et de générer des données de test.</p>
+<p><a href="../images/import.png"><img alt="Screenshot" src="../images/import.png" style="width:600px" /></a></p>
 <h3 id="documents">Documents <a name="documents"></a></h3>
 <p>Cet écran permet de modifier les modèles de document utilisés pour les fiches de contrôle et le rapport de pilotage du SMSI.
 et permet d’avoir une vue sur l’ensemble des documents utilisés comme preuve lors de la réalisation des contrôles de sécurité.</p>
diff --git a/config/index.html b/config/index.html
index 373d5de..9bb586c 100644
--- a/config/index.html
+++ b/config/index.html
@@ -165,7 +165,8 @@ <h3 id="reports">Reports <a name="report"></a></h3>
 <p><a href="../images/report1.png"><img alt="Screenshot" src="../images/report1.png" /></a></p>
 <p><a href="../images/report2.png"><img alt="Screenshot" src="../images/report2.png" /></a></p>
 <h3 id="import">Import <a name="import"></a></h3>
-<p>It is possible to import controls from an .XLSX file.</p>
+<p>Measures can be imported from an .XLSX file or from the template database.</p>
+<p>When importing, all other controls and measures can be deleted and test data generated.</p>
 <p><a href="../images/import.png"><img alt="Screenshot" src="../images/import.png" /></a></p>
 <h3 id="documents">Documents <a name="documents"></a></h3>
 <p>This screen is used to modify the document templates used for the control sheets and the ISMS management report and provides an overview of all the documents used as evidence when carrying out security checks.</p>
diff --git a/index.html b/index.html
index 0eec37b..cad8957 100644
--- a/index.html
+++ b/index.html
@@ -232,5 +232,5 @@ <h3 id="definitions">Definitions</h3>
 
 <!--
 MkDocs version : 1.6.0
-Build Date UTC : 2024-08-04 11:32:02.021485+00:00
+Build Date UTC : 2024-08-10 11:23:58.583093+00:00
 -->
diff --git a/search/search_index.json b/search/search_index.json
index 677fb10..c02c274 100644
--- a/search/search_index.json
+++ b/search/search_index.json
@@ -1 +1 @@
-{"config":{"indexing":"full","lang":["en"],"min_search_length":3,"prebuild_index":false,"separator":"[\\s\\-]+"},"docs":[{"location":"","text":"Fran\u00e7ais Introduction What is Deming? Deming is an Open Source tool designed to help CISOs set up and maintain their information security management system. Using this app, CISOs can easily plan and track the implementation of security controls and the continuous improvement cycle required by ISO 27001. The app is designed to be easy to use and customize, with a intuitive user interface. Deming offers features such as security measures management , the planning of controls , the creation of control sheets , the recording of evidence, monitoring action plans as well as dashboards and ISMS management reports to help CISOs monitor the maintenance of information security measures. The application is designed to be compatible with the ISO 27001:2022 standard, following the specific requirements of the standard for the planning, implementation, verification and continuous improvement of the security management system of the information. It is also designed to help CISOs prepare their organization for ISO 27001 certification audits by providing detailed reports on security controls and measuring their effectiveness. This application is released under the GPL license, allowing users to use, modify and distribute it freely. This open source approach allows users to contribute to the development of the application by submitting change requests, bug reports or additional features. This information security management application is a powerful and customizable tool for CISOs looking to implement and maintain an ISO 27001 compliant information security management system. With its intuitive user interface, the ability to define new controls and its ISO 27001:2022 compatibility, it offers CISOs great flexibility to adapt the application to their specific needs. What is not Deming? Deming is not a miracle solution that performs risk analysis, imports all existing standards, automatically manages your documentation, provides default procedures or uses artificial intelligence autonomously... But : it's not in the cloud ; you don't need 5 days' training to use it ; you are not contacted by a consultancy firm and it's free. Why control? To manage the security of the information system, it is necessary to put in place a set of security measures and regularly check that these measures are effective and efficient. These regular checks make it possible to guarantee that the security measures put in place achieve their security objectives. The effectiveness measurement requirements are: a) assess the effectiveness of controls; b) assess the effectiveness of the information management system; c) to verify the extent to which the identified security requirements have been met; d) facilitate the improvement of information security performance against objectives; e) provide input for management review to facilitate ISMS-related decision-making; f) to justify the needs for improvement of the ISMS. Evaluation of performances The ISO 27001 standard in chapter 9.1 requires the evaluation of information security performance, as well as the effectiveness of the information security management system. To assess this performance, it is necessary to determine: a) what needs to be monitored and measured, including information security processes and measures; b) the monitoring, measurement, analysis and evaluation methods, as applicable, to ensure the validity of the results; c) when monitoring and measurements should be carried out; d) who is to carry out the monitoring and measurements; e) when the results of monitoring and measurements should be analyzed and evaluated and f) who should analyze and evaluate these results. Deming helps meet these requirements and retain appropriate documented information as evidence of monitoring and measurement results. Definitions Controls : set of provisions to be implemented. These are the controls to be taken to implement the security policy. Measurement : process of obtaining relative to the effectiveness of an ISMS and security measures, using an evaluation method, a function assessment, analytical model, and decision criteria [ISO/IEC 27004]. Indicator : result of the application of an analytical model to one or more variables in relation to the decision criteria or an information need [ISO/IEC 27004]. Attribute : property or characteristic of an object that can be quantitatively or qualitatively distinguished by human or automatic means [ISO/IEC 15939:2007].","title":"Introduction"},{"location":"#introduction","text":"","title":"Introduction"},{"location":"#what-is-deming","text":"Deming is an Open Source tool designed to help CISOs set up and maintain their information security management system. Using this app, CISOs can easily plan and track the implementation of security controls and the continuous improvement cycle required by ISO 27001. The app is designed to be easy to use and customize, with a intuitive user interface. Deming offers features such as security measures management , the planning of controls , the creation of control sheets , the recording of evidence, monitoring action plans as well as dashboards and ISMS management reports to help CISOs monitor the maintenance of information security measures. The application is designed to be compatible with the ISO 27001:2022 standard, following the specific requirements of the standard for the planning, implementation, verification and continuous improvement of the security management system of the information. It is also designed to help CISOs prepare their organization for ISO 27001 certification audits by providing detailed reports on security controls and measuring their effectiveness. This application is released under the GPL license, allowing users to use, modify and distribute it freely. This open source approach allows users to contribute to the development of the application by submitting change requests, bug reports or additional features. This information security management application is a powerful and customizable tool for CISOs looking to implement and maintain an ISO 27001 compliant information security management system. With its intuitive user interface, the ability to define new controls and its ISO 27001:2022 compatibility, it offers CISOs great flexibility to adapt the application to their specific needs.","title":"What is Deming?"},{"location":"#what-is-not-deming","text":"Deming is not a miracle solution that performs risk analysis, imports all existing standards, automatically manages your documentation, provides default procedures or uses artificial intelligence autonomously... But : it's not in the cloud ; you don't need 5 days' training to use it ; you are not contacted by a consultancy firm and it's free.","title":"What is not Deming?"},{"location":"#why-control","text":"To manage the security of the information system, it is necessary to put in place a set of security measures and regularly check that these measures are effective and efficient. These regular checks make it possible to guarantee that the security measures put in place achieve their security objectives. The effectiveness measurement requirements are: a) assess the effectiveness of controls; b) assess the effectiveness of the information management system; c) to verify the extent to which the identified security requirements have been met; d) facilitate the improvement of information security performance against objectives; e) provide input for management review to facilitate ISMS-related decision-making; f) to justify the needs for improvement of the ISMS.","title":"Why control?"},{"location":"#evaluation-of-performances","text":"The ISO 27001 standard in chapter 9.1 requires the evaluation of information security performance, as well as the effectiveness of the information security management system. To assess this performance, it is necessary to determine: a) what needs to be monitored and measured, including information security processes and measures; b) the monitoring, measurement, analysis and evaluation methods, as applicable, to ensure the validity of the results; c) when monitoring and measurements should be carried out; d) who is to carry out the monitoring and measurements; e) when the results of monitoring and measurements should be analyzed and evaluated and f) who should analyze and evaluate these results. Deming helps meet these requirements and retain appropriate documented information as evidence of monitoring and measurement results.","title":"Evaluation of performances"},{"location":"#definitions","text":"Controls : set of provisions to be implemented. These are the controls to be taken to implement the security policy. Measurement : process of obtaining relative to the effectiveness of an ISMS and security measures, using an evaluation method, a function assessment, analytical model, and decision criteria [ISO/IEC 27004]. Indicator : result of the application of an analytical model to one or more variables in relation to the decision criteria or an information need [ISO/IEC 27004]. Attribute : property or characteristic of an object that can be quantitatively or qualitatively distinguished by human or automatic means [ISO/IEC 15939:2007].","title":"Definitions"},{"location":"actions.fr/","text":"English Plans d'action Chaque fois qu\u2019un contr\u00f4le est en \u00e9chec (orange ou rouge), un plan d\u2019action doit \u00eatre mis en place et suivi afin de rem\u00e9dier \u00e0 la situation. Liste des plans d\u2019action Cet \u00e9cran permet de suivre les plans d\u2019action : En cliquant sur : le titre du contr\u00f4le associ\u00e9, vous arrivez vers la page de modification du plan d\u2019action correspondant. La date de planification, vous arrivez sur le contr\u00f4le ayant g\u00e9n\u00e9r\u00e9 ce plan d\u2019action La date de prochaine revue, vous arrivez vers le contr\u00f4le suivant Modifier un plan d\u2019action Cet \u00e9cran permet de modifier un plan d\u2019action et de planifier la prochaine \u00e9valuation du contr\u00f4le. Lorsque vous cliquez sur : \u00ab Sauver \u00bb, vous sauver le plan d\u2019action et revenez \u00e0 la liste des plans d\u2019action \u00ab Annuler \u00bb vous revenez \u00e0 la liste des plans d\u2019action","title":"Plans d'action"},{"location":"actions.fr/#plans-daction","text":"Chaque fois qu\u2019un contr\u00f4le est en \u00e9chec (orange ou rouge), un plan d\u2019action doit \u00eatre mis en place et suivi afin de rem\u00e9dier \u00e0 la situation.","title":"Plans d'action"},{"location":"actions.fr/#liste-des-plans-daction","text":"Cet \u00e9cran permet de suivre les plans d\u2019action : En cliquant sur : le titre du contr\u00f4le associ\u00e9, vous arrivez vers la page de modification du plan d\u2019action correspondant. La date de planification, vous arrivez sur le contr\u00f4le ayant g\u00e9n\u00e9r\u00e9 ce plan d\u2019action La date de prochaine revue, vous arrivez vers le contr\u00f4le suivant","title":"Liste des plans d\u2019action"},{"location":"actions.fr/#modifier-un-plan-daction","text":"Cet \u00e9cran permet de modifier un plan d\u2019action et de planifier la prochaine \u00e9valuation du contr\u00f4le. Lorsque vous cliquez sur : \u00ab Sauver \u00bb, vous sauver le plan d\u2019action et revenez \u00e0 la liste des plans d\u2019action \u00ab Annuler \u00bb vous revenez \u00e0 la liste des plans d\u2019action","title":"Modifier un plan d\u2019action"},{"location":"actions/","text":"Fran\u00e7ais Action Plans Each time a control fails (orange or red), an action plan must be put in place and followed in order to remedy the situation. List of Action Plans This screen allows you to follow the action plans: Clicking on : the title of the associated control, you arrive at the corresponding modification of the action plan page. On the planning date, you arrive at the control that generated this action plan The next review date, you arrive at the next control Edit an action plan This screen allows you to edit an action plan and schedule the next control assessment. When you click: \"Save\", you save the action plan and return to the list of action plans \"Cancel\" you return to the list of action plans","title":"Action plans"},{"location":"actions/#action-plans","text":"Each time a control fails (orange or red), an action plan must be put in place and followed in order to remedy the situation.","title":"Action Plans"},{"location":"actions/#list-of-action-plans","text":"This screen allows you to follow the action plans: Clicking on : the title of the associated control, you arrive at the corresponding modification of the action plan page. On the planning date, you arrive at the control that generated this action plan The next review date, you arrive at the next control","title":"List of Action Plans"},{"location":"actions/#edit-an-action-plan","text":"This screen allows you to edit an action plan and schedule the next control assessment. When you click: \"Save\", you save the action plan and return to the list of action plans \"Cancel\" you return to the list of action plans","title":"Edit an action plan"},{"location":"annexe.fr/","text":"English Annexe Liste des contr\u00f4les de la norme ISO 27001:2022. Clause Nom Description Contr\u00f4le 5.01 Politiques de s\u00e9curit\u00e9 de l'information Assurer de mani\u00e8re continue la pertinence, l'ad\u00e9quation, l'efficacit\u00e9 des orientations de la direction et de son soutien \u00e0 la s\u00e9curit\u00e9 de l'information selon les exigences m\u00e9tier, l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles. Contr\u00f4ler l'existence de l'ensemble des politiques de s\u00e9curit\u00e9, leur valid\u00e9, leur diffusion et communication aux salari\u00e9s et aux tiers concern\u00e9s. 5.02 Fonctions et responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information \u00c9tablir une structure d\u00e9finie, approuv\u00e9e et comprise pour la mise en \u0153uvre, le fonctionnement et la gestion de la s\u00e9curit\u00e9 de l'information au sein de l'organisation. Contr\u00f4ler la d\u00e9finition et l'attribution des fonctions et responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information selon les besoins de l'organisation. 5.03 S\u00e9paration des t\u00e2ches R\u00e9duire le risque de fraude, d'erreur et de contournement des mesures de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que les t\u00e2ches et domaines de responsabilit\u00e9 incompatibles sont s\u00e9par\u00e9s 5.04 Responsabilit\u00e9s de la direction S\u2019assurer que la direction comprend son r\u00f4le en mati\u00e8re de s\u00e9curit\u00e9 de l'information et qu'elle entreprend des actions visant \u00e0 garantir que tout le personnel est conscient de ses responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information et qu'il les m\u00e8ne \u00e0 bien. Contr\u00f4ler l'existence d'une communication de la direction sur l'importance de la s\u00e9curit\u00e9 de l'information. 5.05 Relations avec les autorit\u00e9s Assurer la circulation ad\u00e9quate de l'information en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information, entre l'organisation et les autorit\u00e9s l\u00e9gales, r\u00e9glementaires et de surveillance pertinente. La proc\u00e9dure et l'inventaire sont \u00e0 jour il existe des preuves de relation avec les autorit\u00e9s 5.06 Relations avec des groupes de travail sp\u00e9cialis\u00e9s Assurer la circulation ad\u00e9quate de l'information en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information. La proc\u00e9dure et l'inventaire des groupes de sp\u00e9cialistes sont \u00e0 jour. Il existe des preuves de relation avec les groupes de sp\u00e9cialistes. 5.07 Intelligence des menaces Apporter une connaissance de l'environnement des menaces de l'organisation afin que les mesures d'att\u00e9nuation appropri\u00e9es puissent \u00eatre prises. Il existe des sources d'information et des preuves d'analyses 5.08 S\u00e9curit\u00e9 de l'information dans la gestion de projet Assurer que les risques de s\u00e9curit\u00e9 de l'information relatifs aux projets et aux livrables sont trait\u00e9s efficacement dans la gestion de projet, tout au long du cycle de vie du projet. Contr\u00f4ler la prise en consid\u00e9ration de la s\u00e9curit\u00e9 de l'information dans la gestion de projet. 5.09 Inventaire des informations et des autres actifs associ\u00e9s Identifier les informations et autres actifs associ\u00e9s de l'organisation afin de pr\u00e9server leur s\u00e9curit\u00e9 et d'en attribuer la propri\u00e9t\u00e9 de mani\u00e8re appropri\u00e9e. Contr\u00f4ler qu'un inventaire des informations et des autres actifs associ\u00e9s, y compris leurs propri\u00e9taires et tenu et mis \u00e0 jour 5.10 Utilisation correcte de l'information et des autres actifs associ\u00e9s Assurer que les informations et autres actifs associ\u00e9s sont prot\u00e9g\u00e9s, utilis\u00e9s et trait\u00e9s de mani\u00e8re appropri\u00e9e. Contr\u00f4ler l'existence des r\u00e8gles Comparer la date de publication \u00e0 la date du contr\u00f4le 5.11 Restitution des actifs Prot\u00e9ger les actifs de l'organisation dans le cadre du processus du changement ou de la fin de leur emploi, contrat ou accord. Contr\u00f4ler la listes de employ\u00e9s ayant quitt\u00e9 l'organisation et les preuves de restitution des actifs \u00e0 l'organisation. 5.12 Classification de l'information Assurer l'identification et la compr\u00e9hension des besoins de protection de l'information en fonction de son importance pour l'organisation. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure et son contenu compte-tenu du contexte de l'organisation 5.13 Marquage des informations Faciliter la communication de la classification de l'information et appuyer l'automatisation de la gestion et du traitement de l'information. Contr\u00f4ler la proc\u00e9dure de marquege et sa mise en \u0153uvre sur un \u00e9chantillon des informations de l'organisation. 5.14 Transfert de l'information Maintenir la s\u00e9curit\u00e9 de l'information transf\u00e9r\u00e9e au sein de l'organisation et vers toute partie int\u00e9ress\u00e9e externe Contr\u00f4ler la mise place des r\u00e8gles, proc\u00e9dures ou accords de transfert de l'information, l'inventaire des accords concern\u00e9s et les termes des accords. 5.15 Contr\u00f4le d'acc\u00e8s Assurer l'acc\u00e8s autoris\u00e9 et emp\u00eacher l'acc\u00e8s non autoris\u00e9 aux informations et autres actifs associ\u00e9s. Contr\u00f4ler la d\u00e9finition et la mise en oeuvre des r\u00e8gles visant \u00e0 g\u00e9rer l'acc\u00e8s physique et logique \u00e0 l'information et aux autres actifs associ\u00e9s en fonction des exigences m\u00e9tier et de s\u00e9curit\u00e9 de l'information. 5.16 Gestion des identit\u00e9s Permettre l'identification unique des personnes et des syst\u00e8mes qui acc\u00e8dent aux informations et autres actifs associ\u00e9s de l'organisation, et pour permettre l\u2019attribution appropri\u00e9e des droits d'acc\u00e8s. Contr\u00f4ler la gestion du cycle de vie complet des identit\u00e9s. 5.17 Informations d'authentification Assurer l'authentification correcte de l'entit\u00e9 et \u00e9viter les d\u00e9faillances des processus d'authentification. Contr\u00f4ler l'existence et l'application du processus de gestion de l'attribution des informations secr\u00e8tes d'authentification 5.18 Droits d'acc\u00e8s Assurer que l'acc\u00e8s aux informations et aux autres actifs associ\u00e9s est d\u00e9fini et autoris\u00e9 conform\u00e9ment aux exigences m\u00e9tier Contr\u00f4ler l'existence du processus de ma\u00eetrise de la gestion des acc\u00e8s aux utilisateurs, la validit\u00e9 des preuves d'application du processus et la revue des droits d'acc\u00e8s 5.19 S\u00e9curit\u00e9 de l'information dans les relations avec les fournisseurs Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler que les exigences sont document\u00e9es et mises \u00e0 jour et que les mesures sont accept\u00e9es par les fournisseurs 5.20 Prise en compte de la s\u00e9curit\u00e9 de l'information dans les accords conclus avec les fournisseurs Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler que les exigences sont document\u00e9es et mises \u00e0 jour et que les exigences sont convenues avec les fournisseurs 5.21 Management de la s\u00e9curit\u00e9 de l'information dans la cha\u00eene d'approvisionnement TIC Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler les exigences sont document\u00e9es et que les accords conclus contiennent les exigences 5.22 Suivi, revue et gestion des changements des services fournisseurs Maintenir un niveau convenu de s\u00e9curit\u00e9 de l'information et de prestation de services, conform\u00e9ment aux accords conclus avec les fournisseurs. Contr\u00f4ler que l'organisation proc\u00e8de r\u00e9guli\u00e8rement \u00e0 la surveillance, \u00e0 la revue, \u00e0 l'\u00e9valuation et \u00e0 la gestion des changements de pratiques des fournisseurs en mati\u00e8re de s\u00e9curit\u00e9 de l'information et de prestation de services. 5.23 S\u00e9curit\u00e9 de l'information dans l'utilisation de services en nuage Sp\u00e9cifier et g\u00e9rer la s\u00e9curit\u00e9 de l'information lors de l'utilisation de services en nuage. Contr\u00f4ler que les processus d'acquisition, d'utilisation, de management et de cessation des services en nuage sont d\u00e9finis conform\u00e9ment aux exigences de s\u00e9curit\u00e9 de l'information de l'organisation. 5.24 Planification et pr\u00e9paration de la gestion des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Assurer une r\u00e9ponse rapide, efficace, coh\u00e9rente et ordonn\u00e9e aux incidents de s\u00e9curit\u00e9 de l'information, notamment la communication sur les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que les responsabilit\u00e9s dans la gestion des incidents sont d\u00e9finies Contr\u00f4ler que la proc\u00e9dure de gestion des incidents existe et est \u00e0 jour 5.25 Appr\u00e9ciation des \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information et prise de d\u00e9cision Assurer une cat\u00e9gorisation et une priorisation efficaces des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que le processus de s\u00e9lection est appliqu\u00e9 5.26 R\u00e9ponse aux incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Assurer une r\u00e9ponse efficace et effective aux incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que la proc\u00e9dure existe et est \u00e0 jour Contr\u00f4ler que la proc\u00e9dure est suivie 5.27 Tirer des enseignements des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information R\u00e9duire la probabilit\u00e9 ou les cons\u00e9quences des incidents futurs. Contr\u00f4ler l'existence de l'am\u00e9lioration dans la proc\u00e9dure Contr\u00f4ler l'existence de preuve d'am\u00e9lioration 5.28 Recueil de preuves Assurer une gestion coh\u00e9rente et efficace des preuves relatives aux incidents de s\u00e9curit\u00e9 de l'information pour les besoins d'actions judiciaires ou de disciplinaires. Contr\u00f4ler la documentation de la collecte de preuve dans la proc\u00e9dure Contr\u00f4ler l'application de la collecte de preuve 5.29 S\u00e9curit\u00e9 de l'information durant une perturbation Prot\u00e9ger les informations et autres actifs associ\u00e9s pendant une perturbation. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure Contr\u00f4ler les exigences en mati\u00e8re de s\u00e9curit\u00e9 et de continuit\u00e9 5.30 Pr\u00e9paration des TIC pour la continuit\u00e9 d'activit\u00e9 Assurer la disponibilit\u00e9 des informations et autres actifs associ\u00e9s de l'organisation pendant une perturbation. Contr\u00f4ler l'identification des syst\u00e8mes et de leurs objectifs de s\u00e9curit\u00e9 Contr\u00f4ler la r\u00e9alisation de tests de continuit\u00e9 5.31 Identification des exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que l'inventaire est \u00e0 jour et que l'approche est document\u00e9e 5.32 Droits de propri\u00e9t\u00e9 intellectuelle Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives aux droits de propri\u00e9t\u00e9 intellectuelle et \u00e0 l'utilisation de produits propri\u00e9taires. Contr\u00f4ler l'existence de la proc\u00e9dure et sa mise \u00e0 jour et les preuves d'application de la proc\u00e9dure 5.33 Protection des enregistrements Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles, ainsi qu'aux attentes de la soci\u00e9t\u00e9 ou de la communaut\u00e9 relatives \u00e0 la protection et \u00e0 la disponibilit\u00e9 des enregistrements. - Contr\u00f4ler que les mesures respectent les exigences. - Contr\u00f4ler les preuves d'application des mesures - Contr\u00f4ler la mise \u00e0 jour de l'inventaire des sources d'information cl\u00e9 - Contr\u00f4ler la suppression des informations 5.34 Vie priv\u00e9e et protection des DCP Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives aux aspects de la s\u00e9curit\u00e9 de l'information portant sur la protection des DCP. Contr\u00f4ler l'existence et la mise \u00e0 jour de la politique vie priv\u00e9e et l'application des mesures de protection 5.35 Revue ind\u00e9pendante de la s\u00e9curit\u00e9 de l'information S\u2019assurer que l\u2019approche de l\u2019organisation pour g\u00e9rer la s\u00e9curit\u00e9 de l\u2019information est continuellement adapt\u00e9e, ad\u00e9quate et efficace. Contr\u00f4ler que des revues ind\u00e9pendantes de l'approche retenue par l'organisation pour g\u00e9rer et mettre en oeuvre la s\u00e9curit\u00e9 de l'information, y compris des personnes, processus et technologies sont men\u00e9es \u00e0 intervalles d\u00e9finis ou lorsque des changements importants sont intervenus. 5.36 Conformit\u00e9 aux politiques et normes de s\u00e9curit\u00e9 de l'information S\u2019assurer que la s\u00e9curit\u00e9 de l'information est mise en \u0153uvre et fonctionne conform\u00e9ment \u00e0 la politique de s\u00e9curit\u00e9 de l'information, aux politiques sp\u00e9cifiques \u00e0 une th\u00e9matique, aux r\u00e8gles et aux normes de l'organisation. Contr\u00f4ler que la conformit\u00e9 \u00e0 la politique de s\u00e9curit\u00e9 de l'information, aux politiques portant sur des th\u00e8mes et aux normes de l'organisation est v\u00e9rifi\u00e9e r\u00e9guli\u00e8rement. 5.37 Proc\u00e9dures d'exploitation document\u00e9es S'assurer du fonctionnement correct et s\u00e9curis\u00e9 des moyens de traitement de l'information. Contr\u00f4ler l'existence et la mise \u00e0 jour des proc\u00e9dures d'exploitation et la mise \u00e0 disposition des proc\u00e9dures aux utilisateurs concern\u00e9s 6.01 Pr\u00e9s\u00e9lection S'assurer que tous les membres du personnel sont \u00e9ligibles et ad\u00e9quats pour remplir les fonctions pour lesquelles ils sont candidats, et qu'ils le restent tout au long de leur emploi. Contr\u00f4ler l'existence d'une proc\u00e9dure \u00e0 jour et l'existence de preuves d\u2019ex\u00e9cution du processus de s\u00e9lection. 6.02 Conditions g\u00e9n\u00e9rales d'embauche S'assurer que le personnel comprend ses responsabilit\u00e9s en termes de s\u00e9curit\u00e9 de l'information dans le cadre des fonctions que l\u2019organisation envisage de lui confier. Contr\u00f4ler l'existence des termes et preuves de pr\u00e9sence des termes les accords 6.03 Sensibilisation, apprentissage et formation \u00e0 la s\u00e9curit\u00e9 de l'information S'assurer que le personnel et les parties int\u00e9ress\u00e9es pertinentes connaissent et remplissent leurs responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'existence d'un plan de sensibilisation \u00e0 la s\u00e9curit\u00e9 et la participation du personnel \u00e0 des formations 6.04 Processus disciplinaire S'assurer que le personnel et d\u2019autres parties int\u00e9ress\u00e9es pertinentes comprennent les cons\u00e9quences des violations de la politique de s\u00e9curit\u00e9 de l'information, pr\u00e9venir ces violations, et traiter de mani\u00e8re appropri\u00e9e le personnel et d\u2019autres parties int\u00e9ress\u00e9es qui ont commis des violations. Contr\u00f4ler qu'un processus disciplinaire permettant de prendre des mesures \u00e0 l'encontre du personnel et des autres parties int\u00e9ress\u00e9es qui ont commis une violation de la politique de s\u00e9curit\u00e9 de l'information est formalis\u00e9 et de communiqu\u00e9. 6.05 Responsabilit\u00e9s cons\u00e9cutivement \u00e0 la fin ou \u00e0 la modification du contrat de tr Prot\u00e9ger les int\u00e9r\u00eats de l'organisation dans le cadre du processus de changement ou de fin d'un emploi ou d\u2019un contrat. Existence des termes et des preuves d'application 6.06 Engagements de confidentialit\u00e9 ou de non-divulgation Assurer la confidentialit\u00e9 des informations accessibles par le personnel ou des parties externes. Contr\u00f4ler que les exigences sont identifi\u00e9es et document\u00e9es 6.07 Travail \u00e0 distance Assurer la s\u00e9curit\u00e9 des informations lorsque le personnel travaille \u00e0 distance. Contr\u00f4ler l'existence et mise \u00e0 jour des mesures de s\u00e9curit\u00e9 compl\u00e9mentaires et les preuves d'application de ces mesures 6.08 Signalement des \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Permettre la d\u00e9claration des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information qui peuvent \u00eatre identifi\u00e9s par le personnel, de mani\u00e8re rapide, coh\u00e9rente et efficace. Contr\u00f4ler l'existence de la proc\u00e9dure, son application et sa mise \u00e0 jour 7.01 P\u00e9rim\u00e8tre de s\u00e9curit\u00e9 physique Emp\u00eacher l\u2019acc\u00e8s physique non autoris\u00e9, les dommages ou interf\u00e9rences portant sur les informations et autres actifs associ\u00e9s de l'organisation. Contr\u00f4ler que des p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 servant \u00e0 prot\u00e9ger les zones qui contiennent l'information sensible ou critique et les autres actifs associ\u00e9s sont d\u00e9finis. 7.02 Contr\u00f4les physiques des acc\u00e8s Assurer que seul l'acc\u00e8s physique autoris\u00e9 aux informations et autres actifs associ\u00e9s de l'organisation soit possible. Contr\u00f4ler que les zones s\u00e9curis\u00e9es sont prot\u00e9g\u00e9es par des contr\u00f4les ad\u00e9quats \u00e0 l\u2019entr\u00e9e pour s\u2019assurer que seul le personnel autoris\u00e9 est admis. 7.03 S\u00e9curisation des bureaux, des salles et des \u00e9quipements Emp\u00eacher l\u2019acc\u00e8s physique non autoris\u00e9, les dommages et les interf\u00e9rences impactant les informations et autres actifs associ\u00e9s de l'organisation dans les bureaux, salles et installations. Contr\u00f4ler l'inventaire, les mesures de s\u00e9curit\u00e9 et l'application des mesures. 7.04 Surveillance de la s\u00e9curit\u00e9 physique D\u00e9tecter et dissuader l\u2019acc\u00e8s physique non autoris\u00e9. Contr\u00f4ler l'application des mesures de surveillances continue des locaux 7.05 Protection contre les menaces physiques et environnementales Pr\u00e9venir ou r\u00e9duire les cons\u00e9quences des \u00e9v\u00e9nements issus des menaces physiques ou environnementales. Contr\u00f4ler l'inventaire et l'application des mesures. Compter le nombre d'anomalies. 7.06 Travail dans les zones s\u00e9curis\u00e9es Prot\u00e9ger les informations et autres actifs associ\u00e9s dans les zones s\u00e9curis\u00e9es contre tout dommage et contre toutes interf\u00e9rences non autoris\u00e9es par le personnel travaillant dans ces zones. Contr\u00f4ler que les invantaires existent et sont \u00e0 jour. 7.07 Bureau propre et \u00e9cran vide R\u00e9duire les risques d'acc\u00e8s non autoris\u00e9, de perte et d'endommagement des informations sur les bureaux, les \u00e9crans et dans d\u2019autres emplacements accessibles pendant et en dehors des heures normales de travail. Contr\u00f4ler que des r\u00e8gles du bureau propre pour les documents papier et les supports de stockage amovibles, et les r\u00e8gles de l'\u00e9cran vide pour les moyens de traitement de l'information sont d\u00e9finies et d'appliqu\u00e9es. 7.08 Emplacement et protection du mat\u00e9riel R\u00e9duire les risques li\u00e9s \u00e0 des menaces physiques et environnementales, et \u00e0 des acc\u00e8s non autoris\u00e9s et \u00e0 des dommages. Contr\u00f4ler l'inventaire du mat\u00e9riel concern\u00e9 et leurs emplacements. Contr\u00f4ler l'application des mesures de protection. 7.09 S\u00e9curit\u00e9 des actifs hors des locaux Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des terminaux hors du site et l'interruption des activit\u00e9s de l'organisation. Contr\u00f4ler l'application des mesures de s\u00e9curit\u00e9 7.10 Supports de stockage Assurer que seuls la divulgation, la modification, le retrait ou la destruction autoris\u00e9s des informations de l'organisation sur des supports de stockage sont effectu\u00e9s. - Contr\u00f4ler que des proc\u00e9dures de gestion des supports amovibles sont mises en \u0153uvre conform\u00e9ment au plan de classification adopt\u00e9 par l\u2019organisation. - Contr\u00f4ler que les supports qui ne sont plus n\u00e9cessaires sont mis au rebut de mani\u00e8re s\u00e9curis\u00e9e en suivant des proc\u00e9dures formelles. - Contr\u00f4ler que les supports contenant de l\u2019information sont prot\u00e9g\u00e9s contre les acc\u00e8s non autoris\u00e9s, les erreurs d\u2019utilisation et l\u2019alt\u00e9ration lors du transport. 7.11 Services g\u00e9n\u00e9raux Emp\u00eacher la perte, l'endommagement ou la compromission des informations et autres actifs associ\u00e9s, ou l'interruption des activit\u00e9s de l'organisation, caus\u00e9s par les d\u00e9faillances et les perturbations des services supports. Contr\u00f4ler l'inventaire du mat\u00e9riel et l'application des mesures de protection. 7.12 S\u00e9curit\u00e9 du c\u00e2blage Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associ\u00e9s et l'interruption des activit\u00e9s de l'organisation li\u00e9s au c\u00e2blage \u00e9lectrique et de communications. Contr\u00f4ler l'inventaire du c\u00e2blage et l'application des mesures 7.13 Maintenance du mat\u00e9riel Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associ\u00e9s et l'interruption des activit\u00e9s de l'organisation caus\u00e9s par un manque de maintenance. Contr\u00f4ler l'inventaire du mat\u00e9riel concern\u00e9, les mesures d'entretien et l'application des mesures 7.14 Mise au rebut ou recyclage s\u00e9curis\u00e9(e) du mat\u00e9riel \u00c9viter la fuite d'informations \u00e0 partir de mat\u00e9riel \u00e0 \u00e9liminer ou \u00e0 r\u00e9utiliser. Contr\u00f4ler que l'inventaire est \u00e0 jour. Contr\u00f4ler la pr\u00e9sence des preuves d'effacement des donn\u00e9es 8.01 Terminaux utilisateurs Prot\u00e9ger les informations contre les risques li\u00e9s \u00e0 l'utilisation de terminaux finaux des utilisateurs. Contr\u00f4ler que toute information stock\u00e9e sur un terminal utilisateur final, trait\u00e9e par ou accessible via ce type d'appareil et prot\u00e9g\u00e9e. 8.02 Privil\u00e8ges d'acc\u00e8s S'assurer que seuls les utilisateurs, composants logiciels et services autoris\u00e9s sont dot\u00e9s de droits d'acc\u00e8s privil\u00e9gi\u00e9s. Contr\u00f4ler l'existence des restrictions de droits d'acc\u00e8s \u00e0 privil\u00e8ge et l'allocation des doits d'acc\u00e8s \u00e0 privil\u00e8ges 8.03 Restriction d'acc\u00e8s \u00e0 l'information Assurer les acc\u00e8s autoris\u00e9s seulement et emp\u00eacher les acc\u00e8s non autoris\u00e9s aux informations et autres actifs associ\u00e9s. Contr\u00f4ler les restriction d'acc\u00e8s \u00e0 l'information et l'application de ces restriction conform\u00e9ment \u00e0 la politique portant sur le th\u00e8me du contr\u00f4le d'acc\u00e8s. 8.04 Acc\u00e8s au code source Emp\u00eacher l'introduction d'une fonctionnalit\u00e9 non autoris\u00e9e, \u00e9viter les modifications non intentionnelles ou malveillantes et pr\u00e9server la confidentialit\u00e9 de la propri\u00e9t\u00e9 intellectuelle importante. Contr\u00f4ler l'effectivit\u00e9 de la restriction de l'acc\u00e8s au code source des programmes. 8.05 Authentification s\u00e9curis\u00e9e S'assurer qu'un utilisateur ou une entit\u00e9 est authentifi\u00e9 de fa\u00e7on s\u00e9curis\u00e9e lorsque l'acc\u00e8s aux syst\u00e8mes, applications et services lui est accord\u00e9. Contr\u00f4ler l'application des proc\u00e9dures de connexion s\u00e9curis\u00e9e 8.06 Dimensionnement Assurer les besoins en termes de moyens de traitement de l'information, de ressources humaines, de bureaux et autres installations. Contr\u00f4ler l'inventaire des ressources surveill\u00e9es, les preuves de surveillances et les projections effectu\u00e9es 8.07 Protection contre les programmes malveillants S\u2019assurer que les informations et autres actifs associ\u00e9s sont prot\u00e9g\u00e9s contre les programmes malveillants. Contr\u00f4ler l'existence et la mise \u00e0 jour des proc\u00e9dures d'exploitation et la mise \u00e0 disposition des proc\u00e9dures aux utilisateurs concern\u00e9s 8.08 Gestion des vuln\u00e9rabilit\u00e9s techniques Emp\u00eacher l\u2019exploitation des vuln\u00e9rabilit\u00e9s techniques. Contr\u00f4ler que l'inventaire est pertinent, qu'il existe des preuves de v\u00e9rification lees mesures prises 8.09 Gestion de la configuration S'assurer que le mat\u00e9riel, les logiciels, les services et les r\u00e9seaux fonctionnent correctement avec les param\u00e8tres de s\u00e9curit\u00e9 requis, et que la configuration n\u2019est pas alt\u00e9r\u00e9e par des changements non autoris\u00e9s ou incorrects. Contr\u00f4ler que l'inventaire des syst\u00e8mes concern\u00e9s est complet, la documentation de configuration et que des contr\u00f4les sont r\u00e9alis\u00e9s 8.10 Suppression d'information Emp\u00eacher l'exposition inutile des informations sensibles et se conformer aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la suppression d'informations. Contr\u00f4ler l'inventaire des exigences, les informations concern\u00e9es et les preuves de suppression 8.11 Masquage des donn\u00e9es Limiter l'exposition des donn\u00e9es sensibles, y compris les DCP, et se conformer aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure de masquage, la pertinence des donn\u00e9es concern\u00e9es et l'application du masquage 8.12 Pr\u00e9vention de la fuite de donn\u00e9es D\u00e9tecter et emp\u00eacher la divulgation et l'extraction non autoris\u00e9es d'informations par des personnes ou des syst\u00e8mes. - Contr\u00f4ler l'existence et la date de la proc\u00e9dure - Contr\u00f4ler les donn\u00e9es concern\u00e9es - Contr\u00f4ler l'application des mesures 8.13 Sauvegarde des informations Permettre la r\u00e9cup\u00e9ration en cas de perte de donn\u00e9es ou de syst\u00e8mes. - Contr\u00f4ler l'existence et la mise \u00e0 jour de la politique de sauvegarde - Existence des copies de sauvegarde - Tests des copies de sauvegarde 8.14 Redondance des moyens de traitement de l'information S'assurer du fonctionnement continu des moyens de traitement de l'information. Contr\u00f4ler que l'inventaire est \u00e0 jour, les exigences de disponibilit\u00e9 et l'existence de preuves de redondance 8.15 Journalisation Enregistrer les \u00e9v\u00e9nements, g\u00e9n\u00e9rer des preuves, assurer l'int\u00e9grit\u00e9 des informations de journalisation, emp\u00eacher les acc\u00e8s non autoris\u00e9s, identifier les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information qui peuvent engendrer un incident de s\u00e9curit\u00e9 de l'information et assister les investigations. Contr\u00f4ler que les journaux existent et sont \u00e0 jour, les mesures de protection des journaux les capacit\u00e9s de stockage et que l'analyse r\u00e9alis\u00e9e sur ces journaux. 8.16 Activit\u00e9s de surveillance D\u00e9tecter les comportements anormaux et les \u00e9ventuels incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'inventaire des r\u00e9seaux, syst\u00e8mes et application concern\u00e9s, les mesures de d\u00e9tection mises en place et que des \u00e9valuations sont r\u00e9alis\u00e9es ou des incidents g\u00e9n\u00e9r\u00e9s 8.17 Synchronisation des horloges Permettre la corr\u00e9lation et l'analyse d\u2019\u00e9v\u00e9nements de s\u00e9curit\u00e9 et autres donn\u00e9es enregistr\u00e9es, assister les investigations sur les incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'inventaire des horloges, la source temporelle unique utilis\u00e9e et la synchronisation des horloges sur la source 8.18 Utilisation de programmes utilitaires \u00e0 privil\u00e8ges S'assurer que l'utilisation de programmes utilitaires ne nuise pas aux mesures de s\u00e9curit\u00e9 de l'information des syst\u00e8mes et des applications. Contr\u00f4ler l'application des contr\u00f4les sur l'utilisation des programmes utilitaires 8.19 Installation de logiciels sur des syst\u00e8mes en exploitation Assurer l'int\u00e9grit\u00e9 des syst\u00e8mes op\u00e9rationnels et emp\u00eacher l'exploitation des vuln\u00e9rabilit\u00e9s techniques. Contr\u00f4ler l'effectivit\u00e9 de la proc\u00e9dure de contr\u00f4le d'installation 8.20 Mesures li\u00e9es aux r\u00e9seaux Prot\u00e9ger les informations dans les r\u00e9seaux et les moyens de traitement de l'information support contre les compromission via le r\u00e9seau. Contr\u00f4ler que des contr\u00f4les sont en place et que ces contr\u00f4les sont effectifs 8.21 S\u00e9curit\u00e9 des services en r\u00e9seau Assurer la s\u00e9curit\u00e9 lors de l'utilisation des services r\u00e9seau. Contr\u00f4ler que l'inventaire des services de r\u00e9seau concern\u00e9s est complet et \u00e0 jour, que les m\u00e9canismes de s\u00e9curit\u00e9 de niveaux de service et les exigences sont identifi\u00e9s et sont int\u00e9gr\u00e9s dans les accords de service 8.22 Filtrage Internet Diviser le r\u00e9seau en p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 et contr\u00f4ler le trafic entre eux en fonction des besoins m\u00e9tier. Contr\u00f4ler les r\u00e8gles d'acc\u00e8s aux sites web externes et les blocages r\u00e9alis\u00e9s. 8.23 Cloisonnement des r\u00e9seaux Prot\u00e9ger les syst\u00e8mes contre la compromission des programmes malveillants et emp\u00eacher l'acc\u00e8s aux ressources web non autoris\u00e9es. Contr\u00f4ler l'inventaire des groupes de services d'information, d'utilisateurs et de syst\u00e8mes d'information et la mise en place des mesures de cloisonnement r\u00e9seau 8.24 Utilisation de la cryptographie Assurer l\u2019utilisation correcte et efficace de la cryptographie afin de prot\u00e9ger la confidentialit\u00e9, l'authenticit\u00e9 ou l'int\u00e9grit\u00e9 des informations conform\u00e9ment aux exigences m\u00e9tier et de s\u00e9curit\u00e9 de l'information, et en tenant compte des exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la cryptographie. Contr\u00f4les les r\u00e8gles d'utilisation des mesures de cryptographie, leur \u00e9laboration et leur mise en \u0153uvre ainsi que les cl\u00e9s et algorithmes cryptographiqes utilis\u00e9s. 8.25 Cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 S'assurer que la s\u00e9curit\u00e9 de l'information est con\u00e7ue et mise en \u0153uvre au cours du cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 des logiciels et des syst\u00e8mes. Contr\u00f4ler l'existence des r\u00e8gles de d\u00e9veloppement, leur mise \u00e0 jour et l'application des r\u00e8gles de d\u00e9veloppement 8.26 Exigences de s\u00e9curit\u00e9 des applications S'assurer que toutes les exigences de s\u00e9curit\u00e9 de l'information sont identifi\u00e9es et trait\u00e9es lors du d\u00e9veloppement ou de l\u2019acquisition d'applications. Contr\u00f4ler l'inventaire des services r\u00e9seau et l'effectivit\u00e9 des mesures contre les activit\u00e9s frauduleuses, les diff\u00e9rents contractuels, ainsi que la divulgation et la modification non autoris\u00e9es. 8.27 Principes d'ing\u00e9nierie et d'architecture syst\u00e8me s\u00e9curis\u00e9e S'assurer que les syst\u00e8mes d'information sont con\u00e7us, mis en \u0153uvre et exploit\u00e9s de mani\u00e8re s\u00e9curis\u00e9e au cours du cycle de vie de d\u00e9veloppement. Contr\u00f4ler que les principes d'ing\u00e9nierie sont \u00e9tablis et mis \u00e0 jour et que ces principes sont appliqu\u00e9s dans les travaux de mise en ouvre des syst\u00e8mes d'information 8.28 Codage s\u00e9curis\u00e9 S'assurer que les logiciels sont d\u00e9velopp\u00e9s de mani\u00e8re s\u00e9curis\u00e9e afin de r\u00e9duire le nombre d\u2019\u00e9ventuelles vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de l'information dans les logiciels. Contr\u00f4ler l'inventaire des d\u00e9veloppements r\u00e9alis\u00e9s et l'application de r\u00e8gles de codage 8.29 Tests de s\u00e9curit\u00e9 dans le d\u00e9veloppement et l'acceptation Valider le respect des exigences de s\u00e9curit\u00e9 de l'information lorsque des applications ou des codes sont d\u00e9ploy\u00e9s dans l'environnement . Contr\u00f4ler que des tests sont r\u00e9alis\u00e9s sur les nouveaux syst\u00e8mes, lors de mise ) jour er sur les nouvelles versions 8.30 D\u00e9veloppement externalis\u00e9 S'assurer que les mesures de s\u00e9curit\u00e9 de l'information requises par l'organisation sont mises en \u0153uvre dans le cadre du d\u00e9veloppement externalis\u00e9 des syst\u00e8mes. Contr\u00f4ler que des contr\u00f4les sont r\u00e9alis\u00e9s sur les d\u00e9veloppements externalis\u00e9s. 8.31 S\u00e9paration des environnements de d\u00e9veloppement, de test et de production Prot\u00e9ger l'environnement op\u00e9rationnel et les donn\u00e9es correspondantes contre les compromissions qui pourraient \u00eatre dues aux activit\u00e9s de d\u00e9veloppement et de test. Contr\u00f4ler la pr\u00e9sence des environnements pour chaque application et l'effectivit\u00e9 de la s\u00e9paration des environnements 8.32 Gestion des changements Pr\u00e9server la s\u00e9curit\u00e9 de l'information lors de l'ex\u00e9cution des changements. Contr\u00f4ler la proc\u00e9dure gestion des changements, sa mise \u00e0 jour et les changements r\u00e9alis\u00e9s suivent la proc\u00e9dure 8.33 Informations relatives aux tests Assurer la pertinence des tests et la protection des informations op\u00e9rationnelles utilis\u00e9es pour les tests. Contr\u00f4ler l'application des mesures de protection aux donn\u00e9es de test 8.34 Protection des syst\u00e8mes d'information en cours d'audit et de test Minimiser l'impact des activit\u00e9s d'audit et autres activit\u00e9s d'assurance sur les syst\u00e8mes op\u00e9rationnels et les processus m\u00e9tier. Contr\u00f4ler les exigences, la pr\u00e9vision et la validation des activit\u00e9s et l\u2019existence de perturbations engendr\u00e9es par ces v\u00e9rifications","title":"Annexe"},{"location":"annexe.fr/#annexe","text":"Liste des contr\u00f4les de la norme ISO 27001:2022. Clause Nom Description Contr\u00f4le 5.01 Politiques de s\u00e9curit\u00e9 de l'information Assurer de mani\u00e8re continue la pertinence, l'ad\u00e9quation, l'efficacit\u00e9 des orientations de la direction et de son soutien \u00e0 la s\u00e9curit\u00e9 de l'information selon les exigences m\u00e9tier, l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles. Contr\u00f4ler l'existence de l'ensemble des politiques de s\u00e9curit\u00e9, leur valid\u00e9, leur diffusion et communication aux salari\u00e9s et aux tiers concern\u00e9s. 5.02 Fonctions et responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information \u00c9tablir une structure d\u00e9finie, approuv\u00e9e et comprise pour la mise en \u0153uvre, le fonctionnement et la gestion de la s\u00e9curit\u00e9 de l'information au sein de l'organisation. Contr\u00f4ler la d\u00e9finition et l'attribution des fonctions et responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information selon les besoins de l'organisation. 5.03 S\u00e9paration des t\u00e2ches R\u00e9duire le risque de fraude, d'erreur et de contournement des mesures de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que les t\u00e2ches et domaines de responsabilit\u00e9 incompatibles sont s\u00e9par\u00e9s 5.04 Responsabilit\u00e9s de la direction S\u2019assurer que la direction comprend son r\u00f4le en mati\u00e8re de s\u00e9curit\u00e9 de l'information et qu'elle entreprend des actions visant \u00e0 garantir que tout le personnel est conscient de ses responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information et qu'il les m\u00e8ne \u00e0 bien. Contr\u00f4ler l'existence d'une communication de la direction sur l'importance de la s\u00e9curit\u00e9 de l'information. 5.05 Relations avec les autorit\u00e9s Assurer la circulation ad\u00e9quate de l'information en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information, entre l'organisation et les autorit\u00e9s l\u00e9gales, r\u00e9glementaires et de surveillance pertinente. La proc\u00e9dure et l'inventaire sont \u00e0 jour il existe des preuves de relation avec les autorit\u00e9s 5.06 Relations avec des groupes de travail sp\u00e9cialis\u00e9s Assurer la circulation ad\u00e9quate de l'information en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information. La proc\u00e9dure et l'inventaire des groupes de sp\u00e9cialistes sont \u00e0 jour. Il existe des preuves de relation avec les groupes de sp\u00e9cialistes. 5.07 Intelligence des menaces Apporter une connaissance de l'environnement des menaces de l'organisation afin que les mesures d'att\u00e9nuation appropri\u00e9es puissent \u00eatre prises. Il existe des sources d'information et des preuves d'analyses 5.08 S\u00e9curit\u00e9 de l'information dans la gestion de projet Assurer que les risques de s\u00e9curit\u00e9 de l'information relatifs aux projets et aux livrables sont trait\u00e9s efficacement dans la gestion de projet, tout au long du cycle de vie du projet. Contr\u00f4ler la prise en consid\u00e9ration de la s\u00e9curit\u00e9 de l'information dans la gestion de projet. 5.09 Inventaire des informations et des autres actifs associ\u00e9s Identifier les informations et autres actifs associ\u00e9s de l'organisation afin de pr\u00e9server leur s\u00e9curit\u00e9 et d'en attribuer la propri\u00e9t\u00e9 de mani\u00e8re appropri\u00e9e. Contr\u00f4ler qu'un inventaire des informations et des autres actifs associ\u00e9s, y compris leurs propri\u00e9taires et tenu et mis \u00e0 jour 5.10 Utilisation correcte de l'information et des autres actifs associ\u00e9s Assurer que les informations et autres actifs associ\u00e9s sont prot\u00e9g\u00e9s, utilis\u00e9s et trait\u00e9s de mani\u00e8re appropri\u00e9e. Contr\u00f4ler l'existence des r\u00e8gles Comparer la date de publication \u00e0 la date du contr\u00f4le 5.11 Restitution des actifs Prot\u00e9ger les actifs de l'organisation dans le cadre du processus du changement ou de la fin de leur emploi, contrat ou accord. Contr\u00f4ler la listes de employ\u00e9s ayant quitt\u00e9 l'organisation et les preuves de restitution des actifs \u00e0 l'organisation. 5.12 Classification de l'information Assurer l'identification et la compr\u00e9hension des besoins de protection de l'information en fonction de son importance pour l'organisation. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure et son contenu compte-tenu du contexte de l'organisation 5.13 Marquage des informations Faciliter la communication de la classification de l'information et appuyer l'automatisation de la gestion et du traitement de l'information. Contr\u00f4ler la proc\u00e9dure de marquege et sa mise en \u0153uvre sur un \u00e9chantillon des informations de l'organisation. 5.14 Transfert de l'information Maintenir la s\u00e9curit\u00e9 de l'information transf\u00e9r\u00e9e au sein de l'organisation et vers toute partie int\u00e9ress\u00e9e externe Contr\u00f4ler la mise place des r\u00e8gles, proc\u00e9dures ou accords de transfert de l'information, l'inventaire des accords concern\u00e9s et les termes des accords. 5.15 Contr\u00f4le d'acc\u00e8s Assurer l'acc\u00e8s autoris\u00e9 et emp\u00eacher l'acc\u00e8s non autoris\u00e9 aux informations et autres actifs associ\u00e9s. Contr\u00f4ler la d\u00e9finition et la mise en oeuvre des r\u00e8gles visant \u00e0 g\u00e9rer l'acc\u00e8s physique et logique \u00e0 l'information et aux autres actifs associ\u00e9s en fonction des exigences m\u00e9tier et de s\u00e9curit\u00e9 de l'information. 5.16 Gestion des identit\u00e9s Permettre l'identification unique des personnes et des syst\u00e8mes qui acc\u00e8dent aux informations et autres actifs associ\u00e9s de l'organisation, et pour permettre l\u2019attribution appropri\u00e9e des droits d'acc\u00e8s. Contr\u00f4ler la gestion du cycle de vie complet des identit\u00e9s. 5.17 Informations d'authentification Assurer l'authentification correcte de l'entit\u00e9 et \u00e9viter les d\u00e9faillances des processus d'authentification. Contr\u00f4ler l'existence et l'application du processus de gestion de l'attribution des informations secr\u00e8tes d'authentification 5.18 Droits d'acc\u00e8s Assurer que l'acc\u00e8s aux informations et aux autres actifs associ\u00e9s est d\u00e9fini et autoris\u00e9 conform\u00e9ment aux exigences m\u00e9tier Contr\u00f4ler l'existence du processus de ma\u00eetrise de la gestion des acc\u00e8s aux utilisateurs, la validit\u00e9 des preuves d'application du processus et la revue des droits d'acc\u00e8s 5.19 S\u00e9curit\u00e9 de l'information dans les relations avec les fournisseurs Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler que les exigences sont document\u00e9es et mises \u00e0 jour et que les mesures sont accept\u00e9es par les fournisseurs 5.20 Prise en compte de la s\u00e9curit\u00e9 de l'information dans les accords conclus avec les fournisseurs Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler que les exigences sont document\u00e9es et mises \u00e0 jour et que les exigences sont convenues avec les fournisseurs 5.21 Management de la s\u00e9curit\u00e9 de l'information dans la cha\u00eene d'approvisionnement TIC Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler les exigences sont document\u00e9es et que les accords conclus contiennent les exigences 5.22 Suivi, revue et gestion des changements des services fournisseurs Maintenir un niveau convenu de s\u00e9curit\u00e9 de l'information et de prestation de services, conform\u00e9ment aux accords conclus avec les fournisseurs. Contr\u00f4ler que l'organisation proc\u00e8de r\u00e9guli\u00e8rement \u00e0 la surveillance, \u00e0 la revue, \u00e0 l'\u00e9valuation et \u00e0 la gestion des changements de pratiques des fournisseurs en mati\u00e8re de s\u00e9curit\u00e9 de l'information et de prestation de services. 5.23 S\u00e9curit\u00e9 de l'information dans l'utilisation de services en nuage Sp\u00e9cifier et g\u00e9rer la s\u00e9curit\u00e9 de l'information lors de l'utilisation de services en nuage. Contr\u00f4ler que les processus d'acquisition, d'utilisation, de management et de cessation des services en nuage sont d\u00e9finis conform\u00e9ment aux exigences de s\u00e9curit\u00e9 de l'information de l'organisation. 5.24 Planification et pr\u00e9paration de la gestion des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Assurer une r\u00e9ponse rapide, efficace, coh\u00e9rente et ordonn\u00e9e aux incidents de s\u00e9curit\u00e9 de l'information, notamment la communication sur les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que les responsabilit\u00e9s dans la gestion des incidents sont d\u00e9finies Contr\u00f4ler que la proc\u00e9dure de gestion des incidents existe et est \u00e0 jour 5.25 Appr\u00e9ciation des \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information et prise de d\u00e9cision Assurer une cat\u00e9gorisation et une priorisation efficaces des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que le processus de s\u00e9lection est appliqu\u00e9 5.26 R\u00e9ponse aux incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Assurer une r\u00e9ponse efficace et effective aux incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que la proc\u00e9dure existe et est \u00e0 jour Contr\u00f4ler que la proc\u00e9dure est suivie 5.27 Tirer des enseignements des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information R\u00e9duire la probabilit\u00e9 ou les cons\u00e9quences des incidents futurs. Contr\u00f4ler l'existence de l'am\u00e9lioration dans la proc\u00e9dure Contr\u00f4ler l'existence de preuve d'am\u00e9lioration 5.28 Recueil de preuves Assurer une gestion coh\u00e9rente et efficace des preuves relatives aux incidents de s\u00e9curit\u00e9 de l'information pour les besoins d'actions judiciaires ou de disciplinaires. Contr\u00f4ler la documentation de la collecte de preuve dans la proc\u00e9dure Contr\u00f4ler l'application de la collecte de preuve 5.29 S\u00e9curit\u00e9 de l'information durant une perturbation Prot\u00e9ger les informations et autres actifs associ\u00e9s pendant une perturbation. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure Contr\u00f4ler les exigences en mati\u00e8re de s\u00e9curit\u00e9 et de continuit\u00e9 5.30 Pr\u00e9paration des TIC pour la continuit\u00e9 d'activit\u00e9 Assurer la disponibilit\u00e9 des informations et autres actifs associ\u00e9s de l'organisation pendant une perturbation. Contr\u00f4ler l'identification des syst\u00e8mes et de leurs objectifs de s\u00e9curit\u00e9 Contr\u00f4ler la r\u00e9alisation de tests de continuit\u00e9 5.31 Identification des exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que l'inventaire est \u00e0 jour et que l'approche est document\u00e9e 5.32 Droits de propri\u00e9t\u00e9 intellectuelle Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives aux droits de propri\u00e9t\u00e9 intellectuelle et \u00e0 l'utilisation de produits propri\u00e9taires. Contr\u00f4ler l'existence de la proc\u00e9dure et sa mise \u00e0 jour et les preuves d'application de la proc\u00e9dure 5.33 Protection des enregistrements Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles, ainsi qu'aux attentes de la soci\u00e9t\u00e9 ou de la communaut\u00e9 relatives \u00e0 la protection et \u00e0 la disponibilit\u00e9 des enregistrements. - Contr\u00f4ler que les mesures respectent les exigences. - Contr\u00f4ler les preuves d'application des mesures - Contr\u00f4ler la mise \u00e0 jour de l'inventaire des sources d'information cl\u00e9 - Contr\u00f4ler la suppression des informations 5.34 Vie priv\u00e9e et protection des DCP Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives aux aspects de la s\u00e9curit\u00e9 de l'information portant sur la protection des DCP. Contr\u00f4ler l'existence et la mise \u00e0 jour de la politique vie priv\u00e9e et l'application des mesures de protection 5.35 Revue ind\u00e9pendante de la s\u00e9curit\u00e9 de l'information S\u2019assurer que l\u2019approche de l\u2019organisation pour g\u00e9rer la s\u00e9curit\u00e9 de l\u2019information est continuellement adapt\u00e9e, ad\u00e9quate et efficace. Contr\u00f4ler que des revues ind\u00e9pendantes de l'approche retenue par l'organisation pour g\u00e9rer et mettre en oeuvre la s\u00e9curit\u00e9 de l'information, y compris des personnes, processus et technologies sont men\u00e9es \u00e0 intervalles d\u00e9finis ou lorsque des changements importants sont intervenus. 5.36 Conformit\u00e9 aux politiques et normes de s\u00e9curit\u00e9 de l'information S\u2019assurer que la s\u00e9curit\u00e9 de l'information est mise en \u0153uvre et fonctionne conform\u00e9ment \u00e0 la politique de s\u00e9curit\u00e9 de l'information, aux politiques sp\u00e9cifiques \u00e0 une th\u00e9matique, aux r\u00e8gles et aux normes de l'organisation. Contr\u00f4ler que la conformit\u00e9 \u00e0 la politique de s\u00e9curit\u00e9 de l'information, aux politiques portant sur des th\u00e8mes et aux normes de l'organisation est v\u00e9rifi\u00e9e r\u00e9guli\u00e8rement. 5.37 Proc\u00e9dures d'exploitation document\u00e9es S'assurer du fonctionnement correct et s\u00e9curis\u00e9 des moyens de traitement de l'information. Contr\u00f4ler l'existence et la mise \u00e0 jour des proc\u00e9dures d'exploitation et la mise \u00e0 disposition des proc\u00e9dures aux utilisateurs concern\u00e9s 6.01 Pr\u00e9s\u00e9lection S'assurer que tous les membres du personnel sont \u00e9ligibles et ad\u00e9quats pour remplir les fonctions pour lesquelles ils sont candidats, et qu'ils le restent tout au long de leur emploi. Contr\u00f4ler l'existence d'une proc\u00e9dure \u00e0 jour et l'existence de preuves d\u2019ex\u00e9cution du processus de s\u00e9lection. 6.02 Conditions g\u00e9n\u00e9rales d'embauche S'assurer que le personnel comprend ses responsabilit\u00e9s en termes de s\u00e9curit\u00e9 de l'information dans le cadre des fonctions que l\u2019organisation envisage de lui confier. Contr\u00f4ler l'existence des termes et preuves de pr\u00e9sence des termes les accords 6.03 Sensibilisation, apprentissage et formation \u00e0 la s\u00e9curit\u00e9 de l'information S'assurer que le personnel et les parties int\u00e9ress\u00e9es pertinentes connaissent et remplissent leurs responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'existence d'un plan de sensibilisation \u00e0 la s\u00e9curit\u00e9 et la participation du personnel \u00e0 des formations 6.04 Processus disciplinaire S'assurer que le personnel et d\u2019autres parties int\u00e9ress\u00e9es pertinentes comprennent les cons\u00e9quences des violations de la politique de s\u00e9curit\u00e9 de l'information, pr\u00e9venir ces violations, et traiter de mani\u00e8re appropri\u00e9e le personnel et d\u2019autres parties int\u00e9ress\u00e9es qui ont commis des violations. Contr\u00f4ler qu'un processus disciplinaire permettant de prendre des mesures \u00e0 l'encontre du personnel et des autres parties int\u00e9ress\u00e9es qui ont commis une violation de la politique de s\u00e9curit\u00e9 de l'information est formalis\u00e9 et de communiqu\u00e9. 6.05 Responsabilit\u00e9s cons\u00e9cutivement \u00e0 la fin ou \u00e0 la modification du contrat de tr Prot\u00e9ger les int\u00e9r\u00eats de l'organisation dans le cadre du processus de changement ou de fin d'un emploi ou d\u2019un contrat. Existence des termes et des preuves d'application 6.06 Engagements de confidentialit\u00e9 ou de non-divulgation Assurer la confidentialit\u00e9 des informations accessibles par le personnel ou des parties externes. Contr\u00f4ler que les exigences sont identifi\u00e9es et document\u00e9es 6.07 Travail \u00e0 distance Assurer la s\u00e9curit\u00e9 des informations lorsque le personnel travaille \u00e0 distance. Contr\u00f4ler l'existence et mise \u00e0 jour des mesures de s\u00e9curit\u00e9 compl\u00e9mentaires et les preuves d'application de ces mesures 6.08 Signalement des \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Permettre la d\u00e9claration des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information qui peuvent \u00eatre identifi\u00e9s par le personnel, de mani\u00e8re rapide, coh\u00e9rente et efficace. Contr\u00f4ler l'existence de la proc\u00e9dure, son application et sa mise \u00e0 jour 7.01 P\u00e9rim\u00e8tre de s\u00e9curit\u00e9 physique Emp\u00eacher l\u2019acc\u00e8s physique non autoris\u00e9, les dommages ou interf\u00e9rences portant sur les informations et autres actifs associ\u00e9s de l'organisation. Contr\u00f4ler que des p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 servant \u00e0 prot\u00e9ger les zones qui contiennent l'information sensible ou critique et les autres actifs associ\u00e9s sont d\u00e9finis. 7.02 Contr\u00f4les physiques des acc\u00e8s Assurer que seul l'acc\u00e8s physique autoris\u00e9 aux informations et autres actifs associ\u00e9s de l'organisation soit possible. Contr\u00f4ler que les zones s\u00e9curis\u00e9es sont prot\u00e9g\u00e9es par des contr\u00f4les ad\u00e9quats \u00e0 l\u2019entr\u00e9e pour s\u2019assurer que seul le personnel autoris\u00e9 est admis. 7.03 S\u00e9curisation des bureaux, des salles et des \u00e9quipements Emp\u00eacher l\u2019acc\u00e8s physique non autoris\u00e9, les dommages et les interf\u00e9rences impactant les informations et autres actifs associ\u00e9s de l'organisation dans les bureaux, salles et installations. Contr\u00f4ler l'inventaire, les mesures de s\u00e9curit\u00e9 et l'application des mesures. 7.04 Surveillance de la s\u00e9curit\u00e9 physique D\u00e9tecter et dissuader l\u2019acc\u00e8s physique non autoris\u00e9. Contr\u00f4ler l'application des mesures de surveillances continue des locaux 7.05 Protection contre les menaces physiques et environnementales Pr\u00e9venir ou r\u00e9duire les cons\u00e9quences des \u00e9v\u00e9nements issus des menaces physiques ou environnementales. Contr\u00f4ler l'inventaire et l'application des mesures. Compter le nombre d'anomalies. 7.06 Travail dans les zones s\u00e9curis\u00e9es Prot\u00e9ger les informations et autres actifs associ\u00e9s dans les zones s\u00e9curis\u00e9es contre tout dommage et contre toutes interf\u00e9rences non autoris\u00e9es par le personnel travaillant dans ces zones. Contr\u00f4ler que les invantaires existent et sont \u00e0 jour. 7.07 Bureau propre et \u00e9cran vide R\u00e9duire les risques d'acc\u00e8s non autoris\u00e9, de perte et d'endommagement des informations sur les bureaux, les \u00e9crans et dans d\u2019autres emplacements accessibles pendant et en dehors des heures normales de travail. Contr\u00f4ler que des r\u00e8gles du bureau propre pour les documents papier et les supports de stockage amovibles, et les r\u00e8gles de l'\u00e9cran vide pour les moyens de traitement de l'information sont d\u00e9finies et d'appliqu\u00e9es. 7.08 Emplacement et protection du mat\u00e9riel R\u00e9duire les risques li\u00e9s \u00e0 des menaces physiques et environnementales, et \u00e0 des acc\u00e8s non autoris\u00e9s et \u00e0 des dommages. Contr\u00f4ler l'inventaire du mat\u00e9riel concern\u00e9 et leurs emplacements. Contr\u00f4ler l'application des mesures de protection. 7.09 S\u00e9curit\u00e9 des actifs hors des locaux Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des terminaux hors du site et l'interruption des activit\u00e9s de l'organisation. Contr\u00f4ler l'application des mesures de s\u00e9curit\u00e9 7.10 Supports de stockage Assurer que seuls la divulgation, la modification, le retrait ou la destruction autoris\u00e9s des informations de l'organisation sur des supports de stockage sont effectu\u00e9s. - Contr\u00f4ler que des proc\u00e9dures de gestion des supports amovibles sont mises en \u0153uvre conform\u00e9ment au plan de classification adopt\u00e9 par l\u2019organisation. - Contr\u00f4ler que les supports qui ne sont plus n\u00e9cessaires sont mis au rebut de mani\u00e8re s\u00e9curis\u00e9e en suivant des proc\u00e9dures formelles. - Contr\u00f4ler que les supports contenant de l\u2019information sont prot\u00e9g\u00e9s contre les acc\u00e8s non autoris\u00e9s, les erreurs d\u2019utilisation et l\u2019alt\u00e9ration lors du transport. 7.11 Services g\u00e9n\u00e9raux Emp\u00eacher la perte, l'endommagement ou la compromission des informations et autres actifs associ\u00e9s, ou l'interruption des activit\u00e9s de l'organisation, caus\u00e9s par les d\u00e9faillances et les perturbations des services supports. Contr\u00f4ler l'inventaire du mat\u00e9riel et l'application des mesures de protection. 7.12 S\u00e9curit\u00e9 du c\u00e2blage Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associ\u00e9s et l'interruption des activit\u00e9s de l'organisation li\u00e9s au c\u00e2blage \u00e9lectrique et de communications. Contr\u00f4ler l'inventaire du c\u00e2blage et l'application des mesures 7.13 Maintenance du mat\u00e9riel Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associ\u00e9s et l'interruption des activit\u00e9s de l'organisation caus\u00e9s par un manque de maintenance. Contr\u00f4ler l'inventaire du mat\u00e9riel concern\u00e9, les mesures d'entretien et l'application des mesures 7.14 Mise au rebut ou recyclage s\u00e9curis\u00e9(e) du mat\u00e9riel \u00c9viter la fuite d'informations \u00e0 partir de mat\u00e9riel \u00e0 \u00e9liminer ou \u00e0 r\u00e9utiliser. Contr\u00f4ler que l'inventaire est \u00e0 jour. Contr\u00f4ler la pr\u00e9sence des preuves d'effacement des donn\u00e9es 8.01 Terminaux utilisateurs Prot\u00e9ger les informations contre les risques li\u00e9s \u00e0 l'utilisation de terminaux finaux des utilisateurs. Contr\u00f4ler que toute information stock\u00e9e sur un terminal utilisateur final, trait\u00e9e par ou accessible via ce type d'appareil et prot\u00e9g\u00e9e. 8.02 Privil\u00e8ges d'acc\u00e8s S'assurer que seuls les utilisateurs, composants logiciels et services autoris\u00e9s sont dot\u00e9s de droits d'acc\u00e8s privil\u00e9gi\u00e9s. Contr\u00f4ler l'existence des restrictions de droits d'acc\u00e8s \u00e0 privil\u00e8ge et l'allocation des doits d'acc\u00e8s \u00e0 privil\u00e8ges 8.03 Restriction d'acc\u00e8s \u00e0 l'information Assurer les acc\u00e8s autoris\u00e9s seulement et emp\u00eacher les acc\u00e8s non autoris\u00e9s aux informations et autres actifs associ\u00e9s. Contr\u00f4ler les restriction d'acc\u00e8s \u00e0 l'information et l'application de ces restriction conform\u00e9ment \u00e0 la politique portant sur le th\u00e8me du contr\u00f4le d'acc\u00e8s. 8.04 Acc\u00e8s au code source Emp\u00eacher l'introduction d'une fonctionnalit\u00e9 non autoris\u00e9e, \u00e9viter les modifications non intentionnelles ou malveillantes et pr\u00e9server la confidentialit\u00e9 de la propri\u00e9t\u00e9 intellectuelle importante. Contr\u00f4ler l'effectivit\u00e9 de la restriction de l'acc\u00e8s au code source des programmes. 8.05 Authentification s\u00e9curis\u00e9e S'assurer qu'un utilisateur ou une entit\u00e9 est authentifi\u00e9 de fa\u00e7on s\u00e9curis\u00e9e lorsque l'acc\u00e8s aux syst\u00e8mes, applications et services lui est accord\u00e9. Contr\u00f4ler l'application des proc\u00e9dures de connexion s\u00e9curis\u00e9e 8.06 Dimensionnement Assurer les besoins en termes de moyens de traitement de l'information, de ressources humaines, de bureaux et autres installations. Contr\u00f4ler l'inventaire des ressources surveill\u00e9es, les preuves de surveillances et les projections effectu\u00e9es 8.07 Protection contre les programmes malveillants S\u2019assurer que les informations et autres actifs associ\u00e9s sont prot\u00e9g\u00e9s contre les programmes malveillants. Contr\u00f4ler l'existence et la mise \u00e0 jour des proc\u00e9dures d'exploitation et la mise \u00e0 disposition des proc\u00e9dures aux utilisateurs concern\u00e9s 8.08 Gestion des vuln\u00e9rabilit\u00e9s techniques Emp\u00eacher l\u2019exploitation des vuln\u00e9rabilit\u00e9s techniques. Contr\u00f4ler que l'inventaire est pertinent, qu'il existe des preuves de v\u00e9rification lees mesures prises 8.09 Gestion de la configuration S'assurer que le mat\u00e9riel, les logiciels, les services et les r\u00e9seaux fonctionnent correctement avec les param\u00e8tres de s\u00e9curit\u00e9 requis, et que la configuration n\u2019est pas alt\u00e9r\u00e9e par des changements non autoris\u00e9s ou incorrects. Contr\u00f4ler que l'inventaire des syst\u00e8mes concern\u00e9s est complet, la documentation de configuration et que des contr\u00f4les sont r\u00e9alis\u00e9s 8.10 Suppression d'information Emp\u00eacher l'exposition inutile des informations sensibles et se conformer aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la suppression d'informations. Contr\u00f4ler l'inventaire des exigences, les informations concern\u00e9es et les preuves de suppression 8.11 Masquage des donn\u00e9es Limiter l'exposition des donn\u00e9es sensibles, y compris les DCP, et se conformer aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure de masquage, la pertinence des donn\u00e9es concern\u00e9es et l'application du masquage 8.12 Pr\u00e9vention de la fuite de donn\u00e9es D\u00e9tecter et emp\u00eacher la divulgation et l'extraction non autoris\u00e9es d'informations par des personnes ou des syst\u00e8mes. - Contr\u00f4ler l'existence et la date de la proc\u00e9dure - Contr\u00f4ler les donn\u00e9es concern\u00e9es - Contr\u00f4ler l'application des mesures 8.13 Sauvegarde des informations Permettre la r\u00e9cup\u00e9ration en cas de perte de donn\u00e9es ou de syst\u00e8mes. - Contr\u00f4ler l'existence et la mise \u00e0 jour de la politique de sauvegarde - Existence des copies de sauvegarde - Tests des copies de sauvegarde 8.14 Redondance des moyens de traitement de l'information S'assurer du fonctionnement continu des moyens de traitement de l'information. Contr\u00f4ler que l'inventaire est \u00e0 jour, les exigences de disponibilit\u00e9 et l'existence de preuves de redondance 8.15 Journalisation Enregistrer les \u00e9v\u00e9nements, g\u00e9n\u00e9rer des preuves, assurer l'int\u00e9grit\u00e9 des informations de journalisation, emp\u00eacher les acc\u00e8s non autoris\u00e9s, identifier les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information qui peuvent engendrer un incident de s\u00e9curit\u00e9 de l'information et assister les investigations. Contr\u00f4ler que les journaux existent et sont \u00e0 jour, les mesures de protection des journaux les capacit\u00e9s de stockage et que l'analyse r\u00e9alis\u00e9e sur ces journaux. 8.16 Activit\u00e9s de surveillance D\u00e9tecter les comportements anormaux et les \u00e9ventuels incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'inventaire des r\u00e9seaux, syst\u00e8mes et application concern\u00e9s, les mesures de d\u00e9tection mises en place et que des \u00e9valuations sont r\u00e9alis\u00e9es ou des incidents g\u00e9n\u00e9r\u00e9s 8.17 Synchronisation des horloges Permettre la corr\u00e9lation et l'analyse d\u2019\u00e9v\u00e9nements de s\u00e9curit\u00e9 et autres donn\u00e9es enregistr\u00e9es, assister les investigations sur les incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'inventaire des horloges, la source temporelle unique utilis\u00e9e et la synchronisation des horloges sur la source 8.18 Utilisation de programmes utilitaires \u00e0 privil\u00e8ges S'assurer que l'utilisation de programmes utilitaires ne nuise pas aux mesures de s\u00e9curit\u00e9 de l'information des syst\u00e8mes et des applications. Contr\u00f4ler l'application des contr\u00f4les sur l'utilisation des programmes utilitaires 8.19 Installation de logiciels sur des syst\u00e8mes en exploitation Assurer l'int\u00e9grit\u00e9 des syst\u00e8mes op\u00e9rationnels et emp\u00eacher l'exploitation des vuln\u00e9rabilit\u00e9s techniques. Contr\u00f4ler l'effectivit\u00e9 de la proc\u00e9dure de contr\u00f4le d'installation 8.20 Mesures li\u00e9es aux r\u00e9seaux Prot\u00e9ger les informations dans les r\u00e9seaux et les moyens de traitement de l'information support contre les compromission via le r\u00e9seau. Contr\u00f4ler que des contr\u00f4les sont en place et que ces contr\u00f4les sont effectifs 8.21 S\u00e9curit\u00e9 des services en r\u00e9seau Assurer la s\u00e9curit\u00e9 lors de l'utilisation des services r\u00e9seau. Contr\u00f4ler que l'inventaire des services de r\u00e9seau concern\u00e9s est complet et \u00e0 jour, que les m\u00e9canismes de s\u00e9curit\u00e9 de niveaux de service et les exigences sont identifi\u00e9s et sont int\u00e9gr\u00e9s dans les accords de service 8.22 Filtrage Internet Diviser le r\u00e9seau en p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 et contr\u00f4ler le trafic entre eux en fonction des besoins m\u00e9tier. Contr\u00f4ler les r\u00e8gles d'acc\u00e8s aux sites web externes et les blocages r\u00e9alis\u00e9s. 8.23 Cloisonnement des r\u00e9seaux Prot\u00e9ger les syst\u00e8mes contre la compromission des programmes malveillants et emp\u00eacher l'acc\u00e8s aux ressources web non autoris\u00e9es. Contr\u00f4ler l'inventaire des groupes de services d'information, d'utilisateurs et de syst\u00e8mes d'information et la mise en place des mesures de cloisonnement r\u00e9seau 8.24 Utilisation de la cryptographie Assurer l\u2019utilisation correcte et efficace de la cryptographie afin de prot\u00e9ger la confidentialit\u00e9, l'authenticit\u00e9 ou l'int\u00e9grit\u00e9 des informations conform\u00e9ment aux exigences m\u00e9tier et de s\u00e9curit\u00e9 de l'information, et en tenant compte des exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la cryptographie. Contr\u00f4les les r\u00e8gles d'utilisation des mesures de cryptographie, leur \u00e9laboration et leur mise en \u0153uvre ainsi que les cl\u00e9s et algorithmes cryptographiqes utilis\u00e9s. 8.25 Cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 S'assurer que la s\u00e9curit\u00e9 de l'information est con\u00e7ue et mise en \u0153uvre au cours du cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 des logiciels et des syst\u00e8mes. Contr\u00f4ler l'existence des r\u00e8gles de d\u00e9veloppement, leur mise \u00e0 jour et l'application des r\u00e8gles de d\u00e9veloppement 8.26 Exigences de s\u00e9curit\u00e9 des applications S'assurer que toutes les exigences de s\u00e9curit\u00e9 de l'information sont identifi\u00e9es et trait\u00e9es lors du d\u00e9veloppement ou de l\u2019acquisition d'applications. Contr\u00f4ler l'inventaire des services r\u00e9seau et l'effectivit\u00e9 des mesures contre les activit\u00e9s frauduleuses, les diff\u00e9rents contractuels, ainsi que la divulgation et la modification non autoris\u00e9es. 8.27 Principes d'ing\u00e9nierie et d'architecture syst\u00e8me s\u00e9curis\u00e9e S'assurer que les syst\u00e8mes d'information sont con\u00e7us, mis en \u0153uvre et exploit\u00e9s de mani\u00e8re s\u00e9curis\u00e9e au cours du cycle de vie de d\u00e9veloppement. Contr\u00f4ler que les principes d'ing\u00e9nierie sont \u00e9tablis et mis \u00e0 jour et que ces principes sont appliqu\u00e9s dans les travaux de mise en ouvre des syst\u00e8mes d'information 8.28 Codage s\u00e9curis\u00e9 S'assurer que les logiciels sont d\u00e9velopp\u00e9s de mani\u00e8re s\u00e9curis\u00e9e afin de r\u00e9duire le nombre d\u2019\u00e9ventuelles vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de l'information dans les logiciels. Contr\u00f4ler l'inventaire des d\u00e9veloppements r\u00e9alis\u00e9s et l'application de r\u00e8gles de codage 8.29 Tests de s\u00e9curit\u00e9 dans le d\u00e9veloppement et l'acceptation Valider le respect des exigences de s\u00e9curit\u00e9 de l'information lorsque des applications ou des codes sont d\u00e9ploy\u00e9s dans l'environnement . Contr\u00f4ler que des tests sont r\u00e9alis\u00e9s sur les nouveaux syst\u00e8mes, lors de mise ) jour er sur les nouvelles versions 8.30 D\u00e9veloppement externalis\u00e9 S'assurer que les mesures de s\u00e9curit\u00e9 de l'information requises par l'organisation sont mises en \u0153uvre dans le cadre du d\u00e9veloppement externalis\u00e9 des syst\u00e8mes. Contr\u00f4ler que des contr\u00f4les sont r\u00e9alis\u00e9s sur les d\u00e9veloppements externalis\u00e9s. 8.31 S\u00e9paration des environnements de d\u00e9veloppement, de test et de production Prot\u00e9ger l'environnement op\u00e9rationnel et les donn\u00e9es correspondantes contre les compromissions qui pourraient \u00eatre dues aux activit\u00e9s de d\u00e9veloppement et de test. Contr\u00f4ler la pr\u00e9sence des environnements pour chaque application et l'effectivit\u00e9 de la s\u00e9paration des environnements 8.32 Gestion des changements Pr\u00e9server la s\u00e9curit\u00e9 de l'information lors de l'ex\u00e9cution des changements. Contr\u00f4ler la proc\u00e9dure gestion des changements, sa mise \u00e0 jour et les changements r\u00e9alis\u00e9s suivent la proc\u00e9dure 8.33 Informations relatives aux tests Assurer la pertinence des tests et la protection des informations op\u00e9rationnelles utilis\u00e9es pour les tests. Contr\u00f4ler l'application des mesures de protection aux donn\u00e9es de test 8.34 Protection des syst\u00e8mes d'information en cours d'audit et de test Minimiser l'impact des activit\u00e9s d'audit et autres activit\u00e9s d'assurance sur les syst\u00e8mes op\u00e9rationnels et les processus m\u00e9tier. Contr\u00f4ler les exigences, la pr\u00e9vision et la validation des activit\u00e9s et l\u2019existence de perturbations engendr\u00e9es par ces v\u00e9rifications","title":"Annexe"},{"location":"annexe/","text":"Fran\u00e7ais Annex Checklist of ISO 27001:2022 standard. Clause Name Description Control 5.01 Information security policies Continuously ensure the relevance, adequacy and effectiveness of management's orientations and its support for information security according to business, legal, statutory, regulatory and contractual. Check the existence of all security policies, their validation, their dissemination and communication to employees and third parties concerned. 5.02 Information Security Duties and Responsibilities Establish a defined, approved, and understood structure for the implementation, operation, and management of information security within the organization. Control the definition and assignment of functions and responsibilities related to information security according to the needs of the organization. 5.03 Segregation of duties Reduce the risk of fraud, error and circumvention of information security measures. Ensure that incompatible duties and areas of responsibility are segregated 5.04 Management Responsibilities Ensure that management understands its role in information security and takes actions to ensure that all personnel are aware of their information security responsibilities. information and carries them out. Check that there is communication from management on the importance of information security. 5.05 Relations with authorities Ensure the proper flow of information security information between the organization and the relevant legal, regulatory and supervisory authorities. Procedure and inventory are up to date there is evidence of relationship with the authorities 5.06 Relations with specialized working groups Ensure the adequate circulation of information in terms of information security. The procedure and inventory of specialist groups are up to date. There is evidence of a relationship with specialist groups. 5.07 Threat Intelligence Provide knowledge of the organization's threat environment so that appropriate mitigating actions can be taken. There are sources of information and evidence of analysis 5.08 Information security in project management Ensure that information security risks relating to projects and deliverables are effectively addressed in project management, throughout the project life cycle. Control consideration of information security in project management. 5.09 Inventory of information and other related assets Identify the organization's information and other related assets to maintain their security and assign ownership appropriately. Control that an inventory of information and other related assets associated assets, including their owners and maintained and updated 5.10 Proper use of information and other associated assets Ensure that information and other associated assets are protected, used and handled appropriately. Check existence of rules Compare date of publication to date of check 5.11 Return of assets Protect the organization's assets in the process of changing or terminating their employment, contract or agreement. Control the list of employees who have left the organization and proof of return of assets to the organization. 5.12 Classification of information Ensure the identification and understanding of information protection needs according to its importance for the organization. Check the existence and updating of the procedure and its content given the context of the organization 5.13 Marking of information Facilitate the communication of information classification and support the automation of information management and processing. Monitor the marking procedure and its implementation on a sample of information from the organization. 5.14 Transfer of information Maintain the security of information transferred within the organization and to any external interested parties Monitor the implementation of rules, procedures or agreements for the transfer of information, the inventory of the agreements concerned and the terms of the agreements. 5.15 Access control Ensure authorized access and prevent unauthorized access to information and other related assets. Control the definition and implementation of policies to manage physical and logical access to information and other associated assets based on business and information security requirements. 5.16 Identity management Enable unique identification of people and systems accessing information and other associated assets of the organization, and to enable the appropriate assignment of access rights. Control the management of the full lifecycle of identities. 5.17 Authentication information Ensure correct authentication of the entity and avoid failures of authentication processes. Check the existence and application of the process for managing the allocation of secret authentication information 5.18 Access rights Ensure that access to information and other associated assets is defined and authorized in accordance with business requirements Check the existence of the user access management control process, the validity of proof of application of the process and review of access rights 5.19 Information security in supplier relationships Maintain the agreed level of information security in supplier relationships. Check that requirements are documented and updated and that measures are accepted by suppliers 5.20 Consideration of information security in supplier agreements Maintain the agreed level of information security in supplier relationships. Check that requirements are documented and updated and requirements are agreed with suppliers 5.21 Management of information security in the ICT supply chain Maintain the agreed level of information security in relations with suppliers. Check that the requirements are documented and that the agreements made contain the requirements 5.22 Monitoring, reviewing and change management of supplier services Maintain an agreed level of information security and service delivery, in accordance with agreements with suppliers. Check that the organization regularly monitors, reviewing, evaluating and managing changes in supplier information security and service delivery practices. 5.23 Information security in the use of cloud services Specify and manage information security in the use of cloud services. Control that the processes of acquisition, use, management and termination of cloud services are defined in accordance with the organization's information security requirements. 5.24 Information security incident management planning and preparation Ensuring a timely, effective, consistent and orderly response to information security incidents, including communication of security events information. Check that incident management responsibilities are defined Check that the incident management procedure exists and is up to date 5.25 Assessment of information security events and decision-making Ensure effective categorization and prioritization of information security events. Check that the selection process is applied 5.26 Response to information security incidents Ensure an efficient and effective response to information security incidents. Check that the procedure exists and is up to date Check that the procedure is followed 5.27 Draw lessons from information security incidents Reduce the likelihood or consequences of future incidents. Check for existence of improvement in procedure Check for evidence of improvement 5.28 Evidence gathering Ensuring consistent and effective management of evidence relating to information security incidents for the purposes of legal or disciplinary action. Controlling the documentation of evidence gathering in the procedure Controlling the application of evidence collection 5.29 Security of information during a disruption Protect information and other associated assets during a disruption. Check existence and updating of procedure Check security and continuity requirements 5.30 Preparing ICT for business continuity Ensuring the availability of information and other associated assets of the organization during a disruption. Checking the identification of systems and their security objectives Checking the performance of continuity tests 5.31 Identification of legal, statutory, regulatory and contractual requirements Ensure compliance with legal, statutory, regulatory and contractual requirements relating to information security. Check that the inventory is up to date and that the approach is documented 5.32 Intellectual property rights Ensuring compliance with legal, statutory, regulatory and contractual requirements relating to intellectual property rights and the use of proprietary products. Check the existence of the procedure and its updating and proof of application of the procedure 5.33 Protection of records Ensure compliance with legal, statutory, regulatory, and contractual requirements, as well as company or community expectations relating to the protection and availability of records. - Verify that measures comply with the requirements. - Control the evidence of application of the measures - Control the update of the inventory of the sources of key information - Control the deletion of information 5.34 Privacy and protection of personal data Ensure compliance with legal, statutory, regulatory and contractual requirements relating to aspects of information security relating to the protection of personal data. Check the existence and updating of the privacy policy and the application of protection measures 5.35 Independent review of information security Ensure that the organisation's approach to managing information security is continuously appropriate, adequate and effective. Check that independent reviews of the approach retained by the organization to manage and implement the security of information, including people, processes and technologies are carried out at defined intervals or when significant changes have occurred. 5.36 Compliance with information security policies and standards Ensure that information security is implemented and operating in accordance with the information security policy, topic-specific policies, rules and standards of the organization. Ensure that compliance with the information security policy, topic policies, and standards of the organization is reviewed regularly. 5.37 Documented operating procedures Ensure the correct and secure operation of information processing resources. Check the existence and updating of operating procedures and the provision of procedures to users concerned 6.01 Screening Ensure that all staff members are eligible and suitable to perform the functions for which they are nominated, and that they remain so throughout their employment. Check the existence of a procedure up-to-date and the existence of proof of execution of the selection process. 6.02 General conditions of employment Ensure that personnel understand their responsibilities in terms of information security within the framework of the functions that the organization intends to entrust to them. Check the existence of the terms and proof of presence of the terms agreements 6.03 Information security awareness, learning and training Ensure that staff and relevant interested parties are aware of and fulfill their information security responsibilities. Check existence of a plan awareness raising and staff participation in training 6.04 Disciplinary process Ensure that staff and other relevant interested parties understand the consequences of violations of the information security policy, prevent such breaches, and treat staff and other parties appropriately who have committed violations. Ensure that a disciplinary process for taking action against staff and other interested parties who have committed a violation of the information security policy is formalized and communicated. 6.05 Responsibilities upon termination or modification of employment contract To protect the interests of the organization in the process of changing or terminating a job or contract. Existence of terms and proof of application 6.06 Confidentiality or non-disclosure covenants Ensuring the confidentiality of information accessed by staff or external parties. Ensure that requirements are identified and documented 6.07 Remote work Ensure information security when staff work remotely. Check the existence and updating of additional security measures and proof of application of these measures 6.08 Reporting of information security events Enable the reporting of information security events that can be identified by personnel, in a timely, consistent and efficient manner. Check the existence of the procedure , its application and its update 7.01 Perimeter Physical Security Prevent unauthorized physical access to, damage to, or interference with information and other associated assets of the organization. Control only perimeter security used to protect areas that contain information sensitive or critical e and other associated assets are defined. 7.02 Physical access controls Ensure that only authorized physical access to information and other related assets of the organization is possible. Verify that secure areas are protected by adequate entry controls to ensure that only authorized personnel are admitted. 7.03 Securing offices, rooms and equipment Prevent unauthorized physical access, damage and interference to information and other associated assets of the organization in offices, rooms and facilities. Control inventory , security measures and the application of measures. 7.04 Physical security monitoring Detect and deter unauthorized physical access. Enforce continuous site surveillance measures 7.05 Protection against physical and environmental threats Prevent or reduce the consequences of events resulting from physical or environmental threats. Control the inventory and the application of measures. Count the number of anomalies. 7.06 Working in secure areas Protect information and other associated assets in secure areas from damage and unauthorized interference by personnel working in such areas. Check that inventories exist and are up-to-date. 7.07 Clean desktop and blank screen Reduce the risk of unauthorized access to, loss of, and damage to information on desktops, screens, and other accessible locations during and outside normal working hours. Control that clean desk rules for paper documents and removable storage media, and clean screen rules for information processing facilities are defined and enforced. 7.08 Equipment location and protection Reduce risks from physical and environmental threats, and unauthorized access and damage. Control inventory of affected equipment and their locations. Check the application of protection measures. 7.09 Security of off-premises assets Prevent loss, damage, theft or compromise of off-premises terminals and disruption of business operations. Enforce security measures 7.10 Storage media Ensure that only authorized disclosure, modification, removal or destruction of organization information on storage media is performed. - Check that procedures for managing removable media are implemented operates in accordance with the classification plan adopted by the organization. - Check that media that is no longer needed is safely disposed of following formal procedures. - Check that the media containing information are protected against unauthorized access, user errors and alteration during transport. 7.11 General Services Prevent loss, damage, or compromise of information and other related assets, or disruption of business operations, caused by support service failures and disruptions. Control inventory equipment and the application of protective measures. 7.12 Cable Security Prevent loss, damage, theft, or compromise of information and other associated assets and disruption to the organization's business related to electrical and communications cabling. Control inventory of wiring and application of measures 7.13 Hardware maintenance Prevent loss, damage, theft or compromise of information and other related assets and disruption of business operations caused by lack of maintenance. Control hardware inventory concerned, the maintenance measures and the application of the 7.14 Safe disposal or recycling of materials Prevent information leakage from materials for disposal or reuse. Check that inventory is up-to-date. Check the presence of evidence of data erasure 8.01 User endpoints Protect information against the risks associated with the use of user endpoint devices. Control that any information stored on an end user endpoint device, processed by or accessed through such a device, is protected. 8.02 Access privileges Ensuring that only authorized users, software components, and services are granted privileged access rights. Checking the existence of privilege access rights restrictions and the allocation of privileges Privileged Access 8.03 Restriction of access to information Ensure only authorized access and prevent unauthorized access to information and other related assets. Monitor restrictions on access to information and the application of these restrictions in accordance compliance with the policy on the subject of access control. 8.04 Access to source code Prevent the introduction of unauthorized functionality, prevent unintentional or malicious modifications, and preserve the confidentiality of important intellectual property. Monitor the effectiveness of restricting access to code program source. 8.05 Secure authentication Ensuring that a user or entity is securely authenticated when granted access to systems, applications and services. Enforce secure login procedures 8.06 Dimensioning Ensuring needs in terms of information processing resources, human resources, offices and other facilities. Checking the inventory of monitored resources, evidence of monitoring and projections made 8.07 Protection against malware Ensuring that information and other related assets are protected against malware. Monitoring the existence and updating of operating procedures and the availability of procedures to users concerned 8.08 Management of technical vulnerabilities Prevent the exploitation of technical vulnerabilities. Check that the inventory is relevant, that there is verification evidence of the measures taken 8.09 Configuration management Ensuring that hardware, software, services and networks are operating properly with required security settings, and that the configuration is not altered by unauthorized or incorrect changes. Check that the inventory of the systems concerned is complete, the configuration documentation and that checks are carried out 8.10 Deletion of information Prevent unnecessary exposure of sensitive information and comply with legal, statutory, regulatory, and contractual requirements for deletion of information. Control inventory of requirements, affected information, and evidence deletion 8.11 Data masking Limit the exposure of sensitive data, including personal data, and comply with legal, statutory, regulatory and contractual requirements. Check the existence and updating of the masking procedure, the relevance of the data concerned and the application of the masking 8.12 Prevention of data leaks Detect and prevent the unauthorized disclosure and extraction of information by persons or systems. - Check the existence and date of the procedure - Check the data concerned - Check application of measures 8.13 Backup of information Allow recovery in the event of loss of data or systems. - Check the existence and updating of the backup policy - Existence of backup copies - Tests of backup copies 8.14 Redundancy of information processing resources Ensure the continuous operation of information processing resources. Check that the inventory is up to date, the availability requirements and the existence of proof of redundancy 8.15 Logging Record events, generate evidence, ensure integrity of logging information, prevent unauthorized access, identify information security events that may lead to an information security incident and assist the investigations. Check that the logs exist and are up to date, the measures for protecting the logs, the storage capacities and the analysis carried out on these logs. 8.16 Monitoring activities Detect abnormal behavior and possible information security incidents. Monitor the inventory of the networks, systems and applications concerned, the detection measures put in place and that assessments are carried out or incidents generated 8.17 Synchronization of clocks Allow the correlation and analysis of security events and other recorded data, assist in the investigation of information security incidents. Control the inventory of clocks, the unique time source used and the synchronization of the clocks on the source 8.18 Use of privileged utility programs Ensure that the use of utility programs does not compromise the information security measures of systems and applications. Enforce controls on program use utilities 8.19 Installation of software on operating systems Ensuring the integrity of operating systems and preventing the exploitation of technical vulnerabilities. Checking the effectiveness of the installation control procedure 8.20 Measures related to networks Protect information in networks and means of processing supporting information against compromise via the network. Control r that controls are in place and that these controls are effective 8.21 Security of network services Ensure security when using network services. Check that the inventory of relevant network services is complete and up-to-date, that the security mechanisms of service levels and the requirements are identified and incorporated into service agreements 8.22 Internet filtering Divide the network into security perimeters and control traffic between them based on business needs. Control external website access rules and blocking. 8.23 Segregation of networks Protect systems from compromise by malicious programs and prevent access to unauthorized web resources. Control inventory of groups of information services, users, and information systems and the implementation of network partitioning measures 8.24 Use of cryptography Ensure the correct and effective use of cryptography to protect the confidentiality, authenticity or integrity of information in accordance with business and information security requirements, and taking into account legal, statutory, regulatory and contractual requirements relating to cryptography. Controls the rules for the use of cryptography measures, their development and implementation as well as the cryptographic keys and algorithms used. 8.25 Secure development lifecycle Ensure that information security is designed and implemented during the secure development lifecycle of software and systems. Check the existence of development rules , their update and the application of development rules 8.26 Application security requirements Ensure that all information security requirements are identified and addressed when developing or acquiring applications. Monitor network service inventory and effectiveness safeguards against fraudulent activity, contractual disputes, and unauthorized disclosure and modification. 8.27 Principles of secure system engineering and architecture Ensuring that information systems are designed, implemented, and operated securely throughout the development life cycle. Check that the principles of engineering are established and maintained and that these principles are applied in information systems implementation work 8.28 Secure coding Ensuring that software is developed in a secure manner in order to reduce the number of possible information security vulnerabilities in software. Controlling the inventory of developments carried out and the application of rules coding 8.29 Security testing in development and acceptance Validate compliance with information security requirements when applications or code are deployed into the environment. Check that testing is performed on new systems, when updating on new versions 8.30 Outsourced development Ensure that the information security measures required by the organization are implemented within the framework of the outsourced development of the systems. Check that controls are carried out on the outsourced developments. 8.31 Separation of development, test, and production environments Protect the operational environment and related data from compromises that may arise from development and test activities. Control the presence of environments for each application and the effectiveness of the separation of environments 8.32 Change management Preserving information security when executing changes. Control the change management procedure, its updating and the changes made follow the procedure 8.33 Testing information Ensuring appropriateness of testing and protection of operational information used for testing. Monitoring the application of protective measures to test data 8.34 Protection of information systems under audit and test Minimize the impact of audit and other assurance activities on operational systems and business processes. Control requirements, forecasting, and the validation of activities and the existence of disturbances caused by these verifications","title":"Annexe"},{"location":"annexe/#annex","text":"Checklist of ISO 27001:2022 standard. Clause Name Description Control 5.01 Information security policies Continuously ensure the relevance, adequacy and effectiveness of management's orientations and its support for information security according to business, legal, statutory, regulatory and contractual. Check the existence of all security policies, their validation, their dissemination and communication to employees and third parties concerned. 5.02 Information Security Duties and Responsibilities Establish a defined, approved, and understood structure for the implementation, operation, and management of information security within the organization. Control the definition and assignment of functions and responsibilities related to information security according to the needs of the organization. 5.03 Segregation of duties Reduce the risk of fraud, error and circumvention of information security measures. Ensure that incompatible duties and areas of responsibility are segregated 5.04 Management Responsibilities Ensure that management understands its role in information security and takes actions to ensure that all personnel are aware of their information security responsibilities. information and carries them out. Check that there is communication from management on the importance of information security. 5.05 Relations with authorities Ensure the proper flow of information security information between the organization and the relevant legal, regulatory and supervisory authorities. Procedure and inventory are up to date there is evidence of relationship with the authorities 5.06 Relations with specialized working groups Ensure the adequate circulation of information in terms of information security. The procedure and inventory of specialist groups are up to date. There is evidence of a relationship with specialist groups. 5.07 Threat Intelligence Provide knowledge of the organization's threat environment so that appropriate mitigating actions can be taken. There are sources of information and evidence of analysis 5.08 Information security in project management Ensure that information security risks relating to projects and deliverables are effectively addressed in project management, throughout the project life cycle. Control consideration of information security in project management. 5.09 Inventory of information and other related assets Identify the organization's information and other related assets to maintain their security and assign ownership appropriately. Control that an inventory of information and other related assets associated assets, including their owners and maintained and updated 5.10 Proper use of information and other associated assets Ensure that information and other associated assets are protected, used and handled appropriately. Check existence of rules Compare date of publication to date of check 5.11 Return of assets Protect the organization's assets in the process of changing or terminating their employment, contract or agreement. Control the list of employees who have left the organization and proof of return of assets to the organization. 5.12 Classification of information Ensure the identification and understanding of information protection needs according to its importance for the organization. Check the existence and updating of the procedure and its content given the context of the organization 5.13 Marking of information Facilitate the communication of information classification and support the automation of information management and processing. Monitor the marking procedure and its implementation on a sample of information from the organization. 5.14 Transfer of information Maintain the security of information transferred within the organization and to any external interested parties Monitor the implementation of rules, procedures or agreements for the transfer of information, the inventory of the agreements concerned and the terms of the agreements. 5.15 Access control Ensure authorized access and prevent unauthorized access to information and other related assets. Control the definition and implementation of policies to manage physical and logical access to information and other associated assets based on business and information security requirements. 5.16 Identity management Enable unique identification of people and systems accessing information and other associated assets of the organization, and to enable the appropriate assignment of access rights. Control the management of the full lifecycle of identities. 5.17 Authentication information Ensure correct authentication of the entity and avoid failures of authentication processes. Check the existence and application of the process for managing the allocation of secret authentication information 5.18 Access rights Ensure that access to information and other associated assets is defined and authorized in accordance with business requirements Check the existence of the user access management control process, the validity of proof of application of the process and review of access rights 5.19 Information security in supplier relationships Maintain the agreed level of information security in supplier relationships. Check that requirements are documented and updated and that measures are accepted by suppliers 5.20 Consideration of information security in supplier agreements Maintain the agreed level of information security in supplier relationships. Check that requirements are documented and updated and requirements are agreed with suppliers 5.21 Management of information security in the ICT supply chain Maintain the agreed level of information security in relations with suppliers. Check that the requirements are documented and that the agreements made contain the requirements 5.22 Monitoring, reviewing and change management of supplier services Maintain an agreed level of information security and service delivery, in accordance with agreements with suppliers. Check that the organization regularly monitors, reviewing, evaluating and managing changes in supplier information security and service delivery practices. 5.23 Information security in the use of cloud services Specify and manage information security in the use of cloud services. Control that the processes of acquisition, use, management and termination of cloud services are defined in accordance with the organization's information security requirements. 5.24 Information security incident management planning and preparation Ensuring a timely, effective, consistent and orderly response to information security incidents, including communication of security events information. Check that incident management responsibilities are defined Check that the incident management procedure exists and is up to date 5.25 Assessment of information security events and decision-making Ensure effective categorization and prioritization of information security events. Check that the selection process is applied 5.26 Response to information security incidents Ensure an efficient and effective response to information security incidents. Check that the procedure exists and is up to date Check that the procedure is followed 5.27 Draw lessons from information security incidents Reduce the likelihood or consequences of future incidents. Check for existence of improvement in procedure Check for evidence of improvement 5.28 Evidence gathering Ensuring consistent and effective management of evidence relating to information security incidents for the purposes of legal or disciplinary action. Controlling the documentation of evidence gathering in the procedure Controlling the application of evidence collection 5.29 Security of information during a disruption Protect information and other associated assets during a disruption. Check existence and updating of procedure Check security and continuity requirements 5.30 Preparing ICT for business continuity Ensuring the availability of information and other associated assets of the organization during a disruption. Checking the identification of systems and their security objectives Checking the performance of continuity tests 5.31 Identification of legal, statutory, regulatory and contractual requirements Ensure compliance with legal, statutory, regulatory and contractual requirements relating to information security. Check that the inventory is up to date and that the approach is documented 5.32 Intellectual property rights Ensuring compliance with legal, statutory, regulatory and contractual requirements relating to intellectual property rights and the use of proprietary products. Check the existence of the procedure and its updating and proof of application of the procedure 5.33 Protection of records Ensure compliance with legal, statutory, regulatory, and contractual requirements, as well as company or community expectations relating to the protection and availability of records. - Verify that measures comply with the requirements. - Control the evidence of application of the measures - Control the update of the inventory of the sources of key information - Control the deletion of information 5.34 Privacy and protection of personal data Ensure compliance with legal, statutory, regulatory and contractual requirements relating to aspects of information security relating to the protection of personal data. Check the existence and updating of the privacy policy and the application of protection measures 5.35 Independent review of information security Ensure that the organisation's approach to managing information security is continuously appropriate, adequate and effective. Check that independent reviews of the approach retained by the organization to manage and implement the security of information, including people, processes and technologies are carried out at defined intervals or when significant changes have occurred. 5.36 Compliance with information security policies and standards Ensure that information security is implemented and operating in accordance with the information security policy, topic-specific policies, rules and standards of the organization. Ensure that compliance with the information security policy, topic policies, and standards of the organization is reviewed regularly. 5.37 Documented operating procedures Ensure the correct and secure operation of information processing resources. Check the existence and updating of operating procedures and the provision of procedures to users concerned 6.01 Screening Ensure that all staff members are eligible and suitable to perform the functions for which they are nominated, and that they remain so throughout their employment. Check the existence of a procedure up-to-date and the existence of proof of execution of the selection process. 6.02 General conditions of employment Ensure that personnel understand their responsibilities in terms of information security within the framework of the functions that the organization intends to entrust to them. Check the existence of the terms and proof of presence of the terms agreements 6.03 Information security awareness, learning and training Ensure that staff and relevant interested parties are aware of and fulfill their information security responsibilities. Check existence of a plan awareness raising and staff participation in training 6.04 Disciplinary process Ensure that staff and other relevant interested parties understand the consequences of violations of the information security policy, prevent such breaches, and treat staff and other parties appropriately who have committed violations. Ensure that a disciplinary process for taking action against staff and other interested parties who have committed a violation of the information security policy is formalized and communicated. 6.05 Responsibilities upon termination or modification of employment contract To protect the interests of the organization in the process of changing or terminating a job or contract. Existence of terms and proof of application 6.06 Confidentiality or non-disclosure covenants Ensuring the confidentiality of information accessed by staff or external parties. Ensure that requirements are identified and documented 6.07 Remote work Ensure information security when staff work remotely. Check the existence and updating of additional security measures and proof of application of these measures 6.08 Reporting of information security events Enable the reporting of information security events that can be identified by personnel, in a timely, consistent and efficient manner. Check the existence of the procedure , its application and its update 7.01 Perimeter Physical Security Prevent unauthorized physical access to, damage to, or interference with information and other associated assets of the organization. Control only perimeter security used to protect areas that contain information sensitive or critical e and other associated assets are defined. 7.02 Physical access controls Ensure that only authorized physical access to information and other related assets of the organization is possible. Verify that secure areas are protected by adequate entry controls to ensure that only authorized personnel are admitted. 7.03 Securing offices, rooms and equipment Prevent unauthorized physical access, damage and interference to information and other associated assets of the organization in offices, rooms and facilities. Control inventory , security measures and the application of measures. 7.04 Physical security monitoring Detect and deter unauthorized physical access. Enforce continuous site surveillance measures 7.05 Protection against physical and environmental threats Prevent or reduce the consequences of events resulting from physical or environmental threats. Control the inventory and the application of measures. Count the number of anomalies. 7.06 Working in secure areas Protect information and other associated assets in secure areas from damage and unauthorized interference by personnel working in such areas. Check that inventories exist and are up-to-date. 7.07 Clean desktop and blank screen Reduce the risk of unauthorized access to, loss of, and damage to information on desktops, screens, and other accessible locations during and outside normal working hours. Control that clean desk rules for paper documents and removable storage media, and clean screen rules for information processing facilities are defined and enforced. 7.08 Equipment location and protection Reduce risks from physical and environmental threats, and unauthorized access and damage. Control inventory of affected equipment and their locations. Check the application of protection measures. 7.09 Security of off-premises assets Prevent loss, damage, theft or compromise of off-premises terminals and disruption of business operations. Enforce security measures 7.10 Storage media Ensure that only authorized disclosure, modification, removal or destruction of organization information on storage media is performed. - Check that procedures for managing removable media are implemented operates in accordance with the classification plan adopted by the organization. - Check that media that is no longer needed is safely disposed of following formal procedures. - Check that the media containing information are protected against unauthorized access, user errors and alteration during transport. 7.11 General Services Prevent loss, damage, or compromise of information and other related assets, or disruption of business operations, caused by support service failures and disruptions. Control inventory equipment and the application of protective measures. 7.12 Cable Security Prevent loss, damage, theft, or compromise of information and other associated assets and disruption to the organization's business related to electrical and communications cabling. Control inventory of wiring and application of measures 7.13 Hardware maintenance Prevent loss, damage, theft or compromise of information and other related assets and disruption of business operations caused by lack of maintenance. Control hardware inventory concerned, the maintenance measures and the application of the 7.14 Safe disposal or recycling of materials Prevent information leakage from materials for disposal or reuse. Check that inventory is up-to-date. Check the presence of evidence of data erasure 8.01 User endpoints Protect information against the risks associated with the use of user endpoint devices. Control that any information stored on an end user endpoint device, processed by or accessed through such a device, is protected. 8.02 Access privileges Ensuring that only authorized users, software components, and services are granted privileged access rights. Checking the existence of privilege access rights restrictions and the allocation of privileges Privileged Access 8.03 Restriction of access to information Ensure only authorized access and prevent unauthorized access to information and other related assets. Monitor restrictions on access to information and the application of these restrictions in accordance compliance with the policy on the subject of access control. 8.04 Access to source code Prevent the introduction of unauthorized functionality, prevent unintentional or malicious modifications, and preserve the confidentiality of important intellectual property. Monitor the effectiveness of restricting access to code program source. 8.05 Secure authentication Ensuring that a user or entity is securely authenticated when granted access to systems, applications and services. Enforce secure login procedures 8.06 Dimensioning Ensuring needs in terms of information processing resources, human resources, offices and other facilities. Checking the inventory of monitored resources, evidence of monitoring and projections made 8.07 Protection against malware Ensuring that information and other related assets are protected against malware. Monitoring the existence and updating of operating procedures and the availability of procedures to users concerned 8.08 Management of technical vulnerabilities Prevent the exploitation of technical vulnerabilities. Check that the inventory is relevant, that there is verification evidence of the measures taken 8.09 Configuration management Ensuring that hardware, software, services and networks are operating properly with required security settings, and that the configuration is not altered by unauthorized or incorrect changes. Check that the inventory of the systems concerned is complete, the configuration documentation and that checks are carried out 8.10 Deletion of information Prevent unnecessary exposure of sensitive information and comply with legal, statutory, regulatory, and contractual requirements for deletion of information. Control inventory of requirements, affected information, and evidence deletion 8.11 Data masking Limit the exposure of sensitive data, including personal data, and comply with legal, statutory, regulatory and contractual requirements. Check the existence and updating of the masking procedure, the relevance of the data concerned and the application of the masking 8.12 Prevention of data leaks Detect and prevent the unauthorized disclosure and extraction of information by persons or systems. - Check the existence and date of the procedure - Check the data concerned - Check application of measures 8.13 Backup of information Allow recovery in the event of loss of data or systems. - Check the existence and updating of the backup policy - Existence of backup copies - Tests of backup copies 8.14 Redundancy of information processing resources Ensure the continuous operation of information processing resources. Check that the inventory is up to date, the availability requirements and the existence of proof of redundancy 8.15 Logging Record events, generate evidence, ensure integrity of logging information, prevent unauthorized access, identify information security events that may lead to an information security incident and assist the investigations. Check that the logs exist and are up to date, the measures for protecting the logs, the storage capacities and the analysis carried out on these logs. 8.16 Monitoring activities Detect abnormal behavior and possible information security incidents. Monitor the inventory of the networks, systems and applications concerned, the detection measures put in place and that assessments are carried out or incidents generated 8.17 Synchronization of clocks Allow the correlation and analysis of security events and other recorded data, assist in the investigation of information security incidents. Control the inventory of clocks, the unique time source used and the synchronization of the clocks on the source 8.18 Use of privileged utility programs Ensure that the use of utility programs does not compromise the information security measures of systems and applications. Enforce controls on program use utilities 8.19 Installation of software on operating systems Ensuring the integrity of operating systems and preventing the exploitation of technical vulnerabilities. Checking the effectiveness of the installation control procedure 8.20 Measures related to networks Protect information in networks and means of processing supporting information against compromise via the network. Control r that controls are in place and that these controls are effective 8.21 Security of network services Ensure security when using network services. Check that the inventory of relevant network services is complete and up-to-date, that the security mechanisms of service levels and the requirements are identified and incorporated into service agreements 8.22 Internet filtering Divide the network into security perimeters and control traffic between them based on business needs. Control external website access rules and blocking. 8.23 Segregation of networks Protect systems from compromise by malicious programs and prevent access to unauthorized web resources. Control inventory of groups of information services, users, and information systems and the implementation of network partitioning measures 8.24 Use of cryptography Ensure the correct and effective use of cryptography to protect the confidentiality, authenticity or integrity of information in accordance with business and information security requirements, and taking into account legal, statutory, regulatory and contractual requirements relating to cryptography. Controls the rules for the use of cryptography measures, their development and implementation as well as the cryptographic keys and algorithms used. 8.25 Secure development lifecycle Ensure that information security is designed and implemented during the secure development lifecycle of software and systems. Check the existence of development rules , their update and the application of development rules 8.26 Application security requirements Ensure that all information security requirements are identified and addressed when developing or acquiring applications. Monitor network service inventory and effectiveness safeguards against fraudulent activity, contractual disputes, and unauthorized disclosure and modification. 8.27 Principles of secure system engineering and architecture Ensuring that information systems are designed, implemented, and operated securely throughout the development life cycle. Check that the principles of engineering are established and maintained and that these principles are applied in information systems implementation work 8.28 Secure coding Ensuring that software is developed in a secure manner in order to reduce the number of possible information security vulnerabilities in software. Controlling the inventory of developments carried out and the application of rules coding 8.29 Security testing in development and acceptance Validate compliance with information security requirements when applications or code are deployed into the environment. Check that testing is performed on new systems, when updating on new versions 8.30 Outsourced development Ensure that the information security measures required by the organization are implemented within the framework of the outsourced development of the systems. Check that controls are carried out on the outsourced developments. 8.31 Separation of development, test, and production environments Protect the operational environment and related data from compromises that may arise from development and test activities. Control the presence of environments for each application and the effectiveness of the separation of environments 8.32 Change management Preserving information security when executing changes. Control the change management procedure, its updating and the changes made follow the procedure 8.33 Testing information Ensuring appropriateness of testing and protection of operational information used for testing. Monitoring the application of protective measures to test data 8.34 Protection of information systems under audit and test Minimize the impact of audit and other assurance activities on operational systems and business processes. Control requirements, forecasting, and the validation of activities and the existence of disturbances caused by these verifications","title":"Annex"},{"location":"api.fr/","text":"English API Deming peut \u00eatre modifi\u00e9e ou mis \u00e0 jour via une REST API. Une API REST ( Representational State Transfer ) est une interface de programmation d'application qui respecte les contraintes du style d'architecture REST et permet d'interagir avec les services web RESTful. Installer l'API pour installer l'API, il est n\u00e9cessaire d'installer Passport en lan\u00e7ant cette commande : php artisan passport:install l'environnement Docker prend en charge cette fonctionnalit\u00e9 nativement, via le l'entrypoint. Les APIs /api/attributes /api/domains /api/measures /api/controls /api/documents Actions g\u00e9r\u00e9es par le contr\u00f4leur de ressources Les requ\u00eates et URI de chaque api est repr\u00e9sent\u00e9e dans le tableau ci-dessous. Requ\u00eate URI Action GET /api/objets renvoie la liste des objets GET /api/objets/{id} renvoie l'objet POST /api/objets sauve un nouvel objet PUT/PATCH /api/objets/{id} met \u00e0 jour l'objet DELETE /api/objets/{id} supprimer l'objet Droits d'acc\u00e8s Il faut s'identifier avec un utilisateur de l'application Deming pour pouvoir acc\u00e8der aux API. Cet utilisateur doit disposer du r\u00f4le \"API\". Lorsque l'authentification r\u00e9ussi, l'API envoie un \"token\" qui doit \u00eatre pass\u00e9 dans l'ent\u00eate \"Authorization\" de la requ\u00eate de l'API. Exemples Voici quelques exemples d'utilisation de l'API avec PHP : Authentification <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/login\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"POST\", CURLOPT_POSTFIELDS => http_build_query( array(\"email\" => \"api@admin.com\", \"password\" => \"12345678\")), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"content-type: application/x-www-form-urlencoded\", ), )); $response = curl_exec($curl); $err = curl_error($curl); $info = curl_getinfo($curl); curl_close($curl); if ($err) { set_error_handler($err); } else { if ($info['http_code'] == 200) { $token = json_decode($response)->token; } else { set_error_handler(\"Login to api faild status 403\"); error_log($responseInfo['http_code']); error_log(\"No login api status 403\"); } } var_dump($response); Liste des domaines <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); R\u00e9cup\u00e9rer un domaine <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Mettre \u00e0 jour un domaine <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains/8\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true, CURLOPT_CUSTOMREQUEST => \"PUT\", CURLOPT_POSTFIELDS => http_build_query( array( 'title' => 'Nouveau titre', 'description' => 'Nouvelle description' ) ), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Python Voici un exemple d'utilisation de l'API en Python #!/usr/bin/python3 import requests vheaders = {} vheaders['accept'] = 'application/json' print(\"Login\") response = requests.post(\"http://127.0.0.1:8000/api/login\", headers=vheaders, data= {'email':'api@admin.localhost', 'password':'12345678'} ) print(response.status_code) vheaders['Authorization'] = \"Bearer \" + response.json()['token'] print(\"Get domains\") response = requests.get(\"http://127.0.0.1:8000/api/domains\", headers=vheaders) print(response.status_code) print(response.json()) bash Voici un exemple d'utilisation de l'API en ligne de commande avec CURL et JQ # valid login and password data='{\"email\":\"api@admin.localhost\",\"password\":\"12345678\"}' # get a token after correct login token=$(curl -s -d ${data} -H \"Content-Type: application/json\" http://localhost:8000/api/login | jq -r .token) # query users and decode JSON data with JQ. curl -s -H \"Content-Type: application/json\" -H \"Authorization: Bearer ${token}\" \"http://127.0.0.1:8000/api/domains\" | jq .","title":"API"},{"location":"api.fr/#api","text":"Deming peut \u00eatre modifi\u00e9e ou mis \u00e0 jour via une REST API. Une API REST ( Representational State Transfer ) est une interface de programmation d'application qui respecte les contraintes du style d'architecture REST et permet d'interagir avec les services web RESTful.","title":"API"},{"location":"api.fr/#installer-lapi","text":"pour installer l'API, il est n\u00e9cessaire d'installer Passport en lan\u00e7ant cette commande : php artisan passport:install l'environnement Docker prend en charge cette fonctionnalit\u00e9 nativement, via le l'entrypoint.","title":"Installer l'API"},{"location":"api.fr/#les-apis","text":"/api/attributes /api/domains /api/measures /api/controls /api/documents","title":"Les APIs"},{"location":"api.fr/#actions-gerees-par-le-controleur-de-ressources","text":"Les requ\u00eates et URI de chaque api est repr\u00e9sent\u00e9e dans le tableau ci-dessous. Requ\u00eate URI Action GET /api/objets renvoie la liste des objets GET /api/objets/{id} renvoie l'objet POST /api/objets sauve un nouvel objet PUT/PATCH /api/objets/{id} met \u00e0 jour l'objet DELETE /api/objets/{id} supprimer l'objet","title":"Actions g\u00e9r\u00e9es par le contr\u00f4leur de ressources"},{"location":"api.fr/#droits-dacces","text":"Il faut s'identifier avec un utilisateur de l'application Deming pour pouvoir acc\u00e8der aux API. Cet utilisateur doit disposer du r\u00f4le \"API\". Lorsque l'authentification r\u00e9ussi, l'API envoie un \"token\" qui doit \u00eatre pass\u00e9 dans l'ent\u00eate \"Authorization\" de la requ\u00eate de l'API.","title":"Droits d'acc\u00e8s"},{"location":"api.fr/#exemples","text":"Voici quelques exemples d'utilisation de l'API avec PHP :","title":"Exemples"},{"location":"api.fr/#authentification","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/login\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"POST\", CURLOPT_POSTFIELDS => http_build_query( array(\"email\" => \"api@admin.com\", \"password\" => \"12345678\")), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"content-type: application/x-www-form-urlencoded\", ), )); $response = curl_exec($curl); $err = curl_error($curl); $info = curl_getinfo($curl); curl_close($curl); if ($err) { set_error_handler($err); } else { if ($info['http_code'] == 200) { $token = json_decode($response)->token; } else { set_error_handler(\"Login to api faild status 403\"); error_log($responseInfo['http_code']); error_log(\"No login api status 403\"); } } var_dump($response);","title":"Authentification"},{"location":"api.fr/#liste-des-domaines","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Liste des domaines"},{"location":"api.fr/#recuperer-un-domaine","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"R\u00e9cup\u00e9rer un domaine"},{"location":"api.fr/#mettre-a-jour-un-domaine","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains/8\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true, CURLOPT_CUSTOMREQUEST => \"PUT\", CURLOPT_POSTFIELDS => http_build_query( array( 'title' => 'Nouveau titre', 'description' => 'Nouvelle description' ) ), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Mettre \u00e0 jour un domaine"},{"location":"api.fr/#python","text":"Voici un exemple d'utilisation de l'API en Python #!/usr/bin/python3 import requests vheaders = {} vheaders['accept'] = 'application/json' print(\"Login\") response = requests.post(\"http://127.0.0.1:8000/api/login\", headers=vheaders, data= {'email':'api@admin.localhost', 'password':'12345678'} ) print(response.status_code) vheaders['Authorization'] = \"Bearer \" + response.json()['token'] print(\"Get domains\") response = requests.get(\"http://127.0.0.1:8000/api/domains\", headers=vheaders) print(response.status_code) print(response.json())","title":"Python"},{"location":"api.fr/#bash","text":"Voici un exemple d'utilisation de l'API en ligne de commande avec CURL et JQ # valid login and password data='{\"email\":\"api@admin.localhost\",\"password\":\"12345678\"}' # get a token after correct login token=$(curl -s -d ${data} -H \"Content-Type: application/json\" http://localhost:8000/api/login | jq -r .token) # query users and decode JSON data with JQ. curl -s -H \"Content-Type: application/json\" -H \"Authorization: Bearer ${token}\" \"http://127.0.0.1:8000/api/domains\" | jq .","title":"bash"},{"location":"api/","text":"Fran\u00e7ais API Deming can be modified or updated via a REST API. A REST API ( Representational State Transfer ) is an application programming interface that respects the constraints of the REST architecture and enables interaction with RESTful web services. Installing the API To install the API, you need to install Passport by running this command: php artisan passport:install The Docker environment supports this functionality natively, via the entrypoint. The APIs /api/attributes /api/domains /api/measures /api/controls /api/documents Actions managed by the resource controller Requests and URIs for each api are shown in the table below. Request URI Action GET /api/objects returns the list of objects GET /api/objets/{id} returns object POST /api/objects save new object PUT/PATCH /api/objets/{id} update object /api/objets/{id} delete object Access rights To access the APIs, you need to identify yourself as a Deming application user. This user must have the \"API\" role. When authentication is successful, the API sends a \"token\" which must be passed in the \"Authorization\" header of the API request. Examples Here are a few examples of how to use the API with PHP: Authentication <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/login\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"POST\", CURLOPT_POSTFIELDS => http_build_query( array(\"email\" => \"api@admin.com\", \"password\" => \"12345678\")), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"content-type: application/x-www-form-urlencoded\", ), )); $response = curl_exec($curl); $err = curl_error($curl); $info = curl_getinfo($curl); curl_close($curl); if ($err) { set_error_handler($err); } else { if ($info['http_code'] == 200) { $token = json_decode($response)->token; } else { set_error_handler(\"Login to api faild status 403\"); error_log($responseInfo['http_code']); error_log(\"No login api status 403\"); } } var_dump($response); Liste des domaines <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Get a control <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/controls/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Update a control <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/controls/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true, CURLOPT_CUSTOMREQUEST => \"PUT\", CURLOPT_POSTFIELDS => http_build_query( array( ... ), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Python Voici un exemple d'utilisation de l'API en Python #!/usr/bin/python3 import requests vheaders = {} vheaders['accept'] = 'application/json' print(\"Login\") response = requests.post(\"http://127.0.0.1:8000/api/login\", headers=vheaders, data= {'email':'api@admin.localhost', 'password':'12345678'} ) print(response.status_code) vheaders['Authorization'] = \"Bearer \" + response.json()['token'] print(\"Get domains\") response = requests.get(\"http://127.0.0.1:8000/api/domains\", headers=vheaders) print(response.status_code) print(response.json()) bash Voici un exemple d'utilisation de l'API en ligne de commande avec CURL et JQ # valid login and password data='{\"email\":\"api@admin.localhost\",\"password\":\"12345678\"}' # get a token after correct login token=$(curl -s -d ${data} -H \"Content-Type: application/json\" http://localhost:8000/api/login | jq -r .token) # query users and decode JSON data with JQ. curl -s -H \"Content-Type: application/json\" -H \"Authorization: Bearer ${token}\" \"http://127.0.0.1:8000/api/domains\" | jq .","title":"API"},{"location":"api/#api","text":"Deming can be modified or updated via a REST API. A REST API ( Representational State Transfer ) is an application programming interface that respects the constraints of the REST architecture and enables interaction with RESTful web services.","title":"API"},{"location":"api/#installing-the-api","text":"To install the API, you need to install Passport by running this command: php artisan passport:install The Docker environment supports this functionality natively, via the entrypoint.","title":"Installing the API"},{"location":"api/#the-apis","text":"/api/attributes /api/domains /api/measures /api/controls /api/documents","title":"The APIs"},{"location":"api/#actions-managed-by-the-resource-controller","text":"Requests and URIs for each api are shown in the table below. Request URI Action GET /api/objects returns the list of objects GET /api/objets/{id} returns object POST /api/objects save new object PUT/PATCH /api/objets/{id} update object /api/objets/{id} delete object","title":"Actions managed by the resource controller"},{"location":"api/#access-rights","text":"To access the APIs, you need to identify yourself as a Deming application user. This user must have the \"API\" role. When authentication is successful, the API sends a \"token\" which must be passed in the \"Authorization\" header of the API request.","title":"Access rights"},{"location":"api/#examples","text":"Here are a few examples of how to use the API with PHP:","title":"Examples"},{"location":"api/#authentication","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/login\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"POST\", CURLOPT_POSTFIELDS => http_build_query( array(\"email\" => \"api@admin.com\", \"password\" => \"12345678\")), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"content-type: application/x-www-form-urlencoded\", ), )); $response = curl_exec($curl); $err = curl_error($curl); $info = curl_getinfo($curl); curl_close($curl); if ($err) { set_error_handler($err); } else { if ($info['http_code'] == 200) { $token = json_decode($response)->token; } else { set_error_handler(\"Login to api faild status 403\"); error_log($responseInfo['http_code']); error_log(\"No login api status 403\"); } } var_dump($response);","title":"Authentication"},{"location":"api/#liste-des-domaines","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Liste des domaines"},{"location":"api/#get-a-control","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/controls/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Get a control"},{"location":"api/#update-a-control","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/controls/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true, CURLOPT_CUSTOMREQUEST => \"PUT\", CURLOPT_POSTFIELDS => http_build_query( array( ... ), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Update a control"},{"location":"api/#python","text":"Voici un exemple d'utilisation de l'API en Python #!/usr/bin/python3 import requests vheaders = {} vheaders['accept'] = 'application/json' print(\"Login\") response = requests.post(\"http://127.0.0.1:8000/api/login\", headers=vheaders, data= {'email':'api@admin.localhost', 'password':'12345678'} ) print(response.status_code) vheaders['Authorization'] = \"Bearer \" + response.json()['token'] print(\"Get domains\") response = requests.get(\"http://127.0.0.1:8000/api/domains\", headers=vheaders) print(response.status_code) print(response.json())","title":"Python"},{"location":"api/#bash","text":"Voici un exemple d'utilisation de l'API en ligne de commande avec CURL et JQ # valid login and password data='{\"email\":\"api@admin.localhost\",\"password\":\"12345678\"}' # get a token after correct login token=$(curl -s -d ${data} -H \"Content-Type: application/json\" http://localhost:8000/api/login | jq -r .token) # query users and decode JSON data with JQ. curl -s -H \"Content-Type: application/json\" -H \"Authorization: Bearer ${token}\" \"http://127.0.0.1:8000/api/domains\" | jq .","title":"bash"},{"location":"config.fr/","text":"English Configuration Attributs Cet \u00e9cran permet de g\u00e9rer les attributs associ\u00e9s aux mesures de s\u00e9curit\u00e9. Il contient la liste des attributs et permet de cr\u00e9er, supprimer ou modifier des listes d\u2019attributs. Domaines Cet \u00e9cran permet de cr\u00e9er, modifier ou supprimer des liste de domaines de s\u00e9curit\u00e9. L\u2019application est founir avec une base de mesure de s\u00e9curit\u00e9 inspir\u00e9e de la norme ISO 27001:2022 mais il est possible de d\u00e9finir de nouveaux domaines de s\u00e9curit\u00e9 inspir\u00e9s d\u2019autres normes comme PCIDSS, HDS... Utilisateurs Les utilisateurs sont d\u00e9finits dans l\u2019application. Il existe quatres roles diff\u00e9rents : RSSI : le RSSI est l\u2019adminsitrateur de l\u2019application. Il peut cr\u00e9er de nouvelles mesures, de nouveaux attributs, modifier des contr\u00f4les d\u00e9j\u00e0 r\u00e9alis\u00e9s... Utilisateurs : les utilisateur peuvent utiliser l\u2019application sans pouvoir modifier les mesures, les attributs et les contr\u00f4les d\u00e9j\u00e0 r\u00e9alis\u00e9s. Audit\u00e9 : les audit\u00e9s ne peuvent r\u00e9aliser et voir que les contr\u00f4les qui leur sont assign\u00e9s ou qu'ils ont r\u00e9alis\u00e9 pr\u00e9c\u00e9dement. Auditeur : l\u2019auditeur a un acc\u00e8s en lecture \u00e0 l\u2019ensemble des informations de l\u2019application. Rapports L\u2019application permet de g\u00e9n\u00e9rer le rapport de pilotage du SMSI et d\u2019exporter dans un fichier Excell la liste des domains, les mesures de s\u00e9curit\u00e9s et tous les contr\u00f4les r\u00e9alis\u00e9s. Voici le rapport de pilotage du SMSI : Import Il est possible d'importer des mesures de s\u00e9curit\u00e9 depuis un fichier .XLSX. Documents Cet \u00e9cran permet de modifier les mod\u00e8les de document utilis\u00e9s pour les fiches de contr\u00f4le et le rapport de pilotage du SMSI. et permet d\u2019avoir une vue sur l\u2019ensemble des documents utilis\u00e9s comme preuve lors de la r\u00e9alisation des contr\u00f4les de s\u00e9curit\u00e9. Le bouton \u00ab V\u00e9rifier \u00bb permet de v\u00e9rifier l\u2019int\u00e9grit\u00e9 des documents conserv\u00e9s dans l'application. Notifications Cet \u00e9cran permet de configurer les notifications envoy\u00e9es aux utilisateurs lorsqu'ils doivent r\u00e9aliser des contr\u00f4les. L'\u00e9cran contient : Le sujet du mail envoy\u00e9 \u00e0 l'utilisateur; L'\u00e9metteur du mail; La p\u00e9riodicit\u00e9 de l'envoi des notifications; Le d\u00e9lais de notification. Lorsque vous cliquer sur : \"Sauver\" - la configuration est sauv\u00e9e; \"Test\" - un mail de test est envoy\u00e9 \u00e0 l'utilisateur courant ; \"Cancel\" - vous revenez \u00e0 la page principale.","title":"Configuration"},{"location":"config.fr/#configuration","text":"","title":"Configuration"},{"location":"config.fr/#attributs","text":"Cet \u00e9cran permet de g\u00e9rer les attributs associ\u00e9s aux mesures de s\u00e9curit\u00e9. Il contient la liste des attributs et permet de cr\u00e9er, supprimer ou modifier des listes d\u2019attributs.","title":"Attributs"},{"location":"config.fr/#domaines","text":"Cet \u00e9cran permet de cr\u00e9er, modifier ou supprimer des liste de domaines de s\u00e9curit\u00e9. L\u2019application est founir avec une base de mesure de s\u00e9curit\u00e9 inspir\u00e9e de la norme ISO 27001:2022 mais il est possible de d\u00e9finir de nouveaux domaines de s\u00e9curit\u00e9 inspir\u00e9s d\u2019autres normes comme PCIDSS, HDS...","title":"Domaines"},{"location":"config.fr/#utilisateurs","text":"Les utilisateurs sont d\u00e9finits dans l\u2019application. Il existe quatres roles diff\u00e9rents : RSSI : le RSSI est l\u2019adminsitrateur de l\u2019application. Il peut cr\u00e9er de nouvelles mesures, de nouveaux attributs, modifier des contr\u00f4les d\u00e9j\u00e0 r\u00e9alis\u00e9s... Utilisateurs : les utilisateur peuvent utiliser l\u2019application sans pouvoir modifier les mesures, les attributs et les contr\u00f4les d\u00e9j\u00e0 r\u00e9alis\u00e9s. Audit\u00e9 : les audit\u00e9s ne peuvent r\u00e9aliser et voir que les contr\u00f4les qui leur sont assign\u00e9s ou qu'ils ont r\u00e9alis\u00e9 pr\u00e9c\u00e9dement. Auditeur : l\u2019auditeur a un acc\u00e8s en lecture \u00e0 l\u2019ensemble des informations de l\u2019application.","title":"Utilisateurs"},{"location":"config.fr/#rapports","text":"L\u2019application permet de g\u00e9n\u00e9rer le rapport de pilotage du SMSI et d\u2019exporter dans un fichier Excell la liste des domains, les mesures de s\u00e9curit\u00e9s et tous les contr\u00f4les r\u00e9alis\u00e9s. Voici le rapport de pilotage du SMSI :","title":"Rapports"},{"location":"config.fr/#import","text":"Il est possible d'importer des mesures de s\u00e9curit\u00e9 depuis un fichier .XLSX.","title":"Import"},{"location":"config.fr/#documents","text":"Cet \u00e9cran permet de modifier les mod\u00e8les de document utilis\u00e9s pour les fiches de contr\u00f4le et le rapport de pilotage du SMSI. et permet d\u2019avoir une vue sur l\u2019ensemble des documents utilis\u00e9s comme preuve lors de la r\u00e9alisation des contr\u00f4les de s\u00e9curit\u00e9. Le bouton \u00ab V\u00e9rifier \u00bb permet de v\u00e9rifier l\u2019int\u00e9grit\u00e9 des documents conserv\u00e9s dans l'application.","title":"Documents"},{"location":"config.fr/#notifications","text":"Cet \u00e9cran permet de configurer les notifications envoy\u00e9es aux utilisateurs lorsqu'ils doivent r\u00e9aliser des contr\u00f4les. L'\u00e9cran contient : Le sujet du mail envoy\u00e9 \u00e0 l'utilisateur; L'\u00e9metteur du mail; La p\u00e9riodicit\u00e9 de l'envoi des notifications; Le d\u00e9lais de notification. Lorsque vous cliquer sur : \"Sauver\" - la configuration est sauv\u00e9e; \"Test\" - un mail de test est envoy\u00e9 \u00e0 l'utilisateur courant ; \"Cancel\" - vous revenez \u00e0 la page principale.","title":"Notifications"},{"location":"config/","text":"Fran\u00e7ais Setup Attributes This screen allows you to manage the attributes associated with the security measures. It contains the list of attributes and allows you to create, delete or modify attribute lists. Domains This screen allows you to create, modify or delete lists of security domains. The application is provided with a security measurement base inspired by the ISO 27001:2022 standard, but it is possible to define new security domains inspired by other standards such as PCIDSS, HDS, etc. Users Users are directly defined in the application. There are four different roles: RSSI: the RSSI is the administrator of the application. He can create new measurements, new attributes, modify controls already carried out... Users: users can use the application without being able to modify the measurements, attributes and controls already carried out. Auditee: Auditees can only carry out and see the mesurements that have been assigned to them or that they have carried out previously. Auditor: the auditor has read access to all the information in the application. Reports The application allows you to generate the ISMS management report and to export the list of domains, the security measures and all the checks carried out in an Excell file. Here is the ISMS pilot report: Import It is possible to import controls from an .XLSX file. Documents This screen is used to modify the document templates used for the control sheets and the ISMS management report and provides an overview of all the documents used as evidence when carrying out security checks. The \"Verify\" button allows you to verify the integrity of the documents stored in the application. Notifications This screen is used to configure the notifications sent to users when they have to carry out controls. The screen contains: The subject of the mail sent to the user; The sender of the email; The periodicity of sending notifications; The notification deadlines. When you click on: \"Save\" - the configuration is saved; \"Test\" - a test mail is sent to the current user; \"Cancel\" - you return to the main page.","title":"Configuration"},{"location":"config/#setup","text":"","title":"Setup"},{"location":"config/#attributes","text":"This screen allows you to manage the attributes associated with the security measures. It contains the list of attributes and allows you to create, delete or modify attribute lists.","title":"Attributes"},{"location":"config/#domains","text":"This screen allows you to create, modify or delete lists of security domains. The application is provided with a security measurement base inspired by the ISO 27001:2022 standard, but it is possible to define new security domains inspired by other standards such as PCIDSS, HDS, etc.","title":"Domains"},{"location":"config/#users","text":"Users are directly defined in the application. There are four different roles: RSSI: the RSSI is the administrator of the application. He can create new measurements, new attributes, modify controls already carried out... Users: users can use the application without being able to modify the measurements, attributes and controls already carried out. Auditee: Auditees can only carry out and see the mesurements that have been assigned to them or that they have carried out previously. Auditor: the auditor has read access to all the information in the application.","title":"Users"},{"location":"config/#reports","text":"The application allows you to generate the ISMS management report and to export the list of domains, the security measures and all the checks carried out in an Excell file. Here is the ISMS pilot report:","title":"Reports"},{"location":"config/#import","text":"It is possible to import controls from an .XLSX file.","title":"Import"},{"location":"config/#documents","text":"This screen is used to modify the document templates used for the control sheets and the ISMS management report and provides an overview of all the documents used as evidence when carrying out security checks. The \"Verify\" button allows you to verify the integrity of the documents stored in the application.","title":"Documents"},{"location":"config/#notifications","text":"This screen is used to configure the notifications sent to users when they have to carry out controls. The screen contains: The subject of the mail sent to the user; The sender of the email; The periodicity of sending notifications; The notification deadlines. When you click on: \"Save\" - the configuration is saved; \"Test\" - a test mail is sent to the current user; \"Cancel\" - you return to the main page.","title":"Notifications"},{"location":"controls.fr/","text":"English Contr\u00f4les Liste des contr\u00f4les Cet \u00e9cran permet d\u2019afficher la liste des contr\u00f4les et de les filtrer par : domaine, attribut, p\u00e9riode de planification, \u00e9tat du contr\u00f4le : tous, fait et \u00e0 faire, texte libre sur le nom, l\u2019objectif, les observations. Lorsque vous cliquez sur : Le domaine, vous arrivez l'\u00e9cran d' affichage du domaine de s\u00e9curit\u00e9 La clause, vous arrivez l'\u00e9cran d' affichage de la mesure de s\u00e9curit\u00e9 . La date de r\u00e9alisation, de planification ou la date du contr\u00f4le suivant, vous arrivez l'\u00e9cran d' affichage du contr\u00f4le de s\u00e9curit\u00e9 . Afficher un contr\u00f4le Cet \u00e9cran contient les informations d\u2019un contr\u00f4le : Le nom d\u2019un contr\u00f4les ; L\u2019objectif du contr\u00f4le ; Les attributs ; Les donn\u00e9es ; Le mod\u00e8le ; La dates de planification, de r\u00e9alisation et la date du contr\u00f4le suivant ; La note attribut\u00e9e au contr\u00f4le ; et Le score attribut\u00e9 au contr\u00f4le (vert, orange ou rouge). Les boutons \u00ab Faire \u00bb et \u00ab Planifier \u00bb sont pr\u00e9sents si ce cont\u00f4le n\u2019a pas encore \u00e9t\u00e9 r\u00e9alis\u00e9. Les boutons \u00ab Modifier \u00bb et \u00ab Supprimer \u00bb sont pr\u00e9sents si l'utilisateur est administrateur. Lorsque vous cliquez sur : \u00ab Faire \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de r\u00e9alisation d\u2019un contr\u00f4le \u00ab Planifier \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de planification d\u2019un contr\u00f4les \u00ab Modifier \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de modification du contr\u00f4les \u00ab Supprimer \u00bb, le contr\u00f4le est supprimer et vous \u00eates envoy\u00e9 vers la liste des contr\u00f4les \u00ab Annuler \u00bb, vous \u00eates envoy\u00e9 vers la liste des contr\u00f4les Planifier un contr\u00f4le Cet \u00e9cran permet de planifier un contr\u00f4le. Cet \u00e9cran contient les informations d\u2019un contr\u00f4le : Le nom d\u2019un contr\u00f4les ; L\u2019objectif du contr\u00f4le ; Le p\u00e9rim\u00e8tre du contr\u00f4le ; La date de planification ; La p\u00e9riodicit\u00e9 ; et Les responsables de la r\u00e9alisation du contr\u00f4les. Lorsque vous cliquez sur : \u00ab Plan \u00bb, la date de planifierion, la r\u00e9curence et les responsables sont mis \u00e0 jour et vous \u00eatres renvoy\u00e9s vers l\u2019 \u00e9cran d'affichage du contr\u00f4les \u00ab Annuler \u00bb, Vous \u00eatres renvoy\u00e9s vers l\u2019 \u00e9cran d'affichage du contr\u00f4les R\u00e9aliser un contr\u00f4les Cet \u00e9cran permet de r\u00e9aliser un contr\u00f4le de s\u00e9curit\u00e9. Cet \u00e9cran contient : Le nom du contr\u00f4le L\u2019objectif Les donn\u00e9es La date de r\u00e9alisation, la date de planification Les observation du contr\u00f4le Une zone pour sauvegarder les preuves ( CTRL+V permet de coller un fichier ou une capture d'\u00e9cran) Un lien permettant de t\u00e9l\u00e9charger la fiche de contr\u00f4les Le mod\u00e8le de calcul appliqu\u00e9 La note Le score Le plan d\u2019action La date du prochaine contr\u00f4le Lorsque vous cliquez sur : \u00ab Faire \u00bb, le contr\u00f4le est sauv\u00e9 et un nouveau contr\u00f4le est cr\u00e9\u00e9 \u00e0 la date planifi\u00e9e \u00ab Sauver \u00bb, le contr\u00f4le est sauv\u00e9 et vous revenez vers la liste des contr\u00f4les . Fiche de contr\u00f4le La fiche de contr\u00f4le est un document word g\u00e9n\u00e9r\u00e9 par l'application sur base des donn\u00e9es du contr\u00f4le. Cette fiche permet de d\u00e9crire les observations r\u00e9alis\u00e9s, d'ajouter des captures d'\u00e9cran ou des tableaux et de signer \u00e9lectroniquement les observations. La fiche de contr\u00f4le peut \u00eatre adapt\u00e9e afin de respecter le mod\u00e8le de document de votre organisation.","title":"Contr\u00f4les"},{"location":"controls.fr/#controles","text":"","title":"Contr\u00f4les"},{"location":"controls.fr/#liste-des-controles","text":"Cet \u00e9cran permet d\u2019afficher la liste des contr\u00f4les et de les filtrer par : domaine, attribut, p\u00e9riode de planification, \u00e9tat du contr\u00f4le : tous, fait et \u00e0 faire, texte libre sur le nom, l\u2019objectif, les observations. Lorsque vous cliquez sur : Le domaine, vous arrivez l'\u00e9cran d' affichage du domaine de s\u00e9curit\u00e9 La clause, vous arrivez l'\u00e9cran d' affichage de la mesure de s\u00e9curit\u00e9 . La date de r\u00e9alisation, de planification ou la date du contr\u00f4le suivant, vous arrivez l'\u00e9cran d' affichage du contr\u00f4le de s\u00e9curit\u00e9 .","title":"Liste des contr\u00f4les"},{"location":"controls.fr/#afficher-un-controle","text":"Cet \u00e9cran contient les informations d\u2019un contr\u00f4le : Le nom d\u2019un contr\u00f4les ; L\u2019objectif du contr\u00f4le ; Les attributs ; Les donn\u00e9es ; Le mod\u00e8le ; La dates de planification, de r\u00e9alisation et la date du contr\u00f4le suivant ; La note attribut\u00e9e au contr\u00f4le ; et Le score attribut\u00e9 au contr\u00f4le (vert, orange ou rouge). Les boutons \u00ab Faire \u00bb et \u00ab Planifier \u00bb sont pr\u00e9sents si ce cont\u00f4le n\u2019a pas encore \u00e9t\u00e9 r\u00e9alis\u00e9. Les boutons \u00ab Modifier \u00bb et \u00ab Supprimer \u00bb sont pr\u00e9sents si l'utilisateur est administrateur. Lorsque vous cliquez sur : \u00ab Faire \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de r\u00e9alisation d\u2019un contr\u00f4le \u00ab Planifier \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de planification d\u2019un contr\u00f4les \u00ab Modifier \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de modification du contr\u00f4les \u00ab Supprimer \u00bb, le contr\u00f4le est supprimer et vous \u00eates envoy\u00e9 vers la liste des contr\u00f4les \u00ab Annuler \u00bb, vous \u00eates envoy\u00e9 vers la liste des contr\u00f4les","title":"Afficher un contr\u00f4le"},{"location":"controls.fr/#planifier-un-controle","text":"Cet \u00e9cran permet de planifier un contr\u00f4le. Cet \u00e9cran contient les informations d\u2019un contr\u00f4le : Le nom d\u2019un contr\u00f4les ; L\u2019objectif du contr\u00f4le ; Le p\u00e9rim\u00e8tre du contr\u00f4le ; La date de planification ; La p\u00e9riodicit\u00e9 ; et Les responsables de la r\u00e9alisation du contr\u00f4les. Lorsque vous cliquez sur : \u00ab Plan \u00bb, la date de planifierion, la r\u00e9curence et les responsables sont mis \u00e0 jour et vous \u00eatres renvoy\u00e9s vers l\u2019 \u00e9cran d'affichage du contr\u00f4les \u00ab Annuler \u00bb, Vous \u00eatres renvoy\u00e9s vers l\u2019 \u00e9cran d'affichage du contr\u00f4les","title":"Planifier un contr\u00f4le"},{"location":"controls.fr/#realiser-un-controles","text":"Cet \u00e9cran permet de r\u00e9aliser un contr\u00f4le de s\u00e9curit\u00e9. Cet \u00e9cran contient : Le nom du contr\u00f4le L\u2019objectif Les donn\u00e9es La date de r\u00e9alisation, la date de planification Les observation du contr\u00f4le Une zone pour sauvegarder les preuves ( CTRL+V permet de coller un fichier ou une capture d'\u00e9cran) Un lien permettant de t\u00e9l\u00e9charger la fiche de contr\u00f4les Le mod\u00e8le de calcul appliqu\u00e9 La note Le score Le plan d\u2019action La date du prochaine contr\u00f4le Lorsque vous cliquez sur : \u00ab Faire \u00bb, le contr\u00f4le est sauv\u00e9 et un nouveau contr\u00f4le est cr\u00e9\u00e9 \u00e0 la date planifi\u00e9e \u00ab Sauver \u00bb, le contr\u00f4le est sauv\u00e9 et vous revenez vers la liste des contr\u00f4les .","title":"R\u00e9aliser un contr\u00f4les"},{"location":"controls.fr/#fiche-de-controle","text":"La fiche de contr\u00f4le est un document word g\u00e9n\u00e9r\u00e9 par l'application sur base des donn\u00e9es du contr\u00f4le. Cette fiche permet de d\u00e9crire les observations r\u00e9alis\u00e9s, d'ajouter des captures d'\u00e9cran ou des tableaux et de signer \u00e9lectroniquement les observations. La fiche de contr\u00f4le peut \u00eatre adapt\u00e9e afin de respecter le mod\u00e8le de document de votre organisation.","title":"Fiche de contr\u00f4le"},{"location":"controls/","text":"Fran\u00e7ais Measurements List of measurements This screen is used to display the list of measurements and to filter them by: domain, attribute, planning period, measurement status: all, done and to do, free text on name, purpose, comments. When you click: The domain, you arrive at the security domain display screen Clause, you arrive at the security measure display screen. The date of completion, planning or the date of the next check, you arrive at the security check display screen. Show a measurement This screen contains the information of a measurement: The name of a measurement; The objective of the measurement; Attributes ; Data; The model ; The dates of planning, completion and the date of the next inspection; The score assigned to the measurement; And The score attributed to the measurement (green, orange or red). The \"Make\" and \"Plan\" buttons are present if this measurement has not yet been carried out. The \"Modify\" and \"Delete\" buttons are available if the user is an administrator. When you click: \"Make\", you are sent to the measurement completion screen \"Plan\", you are sent to the measurement planning screen \"Edit\", you are sent to the measurement edit screen \"Delete\", the measurement is deleted and you are sent to the list of measurements . \"Cancel\", you are sent to the list of measurements Schedule a measurement This screen is used to schedule a measurement. This screen contains the information of a measurement: The name of a measurement; The objective of the measurement; The date of palnification; Periodicity ; and Those responsible for carrying out the measurements. When you click: \"Plan\", the planning date, the recurrence and the persons in charge are updated and you are returned to the display screen of measurements \"Unplan\", remove the measurement and you are returned to the List of measurements \"Cancel\", You are returned to the measurement display screen Making a measurement check This screen allows you to perform a measurement. This screen contains: The name of the measurement The goal Data Completion date, planning date A text area for observations A file area for saving evidence ( CTRL+V can be used to paste a file or screenshot) A link to download the measurement sheet The computation model applied The note The score The action plan The date of the next check When you click: \"Make\", the measurement is saved and a new measurement is created at the scheduled date \"Save\", the measurement is saved and you return to the list of measurements . Measurement sheet The measurement sheet is a word document generated by the application based on the measurement data. This form allows you to describe the observations made, to add screenshots or tables and to electronically sign the observations. The checklist can be adapted to match your organization's document model.","title":"Measures"},{"location":"controls/#measurements","text":"","title":"Measurements"},{"location":"controls/#list-of-measurements","text":"This screen is used to display the list of measurements and to filter them by: domain, attribute, planning period, measurement status: all, done and to do, free text on name, purpose, comments. When you click: The domain, you arrive at the security domain display screen Clause, you arrive at the security measure display screen. The date of completion, planning or the date of the next check, you arrive at the security check display screen.","title":"List of measurements"},{"location":"controls/#show-a-measurement","text":"This screen contains the information of a measurement: The name of a measurement; The objective of the measurement; Attributes ; Data; The model ; The dates of planning, completion and the date of the next inspection; The score assigned to the measurement; And The score attributed to the measurement (green, orange or red). The \"Make\" and \"Plan\" buttons are present if this measurement has not yet been carried out. The \"Modify\" and \"Delete\" buttons are available if the user is an administrator. When you click: \"Make\", you are sent to the measurement completion screen \"Plan\", you are sent to the measurement planning screen \"Edit\", you are sent to the measurement edit screen \"Delete\", the measurement is deleted and you are sent to the list of measurements . \"Cancel\", you are sent to the list of measurements","title":"Show a measurement"},{"location":"controls/#schedule-a-measurement","text":"This screen is used to schedule a measurement. This screen contains the information of a measurement: The name of a measurement; The objective of the measurement; The date of palnification; Periodicity ; and Those responsible for carrying out the measurements. When you click: \"Plan\", the planning date, the recurrence and the persons in charge are updated and you are returned to the display screen of measurements \"Unplan\", remove the measurement and you are returned to the List of measurements \"Cancel\", You are returned to the measurement display screen","title":"Schedule a measurement"},{"location":"controls/#making-a-measurement-check","text":"This screen allows you to perform a measurement. This screen contains: The name of the measurement The goal Data Completion date, planning date A text area for observations A file area for saving evidence ( CTRL+V can be used to paste a file or screenshot) A link to download the measurement sheet The computation model applied The note The score The action plan The date of the next check When you click: \"Make\", the measurement is saved and a new measurement is created at the scheduled date \"Save\", the measurement is saved and you return to the list of measurements .","title":"Making a measurement check"},{"location":"controls/#measurement-sheet","text":"The measurement sheet is a word document generated by the application based on the measurement data. This form allows you to describe the observations made, to add screenshots or tables and to electronically sign the observations. The checklist can be adapted to match your organization's document model.","title":"Measurement sheet"},{"location":"dashboards.fr/","text":"English Tableaux de bords Il existe trois tableaux de bord : les contr\u00f4les par domaines les contr\u00f4le par domaine et par mesure les contr\u00f4les par attribut Les contr\u00f4les par domaines Les contr\u00f4le par domaines et par mesures Les contr\u00f4les par attributs","title":"Tableaux de bords"},{"location":"dashboards.fr/#tableaux-de-bords","text":"Il existe trois tableaux de bord : les contr\u00f4les par domaines les contr\u00f4le par domaine et par mesure les contr\u00f4les par attribut","title":"Tableaux de bords"},{"location":"dashboards.fr/#les-controles-par-domaines","text":"","title":"Les contr\u00f4les par domaines"},{"location":"dashboards.fr/#les-controle-par-domaines-et-par-mesures","text":"","title":"Les contr\u00f4le par domaines et par mesures"},{"location":"dashboards.fr/#les-controles-par-attributs","text":"","title":"Les contr\u00f4les par attributs"},{"location":"dashboards/","text":"Fran\u00e7ais Dashboards There are three dashboards: controls by domains controls by domain and by measure controls by attribute Controls by domains Controls by domain and by measure Attribute checks","title":"Dashboards"},{"location":"dashboards/#dashboards","text":"There are three dashboards: controls by domains controls by domain and by measure controls by attribute","title":"Dashboards"},{"location":"dashboards/#controls-by-domains","text":"","title":"Controls by domains"},{"location":"dashboards/#controls-by-domain-and-by-measure","text":"","title":"Controls by domain and by measure"},{"location":"dashboards/#attribute-checks","text":"","title":"Attribute checks"},{"location":"delegation.fr/","text":"English D\u00e9l\u00e9gation Deming permet de d\u00e9l\u00e9guer la r\u00e9alisation des contr\u00f4les de s\u00e9curit\u00e9 \u00e0 des utilisateurs qui ont le r\u00f4le audit\u00e9 . L'assignation du r\u00f4le audit\u00e9 \u00e0 un utilisateur se fait via l'\u00e9cran de gestion des utilisateurs . Cette d\u00e9l\u00e9gation respecte les r\u00e8gles suivantes : Les audit\u00e9s sont inform\u00e9s r\u00e9guli\u00e8rement par mail des contr\u00f4les \u00e0 r\u00e9aliser ; Les audit\u00e9s ne voient que les contr\u00f4les qui leur sont assign\u00e9s et les contr\u00f4les qu'ils ont r\u00e9alis\u00e9s pr\u00e9c\u00e9demment ; Les utilisateurs peuvent accepter ou refuser un contr\u00f4le r\u00e9alis\u00e9 par un audit\u00e9 ; Lorsqu'un contr\u00f4le est refus\u00e9, il retourne dans la liste des contr\u00f4les \u00e0 r\u00e9aliser de l'audit\u00e9. Liste des contr\u00f4les \u00e0 r\u00e9aliser Du point de vue de l'audit\u00e9, la page principale de l'application contient la liste des contr\u00f4les qui lui sont assign\u00e9s. L'audit\u00e9 peut : Effectuer des recherches dans la liste des contr\u00f4les Filtrer les contr\u00f4les par domaine, p\u00e9rim\u00e8tre, attribut, p\u00e9riode. Trier la liste par chacune des colonnes S\u00e9lectionner un contr\u00f4le \u00e0 r\u00e9aliser R\u00e9aliser un contr\u00f4le Lorsqu'un audit\u00e9 r\u00e9alise un contr\u00f4le, il peut : Sauver le contr\u00f4le Faire le contr\u00f4le Lorsqu'il clique sur : \"Sauver\", les modifications qu'il a faites sont sauv\u00e9es, le contr\u00f4le reste dans la liste des contr\u00f4les \u00e0 r\u00e9aliser \"Faire\", les modifications qu'il a faite sont sauv\u00e9es et le contr\u00f4le passe dans l'\u00e9tat \u00e0 valider. Du point de vue de l'audit\u00e9, le contr\u00f4le se trouve dans la liste des contr\u00f4les r\u00e9alis\u00e9s. \"Annuler\", les modifications ne sont pas sauv\u00e9e, l'utilisateur retourne vers la vue du contr\u00f4le. Accepter / Refuser un contr\u00f4le Une fois qu'un contr\u00f4le a \u00e9t\u00e9 r\u00e9alis\u00e9 par un audit\u00e9, il passe dans l'\u00e9tat \"\u00e0 valider\". Cela se mat\u00e9rialise pour les autres utilisateurs par un sablier \u00e0 c\u00f4t\u00e9 de la date de r\u00e9alisation dans la liste des contr\u00f4les \u00e0 r\u00e9aliser : Lorsque l'utilisateur clique sur la date de r\u00e9alisation \u00e0 c\u00f4t\u00e9 du sablier, il arrive sur le contr\u00f4le r\u00e9alis\u00e9 par l'audit\u00e9. Il peut alors accepter ou refuser le contr\u00f4le en ajoutant une note dans les observations du contr\u00f4le et, selon les r\u00e9sultats du contr\u00f4le, proposer un plan d'action et une date de revue du contr\u00f4le. Si l'utilisateur clique sur : \"Accepter\" : les donn\u00e9es modifi\u00e9es sont sauv\u00e9es et un nouveau contr\u00f4le est cr\u00e9\u00e9 \u00e0 la date de planification introduite. \"Rejet\u00e9\" : les donn\u00e9es modifi\u00e9es sont sauv\u00e9es et le contr\u00f4le est renvoy\u00e9 dans la liste des contr\u00f4les \u00e0 r\u00e9aliser de l'audit\u00e9. \"Sauv\u00e9\" : les donn\u00e9es sont sauv\u00e9es et l'utilisateur revient \u00e0 la vue du contr\u00f4le. \"Annuler\" : l'utilisateur revient \u00e0 la vue du contr\u00f4le.","title":"D\u00e9l\u00e9gation"},{"location":"delegation.fr/#delegation","text":"Deming permet de d\u00e9l\u00e9guer la r\u00e9alisation des contr\u00f4les de s\u00e9curit\u00e9 \u00e0 des utilisateurs qui ont le r\u00f4le audit\u00e9 . L'assignation du r\u00f4le audit\u00e9 \u00e0 un utilisateur se fait via l'\u00e9cran de gestion des utilisateurs . Cette d\u00e9l\u00e9gation respecte les r\u00e8gles suivantes : Les audit\u00e9s sont inform\u00e9s r\u00e9guli\u00e8rement par mail des contr\u00f4les \u00e0 r\u00e9aliser ; Les audit\u00e9s ne voient que les contr\u00f4les qui leur sont assign\u00e9s et les contr\u00f4les qu'ils ont r\u00e9alis\u00e9s pr\u00e9c\u00e9demment ; Les utilisateurs peuvent accepter ou refuser un contr\u00f4le r\u00e9alis\u00e9 par un audit\u00e9 ; Lorsqu'un contr\u00f4le est refus\u00e9, il retourne dans la liste des contr\u00f4les \u00e0 r\u00e9aliser de l'audit\u00e9.","title":"D\u00e9l\u00e9gation"},{"location":"delegation.fr/#liste-des-controles-a-realiser","text":"Du point de vue de l'audit\u00e9, la page principale de l'application contient la liste des contr\u00f4les qui lui sont assign\u00e9s. L'audit\u00e9 peut : Effectuer des recherches dans la liste des contr\u00f4les Filtrer les contr\u00f4les par domaine, p\u00e9rim\u00e8tre, attribut, p\u00e9riode. Trier la liste par chacune des colonnes S\u00e9lectionner un contr\u00f4le \u00e0 r\u00e9aliser","title":"Liste des contr\u00f4les \u00e0 r\u00e9aliser"},{"location":"delegation.fr/#realiser-un-controle","text":"Lorsqu'un audit\u00e9 r\u00e9alise un contr\u00f4le, il peut : Sauver le contr\u00f4le Faire le contr\u00f4le Lorsqu'il clique sur : \"Sauver\", les modifications qu'il a faites sont sauv\u00e9es, le contr\u00f4le reste dans la liste des contr\u00f4les \u00e0 r\u00e9aliser \"Faire\", les modifications qu'il a faite sont sauv\u00e9es et le contr\u00f4le passe dans l'\u00e9tat \u00e0 valider. Du point de vue de l'audit\u00e9, le contr\u00f4le se trouve dans la liste des contr\u00f4les r\u00e9alis\u00e9s. \"Annuler\", les modifications ne sont pas sauv\u00e9e, l'utilisateur retourne vers la vue du contr\u00f4le.","title":"R\u00e9aliser un contr\u00f4le"},{"location":"delegation.fr/#accepter-refuser-un-controle","text":"Une fois qu'un contr\u00f4le a \u00e9t\u00e9 r\u00e9alis\u00e9 par un audit\u00e9, il passe dans l'\u00e9tat \"\u00e0 valider\". Cela se mat\u00e9rialise pour les autres utilisateurs par un sablier \u00e0 c\u00f4t\u00e9 de la date de r\u00e9alisation dans la liste des contr\u00f4les \u00e0 r\u00e9aliser : Lorsque l'utilisateur clique sur la date de r\u00e9alisation \u00e0 c\u00f4t\u00e9 du sablier, il arrive sur le contr\u00f4le r\u00e9alis\u00e9 par l'audit\u00e9. Il peut alors accepter ou refuser le contr\u00f4le en ajoutant une note dans les observations du contr\u00f4le et, selon les r\u00e9sultats du contr\u00f4le, proposer un plan d'action et une date de revue du contr\u00f4le. Si l'utilisateur clique sur : \"Accepter\" : les donn\u00e9es modifi\u00e9es sont sauv\u00e9es et un nouveau contr\u00f4le est cr\u00e9\u00e9 \u00e0 la date de planification introduite. \"Rejet\u00e9\" : les donn\u00e9es modifi\u00e9es sont sauv\u00e9es et le contr\u00f4le est renvoy\u00e9 dans la liste des contr\u00f4les \u00e0 r\u00e9aliser de l'audit\u00e9. \"Sauv\u00e9\" : les donn\u00e9es sont sauv\u00e9es et l'utilisateur revient \u00e0 la vue du contr\u00f4le. \"Annuler\" : l'utilisateur revient \u00e0 la vue du contr\u00f4le.","title":"Accepter / Refuser un contr\u00f4le"},{"location":"delegation/","text":"Fran\u00e7ais Delegation Deming allows you to delegate the realisation of measurements to users who have the auditee role. The auditee role is assigned to a user via the user management screen . This delegation complies with the following rules: Auditees are regularly informed by email of the measurements to be carried out; Auditees only see the measurements to be carried out and the measurements they have previously carried out; Users can accept or reject a measurement performed by an auditee; When a measurement is rejected, it returns to the list of measurements to be carried out by the auditee. List of measurements to be performed From the auditee's point of view, the application's main page contains the list of measurements that are assigned to him. Tha auditee can : Search the list of measurements Filter measurements by domain, scope, attribute or period. Sort the list by each column Select a measurement to perform Performing an measurement When an auditee performs an mesurement, they can : \"Save\" the measurement \"Make\" the mesurement When the auditee clicks on : \"Save\", the changes made are saved and the measurement remains in the list of measurements to be performed \"Make\", the changes made are saved and the measurement changes to the status to be validated. From the auditee's point of view, the measurement is in the list of measurements performed. If the auditee selects \"Cancel\", the changes are not saved and the auditee returns to the measuremet view. Accepting / Rejecting a measurement Once an measurement has been carried out by an auditee, it changes status to \"to be validated\". For other users, this is shown by an hourglass next to the completion date in the list of checks to be carried out: When the user clicks on the date next to the hourglass, they are taken to the measurement performed by the auditee. They can then accept or reject the measurement, adding a note in the measurement observations and, depending on the measurement score, propose an action plan and anmeasurement review date. If the user clicks on : \"Accept\": the modified data is saved and a new measurement is created on the planning date entered. \"Reject\": the modified data is saved and the measurement is returned to the auditee list of controls to be performed. \"Save\": the data is saved and the user returns to the measurement view. \"Cancel\": the user returns to the measurement view.","title":"Delegation"},{"location":"delegation/#delegation","text":"Deming allows you to delegate the realisation of measurements to users who have the auditee role. The auditee role is assigned to a user via the user management screen . This delegation complies with the following rules: Auditees are regularly informed by email of the measurements to be carried out; Auditees only see the measurements to be carried out and the measurements they have previously carried out; Users can accept or reject a measurement performed by an auditee; When a measurement is rejected, it returns to the list of measurements to be carried out by the auditee.","title":"Delegation"},{"location":"delegation/#list-of-measurements-to-be-performed","text":"From the auditee's point of view, the application's main page contains the list of measurements that are assigned to him. Tha auditee can : Search the list of measurements Filter measurements by domain, scope, attribute or period. Sort the list by each column Select a measurement to perform","title":"List of measurements to be performed"},{"location":"delegation/#performing-an-measurement","text":"When an auditee performs an mesurement, they can : \"Save\" the measurement \"Make\" the mesurement When the auditee clicks on : \"Save\", the changes made are saved and the measurement remains in the list of measurements to be performed \"Make\", the changes made are saved and the measurement changes to the status to be validated. From the auditee's point of view, the measurement is in the list of measurements performed. If the auditee selects \"Cancel\", the changes are not saved and the auditee returns to the measuremet view.","title":"Performing an measurement"},{"location":"delegation/#accepting-rejecting-a-measurement","text":"Once an measurement has been carried out by an auditee, it changes status to \"to be validated\". For other users, this is shown by an hourglass next to the completion date in the list of checks to be carried out: When the user clicks on the date next to the hourglass, they are taken to the measurement performed by the auditee. They can then accept or reject the measurement, adding a note in the measurement observations and, depending on the measurement score, propose an action plan and anmeasurement review date. If the user clicks on : \"Accept\": the modified data is saved and a new measurement is created on the planning date entered. \"Reject\": the modified data is saved and the measurement is returned to the auditee list of controls to be performed. \"Save\": the data is saved and the user returns to the measurement view. \"Cancel\": the user returns to the measurement view.","title":"Accepting / Rejecting a measurement"},{"location":"home.fr/","text":"English Application Page principale La page principale de l\u2019application permet d'avoir une vue d'enseble du SMSI et des contr\u00f4les \u00e0 r\u00e9aliser. Elle est compos\u00e9es de : Sur la gauche, le menu principal de l\u2019application ; En haut des indicateurs sur : le nombre de domaines de s\u00e9curit\u00e9 le nombre de mesures de s\u00e9curit\u00e9 s\u00e9lectionn\u00e9es le nombre de contr\u00f4les r\u00e9alis\u00e9s le nombre de plans d\u2019action Note : si un domaine n'a aucune mesure de s\u00e9curit\u00e9 ou qu'aucunes des mesures de s\u00e9curit\u00e9 de ce domaine n'est planifi\u00e9e alors le domaine n'est pas pris en compte. si une mesure de s\u00e9curit\u00e9 n'est pas planifi\u00e9e, elle n'est pas prise en compte dans le comptage. si un plan d'action est termin\u00e9 il n'est pas pris en compte. Au milieu : Le planning des contr\u00f4le qui montre les contr\u00f4le \u00e0 r\u00e9aliser avec leur r\u00e9sultat (vert, orange ou rouge) et les contr\u00f4le plannifi\u00e9s (en gris) Un \u00e9tat global des contr\u00f4les La partie inf\u00e9rieur de la page principale contient la liste des cont\u00f4les pannifi\u00e9s dans les 30 prochains jours : Les dates des contr\u00f4les en retard sont affich\u00e9s en rouge. Recherche Un outil de recherche permet de rechecher la pr\u00e9sence d\u2019un mot dans le nom, les objectifs, les observations des contr\u00f4les et dans leurs plans d\u2019action.","title":"Page principale"},{"location":"home.fr/#application","text":"","title":"Application"},{"location":"home.fr/#page-principale","text":"La page principale de l\u2019application permet d'avoir une vue d'enseble du SMSI et des contr\u00f4les \u00e0 r\u00e9aliser. Elle est compos\u00e9es de : Sur la gauche, le menu principal de l\u2019application ; En haut des indicateurs sur : le nombre de domaines de s\u00e9curit\u00e9 le nombre de mesures de s\u00e9curit\u00e9 s\u00e9lectionn\u00e9es le nombre de contr\u00f4les r\u00e9alis\u00e9s le nombre de plans d\u2019action Note : si un domaine n'a aucune mesure de s\u00e9curit\u00e9 ou qu'aucunes des mesures de s\u00e9curit\u00e9 de ce domaine n'est planifi\u00e9e alors le domaine n'est pas pris en compte. si une mesure de s\u00e9curit\u00e9 n'est pas planifi\u00e9e, elle n'est pas prise en compte dans le comptage. si un plan d'action est termin\u00e9 il n'est pas pris en compte. Au milieu : Le planning des contr\u00f4le qui montre les contr\u00f4le \u00e0 r\u00e9aliser avec leur r\u00e9sultat (vert, orange ou rouge) et les contr\u00f4le plannifi\u00e9s (en gris) Un \u00e9tat global des contr\u00f4les La partie inf\u00e9rieur de la page principale contient la liste des cont\u00f4les pannifi\u00e9s dans les 30 prochains jours : Les dates des contr\u00f4les en retard sont affich\u00e9s en rouge.","title":"Page principale"},{"location":"home.fr/#recherche","text":"Un outil de recherche permet de rechecher la pr\u00e9sence d\u2019un mot dans le nom, les objectifs, les observations des contr\u00f4les et dans leurs plans d\u2019action.","title":"Recherche"},{"location":"home/","text":"Fran\u00e7ais Application Main page The main page of the application provides an overview of the ISMS and the checks to be carried out. It is composed of: On the left, the application's main menu; at the top of the indicators on: the number of security domains the number of selected controls the number of measures carried out the number of action plans Note: if a domain has no controls, or none of the domain's controls are planned, then the domain is not taken into account. if a control is not planned, it is not included in the count. if an action plan has been completed, it is not taken into account. In the middle : The inspection schedule which shows the inspections to be carried out with their result (green, orange or red) and the planned inspections (in grey) An overall state of controls The lower part of the main page contains the list of controls scheduled for the next 30 days: Overdue check dates are displayed in red. Search A search tool allows you to search for the presence of a word in the name, the objectives, the observations of the controls and in their action plans.","title":"Homepage"},{"location":"home/#application","text":"","title":"Application"},{"location":"home/#main-page","text":"The main page of the application provides an overview of the ISMS and the checks to be carried out. It is composed of: On the left, the application's main menu; at the top of the indicators on: the number of security domains the number of selected controls the number of measures carried out the number of action plans Note: if a domain has no controls, or none of the domain's controls are planned, then the domain is not taken into account. if a control is not planned, it is not included in the count. if an action plan has been completed, it is not taken into account. In the middle : The inspection schedule which shows the inspections to be carried out with their result (green, orange or red) and the planned inspections (in grey) An overall state of controls The lower part of the main page contains the list of controls scheduled for the next 30 days: Overdue check dates are displayed in red.","title":"Main page"},{"location":"home/#search","text":"A search tool allows you to search for the presence of a word in the name, the objectives, the observations of the controls and in their action plans.","title":"Search"},{"location":"index.fr/","text":"English Introduction Qu\u2019est-ce que Deming ? Deming est un outil Open Source con\u00e7u pour aider les RSSI \u00e0 mettre en place et \u00e0 maintenir leur syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information. Gr\u00e2ce \u00e0 cette application, les RSSI peuvent facilement planifier et suivre la mise en \u0153uvre des contr\u00f4les de s\u00e9curit\u00e9 et le cycle d'am\u00e9lioration continue requis par la norme ISO 27001. L'application est con\u00e7ue pour \u00eatre facile \u00e0 utiliser et \u00e0 personnaliser, avec une interface utilisateur intuitive. Deming offre des fonctionnalit\u00e9s telles que la gestion des mesures de s\u00e9curit\u00e9 , la planification des contr\u00f4les , la cr\u00e9ation des fiches de contr\u00f4le , l\u2019enregistrement des preuves, le suivi des plans d\u2019action ainsi que des tableaux de bord et des rapports de pilotage du SMSI pour aider les RSSI \u00e0 suivre le maintient des mesures de s\u00e9curit\u00e9 de l'information. L'application est con\u00e7ue pour \u00eatre compatible avec la norme ISO 27001:2022, en suivant les exigences sp\u00e9cifiques de la norme pour la planification, la mise en \u0153uvre, la v\u00e9rification et l'am\u00e9lioration continue du syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information. Elle est \u00e9galement con\u00e7ue pour aider les RSSI \u00e0 pr\u00e9parer leur organisation aux audits de certification ISO 27001 en fournissant des rapports d\u00e9taill\u00e9s sur les contr\u00f4les de s\u00e9curit\u00e9 et la mesure de leur efficacit\u00e9. Cette application est publi\u00e9e sous la licence GPL , permettant aux utilisateurs de l'utiliser, de la modifier et de la distribuer librement. Cette approche open source permet aux utilisateurs de contribuer au d\u00e9veloppement de l'application en soumettant des demandes de changement, des rapports de bogues ou des fonctionnalit\u00e9s suppl\u00e9mentaires. Cette application de gestion de la s\u00e9curit\u00e9 de l'information est un outil puissant et personnalisable pour les RSSI qui cherchent \u00e0 mettre en place et \u00e0 maintenir un syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information conforme \u00e0 la norme ISO 27001. Avec son interface utilisateur intuitive, la possibilit\u00e9 de d\u00e9finir de nouveaux contr\u00f4les et sa compatibilit\u00e9 ISO 27001:2022, elle offre aux RSSI une grande flexibilit\u00e9 pour adapter l'application \u00e0 leurs besoins sp\u00e9cifiques. Qu'est-ce qui n'est pas Deming ? Deming n'est pas une solution miracle qui r\u00e9alise l'analyse des risques, importe toutes les normes existantes, g\u00e8re automatiquement votre documentation, fournit des proc\u00e9dures par d\u00e9faut ou utilise de l'intelligence artificielle de mani\u00e8re autonome... Mais : elle n'est pas dans le nuage; vous n'avez pas besoin de 5 jours de formation pour l'utiliser; vous n'\u00eates pas contact\u00e9 par une soci\u00e9t\u00e9 de conseil et elle est gratuite. Pourquoi contr\u00f4ler ? Pour g\u00e9rer la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information il faut mettre en place un ensemble de mesures de s\u00e9curit\u00e9 et contr\u00f4ler r\u00e9guli\u00e8rement que ces mesures sont effectives et efficaces. Ces contr\u00f4les r\u00e9guliers permettent de garantir que les mesures de s\u00e9curit\u00e9 mises en place atteignent leurs objectifs de s\u00e9curit\u00e9. Les exigences de mesure de l\u2019efficacit\u00e9 sont : a) d\u2019\u00e9valuer l'efficacit\u00e9 des contr\u00f4les; b) d\u2019\u00e9valuer l'efficacit\u00e9 du syst\u00e8me de gestion de l'information; c) de v\u00e9rifier dans quelle mesure les exigences de s\u00e9curit\u00e9 identifi\u00e9es ont \u00e9t\u00e9 respect\u00e9es; d) de faciliter l\u2019am\u00e9lioration des performances de la s\u00e9curit\u00e9 de l\u2019information par rapport aux objectifs; e) de fournir des donn\u00e9es pour la revue de la direction afin de faciliter la prise de d\u00e9cisions li\u00e9es au SMSI; f) de justifier les besoins d'am\u00e9lioration du ISMS. Evaluation des performances La norme ISO 27001 au chapitre 9.1, impose d\u2019\u00e9valuer les performances de s\u00e9curit\u00e9 de l\u2019information, ainsi que l\u2019efficacit\u00e9 du syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information. Pour \u00e9valuer ces performances, il faut d\u00e9terminer : a) ce qu\u2019il est n\u00e9cessaire de surveiller et de mesurer, y compris les processus et les mesures de s\u00e9curit\u00e9 de l\u2019information; b) les m\u00e9thodes de surveillance, de mesurage, d\u2019analyse et d\u2019\u00e9valuation, selon le cas, pour assurer la validit\u00e9 des r\u00e9sultats; c) quand la surveillance et les mesures doivent \u00eatre effectu\u00e9es; d) qui doit effectuer la surveillance et les mesures; e) quand les r\u00e9sultats de la surveillance et des mesures doivent \u00eatre analys\u00e9s et \u00e9valu\u00e9s; et f) qui doit analyser et \u00e9valuer ces r\u00e9sultats. Deming permet de r\u00e9pondre \u00e0 ces exigences et de conserver les informations document\u00e9es appropri\u00e9es comme preuves des r\u00e9sultats de la surveillance et des mesures. Definitions Mesures de s\u00e9curit\u00e9 (en anglais \u00ab Control \u00bb) : ensemble de dispositions \u00e0 mettre en \u0153uvre. Ce sont les mesures \u00e0 prendre pour mettre en \u0153uvre la politique de s\u00e9curit\u00e9. Contr\u00f4le ou Mesurage (en anglais \u00ab Measurement \u00bb) : processus d\u2019obtention relative \u00e0 l\u2019efficacit\u00e9 d\u2019un SMSI et de mesures de s\u00e9curit\u00e9, \u00e0 l\u2019aide d\u2019une m\u00e9thode d\u2019\u00e9valuation, d\u2019une fonction d\u2019\u00e9valuation, d\u2019un mod\u00e8le analytique, et de crit\u00e8re de d\u00e9cisions [ISO/IEC 27004]. Indicateur : r\u00e9sultat de l\u2019application d\u2019un mod\u00e8le analytique \u00e0 une ou plusieurs variables en relation avec les crit\u00e8res de d\u00e9cision ou d\u2019un besoin d\u2019information [ISO/IEC 27004]. Attribut : propri\u00e9t\u00e9 ou caract\u00e9ristique d\u2019un objet qui peut \u00eatre distingu\u00e9 quantitativement ou qualitativement par des moyens humains ou automatiques [ISO/IEC 15939:2007].","title":"Introduction"},{"location":"index.fr/#introduction","text":"","title":"Introduction"},{"location":"index.fr/#quest-ce-que-deming","text":"Deming est un outil Open Source con\u00e7u pour aider les RSSI \u00e0 mettre en place et \u00e0 maintenir leur syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information. Gr\u00e2ce \u00e0 cette application, les RSSI peuvent facilement planifier et suivre la mise en \u0153uvre des contr\u00f4les de s\u00e9curit\u00e9 et le cycle d'am\u00e9lioration continue requis par la norme ISO 27001. L'application est con\u00e7ue pour \u00eatre facile \u00e0 utiliser et \u00e0 personnaliser, avec une interface utilisateur intuitive. Deming offre des fonctionnalit\u00e9s telles que la gestion des mesures de s\u00e9curit\u00e9 , la planification des contr\u00f4les , la cr\u00e9ation des fiches de contr\u00f4le , l\u2019enregistrement des preuves, le suivi des plans d\u2019action ainsi que des tableaux de bord et des rapports de pilotage du SMSI pour aider les RSSI \u00e0 suivre le maintient des mesures de s\u00e9curit\u00e9 de l'information. L'application est con\u00e7ue pour \u00eatre compatible avec la norme ISO 27001:2022, en suivant les exigences sp\u00e9cifiques de la norme pour la planification, la mise en \u0153uvre, la v\u00e9rification et l'am\u00e9lioration continue du syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information. Elle est \u00e9galement con\u00e7ue pour aider les RSSI \u00e0 pr\u00e9parer leur organisation aux audits de certification ISO 27001 en fournissant des rapports d\u00e9taill\u00e9s sur les contr\u00f4les de s\u00e9curit\u00e9 et la mesure de leur efficacit\u00e9. Cette application est publi\u00e9e sous la licence GPL , permettant aux utilisateurs de l'utiliser, de la modifier et de la distribuer librement. Cette approche open source permet aux utilisateurs de contribuer au d\u00e9veloppement de l'application en soumettant des demandes de changement, des rapports de bogues ou des fonctionnalit\u00e9s suppl\u00e9mentaires. Cette application de gestion de la s\u00e9curit\u00e9 de l'information est un outil puissant et personnalisable pour les RSSI qui cherchent \u00e0 mettre en place et \u00e0 maintenir un syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information conforme \u00e0 la norme ISO 27001. Avec son interface utilisateur intuitive, la possibilit\u00e9 de d\u00e9finir de nouveaux contr\u00f4les et sa compatibilit\u00e9 ISO 27001:2022, elle offre aux RSSI une grande flexibilit\u00e9 pour adapter l'application \u00e0 leurs besoins sp\u00e9cifiques.","title":"Qu\u2019est-ce que Deming ?"},{"location":"index.fr/#quest-ce-qui-nest-pas-deming","text":"Deming n'est pas une solution miracle qui r\u00e9alise l'analyse des risques, importe toutes les normes existantes, g\u00e8re automatiquement votre documentation, fournit des proc\u00e9dures par d\u00e9faut ou utilise de l'intelligence artificielle de mani\u00e8re autonome... Mais : elle n'est pas dans le nuage; vous n'avez pas besoin de 5 jours de formation pour l'utiliser; vous n'\u00eates pas contact\u00e9 par une soci\u00e9t\u00e9 de conseil et elle est gratuite.","title":"Qu'est-ce qui n'est pas Deming ?"},{"location":"index.fr/#pourquoi-controler","text":"Pour g\u00e9rer la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information il faut mettre en place un ensemble de mesures de s\u00e9curit\u00e9 et contr\u00f4ler r\u00e9guli\u00e8rement que ces mesures sont effectives et efficaces. Ces contr\u00f4les r\u00e9guliers permettent de garantir que les mesures de s\u00e9curit\u00e9 mises en place atteignent leurs objectifs de s\u00e9curit\u00e9. Les exigences de mesure de l\u2019efficacit\u00e9 sont : a) d\u2019\u00e9valuer l'efficacit\u00e9 des contr\u00f4les; b) d\u2019\u00e9valuer l'efficacit\u00e9 du syst\u00e8me de gestion de l'information; c) de v\u00e9rifier dans quelle mesure les exigences de s\u00e9curit\u00e9 identifi\u00e9es ont \u00e9t\u00e9 respect\u00e9es; d) de faciliter l\u2019am\u00e9lioration des performances de la s\u00e9curit\u00e9 de l\u2019information par rapport aux objectifs; e) de fournir des donn\u00e9es pour la revue de la direction afin de faciliter la prise de d\u00e9cisions li\u00e9es au SMSI; f) de justifier les besoins d'am\u00e9lioration du ISMS.","title":"Pourquoi contr\u00f4ler ?"},{"location":"index.fr/#evaluation-des-performances","text":"La norme ISO 27001 au chapitre 9.1, impose d\u2019\u00e9valuer les performances de s\u00e9curit\u00e9 de l\u2019information, ainsi que l\u2019efficacit\u00e9 du syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information. Pour \u00e9valuer ces performances, il faut d\u00e9terminer : a) ce qu\u2019il est n\u00e9cessaire de surveiller et de mesurer, y compris les processus et les mesures de s\u00e9curit\u00e9 de l\u2019information; b) les m\u00e9thodes de surveillance, de mesurage, d\u2019analyse et d\u2019\u00e9valuation, selon le cas, pour assurer la validit\u00e9 des r\u00e9sultats; c) quand la surveillance et les mesures doivent \u00eatre effectu\u00e9es; d) qui doit effectuer la surveillance et les mesures; e) quand les r\u00e9sultats de la surveillance et des mesures doivent \u00eatre analys\u00e9s et \u00e9valu\u00e9s; et f) qui doit analyser et \u00e9valuer ces r\u00e9sultats. Deming permet de r\u00e9pondre \u00e0 ces exigences et de conserver les informations document\u00e9es appropri\u00e9es comme preuves des r\u00e9sultats de la surveillance et des mesures.","title":"Evaluation des performances"},{"location":"index.fr/#definitions","text":"Mesures de s\u00e9curit\u00e9 (en anglais \u00ab Control \u00bb) : ensemble de dispositions \u00e0 mettre en \u0153uvre. Ce sont les mesures \u00e0 prendre pour mettre en \u0153uvre la politique de s\u00e9curit\u00e9. Contr\u00f4le ou Mesurage (en anglais \u00ab Measurement \u00bb) : processus d\u2019obtention relative \u00e0 l\u2019efficacit\u00e9 d\u2019un SMSI et de mesures de s\u00e9curit\u00e9, \u00e0 l\u2019aide d\u2019une m\u00e9thode d\u2019\u00e9valuation, d\u2019une fonction d\u2019\u00e9valuation, d\u2019un mod\u00e8le analytique, et de crit\u00e8re de d\u00e9cisions [ISO/IEC 27004]. Indicateur : r\u00e9sultat de l\u2019application d\u2019un mod\u00e8le analytique \u00e0 une ou plusieurs variables en relation avec les crit\u00e8res de d\u00e9cision ou d\u2019un besoin d\u2019information [ISO/IEC 27004]. Attribut : propri\u00e9t\u00e9 ou caract\u00e9ristique d\u2019un objet qui peut \u00eatre distingu\u00e9 quantitativement ou qualitativement par des moyens humains ou automatiques [ISO/IEC 15939:2007].","title":"Definitions"},{"location":"measures.fr/","text":"English Mesures de s\u00e9curit\u00e9 Cette partie permet de d\u00e9finir, de modifier et de plannifier de nouvelles mesures de s\u00e9curit\u00e9. Liste des mesures de s\u00e9curit\u00e9 La liste des mesures de s\u00e9curit\u00e9 permet d\u2019afficher la liste des mesures, de les filtrer par domaine ou de recherche une mesure sur base d\u2019une partie de son nom. En cliquant sur : le domaine, vous arrivez sur la d\u00e9finition du domaine choisi la clause, vous arrivez sur la description de la mesure de s\u00e9curit\u00e9 le nombre de contr\u00f4le, vous arrivez sur la liste des contr\u00f4les de cette mesure de s\u00e9curit\u00e9 le bouton \"planifier\", vous arrivez sur la planification de la mesure de s\u00e9curit\u00e9 Afficher une mesure de s\u00e9curit\u00e9 Cet \u00e9cran permet d\u2019afficher une mesure de s\u00e9curit\u00e9. Une mesure de s\u00e9curit\u00e9 est compos\u00e9e : d\u2019un domaine ; d\u2019un nom ; d\u2019un objectif de s\u00e9curit\u00e9 ; d\u2019attributs ; des donn\u00e9es de mesures : du mod\u00e8le de v\u00e9rification ; d\u2019un indicateur (vert, orange, rouge) ; et d\u2019un plan d\u2019action \u00e0 appliquer si le contr\u00f4le de cette mesure de s\u00e9curit\u00e9 est en \u00e9chec. Lorsque vous cliquez sur : \u00ab Planifier \u00bb : vous arrivez vers l\u2019\u00e9cran de planification de la mesure de s\u00e9curit\u00e9 . \u00ab Modifier \u00bb : vous arrivez vers l\u2019\u00e9cran de moficiaton de la mesure \u00ab Supprimer \u00bb: vous permet de supprimer la mesure et de revenir \u00e0 la liste des mesures de s\u00e9curit\u00e9 \u00ab Annuler \u00bb : vous renvoie vers la liste des mesures de s\u00e9ucurit\u00e9 Modifier une mesure de s\u00e9curit\u00e9 Cet \u00e9cran permet de modifier une mesure de s\u00e9curit\u00e9. Lorsque vous cliquez sur : \u00ab Sauver \u00bb, les modifications sont sauv\u00e9es et vous revenez \u00e0 l\u2019\u00e9cran d\u2019 affichage de la mesure de s\u00e9curit\u00e9 . \u00ab Annluer \u00bb, vous revenez \u00e0 l\u2019\u00e9cran d\u2019 affichage de la mesure de s\u00e9curit\u00e9 . Planifier un contr\u00f4le Cet \u00e9cran permet de planifier un contr\u00f4le de s\u00e9curit\u00e9 \u00e0 partir d\u2019une mesure. L\u2019\u00e9cran contient : Le domaine ; Le nom de la mesure ; L\u2019objectif de s\u00e9curit\u00e9 ; La date de planification ; La p\u00e9riodicit\u00e9 du contr\u00f4les et Les responsables de la r\u00e9alisation du contr\u00f4les. Lorsque vous cliquez sur : \u00ab Planifier \u00bb, s\u2019il n\u2019existe pas de contr\u00f4le avec ce p\u00e9rim\u00e8tre pour cette mesure, un nouveau contr\u00f4le est cr\u00e9\u00e9 en copiant toutes les donn\u00e9es de le mesure et est planifi\u00e9 \u00e0 la date sp\u00e9cifi\u00e9e. S\u2019il existe d\u00e9j\u00e0 un contr\u00f4le avec ce p\u00e9rim\u00e8tre pour cette mesure de s\u00e9curit\u00e9, une erreur est affich\u00e9e. Vous revenez ensuite \u00e0 la liste des mesures de s\u00e9curit\u00e9 . \u00ab Annuler \u00bb, vous revenez vers la liste des mesures de s\u00e9curit\u00e9 .","title":"Mesures"},{"location":"measures.fr/#mesures-de-securite","text":"Cette partie permet de d\u00e9finir, de modifier et de plannifier de nouvelles mesures de s\u00e9curit\u00e9.","title":"Mesures de s\u00e9curit\u00e9"},{"location":"measures.fr/#liste-des-mesures-de-securite","text":"La liste des mesures de s\u00e9curit\u00e9 permet d\u2019afficher la liste des mesures, de les filtrer par domaine ou de recherche une mesure sur base d\u2019une partie de son nom. En cliquant sur : le domaine, vous arrivez sur la d\u00e9finition du domaine choisi la clause, vous arrivez sur la description de la mesure de s\u00e9curit\u00e9 le nombre de contr\u00f4le, vous arrivez sur la liste des contr\u00f4les de cette mesure de s\u00e9curit\u00e9 le bouton \"planifier\", vous arrivez sur la planification de la mesure de s\u00e9curit\u00e9","title":"Liste des mesures de s\u00e9curit\u00e9"},{"location":"measures.fr/#afficher-une-mesure-de-securite","text":"Cet \u00e9cran permet d\u2019afficher une mesure de s\u00e9curit\u00e9. Une mesure de s\u00e9curit\u00e9 est compos\u00e9e : d\u2019un domaine ; d\u2019un nom ; d\u2019un objectif de s\u00e9curit\u00e9 ; d\u2019attributs ; des donn\u00e9es de mesures : du mod\u00e8le de v\u00e9rification ; d\u2019un indicateur (vert, orange, rouge) ; et d\u2019un plan d\u2019action \u00e0 appliquer si le contr\u00f4le de cette mesure de s\u00e9curit\u00e9 est en \u00e9chec. Lorsque vous cliquez sur : \u00ab Planifier \u00bb : vous arrivez vers l\u2019\u00e9cran de planification de la mesure de s\u00e9curit\u00e9 . \u00ab Modifier \u00bb : vous arrivez vers l\u2019\u00e9cran de moficiaton de la mesure \u00ab Supprimer \u00bb: vous permet de supprimer la mesure et de revenir \u00e0 la liste des mesures de s\u00e9curit\u00e9 \u00ab Annuler \u00bb : vous renvoie vers la liste des mesures de s\u00e9ucurit\u00e9","title":"Afficher une mesure de s\u00e9curit\u00e9"},{"location":"measures.fr/#modifier-une-mesure-de-securite","text":"Cet \u00e9cran permet de modifier une mesure de s\u00e9curit\u00e9. Lorsque vous cliquez sur : \u00ab Sauver \u00bb, les modifications sont sauv\u00e9es et vous revenez \u00e0 l\u2019\u00e9cran d\u2019 affichage de la mesure de s\u00e9curit\u00e9 . \u00ab Annluer \u00bb, vous revenez \u00e0 l\u2019\u00e9cran d\u2019 affichage de la mesure de s\u00e9curit\u00e9 .","title":"Modifier une mesure de s\u00e9curit\u00e9"},{"location":"measures.fr/#planifier-un-controle","text":"Cet \u00e9cran permet de planifier un contr\u00f4le de s\u00e9curit\u00e9 \u00e0 partir d\u2019une mesure. L\u2019\u00e9cran contient : Le domaine ; Le nom de la mesure ; L\u2019objectif de s\u00e9curit\u00e9 ; La date de planification ; La p\u00e9riodicit\u00e9 du contr\u00f4les et Les responsables de la r\u00e9alisation du contr\u00f4les. Lorsque vous cliquez sur : \u00ab Planifier \u00bb, s\u2019il n\u2019existe pas de contr\u00f4le avec ce p\u00e9rim\u00e8tre pour cette mesure, un nouveau contr\u00f4le est cr\u00e9\u00e9 en copiant toutes les donn\u00e9es de le mesure et est planifi\u00e9 \u00e0 la date sp\u00e9cifi\u00e9e. S\u2019il existe d\u00e9j\u00e0 un contr\u00f4le avec ce p\u00e9rim\u00e8tre pour cette mesure de s\u00e9curit\u00e9, une erreur est affich\u00e9e. Vous revenez ensuite \u00e0 la liste des mesures de s\u00e9curit\u00e9 . \u00ab Annuler \u00bb, vous revenez vers la liste des mesures de s\u00e9curit\u00e9 .","title":"Planifier un contr\u00f4le"},{"location":"measures/","text":"Fran\u00e7ais Controls This part allows you to define, modify and plan new controls. List of controls The list of controls allows you to display the list of controls, to filter them by domain or to search for a control based on part of its name. Clicking on : the domain, you arrive at the chosen domain definition the clause, you arrive on the description of the control the number of measurements, you arrive to the list of measurements of this control the \"plan\" button takes you to the control planning Show control This screen displays a control. A control consists of: of a domain; of a name; a security objective; attributes; controlment data: of the verification model; an indicator (green, orange, red); and an action plan to be applied if control of this control fails. When you click: \u201cPlan\u201d: you arrive at the control planning screen. \"Modify\": you arrive at the controlment modification screen \u201cDelete\u201d: allows you to delete the control and return to the list of controls \"Cancel\": returns you to the list of controls Edit a control This screen allows you to modify a control. When you click: \"Save\", the changes are saved and you return to the control display screen. \"Cancel\", you return to the control display screen. Schedule a control This screen is used to plan a control based on a control. The screen contains: The domain ; The name of the control; The security objective; The planning date; and The frequency of checks; Those responsible for carrying out the controls. When you click: \"Plan\", if there is no measurement with this scope, a new measurement is created by copying all the control data and is scheduled for the specified date. if there is a measurement with the same scope for this control, an error is displayed. You then return to the list of controls . \"Cancel\", you return to the list of controls .","title":"Controls"},{"location":"measures/#controls","text":"This part allows you to define, modify and plan new controls.","title":"Controls"},{"location":"measures/#list-of-controls","text":"The list of controls allows you to display the list of controls, to filter them by domain or to search for a control based on part of its name. Clicking on : the domain, you arrive at the chosen domain definition the clause, you arrive on the description of the control the number of measurements, you arrive to the list of measurements of this control the \"plan\" button takes you to the control planning","title":"List of controls"},{"location":"measures/#show-control","text":"This screen displays a control. A control consists of: of a domain; of a name; a security objective; attributes; controlment data: of the verification model; an indicator (green, orange, red); and an action plan to be applied if control of this control fails. When you click: \u201cPlan\u201d: you arrive at the control planning screen. \"Modify\": you arrive at the controlment modification screen \u201cDelete\u201d: allows you to delete the control and return to the list of controls \"Cancel\": returns you to the list of controls","title":"Show control"},{"location":"measures/#edit-a-control","text":"This screen allows you to modify a control. When you click: \"Save\", the changes are saved and you return to the control display screen. \"Cancel\", you return to the control display screen.","title":"Edit a control"},{"location":"measures/#schedule-a-control","text":"This screen is used to plan a control based on a control. The screen contains: The domain ; The name of the control; The security objective; The planning date; and The frequency of checks; Those responsible for carrying out the controls. When you click: \"Plan\", if there is no measurement with this scope, a new measurement is created by copying all the control data and is scheduled for the specified date. if there is a measurement with the same scope for this control, an error is displayed. You then return to the list of controls . \"Cancel\", you return to the list of controls .","title":"Schedule a control"},{"location":"plan.fr/","text":"English Planning L\u2019\u00e9cran de planning permet d\u2019avoir une vue sur les contr\u00f4les r\u00e9alis\u00e9 et \u00e0 r\u00e9aliser. La partie de gauche de l\u2019\u00e9cran contient les contr\u00f4les pass\u00e9s et \u00e0 venir. En cliquant sur une colonne, vous \u00eates renvoy\u00e9 vers la liste des contr\u00f4le planifi\u00e9s du mois correspondant. La partie de droite contient les contr\u00f4les planifi\u00e9s ce mois. Il est possible de changer le mois en cours et de s\u00e9lectionner un contr\u00f4le dans le calendrier.","title":"Planning"},{"location":"plan.fr/#planning","text":"L\u2019\u00e9cran de planning permet d\u2019avoir une vue sur les contr\u00f4les r\u00e9alis\u00e9 et \u00e0 r\u00e9aliser. La partie de gauche de l\u2019\u00e9cran contient les contr\u00f4les pass\u00e9s et \u00e0 venir. En cliquant sur une colonne, vous \u00eates renvoy\u00e9 vers la liste des contr\u00f4le planifi\u00e9s du mois correspondant. La partie de droite contient les contr\u00f4les planifi\u00e9s ce mois. Il est possible de changer le mois en cours et de s\u00e9lectionner un contr\u00f4le dans le calendrier.","title":"Planning"},{"location":"plan/","text":"Fran\u00e7ais Schedule The schedule screen provides a view of the controls carried out and to be carried out. The left part of the screen contains past and future checks. By clicking on a column, you are returned to the list of controls planned for the corresponding month. The right side contains the checks scheduled for this month. It is possible to change the current month and select a control in the calendar.","title":"Planning"},{"location":"plan/#schedule","text":"The schedule screen provides a view of the controls carried out and to be carried out. The left part of the screen contains past and future checks. By clicking on a column, you are returned to the list of controls planned for the corresponding month. The right side contains the checks scheduled for this month. It is possible to change the current month and select a control in the calendar.","title":"Schedule"},{"location":"references.fr/","text":"English R\u00e9f\u00e9rences Les r\u00e9f\u00e9rences utilis\u00e9es dans cette documentation sont : ISO/IEC 27001 La norme ISO 27001 sur Management de la s\u00e9curit\u00e9 de l\u2019information Github du projet Le code source de l'application Deming.","title":"R\u00e9f\u00e9rences"},{"location":"references.fr/#references","text":"Les r\u00e9f\u00e9rences utilis\u00e9es dans cette documentation sont : ISO/IEC 27001 La norme ISO 27001 sur Management de la s\u00e9curit\u00e9 de l\u2019information Github du projet Le code source de l'application Deming.","title":"R\u00e9f\u00e9rences"},{"location":"references/","text":"Fran\u00e7ais References The references used in this documentation are: ISO/IEC 27001 The ISO 27001 standard on Information security management Project Github The source code of the Deming application.","title":"References"},{"location":"references/#references","text":"The references used in this documentation are: ISO/IEC 27001 The ISO 27001 standard on Information security management Project Github The source code of the Deming application.","title":"References"}]}
\ No newline at end of file
+{"config":{"indexing":"full","lang":["en"],"min_search_length":3,"prebuild_index":false,"separator":"[\\s\\-]+"},"docs":[{"location":"","text":"Fran\u00e7ais Introduction What is Deming? Deming is an Open Source tool designed to help CISOs set up and maintain their information security management system. Using this app, CISOs can easily plan and track the implementation of security controls and the continuous improvement cycle required by ISO 27001. The app is designed to be easy to use and customize, with a intuitive user interface. Deming offers features such as security measures management , the planning of controls , the creation of control sheets , the recording of evidence, monitoring action plans as well as dashboards and ISMS management reports to help CISOs monitor the maintenance of information security measures. The application is designed to be compatible with the ISO 27001:2022 standard, following the specific requirements of the standard for the planning, implementation, verification and continuous improvement of the security management system of the information. It is also designed to help CISOs prepare their organization for ISO 27001 certification audits by providing detailed reports on security controls and measuring their effectiveness. This application is released under the GPL license, allowing users to use, modify and distribute it freely. This open source approach allows users to contribute to the development of the application by submitting change requests, bug reports or additional features. This information security management application is a powerful and customizable tool for CISOs looking to implement and maintain an ISO 27001 compliant information security management system. With its intuitive user interface, the ability to define new controls and its ISO 27001:2022 compatibility, it offers CISOs great flexibility to adapt the application to their specific needs. What is not Deming? Deming is not a miracle solution that performs risk analysis, imports all existing standards, automatically manages your documentation, provides default procedures or uses artificial intelligence autonomously... But : it's not in the cloud ; you don't need 5 days' training to use it ; you are not contacted by a consultancy firm and it's free. Why control? To manage the security of the information system, it is necessary to put in place a set of security measures and regularly check that these measures are effective and efficient. These regular checks make it possible to guarantee that the security measures put in place achieve their security objectives. The effectiveness measurement requirements are: a) assess the effectiveness of controls; b) assess the effectiveness of the information management system; c) to verify the extent to which the identified security requirements have been met; d) facilitate the improvement of information security performance against objectives; e) provide input for management review to facilitate ISMS-related decision-making; f) to justify the needs for improvement of the ISMS. Evaluation of performances The ISO 27001 standard in chapter 9.1 requires the evaluation of information security performance, as well as the effectiveness of the information security management system. To assess this performance, it is necessary to determine: a) what needs to be monitored and measured, including information security processes and measures; b) the monitoring, measurement, analysis and evaluation methods, as applicable, to ensure the validity of the results; c) when monitoring and measurements should be carried out; d) who is to carry out the monitoring and measurements; e) when the results of monitoring and measurements should be analyzed and evaluated and f) who should analyze and evaluate these results. Deming helps meet these requirements and retain appropriate documented information as evidence of monitoring and measurement results. Definitions Controls : set of provisions to be implemented. These are the controls to be taken to implement the security policy. Measurement : process of obtaining relative to the effectiveness of an ISMS and security measures, using an evaluation method, a function assessment, analytical model, and decision criteria [ISO/IEC 27004]. Indicator : result of the application of an analytical model to one or more variables in relation to the decision criteria or an information need [ISO/IEC 27004]. Attribute : property or characteristic of an object that can be quantitatively or qualitatively distinguished by human or automatic means [ISO/IEC 15939:2007].","title":"Introduction"},{"location":"#introduction","text":"","title":"Introduction"},{"location":"#what-is-deming","text":"Deming is an Open Source tool designed to help CISOs set up and maintain their information security management system. Using this app, CISOs can easily plan and track the implementation of security controls and the continuous improvement cycle required by ISO 27001. The app is designed to be easy to use and customize, with a intuitive user interface. Deming offers features such as security measures management , the planning of controls , the creation of control sheets , the recording of evidence, monitoring action plans as well as dashboards and ISMS management reports to help CISOs monitor the maintenance of information security measures. The application is designed to be compatible with the ISO 27001:2022 standard, following the specific requirements of the standard for the planning, implementation, verification and continuous improvement of the security management system of the information. It is also designed to help CISOs prepare their organization for ISO 27001 certification audits by providing detailed reports on security controls and measuring their effectiveness. This application is released under the GPL license, allowing users to use, modify and distribute it freely. This open source approach allows users to contribute to the development of the application by submitting change requests, bug reports or additional features. This information security management application is a powerful and customizable tool for CISOs looking to implement and maintain an ISO 27001 compliant information security management system. With its intuitive user interface, the ability to define new controls and its ISO 27001:2022 compatibility, it offers CISOs great flexibility to adapt the application to their specific needs.","title":"What is Deming?"},{"location":"#what-is-not-deming","text":"Deming is not a miracle solution that performs risk analysis, imports all existing standards, automatically manages your documentation, provides default procedures or uses artificial intelligence autonomously... But : it's not in the cloud ; you don't need 5 days' training to use it ; you are not contacted by a consultancy firm and it's free.","title":"What is not Deming?"},{"location":"#why-control","text":"To manage the security of the information system, it is necessary to put in place a set of security measures and regularly check that these measures are effective and efficient. These regular checks make it possible to guarantee that the security measures put in place achieve their security objectives. The effectiveness measurement requirements are: a) assess the effectiveness of controls; b) assess the effectiveness of the information management system; c) to verify the extent to which the identified security requirements have been met; d) facilitate the improvement of information security performance against objectives; e) provide input for management review to facilitate ISMS-related decision-making; f) to justify the needs for improvement of the ISMS.","title":"Why control?"},{"location":"#evaluation-of-performances","text":"The ISO 27001 standard in chapter 9.1 requires the evaluation of information security performance, as well as the effectiveness of the information security management system. To assess this performance, it is necessary to determine: a) what needs to be monitored and measured, including information security processes and measures; b) the monitoring, measurement, analysis and evaluation methods, as applicable, to ensure the validity of the results; c) when monitoring and measurements should be carried out; d) who is to carry out the monitoring and measurements; e) when the results of monitoring and measurements should be analyzed and evaluated and f) who should analyze and evaluate these results. Deming helps meet these requirements and retain appropriate documented information as evidence of monitoring and measurement results.","title":"Evaluation of performances"},{"location":"#definitions","text":"Controls : set of provisions to be implemented. These are the controls to be taken to implement the security policy. Measurement : process of obtaining relative to the effectiveness of an ISMS and security measures, using an evaluation method, a function assessment, analytical model, and decision criteria [ISO/IEC 27004]. Indicator : result of the application of an analytical model to one or more variables in relation to the decision criteria or an information need [ISO/IEC 27004]. Attribute : property or characteristic of an object that can be quantitatively or qualitatively distinguished by human or automatic means [ISO/IEC 15939:2007].","title":"Definitions"},{"location":"actions.fr/","text":"English Plans d'action Chaque fois qu\u2019un contr\u00f4le est en \u00e9chec (orange ou rouge), un plan d\u2019action doit \u00eatre mis en place et suivi afin de rem\u00e9dier \u00e0 la situation. Liste des plans d\u2019action Cet \u00e9cran permet de suivre les plans d\u2019action : En cliquant sur : le titre du contr\u00f4le associ\u00e9, vous arrivez vers la page de modification du plan d\u2019action correspondant. La date de planification, vous arrivez sur le contr\u00f4le ayant g\u00e9n\u00e9r\u00e9 ce plan d\u2019action La date de prochaine revue, vous arrivez vers le contr\u00f4le suivant Modifier un plan d\u2019action Cet \u00e9cran permet de modifier un plan d\u2019action et de planifier la prochaine \u00e9valuation du contr\u00f4le. Lorsque vous cliquez sur : \u00ab Sauver \u00bb, vous sauver le plan d\u2019action et revenez \u00e0 la liste des plans d\u2019action \u00ab Annuler \u00bb vous revenez \u00e0 la liste des plans d\u2019action","title":"Plans d'action"},{"location":"actions.fr/#plans-daction","text":"Chaque fois qu\u2019un contr\u00f4le est en \u00e9chec (orange ou rouge), un plan d\u2019action doit \u00eatre mis en place et suivi afin de rem\u00e9dier \u00e0 la situation.","title":"Plans d'action"},{"location":"actions.fr/#liste-des-plans-daction","text":"Cet \u00e9cran permet de suivre les plans d\u2019action : En cliquant sur : le titre du contr\u00f4le associ\u00e9, vous arrivez vers la page de modification du plan d\u2019action correspondant. La date de planification, vous arrivez sur le contr\u00f4le ayant g\u00e9n\u00e9r\u00e9 ce plan d\u2019action La date de prochaine revue, vous arrivez vers le contr\u00f4le suivant","title":"Liste des plans d\u2019action"},{"location":"actions.fr/#modifier-un-plan-daction","text":"Cet \u00e9cran permet de modifier un plan d\u2019action et de planifier la prochaine \u00e9valuation du contr\u00f4le. Lorsque vous cliquez sur : \u00ab Sauver \u00bb, vous sauver le plan d\u2019action et revenez \u00e0 la liste des plans d\u2019action \u00ab Annuler \u00bb vous revenez \u00e0 la liste des plans d\u2019action","title":"Modifier un plan d\u2019action"},{"location":"actions/","text":"Fran\u00e7ais Action Plans Each time a control fails (orange or red), an action plan must be put in place and followed in order to remedy the situation. List of Action Plans This screen allows you to follow the action plans: Clicking on : the title of the associated control, you arrive at the corresponding modification of the action plan page. On the planning date, you arrive at the control that generated this action plan The next review date, you arrive at the next control Edit an action plan This screen allows you to edit an action plan and schedule the next control assessment. When you click: \"Save\", you save the action plan and return to the list of action plans \"Cancel\" you return to the list of action plans","title":"Action plans"},{"location":"actions/#action-plans","text":"Each time a control fails (orange or red), an action plan must be put in place and followed in order to remedy the situation.","title":"Action Plans"},{"location":"actions/#list-of-action-plans","text":"This screen allows you to follow the action plans: Clicking on : the title of the associated control, you arrive at the corresponding modification of the action plan page. On the planning date, you arrive at the control that generated this action plan The next review date, you arrive at the next control","title":"List of Action Plans"},{"location":"actions/#edit-an-action-plan","text":"This screen allows you to edit an action plan and schedule the next control assessment. When you click: \"Save\", you save the action plan and return to the list of action plans \"Cancel\" you return to the list of action plans","title":"Edit an action plan"},{"location":"annexe.fr/","text":"English Annexe Liste des contr\u00f4les de la norme ISO 27001:2022. Clause Nom Description Contr\u00f4le 5.01 Politiques de s\u00e9curit\u00e9 de l'information Assurer de mani\u00e8re continue la pertinence, l'ad\u00e9quation, l'efficacit\u00e9 des orientations de la direction et de son soutien \u00e0 la s\u00e9curit\u00e9 de l'information selon les exigences m\u00e9tier, l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles. Contr\u00f4ler l'existence de l'ensemble des politiques de s\u00e9curit\u00e9, leur valid\u00e9, leur diffusion et communication aux salari\u00e9s et aux tiers concern\u00e9s. 5.02 Fonctions et responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information \u00c9tablir une structure d\u00e9finie, approuv\u00e9e et comprise pour la mise en \u0153uvre, le fonctionnement et la gestion de la s\u00e9curit\u00e9 de l'information au sein de l'organisation. Contr\u00f4ler la d\u00e9finition et l'attribution des fonctions et responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information selon les besoins de l'organisation. 5.03 S\u00e9paration des t\u00e2ches R\u00e9duire le risque de fraude, d'erreur et de contournement des mesures de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que les t\u00e2ches et domaines de responsabilit\u00e9 incompatibles sont s\u00e9par\u00e9s 5.04 Responsabilit\u00e9s de la direction S\u2019assurer que la direction comprend son r\u00f4le en mati\u00e8re de s\u00e9curit\u00e9 de l'information et qu'elle entreprend des actions visant \u00e0 garantir que tout le personnel est conscient de ses responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information et qu'il les m\u00e8ne \u00e0 bien. Contr\u00f4ler l'existence d'une communication de la direction sur l'importance de la s\u00e9curit\u00e9 de l'information. 5.05 Relations avec les autorit\u00e9s Assurer la circulation ad\u00e9quate de l'information en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information, entre l'organisation et les autorit\u00e9s l\u00e9gales, r\u00e9glementaires et de surveillance pertinente. La proc\u00e9dure et l'inventaire sont \u00e0 jour il existe des preuves de relation avec les autorit\u00e9s 5.06 Relations avec des groupes de travail sp\u00e9cialis\u00e9s Assurer la circulation ad\u00e9quate de l'information en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information. La proc\u00e9dure et l'inventaire des groupes de sp\u00e9cialistes sont \u00e0 jour. Il existe des preuves de relation avec les groupes de sp\u00e9cialistes. 5.07 Intelligence des menaces Apporter une connaissance de l'environnement des menaces de l'organisation afin que les mesures d'att\u00e9nuation appropri\u00e9es puissent \u00eatre prises. Il existe des sources d'information et des preuves d'analyses 5.08 S\u00e9curit\u00e9 de l'information dans la gestion de projet Assurer que les risques de s\u00e9curit\u00e9 de l'information relatifs aux projets et aux livrables sont trait\u00e9s efficacement dans la gestion de projet, tout au long du cycle de vie du projet. Contr\u00f4ler la prise en consid\u00e9ration de la s\u00e9curit\u00e9 de l'information dans la gestion de projet. 5.09 Inventaire des informations et des autres actifs associ\u00e9s Identifier les informations et autres actifs associ\u00e9s de l'organisation afin de pr\u00e9server leur s\u00e9curit\u00e9 et d'en attribuer la propri\u00e9t\u00e9 de mani\u00e8re appropri\u00e9e. Contr\u00f4ler qu'un inventaire des informations et des autres actifs associ\u00e9s, y compris leurs propri\u00e9taires et tenu et mis \u00e0 jour 5.10 Utilisation correcte de l'information et des autres actifs associ\u00e9s Assurer que les informations et autres actifs associ\u00e9s sont prot\u00e9g\u00e9s, utilis\u00e9s et trait\u00e9s de mani\u00e8re appropri\u00e9e. Contr\u00f4ler l'existence des r\u00e8gles Comparer la date de publication \u00e0 la date du contr\u00f4le 5.11 Restitution des actifs Prot\u00e9ger les actifs de l'organisation dans le cadre du processus du changement ou de la fin de leur emploi, contrat ou accord. Contr\u00f4ler la listes de employ\u00e9s ayant quitt\u00e9 l'organisation et les preuves de restitution des actifs \u00e0 l'organisation. 5.12 Classification de l'information Assurer l'identification et la compr\u00e9hension des besoins de protection de l'information en fonction de son importance pour l'organisation. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure et son contenu compte-tenu du contexte de l'organisation 5.13 Marquage des informations Faciliter la communication de la classification de l'information et appuyer l'automatisation de la gestion et du traitement de l'information. Contr\u00f4ler la proc\u00e9dure de marquege et sa mise en \u0153uvre sur un \u00e9chantillon des informations de l'organisation. 5.14 Transfert de l'information Maintenir la s\u00e9curit\u00e9 de l'information transf\u00e9r\u00e9e au sein de l'organisation et vers toute partie int\u00e9ress\u00e9e externe Contr\u00f4ler la mise place des r\u00e8gles, proc\u00e9dures ou accords de transfert de l'information, l'inventaire des accords concern\u00e9s et les termes des accords. 5.15 Contr\u00f4le d'acc\u00e8s Assurer l'acc\u00e8s autoris\u00e9 et emp\u00eacher l'acc\u00e8s non autoris\u00e9 aux informations et autres actifs associ\u00e9s. Contr\u00f4ler la d\u00e9finition et la mise en oeuvre des r\u00e8gles visant \u00e0 g\u00e9rer l'acc\u00e8s physique et logique \u00e0 l'information et aux autres actifs associ\u00e9s en fonction des exigences m\u00e9tier et de s\u00e9curit\u00e9 de l'information. 5.16 Gestion des identit\u00e9s Permettre l'identification unique des personnes et des syst\u00e8mes qui acc\u00e8dent aux informations et autres actifs associ\u00e9s de l'organisation, et pour permettre l\u2019attribution appropri\u00e9e des droits d'acc\u00e8s. Contr\u00f4ler la gestion du cycle de vie complet des identit\u00e9s. 5.17 Informations d'authentification Assurer l'authentification correcte de l'entit\u00e9 et \u00e9viter les d\u00e9faillances des processus d'authentification. Contr\u00f4ler l'existence et l'application du processus de gestion de l'attribution des informations secr\u00e8tes d'authentification 5.18 Droits d'acc\u00e8s Assurer que l'acc\u00e8s aux informations et aux autres actifs associ\u00e9s est d\u00e9fini et autoris\u00e9 conform\u00e9ment aux exigences m\u00e9tier Contr\u00f4ler l'existence du processus de ma\u00eetrise de la gestion des acc\u00e8s aux utilisateurs, la validit\u00e9 des preuves d'application du processus et la revue des droits d'acc\u00e8s 5.19 S\u00e9curit\u00e9 de l'information dans les relations avec les fournisseurs Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler que les exigences sont document\u00e9es et mises \u00e0 jour et que les mesures sont accept\u00e9es par les fournisseurs 5.20 Prise en compte de la s\u00e9curit\u00e9 de l'information dans les accords conclus avec les fournisseurs Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler que les exigences sont document\u00e9es et mises \u00e0 jour et que les exigences sont convenues avec les fournisseurs 5.21 Management de la s\u00e9curit\u00e9 de l'information dans la cha\u00eene d'approvisionnement TIC Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler les exigences sont document\u00e9es et que les accords conclus contiennent les exigences 5.22 Suivi, revue et gestion des changements des services fournisseurs Maintenir un niveau convenu de s\u00e9curit\u00e9 de l'information et de prestation de services, conform\u00e9ment aux accords conclus avec les fournisseurs. Contr\u00f4ler que l'organisation proc\u00e8de r\u00e9guli\u00e8rement \u00e0 la surveillance, \u00e0 la revue, \u00e0 l'\u00e9valuation et \u00e0 la gestion des changements de pratiques des fournisseurs en mati\u00e8re de s\u00e9curit\u00e9 de l'information et de prestation de services. 5.23 S\u00e9curit\u00e9 de l'information dans l'utilisation de services en nuage Sp\u00e9cifier et g\u00e9rer la s\u00e9curit\u00e9 de l'information lors de l'utilisation de services en nuage. Contr\u00f4ler que les processus d'acquisition, d'utilisation, de management et de cessation des services en nuage sont d\u00e9finis conform\u00e9ment aux exigences de s\u00e9curit\u00e9 de l'information de l'organisation. 5.24 Planification et pr\u00e9paration de la gestion des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Assurer une r\u00e9ponse rapide, efficace, coh\u00e9rente et ordonn\u00e9e aux incidents de s\u00e9curit\u00e9 de l'information, notamment la communication sur les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que les responsabilit\u00e9s dans la gestion des incidents sont d\u00e9finies Contr\u00f4ler que la proc\u00e9dure de gestion des incidents existe et est \u00e0 jour 5.25 Appr\u00e9ciation des \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information et prise de d\u00e9cision Assurer une cat\u00e9gorisation et une priorisation efficaces des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que le processus de s\u00e9lection est appliqu\u00e9 5.26 R\u00e9ponse aux incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Assurer une r\u00e9ponse efficace et effective aux incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que la proc\u00e9dure existe et est \u00e0 jour Contr\u00f4ler que la proc\u00e9dure est suivie 5.27 Tirer des enseignements des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information R\u00e9duire la probabilit\u00e9 ou les cons\u00e9quences des incidents futurs. Contr\u00f4ler l'existence de l'am\u00e9lioration dans la proc\u00e9dure Contr\u00f4ler l'existence de preuve d'am\u00e9lioration 5.28 Recueil de preuves Assurer une gestion coh\u00e9rente et efficace des preuves relatives aux incidents de s\u00e9curit\u00e9 de l'information pour les besoins d'actions judiciaires ou de disciplinaires. Contr\u00f4ler la documentation de la collecte de preuve dans la proc\u00e9dure Contr\u00f4ler l'application de la collecte de preuve 5.29 S\u00e9curit\u00e9 de l'information durant une perturbation Prot\u00e9ger les informations et autres actifs associ\u00e9s pendant une perturbation. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure Contr\u00f4ler les exigences en mati\u00e8re de s\u00e9curit\u00e9 et de continuit\u00e9 5.30 Pr\u00e9paration des TIC pour la continuit\u00e9 d'activit\u00e9 Assurer la disponibilit\u00e9 des informations et autres actifs associ\u00e9s de l'organisation pendant une perturbation. Contr\u00f4ler l'identification des syst\u00e8mes et de leurs objectifs de s\u00e9curit\u00e9 Contr\u00f4ler la r\u00e9alisation de tests de continuit\u00e9 5.31 Identification des exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que l'inventaire est \u00e0 jour et que l'approche est document\u00e9e 5.32 Droits de propri\u00e9t\u00e9 intellectuelle Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives aux droits de propri\u00e9t\u00e9 intellectuelle et \u00e0 l'utilisation de produits propri\u00e9taires. Contr\u00f4ler l'existence de la proc\u00e9dure et sa mise \u00e0 jour et les preuves d'application de la proc\u00e9dure 5.33 Protection des enregistrements Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles, ainsi qu'aux attentes de la soci\u00e9t\u00e9 ou de la communaut\u00e9 relatives \u00e0 la protection et \u00e0 la disponibilit\u00e9 des enregistrements. - Contr\u00f4ler que les mesures respectent les exigences. - Contr\u00f4ler les preuves d'application des mesures - Contr\u00f4ler la mise \u00e0 jour de l'inventaire des sources d'information cl\u00e9 - Contr\u00f4ler la suppression des informations 5.34 Vie priv\u00e9e et protection des DCP Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives aux aspects de la s\u00e9curit\u00e9 de l'information portant sur la protection des DCP. Contr\u00f4ler l'existence et la mise \u00e0 jour de la politique vie priv\u00e9e et l'application des mesures de protection 5.35 Revue ind\u00e9pendante de la s\u00e9curit\u00e9 de l'information S\u2019assurer que l\u2019approche de l\u2019organisation pour g\u00e9rer la s\u00e9curit\u00e9 de l\u2019information est continuellement adapt\u00e9e, ad\u00e9quate et efficace. Contr\u00f4ler que des revues ind\u00e9pendantes de l'approche retenue par l'organisation pour g\u00e9rer et mettre en oeuvre la s\u00e9curit\u00e9 de l'information, y compris des personnes, processus et technologies sont men\u00e9es \u00e0 intervalles d\u00e9finis ou lorsque des changements importants sont intervenus. 5.36 Conformit\u00e9 aux politiques et normes de s\u00e9curit\u00e9 de l'information S\u2019assurer que la s\u00e9curit\u00e9 de l'information est mise en \u0153uvre et fonctionne conform\u00e9ment \u00e0 la politique de s\u00e9curit\u00e9 de l'information, aux politiques sp\u00e9cifiques \u00e0 une th\u00e9matique, aux r\u00e8gles et aux normes de l'organisation. Contr\u00f4ler que la conformit\u00e9 \u00e0 la politique de s\u00e9curit\u00e9 de l'information, aux politiques portant sur des th\u00e8mes et aux normes de l'organisation est v\u00e9rifi\u00e9e r\u00e9guli\u00e8rement. 5.37 Proc\u00e9dures d'exploitation document\u00e9es S'assurer du fonctionnement correct et s\u00e9curis\u00e9 des moyens de traitement de l'information. Contr\u00f4ler l'existence et la mise \u00e0 jour des proc\u00e9dures d'exploitation et la mise \u00e0 disposition des proc\u00e9dures aux utilisateurs concern\u00e9s 6.01 Pr\u00e9s\u00e9lection S'assurer que tous les membres du personnel sont \u00e9ligibles et ad\u00e9quats pour remplir les fonctions pour lesquelles ils sont candidats, et qu'ils le restent tout au long de leur emploi. Contr\u00f4ler l'existence d'une proc\u00e9dure \u00e0 jour et l'existence de preuves d\u2019ex\u00e9cution du processus de s\u00e9lection. 6.02 Conditions g\u00e9n\u00e9rales d'embauche S'assurer que le personnel comprend ses responsabilit\u00e9s en termes de s\u00e9curit\u00e9 de l'information dans le cadre des fonctions que l\u2019organisation envisage de lui confier. Contr\u00f4ler l'existence des termes et preuves de pr\u00e9sence des termes les accords 6.03 Sensibilisation, apprentissage et formation \u00e0 la s\u00e9curit\u00e9 de l'information S'assurer que le personnel et les parties int\u00e9ress\u00e9es pertinentes connaissent et remplissent leurs responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'existence d'un plan de sensibilisation \u00e0 la s\u00e9curit\u00e9 et la participation du personnel \u00e0 des formations 6.04 Processus disciplinaire S'assurer que le personnel et d\u2019autres parties int\u00e9ress\u00e9es pertinentes comprennent les cons\u00e9quences des violations de la politique de s\u00e9curit\u00e9 de l'information, pr\u00e9venir ces violations, et traiter de mani\u00e8re appropri\u00e9e le personnel et d\u2019autres parties int\u00e9ress\u00e9es qui ont commis des violations. Contr\u00f4ler qu'un processus disciplinaire permettant de prendre des mesures \u00e0 l'encontre du personnel et des autres parties int\u00e9ress\u00e9es qui ont commis une violation de la politique de s\u00e9curit\u00e9 de l'information est formalis\u00e9 et de communiqu\u00e9. 6.05 Responsabilit\u00e9s cons\u00e9cutivement \u00e0 la fin ou \u00e0 la modification du contrat de tr Prot\u00e9ger les int\u00e9r\u00eats de l'organisation dans le cadre du processus de changement ou de fin d'un emploi ou d\u2019un contrat. Existence des termes et des preuves d'application 6.06 Engagements de confidentialit\u00e9 ou de non-divulgation Assurer la confidentialit\u00e9 des informations accessibles par le personnel ou des parties externes. Contr\u00f4ler que les exigences sont identifi\u00e9es et document\u00e9es 6.07 Travail \u00e0 distance Assurer la s\u00e9curit\u00e9 des informations lorsque le personnel travaille \u00e0 distance. Contr\u00f4ler l'existence et mise \u00e0 jour des mesures de s\u00e9curit\u00e9 compl\u00e9mentaires et les preuves d'application de ces mesures 6.08 Signalement des \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Permettre la d\u00e9claration des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information qui peuvent \u00eatre identifi\u00e9s par le personnel, de mani\u00e8re rapide, coh\u00e9rente et efficace. Contr\u00f4ler l'existence de la proc\u00e9dure, son application et sa mise \u00e0 jour 7.01 P\u00e9rim\u00e8tre de s\u00e9curit\u00e9 physique Emp\u00eacher l\u2019acc\u00e8s physique non autoris\u00e9, les dommages ou interf\u00e9rences portant sur les informations et autres actifs associ\u00e9s de l'organisation. Contr\u00f4ler que des p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 servant \u00e0 prot\u00e9ger les zones qui contiennent l'information sensible ou critique et les autres actifs associ\u00e9s sont d\u00e9finis. 7.02 Contr\u00f4les physiques des acc\u00e8s Assurer que seul l'acc\u00e8s physique autoris\u00e9 aux informations et autres actifs associ\u00e9s de l'organisation soit possible. Contr\u00f4ler que les zones s\u00e9curis\u00e9es sont prot\u00e9g\u00e9es par des contr\u00f4les ad\u00e9quats \u00e0 l\u2019entr\u00e9e pour s\u2019assurer que seul le personnel autoris\u00e9 est admis. 7.03 S\u00e9curisation des bureaux, des salles et des \u00e9quipements Emp\u00eacher l\u2019acc\u00e8s physique non autoris\u00e9, les dommages et les interf\u00e9rences impactant les informations et autres actifs associ\u00e9s de l'organisation dans les bureaux, salles et installations. Contr\u00f4ler l'inventaire, les mesures de s\u00e9curit\u00e9 et l'application des mesures. 7.04 Surveillance de la s\u00e9curit\u00e9 physique D\u00e9tecter et dissuader l\u2019acc\u00e8s physique non autoris\u00e9. Contr\u00f4ler l'application des mesures de surveillances continue des locaux 7.05 Protection contre les menaces physiques et environnementales Pr\u00e9venir ou r\u00e9duire les cons\u00e9quences des \u00e9v\u00e9nements issus des menaces physiques ou environnementales. Contr\u00f4ler l'inventaire et l'application des mesures. Compter le nombre d'anomalies. 7.06 Travail dans les zones s\u00e9curis\u00e9es Prot\u00e9ger les informations et autres actifs associ\u00e9s dans les zones s\u00e9curis\u00e9es contre tout dommage et contre toutes interf\u00e9rences non autoris\u00e9es par le personnel travaillant dans ces zones. Contr\u00f4ler que les invantaires existent et sont \u00e0 jour. 7.07 Bureau propre et \u00e9cran vide R\u00e9duire les risques d'acc\u00e8s non autoris\u00e9, de perte et d'endommagement des informations sur les bureaux, les \u00e9crans et dans d\u2019autres emplacements accessibles pendant et en dehors des heures normales de travail. Contr\u00f4ler que des r\u00e8gles du bureau propre pour les documents papier et les supports de stockage amovibles, et les r\u00e8gles de l'\u00e9cran vide pour les moyens de traitement de l'information sont d\u00e9finies et d'appliqu\u00e9es. 7.08 Emplacement et protection du mat\u00e9riel R\u00e9duire les risques li\u00e9s \u00e0 des menaces physiques et environnementales, et \u00e0 des acc\u00e8s non autoris\u00e9s et \u00e0 des dommages. Contr\u00f4ler l'inventaire du mat\u00e9riel concern\u00e9 et leurs emplacements. Contr\u00f4ler l'application des mesures de protection. 7.09 S\u00e9curit\u00e9 des actifs hors des locaux Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des terminaux hors du site et l'interruption des activit\u00e9s de l'organisation. Contr\u00f4ler l'application des mesures de s\u00e9curit\u00e9 7.10 Supports de stockage Assurer que seuls la divulgation, la modification, le retrait ou la destruction autoris\u00e9s des informations de l'organisation sur des supports de stockage sont effectu\u00e9s. - Contr\u00f4ler que des proc\u00e9dures de gestion des supports amovibles sont mises en \u0153uvre conform\u00e9ment au plan de classification adopt\u00e9 par l\u2019organisation. - Contr\u00f4ler que les supports qui ne sont plus n\u00e9cessaires sont mis au rebut de mani\u00e8re s\u00e9curis\u00e9e en suivant des proc\u00e9dures formelles. - Contr\u00f4ler que les supports contenant de l\u2019information sont prot\u00e9g\u00e9s contre les acc\u00e8s non autoris\u00e9s, les erreurs d\u2019utilisation et l\u2019alt\u00e9ration lors du transport. 7.11 Services g\u00e9n\u00e9raux Emp\u00eacher la perte, l'endommagement ou la compromission des informations et autres actifs associ\u00e9s, ou l'interruption des activit\u00e9s de l'organisation, caus\u00e9s par les d\u00e9faillances et les perturbations des services supports. Contr\u00f4ler l'inventaire du mat\u00e9riel et l'application des mesures de protection. 7.12 S\u00e9curit\u00e9 du c\u00e2blage Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associ\u00e9s et l'interruption des activit\u00e9s de l'organisation li\u00e9s au c\u00e2blage \u00e9lectrique et de communications. Contr\u00f4ler l'inventaire du c\u00e2blage et l'application des mesures 7.13 Maintenance du mat\u00e9riel Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associ\u00e9s et l'interruption des activit\u00e9s de l'organisation caus\u00e9s par un manque de maintenance. Contr\u00f4ler l'inventaire du mat\u00e9riel concern\u00e9, les mesures d'entretien et l'application des mesures 7.14 Mise au rebut ou recyclage s\u00e9curis\u00e9(e) du mat\u00e9riel \u00c9viter la fuite d'informations \u00e0 partir de mat\u00e9riel \u00e0 \u00e9liminer ou \u00e0 r\u00e9utiliser. Contr\u00f4ler que l'inventaire est \u00e0 jour. Contr\u00f4ler la pr\u00e9sence des preuves d'effacement des donn\u00e9es 8.01 Terminaux utilisateurs Prot\u00e9ger les informations contre les risques li\u00e9s \u00e0 l'utilisation de terminaux finaux des utilisateurs. Contr\u00f4ler que toute information stock\u00e9e sur un terminal utilisateur final, trait\u00e9e par ou accessible via ce type d'appareil et prot\u00e9g\u00e9e. 8.02 Privil\u00e8ges d'acc\u00e8s S'assurer que seuls les utilisateurs, composants logiciels et services autoris\u00e9s sont dot\u00e9s de droits d'acc\u00e8s privil\u00e9gi\u00e9s. Contr\u00f4ler l'existence des restrictions de droits d'acc\u00e8s \u00e0 privil\u00e8ge et l'allocation des doits d'acc\u00e8s \u00e0 privil\u00e8ges 8.03 Restriction d'acc\u00e8s \u00e0 l'information Assurer les acc\u00e8s autoris\u00e9s seulement et emp\u00eacher les acc\u00e8s non autoris\u00e9s aux informations et autres actifs associ\u00e9s. Contr\u00f4ler les restriction d'acc\u00e8s \u00e0 l'information et l'application de ces restriction conform\u00e9ment \u00e0 la politique portant sur le th\u00e8me du contr\u00f4le d'acc\u00e8s. 8.04 Acc\u00e8s au code source Emp\u00eacher l'introduction d'une fonctionnalit\u00e9 non autoris\u00e9e, \u00e9viter les modifications non intentionnelles ou malveillantes et pr\u00e9server la confidentialit\u00e9 de la propri\u00e9t\u00e9 intellectuelle importante. Contr\u00f4ler l'effectivit\u00e9 de la restriction de l'acc\u00e8s au code source des programmes. 8.05 Authentification s\u00e9curis\u00e9e S'assurer qu'un utilisateur ou une entit\u00e9 est authentifi\u00e9 de fa\u00e7on s\u00e9curis\u00e9e lorsque l'acc\u00e8s aux syst\u00e8mes, applications et services lui est accord\u00e9. Contr\u00f4ler l'application des proc\u00e9dures de connexion s\u00e9curis\u00e9e 8.06 Dimensionnement Assurer les besoins en termes de moyens de traitement de l'information, de ressources humaines, de bureaux et autres installations. Contr\u00f4ler l'inventaire des ressources surveill\u00e9es, les preuves de surveillances et les projections effectu\u00e9es 8.07 Protection contre les programmes malveillants S\u2019assurer que les informations et autres actifs associ\u00e9s sont prot\u00e9g\u00e9s contre les programmes malveillants. Contr\u00f4ler l'existence et la mise \u00e0 jour des proc\u00e9dures d'exploitation et la mise \u00e0 disposition des proc\u00e9dures aux utilisateurs concern\u00e9s 8.08 Gestion des vuln\u00e9rabilit\u00e9s techniques Emp\u00eacher l\u2019exploitation des vuln\u00e9rabilit\u00e9s techniques. Contr\u00f4ler que l'inventaire est pertinent, qu'il existe des preuves de v\u00e9rification lees mesures prises 8.09 Gestion de la configuration S'assurer que le mat\u00e9riel, les logiciels, les services et les r\u00e9seaux fonctionnent correctement avec les param\u00e8tres de s\u00e9curit\u00e9 requis, et que la configuration n\u2019est pas alt\u00e9r\u00e9e par des changements non autoris\u00e9s ou incorrects. Contr\u00f4ler que l'inventaire des syst\u00e8mes concern\u00e9s est complet, la documentation de configuration et que des contr\u00f4les sont r\u00e9alis\u00e9s 8.10 Suppression d'information Emp\u00eacher l'exposition inutile des informations sensibles et se conformer aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la suppression d'informations. Contr\u00f4ler l'inventaire des exigences, les informations concern\u00e9es et les preuves de suppression 8.11 Masquage des donn\u00e9es Limiter l'exposition des donn\u00e9es sensibles, y compris les DCP, et se conformer aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure de masquage, la pertinence des donn\u00e9es concern\u00e9es et l'application du masquage 8.12 Pr\u00e9vention de la fuite de donn\u00e9es D\u00e9tecter et emp\u00eacher la divulgation et l'extraction non autoris\u00e9es d'informations par des personnes ou des syst\u00e8mes. - Contr\u00f4ler l'existence et la date de la proc\u00e9dure - Contr\u00f4ler les donn\u00e9es concern\u00e9es - Contr\u00f4ler l'application des mesures 8.13 Sauvegarde des informations Permettre la r\u00e9cup\u00e9ration en cas de perte de donn\u00e9es ou de syst\u00e8mes. - Contr\u00f4ler l'existence et la mise \u00e0 jour de la politique de sauvegarde - Existence des copies de sauvegarde - Tests des copies de sauvegarde 8.14 Redondance des moyens de traitement de l'information S'assurer du fonctionnement continu des moyens de traitement de l'information. Contr\u00f4ler que l'inventaire est \u00e0 jour, les exigences de disponibilit\u00e9 et l'existence de preuves de redondance 8.15 Journalisation Enregistrer les \u00e9v\u00e9nements, g\u00e9n\u00e9rer des preuves, assurer l'int\u00e9grit\u00e9 des informations de journalisation, emp\u00eacher les acc\u00e8s non autoris\u00e9s, identifier les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information qui peuvent engendrer un incident de s\u00e9curit\u00e9 de l'information et assister les investigations. Contr\u00f4ler que les journaux existent et sont \u00e0 jour, les mesures de protection des journaux les capacit\u00e9s de stockage et que l'analyse r\u00e9alis\u00e9e sur ces journaux. 8.16 Activit\u00e9s de surveillance D\u00e9tecter les comportements anormaux et les \u00e9ventuels incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'inventaire des r\u00e9seaux, syst\u00e8mes et application concern\u00e9s, les mesures de d\u00e9tection mises en place et que des \u00e9valuations sont r\u00e9alis\u00e9es ou des incidents g\u00e9n\u00e9r\u00e9s 8.17 Synchronisation des horloges Permettre la corr\u00e9lation et l'analyse d\u2019\u00e9v\u00e9nements de s\u00e9curit\u00e9 et autres donn\u00e9es enregistr\u00e9es, assister les investigations sur les incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'inventaire des horloges, la source temporelle unique utilis\u00e9e et la synchronisation des horloges sur la source 8.18 Utilisation de programmes utilitaires \u00e0 privil\u00e8ges S'assurer que l'utilisation de programmes utilitaires ne nuise pas aux mesures de s\u00e9curit\u00e9 de l'information des syst\u00e8mes et des applications. Contr\u00f4ler l'application des contr\u00f4les sur l'utilisation des programmes utilitaires 8.19 Installation de logiciels sur des syst\u00e8mes en exploitation Assurer l'int\u00e9grit\u00e9 des syst\u00e8mes op\u00e9rationnels et emp\u00eacher l'exploitation des vuln\u00e9rabilit\u00e9s techniques. Contr\u00f4ler l'effectivit\u00e9 de la proc\u00e9dure de contr\u00f4le d'installation 8.20 Mesures li\u00e9es aux r\u00e9seaux Prot\u00e9ger les informations dans les r\u00e9seaux et les moyens de traitement de l'information support contre les compromission via le r\u00e9seau. Contr\u00f4ler que des contr\u00f4les sont en place et que ces contr\u00f4les sont effectifs 8.21 S\u00e9curit\u00e9 des services en r\u00e9seau Assurer la s\u00e9curit\u00e9 lors de l'utilisation des services r\u00e9seau. Contr\u00f4ler que l'inventaire des services de r\u00e9seau concern\u00e9s est complet et \u00e0 jour, que les m\u00e9canismes de s\u00e9curit\u00e9 de niveaux de service et les exigences sont identifi\u00e9s et sont int\u00e9gr\u00e9s dans les accords de service 8.22 Filtrage Internet Diviser le r\u00e9seau en p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 et contr\u00f4ler le trafic entre eux en fonction des besoins m\u00e9tier. Contr\u00f4ler les r\u00e8gles d'acc\u00e8s aux sites web externes et les blocages r\u00e9alis\u00e9s. 8.23 Cloisonnement des r\u00e9seaux Prot\u00e9ger les syst\u00e8mes contre la compromission des programmes malveillants et emp\u00eacher l'acc\u00e8s aux ressources web non autoris\u00e9es. Contr\u00f4ler l'inventaire des groupes de services d'information, d'utilisateurs et de syst\u00e8mes d'information et la mise en place des mesures de cloisonnement r\u00e9seau 8.24 Utilisation de la cryptographie Assurer l\u2019utilisation correcte et efficace de la cryptographie afin de prot\u00e9ger la confidentialit\u00e9, l'authenticit\u00e9 ou l'int\u00e9grit\u00e9 des informations conform\u00e9ment aux exigences m\u00e9tier et de s\u00e9curit\u00e9 de l'information, et en tenant compte des exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la cryptographie. Contr\u00f4les les r\u00e8gles d'utilisation des mesures de cryptographie, leur \u00e9laboration et leur mise en \u0153uvre ainsi que les cl\u00e9s et algorithmes cryptographiqes utilis\u00e9s. 8.25 Cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 S'assurer que la s\u00e9curit\u00e9 de l'information est con\u00e7ue et mise en \u0153uvre au cours du cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 des logiciels et des syst\u00e8mes. Contr\u00f4ler l'existence des r\u00e8gles de d\u00e9veloppement, leur mise \u00e0 jour et l'application des r\u00e8gles de d\u00e9veloppement 8.26 Exigences de s\u00e9curit\u00e9 des applications S'assurer que toutes les exigences de s\u00e9curit\u00e9 de l'information sont identifi\u00e9es et trait\u00e9es lors du d\u00e9veloppement ou de l\u2019acquisition d'applications. Contr\u00f4ler l'inventaire des services r\u00e9seau et l'effectivit\u00e9 des mesures contre les activit\u00e9s frauduleuses, les diff\u00e9rents contractuels, ainsi que la divulgation et la modification non autoris\u00e9es. 8.27 Principes d'ing\u00e9nierie et d'architecture syst\u00e8me s\u00e9curis\u00e9e S'assurer que les syst\u00e8mes d'information sont con\u00e7us, mis en \u0153uvre et exploit\u00e9s de mani\u00e8re s\u00e9curis\u00e9e au cours du cycle de vie de d\u00e9veloppement. Contr\u00f4ler que les principes d'ing\u00e9nierie sont \u00e9tablis et mis \u00e0 jour et que ces principes sont appliqu\u00e9s dans les travaux de mise en ouvre des syst\u00e8mes d'information 8.28 Codage s\u00e9curis\u00e9 S'assurer que les logiciels sont d\u00e9velopp\u00e9s de mani\u00e8re s\u00e9curis\u00e9e afin de r\u00e9duire le nombre d\u2019\u00e9ventuelles vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de l'information dans les logiciels. Contr\u00f4ler l'inventaire des d\u00e9veloppements r\u00e9alis\u00e9s et l'application de r\u00e8gles de codage 8.29 Tests de s\u00e9curit\u00e9 dans le d\u00e9veloppement et l'acceptation Valider le respect des exigences de s\u00e9curit\u00e9 de l'information lorsque des applications ou des codes sont d\u00e9ploy\u00e9s dans l'environnement . Contr\u00f4ler que des tests sont r\u00e9alis\u00e9s sur les nouveaux syst\u00e8mes, lors de mise ) jour er sur les nouvelles versions 8.30 D\u00e9veloppement externalis\u00e9 S'assurer que les mesures de s\u00e9curit\u00e9 de l'information requises par l'organisation sont mises en \u0153uvre dans le cadre du d\u00e9veloppement externalis\u00e9 des syst\u00e8mes. Contr\u00f4ler que des contr\u00f4les sont r\u00e9alis\u00e9s sur les d\u00e9veloppements externalis\u00e9s. 8.31 S\u00e9paration des environnements de d\u00e9veloppement, de test et de production Prot\u00e9ger l'environnement op\u00e9rationnel et les donn\u00e9es correspondantes contre les compromissions qui pourraient \u00eatre dues aux activit\u00e9s de d\u00e9veloppement et de test. Contr\u00f4ler la pr\u00e9sence des environnements pour chaque application et l'effectivit\u00e9 de la s\u00e9paration des environnements 8.32 Gestion des changements Pr\u00e9server la s\u00e9curit\u00e9 de l'information lors de l'ex\u00e9cution des changements. Contr\u00f4ler la proc\u00e9dure gestion des changements, sa mise \u00e0 jour et les changements r\u00e9alis\u00e9s suivent la proc\u00e9dure 8.33 Informations relatives aux tests Assurer la pertinence des tests et la protection des informations op\u00e9rationnelles utilis\u00e9es pour les tests. Contr\u00f4ler l'application des mesures de protection aux donn\u00e9es de test 8.34 Protection des syst\u00e8mes d'information en cours d'audit et de test Minimiser l'impact des activit\u00e9s d'audit et autres activit\u00e9s d'assurance sur les syst\u00e8mes op\u00e9rationnels et les processus m\u00e9tier. Contr\u00f4ler les exigences, la pr\u00e9vision et la validation des activit\u00e9s et l\u2019existence de perturbations engendr\u00e9es par ces v\u00e9rifications","title":"Annexe"},{"location":"annexe.fr/#annexe","text":"Liste des contr\u00f4les de la norme ISO 27001:2022. Clause Nom Description Contr\u00f4le 5.01 Politiques de s\u00e9curit\u00e9 de l'information Assurer de mani\u00e8re continue la pertinence, l'ad\u00e9quation, l'efficacit\u00e9 des orientations de la direction et de son soutien \u00e0 la s\u00e9curit\u00e9 de l'information selon les exigences m\u00e9tier, l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles. Contr\u00f4ler l'existence de l'ensemble des politiques de s\u00e9curit\u00e9, leur valid\u00e9, leur diffusion et communication aux salari\u00e9s et aux tiers concern\u00e9s. 5.02 Fonctions et responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information \u00c9tablir une structure d\u00e9finie, approuv\u00e9e et comprise pour la mise en \u0153uvre, le fonctionnement et la gestion de la s\u00e9curit\u00e9 de l'information au sein de l'organisation. Contr\u00f4ler la d\u00e9finition et l'attribution des fonctions et responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information selon les besoins de l'organisation. 5.03 S\u00e9paration des t\u00e2ches R\u00e9duire le risque de fraude, d'erreur et de contournement des mesures de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que les t\u00e2ches et domaines de responsabilit\u00e9 incompatibles sont s\u00e9par\u00e9s 5.04 Responsabilit\u00e9s de la direction S\u2019assurer que la direction comprend son r\u00f4le en mati\u00e8re de s\u00e9curit\u00e9 de l'information et qu'elle entreprend des actions visant \u00e0 garantir que tout le personnel est conscient de ses responsabilit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l'information et qu'il les m\u00e8ne \u00e0 bien. Contr\u00f4ler l'existence d'une communication de la direction sur l'importance de la s\u00e9curit\u00e9 de l'information. 5.05 Relations avec les autorit\u00e9s Assurer la circulation ad\u00e9quate de l'information en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information, entre l'organisation et les autorit\u00e9s l\u00e9gales, r\u00e9glementaires et de surveillance pertinente. La proc\u00e9dure et l'inventaire sont \u00e0 jour il existe des preuves de relation avec les autorit\u00e9s 5.06 Relations avec des groupes de travail sp\u00e9cialis\u00e9s Assurer la circulation ad\u00e9quate de l'information en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information. La proc\u00e9dure et l'inventaire des groupes de sp\u00e9cialistes sont \u00e0 jour. Il existe des preuves de relation avec les groupes de sp\u00e9cialistes. 5.07 Intelligence des menaces Apporter une connaissance de l'environnement des menaces de l'organisation afin que les mesures d'att\u00e9nuation appropri\u00e9es puissent \u00eatre prises. Il existe des sources d'information et des preuves d'analyses 5.08 S\u00e9curit\u00e9 de l'information dans la gestion de projet Assurer que les risques de s\u00e9curit\u00e9 de l'information relatifs aux projets et aux livrables sont trait\u00e9s efficacement dans la gestion de projet, tout au long du cycle de vie du projet. Contr\u00f4ler la prise en consid\u00e9ration de la s\u00e9curit\u00e9 de l'information dans la gestion de projet. 5.09 Inventaire des informations et des autres actifs associ\u00e9s Identifier les informations et autres actifs associ\u00e9s de l'organisation afin de pr\u00e9server leur s\u00e9curit\u00e9 et d'en attribuer la propri\u00e9t\u00e9 de mani\u00e8re appropri\u00e9e. Contr\u00f4ler qu'un inventaire des informations et des autres actifs associ\u00e9s, y compris leurs propri\u00e9taires et tenu et mis \u00e0 jour 5.10 Utilisation correcte de l'information et des autres actifs associ\u00e9s Assurer que les informations et autres actifs associ\u00e9s sont prot\u00e9g\u00e9s, utilis\u00e9s et trait\u00e9s de mani\u00e8re appropri\u00e9e. Contr\u00f4ler l'existence des r\u00e8gles Comparer la date de publication \u00e0 la date du contr\u00f4le 5.11 Restitution des actifs Prot\u00e9ger les actifs de l'organisation dans le cadre du processus du changement ou de la fin de leur emploi, contrat ou accord. Contr\u00f4ler la listes de employ\u00e9s ayant quitt\u00e9 l'organisation et les preuves de restitution des actifs \u00e0 l'organisation. 5.12 Classification de l'information Assurer l'identification et la compr\u00e9hension des besoins de protection de l'information en fonction de son importance pour l'organisation. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure et son contenu compte-tenu du contexte de l'organisation 5.13 Marquage des informations Faciliter la communication de la classification de l'information et appuyer l'automatisation de la gestion et du traitement de l'information. Contr\u00f4ler la proc\u00e9dure de marquege et sa mise en \u0153uvre sur un \u00e9chantillon des informations de l'organisation. 5.14 Transfert de l'information Maintenir la s\u00e9curit\u00e9 de l'information transf\u00e9r\u00e9e au sein de l'organisation et vers toute partie int\u00e9ress\u00e9e externe Contr\u00f4ler la mise place des r\u00e8gles, proc\u00e9dures ou accords de transfert de l'information, l'inventaire des accords concern\u00e9s et les termes des accords. 5.15 Contr\u00f4le d'acc\u00e8s Assurer l'acc\u00e8s autoris\u00e9 et emp\u00eacher l'acc\u00e8s non autoris\u00e9 aux informations et autres actifs associ\u00e9s. Contr\u00f4ler la d\u00e9finition et la mise en oeuvre des r\u00e8gles visant \u00e0 g\u00e9rer l'acc\u00e8s physique et logique \u00e0 l'information et aux autres actifs associ\u00e9s en fonction des exigences m\u00e9tier et de s\u00e9curit\u00e9 de l'information. 5.16 Gestion des identit\u00e9s Permettre l'identification unique des personnes et des syst\u00e8mes qui acc\u00e8dent aux informations et autres actifs associ\u00e9s de l'organisation, et pour permettre l\u2019attribution appropri\u00e9e des droits d'acc\u00e8s. Contr\u00f4ler la gestion du cycle de vie complet des identit\u00e9s. 5.17 Informations d'authentification Assurer l'authentification correcte de l'entit\u00e9 et \u00e9viter les d\u00e9faillances des processus d'authentification. Contr\u00f4ler l'existence et l'application du processus de gestion de l'attribution des informations secr\u00e8tes d'authentification 5.18 Droits d'acc\u00e8s Assurer que l'acc\u00e8s aux informations et aux autres actifs associ\u00e9s est d\u00e9fini et autoris\u00e9 conform\u00e9ment aux exigences m\u00e9tier Contr\u00f4ler l'existence du processus de ma\u00eetrise de la gestion des acc\u00e8s aux utilisateurs, la validit\u00e9 des preuves d'application du processus et la revue des droits d'acc\u00e8s 5.19 S\u00e9curit\u00e9 de l'information dans les relations avec les fournisseurs Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler que les exigences sont document\u00e9es et mises \u00e0 jour et que les mesures sont accept\u00e9es par les fournisseurs 5.20 Prise en compte de la s\u00e9curit\u00e9 de l'information dans les accords conclus avec les fournisseurs Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler que les exigences sont document\u00e9es et mises \u00e0 jour et que les exigences sont convenues avec les fournisseurs 5.21 Management de la s\u00e9curit\u00e9 de l'information dans la cha\u00eene d'approvisionnement TIC Maintenir le niveau de s\u00e9curit\u00e9 de l'information convenu dans les relations avec les fournisseurs. Contr\u00f4ler les exigences sont document\u00e9es et que les accords conclus contiennent les exigences 5.22 Suivi, revue et gestion des changements des services fournisseurs Maintenir un niveau convenu de s\u00e9curit\u00e9 de l'information et de prestation de services, conform\u00e9ment aux accords conclus avec les fournisseurs. Contr\u00f4ler que l'organisation proc\u00e8de r\u00e9guli\u00e8rement \u00e0 la surveillance, \u00e0 la revue, \u00e0 l'\u00e9valuation et \u00e0 la gestion des changements de pratiques des fournisseurs en mati\u00e8re de s\u00e9curit\u00e9 de l'information et de prestation de services. 5.23 S\u00e9curit\u00e9 de l'information dans l'utilisation de services en nuage Sp\u00e9cifier et g\u00e9rer la s\u00e9curit\u00e9 de l'information lors de l'utilisation de services en nuage. Contr\u00f4ler que les processus d'acquisition, d'utilisation, de management et de cessation des services en nuage sont d\u00e9finis conform\u00e9ment aux exigences de s\u00e9curit\u00e9 de l'information de l'organisation. 5.24 Planification et pr\u00e9paration de la gestion des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Assurer une r\u00e9ponse rapide, efficace, coh\u00e9rente et ordonn\u00e9e aux incidents de s\u00e9curit\u00e9 de l'information, notamment la communication sur les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que les responsabilit\u00e9s dans la gestion des incidents sont d\u00e9finies Contr\u00f4ler que la proc\u00e9dure de gestion des incidents existe et est \u00e0 jour 5.25 Appr\u00e9ciation des \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information et prise de d\u00e9cision Assurer une cat\u00e9gorisation et une priorisation efficaces des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que le processus de s\u00e9lection est appliqu\u00e9 5.26 R\u00e9ponse aux incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Assurer une r\u00e9ponse efficace et effective aux incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que la proc\u00e9dure existe et est \u00e0 jour Contr\u00f4ler que la proc\u00e9dure est suivie 5.27 Tirer des enseignements des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information R\u00e9duire la probabilit\u00e9 ou les cons\u00e9quences des incidents futurs. Contr\u00f4ler l'existence de l'am\u00e9lioration dans la proc\u00e9dure Contr\u00f4ler l'existence de preuve d'am\u00e9lioration 5.28 Recueil de preuves Assurer une gestion coh\u00e9rente et efficace des preuves relatives aux incidents de s\u00e9curit\u00e9 de l'information pour les besoins d'actions judiciaires ou de disciplinaires. Contr\u00f4ler la documentation de la collecte de preuve dans la proc\u00e9dure Contr\u00f4ler l'application de la collecte de preuve 5.29 S\u00e9curit\u00e9 de l'information durant une perturbation Prot\u00e9ger les informations et autres actifs associ\u00e9s pendant une perturbation. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure Contr\u00f4ler les exigences en mati\u00e8re de s\u00e9curit\u00e9 et de continuit\u00e9 5.30 Pr\u00e9paration des TIC pour la continuit\u00e9 d'activit\u00e9 Assurer la disponibilit\u00e9 des informations et autres actifs associ\u00e9s de l'organisation pendant une perturbation. Contr\u00f4ler l'identification des syst\u00e8mes et de leurs objectifs de s\u00e9curit\u00e9 Contr\u00f4ler la r\u00e9alisation de tests de continuit\u00e9 5.31 Identification des exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la s\u00e9curit\u00e9 de l'information. Contr\u00f4ler que l'inventaire est \u00e0 jour et que l'approche est document\u00e9e 5.32 Droits de propri\u00e9t\u00e9 intellectuelle Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives aux droits de propri\u00e9t\u00e9 intellectuelle et \u00e0 l'utilisation de produits propri\u00e9taires. Contr\u00f4ler l'existence de la proc\u00e9dure et sa mise \u00e0 jour et les preuves d'application de la proc\u00e9dure 5.33 Protection des enregistrements Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles, ainsi qu'aux attentes de la soci\u00e9t\u00e9 ou de la communaut\u00e9 relatives \u00e0 la protection et \u00e0 la disponibilit\u00e9 des enregistrements. - Contr\u00f4ler que les mesures respectent les exigences. - Contr\u00f4ler les preuves d'application des mesures - Contr\u00f4ler la mise \u00e0 jour de l'inventaire des sources d'information cl\u00e9 - Contr\u00f4ler la suppression des informations 5.34 Vie priv\u00e9e et protection des DCP Assurer la conformit\u00e9 aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives aux aspects de la s\u00e9curit\u00e9 de l'information portant sur la protection des DCP. Contr\u00f4ler l'existence et la mise \u00e0 jour de la politique vie priv\u00e9e et l'application des mesures de protection 5.35 Revue ind\u00e9pendante de la s\u00e9curit\u00e9 de l'information S\u2019assurer que l\u2019approche de l\u2019organisation pour g\u00e9rer la s\u00e9curit\u00e9 de l\u2019information est continuellement adapt\u00e9e, ad\u00e9quate et efficace. Contr\u00f4ler que des revues ind\u00e9pendantes de l'approche retenue par l'organisation pour g\u00e9rer et mettre en oeuvre la s\u00e9curit\u00e9 de l'information, y compris des personnes, processus et technologies sont men\u00e9es \u00e0 intervalles d\u00e9finis ou lorsque des changements importants sont intervenus. 5.36 Conformit\u00e9 aux politiques et normes de s\u00e9curit\u00e9 de l'information S\u2019assurer que la s\u00e9curit\u00e9 de l'information est mise en \u0153uvre et fonctionne conform\u00e9ment \u00e0 la politique de s\u00e9curit\u00e9 de l'information, aux politiques sp\u00e9cifiques \u00e0 une th\u00e9matique, aux r\u00e8gles et aux normes de l'organisation. Contr\u00f4ler que la conformit\u00e9 \u00e0 la politique de s\u00e9curit\u00e9 de l'information, aux politiques portant sur des th\u00e8mes et aux normes de l'organisation est v\u00e9rifi\u00e9e r\u00e9guli\u00e8rement. 5.37 Proc\u00e9dures d'exploitation document\u00e9es S'assurer du fonctionnement correct et s\u00e9curis\u00e9 des moyens de traitement de l'information. Contr\u00f4ler l'existence et la mise \u00e0 jour des proc\u00e9dures d'exploitation et la mise \u00e0 disposition des proc\u00e9dures aux utilisateurs concern\u00e9s 6.01 Pr\u00e9s\u00e9lection S'assurer que tous les membres du personnel sont \u00e9ligibles et ad\u00e9quats pour remplir les fonctions pour lesquelles ils sont candidats, et qu'ils le restent tout au long de leur emploi. Contr\u00f4ler l'existence d'une proc\u00e9dure \u00e0 jour et l'existence de preuves d\u2019ex\u00e9cution du processus de s\u00e9lection. 6.02 Conditions g\u00e9n\u00e9rales d'embauche S'assurer que le personnel comprend ses responsabilit\u00e9s en termes de s\u00e9curit\u00e9 de l'information dans le cadre des fonctions que l\u2019organisation envisage de lui confier. Contr\u00f4ler l'existence des termes et preuves de pr\u00e9sence des termes les accords 6.03 Sensibilisation, apprentissage et formation \u00e0 la s\u00e9curit\u00e9 de l'information S'assurer que le personnel et les parties int\u00e9ress\u00e9es pertinentes connaissent et remplissent leurs responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'existence d'un plan de sensibilisation \u00e0 la s\u00e9curit\u00e9 et la participation du personnel \u00e0 des formations 6.04 Processus disciplinaire S'assurer que le personnel et d\u2019autres parties int\u00e9ress\u00e9es pertinentes comprennent les cons\u00e9quences des violations de la politique de s\u00e9curit\u00e9 de l'information, pr\u00e9venir ces violations, et traiter de mani\u00e8re appropri\u00e9e le personnel et d\u2019autres parties int\u00e9ress\u00e9es qui ont commis des violations. Contr\u00f4ler qu'un processus disciplinaire permettant de prendre des mesures \u00e0 l'encontre du personnel et des autres parties int\u00e9ress\u00e9es qui ont commis une violation de la politique de s\u00e9curit\u00e9 de l'information est formalis\u00e9 et de communiqu\u00e9. 6.05 Responsabilit\u00e9s cons\u00e9cutivement \u00e0 la fin ou \u00e0 la modification du contrat de tr Prot\u00e9ger les int\u00e9r\u00eats de l'organisation dans le cadre du processus de changement ou de fin d'un emploi ou d\u2019un contrat. Existence des termes et des preuves d'application 6.06 Engagements de confidentialit\u00e9 ou de non-divulgation Assurer la confidentialit\u00e9 des informations accessibles par le personnel ou des parties externes. Contr\u00f4ler que les exigences sont identifi\u00e9es et document\u00e9es 6.07 Travail \u00e0 distance Assurer la s\u00e9curit\u00e9 des informations lorsque le personnel travaille \u00e0 distance. Contr\u00f4ler l'existence et mise \u00e0 jour des mesures de s\u00e9curit\u00e9 compl\u00e9mentaires et les preuves d'application de ces mesures 6.08 Signalement des \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l'information Permettre la d\u00e9claration des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information qui peuvent \u00eatre identifi\u00e9s par le personnel, de mani\u00e8re rapide, coh\u00e9rente et efficace. Contr\u00f4ler l'existence de la proc\u00e9dure, son application et sa mise \u00e0 jour 7.01 P\u00e9rim\u00e8tre de s\u00e9curit\u00e9 physique Emp\u00eacher l\u2019acc\u00e8s physique non autoris\u00e9, les dommages ou interf\u00e9rences portant sur les informations et autres actifs associ\u00e9s de l'organisation. Contr\u00f4ler que des p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 servant \u00e0 prot\u00e9ger les zones qui contiennent l'information sensible ou critique et les autres actifs associ\u00e9s sont d\u00e9finis. 7.02 Contr\u00f4les physiques des acc\u00e8s Assurer que seul l'acc\u00e8s physique autoris\u00e9 aux informations et autres actifs associ\u00e9s de l'organisation soit possible. Contr\u00f4ler que les zones s\u00e9curis\u00e9es sont prot\u00e9g\u00e9es par des contr\u00f4les ad\u00e9quats \u00e0 l\u2019entr\u00e9e pour s\u2019assurer que seul le personnel autoris\u00e9 est admis. 7.03 S\u00e9curisation des bureaux, des salles et des \u00e9quipements Emp\u00eacher l\u2019acc\u00e8s physique non autoris\u00e9, les dommages et les interf\u00e9rences impactant les informations et autres actifs associ\u00e9s de l'organisation dans les bureaux, salles et installations. Contr\u00f4ler l'inventaire, les mesures de s\u00e9curit\u00e9 et l'application des mesures. 7.04 Surveillance de la s\u00e9curit\u00e9 physique D\u00e9tecter et dissuader l\u2019acc\u00e8s physique non autoris\u00e9. Contr\u00f4ler l'application des mesures de surveillances continue des locaux 7.05 Protection contre les menaces physiques et environnementales Pr\u00e9venir ou r\u00e9duire les cons\u00e9quences des \u00e9v\u00e9nements issus des menaces physiques ou environnementales. Contr\u00f4ler l'inventaire et l'application des mesures. Compter le nombre d'anomalies. 7.06 Travail dans les zones s\u00e9curis\u00e9es Prot\u00e9ger les informations et autres actifs associ\u00e9s dans les zones s\u00e9curis\u00e9es contre tout dommage et contre toutes interf\u00e9rences non autoris\u00e9es par le personnel travaillant dans ces zones. Contr\u00f4ler que les invantaires existent et sont \u00e0 jour. 7.07 Bureau propre et \u00e9cran vide R\u00e9duire les risques d'acc\u00e8s non autoris\u00e9, de perte et d'endommagement des informations sur les bureaux, les \u00e9crans et dans d\u2019autres emplacements accessibles pendant et en dehors des heures normales de travail. Contr\u00f4ler que des r\u00e8gles du bureau propre pour les documents papier et les supports de stockage amovibles, et les r\u00e8gles de l'\u00e9cran vide pour les moyens de traitement de l'information sont d\u00e9finies et d'appliqu\u00e9es. 7.08 Emplacement et protection du mat\u00e9riel R\u00e9duire les risques li\u00e9s \u00e0 des menaces physiques et environnementales, et \u00e0 des acc\u00e8s non autoris\u00e9s et \u00e0 des dommages. Contr\u00f4ler l'inventaire du mat\u00e9riel concern\u00e9 et leurs emplacements. Contr\u00f4ler l'application des mesures de protection. 7.09 S\u00e9curit\u00e9 des actifs hors des locaux Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des terminaux hors du site et l'interruption des activit\u00e9s de l'organisation. Contr\u00f4ler l'application des mesures de s\u00e9curit\u00e9 7.10 Supports de stockage Assurer que seuls la divulgation, la modification, le retrait ou la destruction autoris\u00e9s des informations de l'organisation sur des supports de stockage sont effectu\u00e9s. - Contr\u00f4ler que des proc\u00e9dures de gestion des supports amovibles sont mises en \u0153uvre conform\u00e9ment au plan de classification adopt\u00e9 par l\u2019organisation. - Contr\u00f4ler que les supports qui ne sont plus n\u00e9cessaires sont mis au rebut de mani\u00e8re s\u00e9curis\u00e9e en suivant des proc\u00e9dures formelles. - Contr\u00f4ler que les supports contenant de l\u2019information sont prot\u00e9g\u00e9s contre les acc\u00e8s non autoris\u00e9s, les erreurs d\u2019utilisation et l\u2019alt\u00e9ration lors du transport. 7.11 Services g\u00e9n\u00e9raux Emp\u00eacher la perte, l'endommagement ou la compromission des informations et autres actifs associ\u00e9s, ou l'interruption des activit\u00e9s de l'organisation, caus\u00e9s par les d\u00e9faillances et les perturbations des services supports. Contr\u00f4ler l'inventaire du mat\u00e9riel et l'application des mesures de protection. 7.12 S\u00e9curit\u00e9 du c\u00e2blage Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associ\u00e9s et l'interruption des activit\u00e9s de l'organisation li\u00e9s au c\u00e2blage \u00e9lectrique et de communications. Contr\u00f4ler l'inventaire du c\u00e2blage et l'application des mesures 7.13 Maintenance du mat\u00e9riel Emp\u00eacher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs associ\u00e9s et l'interruption des activit\u00e9s de l'organisation caus\u00e9s par un manque de maintenance. Contr\u00f4ler l'inventaire du mat\u00e9riel concern\u00e9, les mesures d'entretien et l'application des mesures 7.14 Mise au rebut ou recyclage s\u00e9curis\u00e9(e) du mat\u00e9riel \u00c9viter la fuite d'informations \u00e0 partir de mat\u00e9riel \u00e0 \u00e9liminer ou \u00e0 r\u00e9utiliser. Contr\u00f4ler que l'inventaire est \u00e0 jour. Contr\u00f4ler la pr\u00e9sence des preuves d'effacement des donn\u00e9es 8.01 Terminaux utilisateurs Prot\u00e9ger les informations contre les risques li\u00e9s \u00e0 l'utilisation de terminaux finaux des utilisateurs. Contr\u00f4ler que toute information stock\u00e9e sur un terminal utilisateur final, trait\u00e9e par ou accessible via ce type d'appareil et prot\u00e9g\u00e9e. 8.02 Privil\u00e8ges d'acc\u00e8s S'assurer que seuls les utilisateurs, composants logiciels et services autoris\u00e9s sont dot\u00e9s de droits d'acc\u00e8s privil\u00e9gi\u00e9s. Contr\u00f4ler l'existence des restrictions de droits d'acc\u00e8s \u00e0 privil\u00e8ge et l'allocation des doits d'acc\u00e8s \u00e0 privil\u00e8ges 8.03 Restriction d'acc\u00e8s \u00e0 l'information Assurer les acc\u00e8s autoris\u00e9s seulement et emp\u00eacher les acc\u00e8s non autoris\u00e9s aux informations et autres actifs associ\u00e9s. Contr\u00f4ler les restriction d'acc\u00e8s \u00e0 l'information et l'application de ces restriction conform\u00e9ment \u00e0 la politique portant sur le th\u00e8me du contr\u00f4le d'acc\u00e8s. 8.04 Acc\u00e8s au code source Emp\u00eacher l'introduction d'une fonctionnalit\u00e9 non autoris\u00e9e, \u00e9viter les modifications non intentionnelles ou malveillantes et pr\u00e9server la confidentialit\u00e9 de la propri\u00e9t\u00e9 intellectuelle importante. Contr\u00f4ler l'effectivit\u00e9 de la restriction de l'acc\u00e8s au code source des programmes. 8.05 Authentification s\u00e9curis\u00e9e S'assurer qu'un utilisateur ou une entit\u00e9 est authentifi\u00e9 de fa\u00e7on s\u00e9curis\u00e9e lorsque l'acc\u00e8s aux syst\u00e8mes, applications et services lui est accord\u00e9. Contr\u00f4ler l'application des proc\u00e9dures de connexion s\u00e9curis\u00e9e 8.06 Dimensionnement Assurer les besoins en termes de moyens de traitement de l'information, de ressources humaines, de bureaux et autres installations. Contr\u00f4ler l'inventaire des ressources surveill\u00e9es, les preuves de surveillances et les projections effectu\u00e9es 8.07 Protection contre les programmes malveillants S\u2019assurer que les informations et autres actifs associ\u00e9s sont prot\u00e9g\u00e9s contre les programmes malveillants. Contr\u00f4ler l'existence et la mise \u00e0 jour des proc\u00e9dures d'exploitation et la mise \u00e0 disposition des proc\u00e9dures aux utilisateurs concern\u00e9s 8.08 Gestion des vuln\u00e9rabilit\u00e9s techniques Emp\u00eacher l\u2019exploitation des vuln\u00e9rabilit\u00e9s techniques. Contr\u00f4ler que l'inventaire est pertinent, qu'il existe des preuves de v\u00e9rification lees mesures prises 8.09 Gestion de la configuration S'assurer que le mat\u00e9riel, les logiciels, les services et les r\u00e9seaux fonctionnent correctement avec les param\u00e8tres de s\u00e9curit\u00e9 requis, et que la configuration n\u2019est pas alt\u00e9r\u00e9e par des changements non autoris\u00e9s ou incorrects. Contr\u00f4ler que l'inventaire des syst\u00e8mes concern\u00e9s est complet, la documentation de configuration et que des contr\u00f4les sont r\u00e9alis\u00e9s 8.10 Suppression d'information Emp\u00eacher l'exposition inutile des informations sensibles et se conformer aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la suppression d'informations. Contr\u00f4ler l'inventaire des exigences, les informations concern\u00e9es et les preuves de suppression 8.11 Masquage des donn\u00e9es Limiter l'exposition des donn\u00e9es sensibles, y compris les DCP, et se conformer aux exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles. Contr\u00f4ler l'existence et la mise \u00e0 jour de la proc\u00e9dure de masquage, la pertinence des donn\u00e9es concern\u00e9es et l'application du masquage 8.12 Pr\u00e9vention de la fuite de donn\u00e9es D\u00e9tecter et emp\u00eacher la divulgation et l'extraction non autoris\u00e9es d'informations par des personnes ou des syst\u00e8mes. - Contr\u00f4ler l'existence et la date de la proc\u00e9dure - Contr\u00f4ler les donn\u00e9es concern\u00e9es - Contr\u00f4ler l'application des mesures 8.13 Sauvegarde des informations Permettre la r\u00e9cup\u00e9ration en cas de perte de donn\u00e9es ou de syst\u00e8mes. - Contr\u00f4ler l'existence et la mise \u00e0 jour de la politique de sauvegarde - Existence des copies de sauvegarde - Tests des copies de sauvegarde 8.14 Redondance des moyens de traitement de l'information S'assurer du fonctionnement continu des moyens de traitement de l'information. Contr\u00f4ler que l'inventaire est \u00e0 jour, les exigences de disponibilit\u00e9 et l'existence de preuves de redondance 8.15 Journalisation Enregistrer les \u00e9v\u00e9nements, g\u00e9n\u00e9rer des preuves, assurer l'int\u00e9grit\u00e9 des informations de journalisation, emp\u00eacher les acc\u00e8s non autoris\u00e9s, identifier les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l'information qui peuvent engendrer un incident de s\u00e9curit\u00e9 de l'information et assister les investigations. Contr\u00f4ler que les journaux existent et sont \u00e0 jour, les mesures de protection des journaux les capacit\u00e9s de stockage et que l'analyse r\u00e9alis\u00e9e sur ces journaux. 8.16 Activit\u00e9s de surveillance D\u00e9tecter les comportements anormaux et les \u00e9ventuels incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'inventaire des r\u00e9seaux, syst\u00e8mes et application concern\u00e9s, les mesures de d\u00e9tection mises en place et que des \u00e9valuations sont r\u00e9alis\u00e9es ou des incidents g\u00e9n\u00e9r\u00e9s 8.17 Synchronisation des horloges Permettre la corr\u00e9lation et l'analyse d\u2019\u00e9v\u00e9nements de s\u00e9curit\u00e9 et autres donn\u00e9es enregistr\u00e9es, assister les investigations sur les incidents de s\u00e9curit\u00e9 de l'information. Contr\u00f4ler l'inventaire des horloges, la source temporelle unique utilis\u00e9e et la synchronisation des horloges sur la source 8.18 Utilisation de programmes utilitaires \u00e0 privil\u00e8ges S'assurer que l'utilisation de programmes utilitaires ne nuise pas aux mesures de s\u00e9curit\u00e9 de l'information des syst\u00e8mes et des applications. Contr\u00f4ler l'application des contr\u00f4les sur l'utilisation des programmes utilitaires 8.19 Installation de logiciels sur des syst\u00e8mes en exploitation Assurer l'int\u00e9grit\u00e9 des syst\u00e8mes op\u00e9rationnels et emp\u00eacher l'exploitation des vuln\u00e9rabilit\u00e9s techniques. Contr\u00f4ler l'effectivit\u00e9 de la proc\u00e9dure de contr\u00f4le d'installation 8.20 Mesures li\u00e9es aux r\u00e9seaux Prot\u00e9ger les informations dans les r\u00e9seaux et les moyens de traitement de l'information support contre les compromission via le r\u00e9seau. Contr\u00f4ler que des contr\u00f4les sont en place et que ces contr\u00f4les sont effectifs 8.21 S\u00e9curit\u00e9 des services en r\u00e9seau Assurer la s\u00e9curit\u00e9 lors de l'utilisation des services r\u00e9seau. Contr\u00f4ler que l'inventaire des services de r\u00e9seau concern\u00e9s est complet et \u00e0 jour, que les m\u00e9canismes de s\u00e9curit\u00e9 de niveaux de service et les exigences sont identifi\u00e9s et sont int\u00e9gr\u00e9s dans les accords de service 8.22 Filtrage Internet Diviser le r\u00e9seau en p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 et contr\u00f4ler le trafic entre eux en fonction des besoins m\u00e9tier. Contr\u00f4ler les r\u00e8gles d'acc\u00e8s aux sites web externes et les blocages r\u00e9alis\u00e9s. 8.23 Cloisonnement des r\u00e9seaux Prot\u00e9ger les syst\u00e8mes contre la compromission des programmes malveillants et emp\u00eacher l'acc\u00e8s aux ressources web non autoris\u00e9es. Contr\u00f4ler l'inventaire des groupes de services d'information, d'utilisateurs et de syst\u00e8mes d'information et la mise en place des mesures de cloisonnement r\u00e9seau 8.24 Utilisation de la cryptographie Assurer l\u2019utilisation correcte et efficace de la cryptographie afin de prot\u00e9ger la confidentialit\u00e9, l'authenticit\u00e9 ou l'int\u00e9grit\u00e9 des informations conform\u00e9ment aux exigences m\u00e9tier et de s\u00e9curit\u00e9 de l'information, et en tenant compte des exigences l\u00e9gales, statutaires, r\u00e9glementaires et contractuelles relatives \u00e0 la cryptographie. Contr\u00f4les les r\u00e8gles d'utilisation des mesures de cryptographie, leur \u00e9laboration et leur mise en \u0153uvre ainsi que les cl\u00e9s et algorithmes cryptographiqes utilis\u00e9s. 8.25 Cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 S'assurer que la s\u00e9curit\u00e9 de l'information est con\u00e7ue et mise en \u0153uvre au cours du cycle de vie de d\u00e9veloppement s\u00e9curis\u00e9 des logiciels et des syst\u00e8mes. Contr\u00f4ler l'existence des r\u00e8gles de d\u00e9veloppement, leur mise \u00e0 jour et l'application des r\u00e8gles de d\u00e9veloppement 8.26 Exigences de s\u00e9curit\u00e9 des applications S'assurer que toutes les exigences de s\u00e9curit\u00e9 de l'information sont identifi\u00e9es et trait\u00e9es lors du d\u00e9veloppement ou de l\u2019acquisition d'applications. Contr\u00f4ler l'inventaire des services r\u00e9seau et l'effectivit\u00e9 des mesures contre les activit\u00e9s frauduleuses, les diff\u00e9rents contractuels, ainsi que la divulgation et la modification non autoris\u00e9es. 8.27 Principes d'ing\u00e9nierie et d'architecture syst\u00e8me s\u00e9curis\u00e9e S'assurer que les syst\u00e8mes d'information sont con\u00e7us, mis en \u0153uvre et exploit\u00e9s de mani\u00e8re s\u00e9curis\u00e9e au cours du cycle de vie de d\u00e9veloppement. Contr\u00f4ler que les principes d'ing\u00e9nierie sont \u00e9tablis et mis \u00e0 jour et que ces principes sont appliqu\u00e9s dans les travaux de mise en ouvre des syst\u00e8mes d'information 8.28 Codage s\u00e9curis\u00e9 S'assurer que les logiciels sont d\u00e9velopp\u00e9s de mani\u00e8re s\u00e9curis\u00e9e afin de r\u00e9duire le nombre d\u2019\u00e9ventuelles vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de l'information dans les logiciels. Contr\u00f4ler l'inventaire des d\u00e9veloppements r\u00e9alis\u00e9s et l'application de r\u00e8gles de codage 8.29 Tests de s\u00e9curit\u00e9 dans le d\u00e9veloppement et l'acceptation Valider le respect des exigences de s\u00e9curit\u00e9 de l'information lorsque des applications ou des codes sont d\u00e9ploy\u00e9s dans l'environnement . Contr\u00f4ler que des tests sont r\u00e9alis\u00e9s sur les nouveaux syst\u00e8mes, lors de mise ) jour er sur les nouvelles versions 8.30 D\u00e9veloppement externalis\u00e9 S'assurer que les mesures de s\u00e9curit\u00e9 de l'information requises par l'organisation sont mises en \u0153uvre dans le cadre du d\u00e9veloppement externalis\u00e9 des syst\u00e8mes. Contr\u00f4ler que des contr\u00f4les sont r\u00e9alis\u00e9s sur les d\u00e9veloppements externalis\u00e9s. 8.31 S\u00e9paration des environnements de d\u00e9veloppement, de test et de production Prot\u00e9ger l'environnement op\u00e9rationnel et les donn\u00e9es correspondantes contre les compromissions qui pourraient \u00eatre dues aux activit\u00e9s de d\u00e9veloppement et de test. Contr\u00f4ler la pr\u00e9sence des environnements pour chaque application et l'effectivit\u00e9 de la s\u00e9paration des environnements 8.32 Gestion des changements Pr\u00e9server la s\u00e9curit\u00e9 de l'information lors de l'ex\u00e9cution des changements. Contr\u00f4ler la proc\u00e9dure gestion des changements, sa mise \u00e0 jour et les changements r\u00e9alis\u00e9s suivent la proc\u00e9dure 8.33 Informations relatives aux tests Assurer la pertinence des tests et la protection des informations op\u00e9rationnelles utilis\u00e9es pour les tests. Contr\u00f4ler l'application des mesures de protection aux donn\u00e9es de test 8.34 Protection des syst\u00e8mes d'information en cours d'audit et de test Minimiser l'impact des activit\u00e9s d'audit et autres activit\u00e9s d'assurance sur les syst\u00e8mes op\u00e9rationnels et les processus m\u00e9tier. Contr\u00f4ler les exigences, la pr\u00e9vision et la validation des activit\u00e9s et l\u2019existence de perturbations engendr\u00e9es par ces v\u00e9rifications","title":"Annexe"},{"location":"annexe/","text":"Fran\u00e7ais Annex Checklist of ISO 27001:2022 standard. Clause Name Description Control 5.01 Information security policies Continuously ensure the relevance, adequacy and effectiveness of management's orientations and its support for information security according to business, legal, statutory, regulatory and contractual. Check the existence of all security policies, their validation, their dissemination and communication to employees and third parties concerned. 5.02 Information Security Duties and Responsibilities Establish a defined, approved, and understood structure for the implementation, operation, and management of information security within the organization. Control the definition and assignment of functions and responsibilities related to information security according to the needs of the organization. 5.03 Segregation of duties Reduce the risk of fraud, error and circumvention of information security measures. Ensure that incompatible duties and areas of responsibility are segregated 5.04 Management Responsibilities Ensure that management understands its role in information security and takes actions to ensure that all personnel are aware of their information security responsibilities. information and carries them out. Check that there is communication from management on the importance of information security. 5.05 Relations with authorities Ensure the proper flow of information security information between the organization and the relevant legal, regulatory and supervisory authorities. Procedure and inventory are up to date there is evidence of relationship with the authorities 5.06 Relations with specialized working groups Ensure the adequate circulation of information in terms of information security. The procedure and inventory of specialist groups are up to date. There is evidence of a relationship with specialist groups. 5.07 Threat Intelligence Provide knowledge of the organization's threat environment so that appropriate mitigating actions can be taken. There are sources of information and evidence of analysis 5.08 Information security in project management Ensure that information security risks relating to projects and deliverables are effectively addressed in project management, throughout the project life cycle. Control consideration of information security in project management. 5.09 Inventory of information and other related assets Identify the organization's information and other related assets to maintain their security and assign ownership appropriately. Control that an inventory of information and other related assets associated assets, including their owners and maintained and updated 5.10 Proper use of information and other associated assets Ensure that information and other associated assets are protected, used and handled appropriately. Check existence of rules Compare date of publication to date of check 5.11 Return of assets Protect the organization's assets in the process of changing or terminating their employment, contract or agreement. Control the list of employees who have left the organization and proof of return of assets to the organization. 5.12 Classification of information Ensure the identification and understanding of information protection needs according to its importance for the organization. Check the existence and updating of the procedure and its content given the context of the organization 5.13 Marking of information Facilitate the communication of information classification and support the automation of information management and processing. Monitor the marking procedure and its implementation on a sample of information from the organization. 5.14 Transfer of information Maintain the security of information transferred within the organization and to any external interested parties Monitor the implementation of rules, procedures or agreements for the transfer of information, the inventory of the agreements concerned and the terms of the agreements. 5.15 Access control Ensure authorized access and prevent unauthorized access to information and other related assets. Control the definition and implementation of policies to manage physical and logical access to information and other associated assets based on business and information security requirements. 5.16 Identity management Enable unique identification of people and systems accessing information and other associated assets of the organization, and to enable the appropriate assignment of access rights. Control the management of the full lifecycle of identities. 5.17 Authentication information Ensure correct authentication of the entity and avoid failures of authentication processes. Check the existence and application of the process for managing the allocation of secret authentication information 5.18 Access rights Ensure that access to information and other associated assets is defined and authorized in accordance with business requirements Check the existence of the user access management control process, the validity of proof of application of the process and review of access rights 5.19 Information security in supplier relationships Maintain the agreed level of information security in supplier relationships. Check that requirements are documented and updated and that measures are accepted by suppliers 5.20 Consideration of information security in supplier agreements Maintain the agreed level of information security in supplier relationships. Check that requirements are documented and updated and requirements are agreed with suppliers 5.21 Management of information security in the ICT supply chain Maintain the agreed level of information security in relations with suppliers. Check that the requirements are documented and that the agreements made contain the requirements 5.22 Monitoring, reviewing and change management of supplier services Maintain an agreed level of information security and service delivery, in accordance with agreements with suppliers. Check that the organization regularly monitors, reviewing, evaluating and managing changes in supplier information security and service delivery practices. 5.23 Information security in the use of cloud services Specify and manage information security in the use of cloud services. Control that the processes of acquisition, use, management and termination of cloud services are defined in accordance with the organization's information security requirements. 5.24 Information security incident management planning and preparation Ensuring a timely, effective, consistent and orderly response to information security incidents, including communication of security events information. Check that incident management responsibilities are defined Check that the incident management procedure exists and is up to date 5.25 Assessment of information security events and decision-making Ensure effective categorization and prioritization of information security events. Check that the selection process is applied 5.26 Response to information security incidents Ensure an efficient and effective response to information security incidents. Check that the procedure exists and is up to date Check that the procedure is followed 5.27 Draw lessons from information security incidents Reduce the likelihood or consequences of future incidents. Check for existence of improvement in procedure Check for evidence of improvement 5.28 Evidence gathering Ensuring consistent and effective management of evidence relating to information security incidents for the purposes of legal or disciplinary action. Controlling the documentation of evidence gathering in the procedure Controlling the application of evidence collection 5.29 Security of information during a disruption Protect information and other associated assets during a disruption. Check existence and updating of procedure Check security and continuity requirements 5.30 Preparing ICT for business continuity Ensuring the availability of information and other associated assets of the organization during a disruption. Checking the identification of systems and their security objectives Checking the performance of continuity tests 5.31 Identification of legal, statutory, regulatory and contractual requirements Ensure compliance with legal, statutory, regulatory and contractual requirements relating to information security. Check that the inventory is up to date and that the approach is documented 5.32 Intellectual property rights Ensuring compliance with legal, statutory, regulatory and contractual requirements relating to intellectual property rights and the use of proprietary products. Check the existence of the procedure and its updating and proof of application of the procedure 5.33 Protection of records Ensure compliance with legal, statutory, regulatory, and contractual requirements, as well as company or community expectations relating to the protection and availability of records. - Verify that measures comply with the requirements. - Control the evidence of application of the measures - Control the update of the inventory of the sources of key information - Control the deletion of information 5.34 Privacy and protection of personal data Ensure compliance with legal, statutory, regulatory and contractual requirements relating to aspects of information security relating to the protection of personal data. Check the existence and updating of the privacy policy and the application of protection measures 5.35 Independent review of information security Ensure that the organisation's approach to managing information security is continuously appropriate, adequate and effective. Check that independent reviews of the approach retained by the organization to manage and implement the security of information, including people, processes and technologies are carried out at defined intervals or when significant changes have occurred. 5.36 Compliance with information security policies and standards Ensure that information security is implemented and operating in accordance with the information security policy, topic-specific policies, rules and standards of the organization. Ensure that compliance with the information security policy, topic policies, and standards of the organization is reviewed regularly. 5.37 Documented operating procedures Ensure the correct and secure operation of information processing resources. Check the existence and updating of operating procedures and the provision of procedures to users concerned 6.01 Screening Ensure that all staff members are eligible and suitable to perform the functions for which they are nominated, and that they remain so throughout their employment. Check the existence of a procedure up-to-date and the existence of proof of execution of the selection process. 6.02 General conditions of employment Ensure that personnel understand their responsibilities in terms of information security within the framework of the functions that the organization intends to entrust to them. Check the existence of the terms and proof of presence of the terms agreements 6.03 Information security awareness, learning and training Ensure that staff and relevant interested parties are aware of and fulfill their information security responsibilities. Check existence of a plan awareness raising and staff participation in training 6.04 Disciplinary process Ensure that staff and other relevant interested parties understand the consequences of violations of the information security policy, prevent such breaches, and treat staff and other parties appropriately who have committed violations. Ensure that a disciplinary process for taking action against staff and other interested parties who have committed a violation of the information security policy is formalized and communicated. 6.05 Responsibilities upon termination or modification of employment contract To protect the interests of the organization in the process of changing or terminating a job or contract. Existence of terms and proof of application 6.06 Confidentiality or non-disclosure covenants Ensuring the confidentiality of information accessed by staff or external parties. Ensure that requirements are identified and documented 6.07 Remote work Ensure information security when staff work remotely. Check the existence and updating of additional security measures and proof of application of these measures 6.08 Reporting of information security events Enable the reporting of information security events that can be identified by personnel, in a timely, consistent and efficient manner. Check the existence of the procedure , its application and its update 7.01 Perimeter Physical Security Prevent unauthorized physical access to, damage to, or interference with information and other associated assets of the organization. Control only perimeter security used to protect areas that contain information sensitive or critical e and other associated assets are defined. 7.02 Physical access controls Ensure that only authorized physical access to information and other related assets of the organization is possible. Verify that secure areas are protected by adequate entry controls to ensure that only authorized personnel are admitted. 7.03 Securing offices, rooms and equipment Prevent unauthorized physical access, damage and interference to information and other associated assets of the organization in offices, rooms and facilities. Control inventory , security measures and the application of measures. 7.04 Physical security monitoring Detect and deter unauthorized physical access. Enforce continuous site surveillance measures 7.05 Protection against physical and environmental threats Prevent or reduce the consequences of events resulting from physical or environmental threats. Control the inventory and the application of measures. Count the number of anomalies. 7.06 Working in secure areas Protect information and other associated assets in secure areas from damage and unauthorized interference by personnel working in such areas. Check that inventories exist and are up-to-date. 7.07 Clean desktop and blank screen Reduce the risk of unauthorized access to, loss of, and damage to information on desktops, screens, and other accessible locations during and outside normal working hours. Control that clean desk rules for paper documents and removable storage media, and clean screen rules for information processing facilities are defined and enforced. 7.08 Equipment location and protection Reduce risks from physical and environmental threats, and unauthorized access and damage. Control inventory of affected equipment and their locations. Check the application of protection measures. 7.09 Security of off-premises assets Prevent loss, damage, theft or compromise of off-premises terminals and disruption of business operations. Enforce security measures 7.10 Storage media Ensure that only authorized disclosure, modification, removal or destruction of organization information on storage media is performed. - Check that procedures for managing removable media are implemented operates in accordance with the classification plan adopted by the organization. - Check that media that is no longer needed is safely disposed of following formal procedures. - Check that the media containing information are protected against unauthorized access, user errors and alteration during transport. 7.11 General Services Prevent loss, damage, or compromise of information and other related assets, or disruption of business operations, caused by support service failures and disruptions. Control inventory equipment and the application of protective measures. 7.12 Cable Security Prevent loss, damage, theft, or compromise of information and other associated assets and disruption to the organization's business related to electrical and communications cabling. Control inventory of wiring and application of measures 7.13 Hardware maintenance Prevent loss, damage, theft or compromise of information and other related assets and disruption of business operations caused by lack of maintenance. Control hardware inventory concerned, the maintenance measures and the application of the 7.14 Safe disposal or recycling of materials Prevent information leakage from materials for disposal or reuse. Check that inventory is up-to-date. Check the presence of evidence of data erasure 8.01 User endpoints Protect information against the risks associated with the use of user endpoint devices. Control that any information stored on an end user endpoint device, processed by or accessed through such a device, is protected. 8.02 Access privileges Ensuring that only authorized users, software components, and services are granted privileged access rights. Checking the existence of privilege access rights restrictions and the allocation of privileges Privileged Access 8.03 Restriction of access to information Ensure only authorized access and prevent unauthorized access to information and other related assets. Monitor restrictions on access to information and the application of these restrictions in accordance compliance with the policy on the subject of access control. 8.04 Access to source code Prevent the introduction of unauthorized functionality, prevent unintentional or malicious modifications, and preserve the confidentiality of important intellectual property. Monitor the effectiveness of restricting access to code program source. 8.05 Secure authentication Ensuring that a user or entity is securely authenticated when granted access to systems, applications and services. Enforce secure login procedures 8.06 Dimensioning Ensuring needs in terms of information processing resources, human resources, offices and other facilities. Checking the inventory of monitored resources, evidence of monitoring and projections made 8.07 Protection against malware Ensuring that information and other related assets are protected against malware. Monitoring the existence and updating of operating procedures and the availability of procedures to users concerned 8.08 Management of technical vulnerabilities Prevent the exploitation of technical vulnerabilities. Check that the inventory is relevant, that there is verification evidence of the measures taken 8.09 Configuration management Ensuring that hardware, software, services and networks are operating properly with required security settings, and that the configuration is not altered by unauthorized or incorrect changes. Check that the inventory of the systems concerned is complete, the configuration documentation and that checks are carried out 8.10 Deletion of information Prevent unnecessary exposure of sensitive information and comply with legal, statutory, regulatory, and contractual requirements for deletion of information. Control inventory of requirements, affected information, and evidence deletion 8.11 Data masking Limit the exposure of sensitive data, including personal data, and comply with legal, statutory, regulatory and contractual requirements. Check the existence and updating of the masking procedure, the relevance of the data concerned and the application of the masking 8.12 Prevention of data leaks Detect and prevent the unauthorized disclosure and extraction of information by persons or systems. - Check the existence and date of the procedure - Check the data concerned - Check application of measures 8.13 Backup of information Allow recovery in the event of loss of data or systems. - Check the existence and updating of the backup policy - Existence of backup copies - Tests of backup copies 8.14 Redundancy of information processing resources Ensure the continuous operation of information processing resources. Check that the inventory is up to date, the availability requirements and the existence of proof of redundancy 8.15 Logging Record events, generate evidence, ensure integrity of logging information, prevent unauthorized access, identify information security events that may lead to an information security incident and assist the investigations. Check that the logs exist and are up to date, the measures for protecting the logs, the storage capacities and the analysis carried out on these logs. 8.16 Monitoring activities Detect abnormal behavior and possible information security incidents. Monitor the inventory of the networks, systems and applications concerned, the detection measures put in place and that assessments are carried out or incidents generated 8.17 Synchronization of clocks Allow the correlation and analysis of security events and other recorded data, assist in the investigation of information security incidents. Control the inventory of clocks, the unique time source used and the synchronization of the clocks on the source 8.18 Use of privileged utility programs Ensure that the use of utility programs does not compromise the information security measures of systems and applications. Enforce controls on program use utilities 8.19 Installation of software on operating systems Ensuring the integrity of operating systems and preventing the exploitation of technical vulnerabilities. Checking the effectiveness of the installation control procedure 8.20 Measures related to networks Protect information in networks and means of processing supporting information against compromise via the network. Control r that controls are in place and that these controls are effective 8.21 Security of network services Ensure security when using network services. Check that the inventory of relevant network services is complete and up-to-date, that the security mechanisms of service levels and the requirements are identified and incorporated into service agreements 8.22 Internet filtering Divide the network into security perimeters and control traffic between them based on business needs. Control external website access rules and blocking. 8.23 Segregation of networks Protect systems from compromise by malicious programs and prevent access to unauthorized web resources. Control inventory of groups of information services, users, and information systems and the implementation of network partitioning measures 8.24 Use of cryptography Ensure the correct and effective use of cryptography to protect the confidentiality, authenticity or integrity of information in accordance with business and information security requirements, and taking into account legal, statutory, regulatory and contractual requirements relating to cryptography. Controls the rules for the use of cryptography measures, their development and implementation as well as the cryptographic keys and algorithms used. 8.25 Secure development lifecycle Ensure that information security is designed and implemented during the secure development lifecycle of software and systems. Check the existence of development rules , their update and the application of development rules 8.26 Application security requirements Ensure that all information security requirements are identified and addressed when developing or acquiring applications. Monitor network service inventory and effectiveness safeguards against fraudulent activity, contractual disputes, and unauthorized disclosure and modification. 8.27 Principles of secure system engineering and architecture Ensuring that information systems are designed, implemented, and operated securely throughout the development life cycle. Check that the principles of engineering are established and maintained and that these principles are applied in information systems implementation work 8.28 Secure coding Ensuring that software is developed in a secure manner in order to reduce the number of possible information security vulnerabilities in software. Controlling the inventory of developments carried out and the application of rules coding 8.29 Security testing in development and acceptance Validate compliance with information security requirements when applications or code are deployed into the environment. Check that testing is performed on new systems, when updating on new versions 8.30 Outsourced development Ensure that the information security measures required by the organization are implemented within the framework of the outsourced development of the systems. Check that controls are carried out on the outsourced developments. 8.31 Separation of development, test, and production environments Protect the operational environment and related data from compromises that may arise from development and test activities. Control the presence of environments for each application and the effectiveness of the separation of environments 8.32 Change management Preserving information security when executing changes. Control the change management procedure, its updating and the changes made follow the procedure 8.33 Testing information Ensuring appropriateness of testing and protection of operational information used for testing. Monitoring the application of protective measures to test data 8.34 Protection of information systems under audit and test Minimize the impact of audit and other assurance activities on operational systems and business processes. Control requirements, forecasting, and the validation of activities and the existence of disturbances caused by these verifications","title":"Annexe"},{"location":"annexe/#annex","text":"Checklist of ISO 27001:2022 standard. Clause Name Description Control 5.01 Information security policies Continuously ensure the relevance, adequacy and effectiveness of management's orientations and its support for information security according to business, legal, statutory, regulatory and contractual. Check the existence of all security policies, their validation, their dissemination and communication to employees and third parties concerned. 5.02 Information Security Duties and Responsibilities Establish a defined, approved, and understood structure for the implementation, operation, and management of information security within the organization. Control the definition and assignment of functions and responsibilities related to information security according to the needs of the organization. 5.03 Segregation of duties Reduce the risk of fraud, error and circumvention of information security measures. Ensure that incompatible duties and areas of responsibility are segregated 5.04 Management Responsibilities Ensure that management understands its role in information security and takes actions to ensure that all personnel are aware of their information security responsibilities. information and carries them out. Check that there is communication from management on the importance of information security. 5.05 Relations with authorities Ensure the proper flow of information security information between the organization and the relevant legal, regulatory and supervisory authorities. Procedure and inventory are up to date there is evidence of relationship with the authorities 5.06 Relations with specialized working groups Ensure the adequate circulation of information in terms of information security. The procedure and inventory of specialist groups are up to date. There is evidence of a relationship with specialist groups. 5.07 Threat Intelligence Provide knowledge of the organization's threat environment so that appropriate mitigating actions can be taken. There are sources of information and evidence of analysis 5.08 Information security in project management Ensure that information security risks relating to projects and deliverables are effectively addressed in project management, throughout the project life cycle. Control consideration of information security in project management. 5.09 Inventory of information and other related assets Identify the organization's information and other related assets to maintain their security and assign ownership appropriately. Control that an inventory of information and other related assets associated assets, including their owners and maintained and updated 5.10 Proper use of information and other associated assets Ensure that information and other associated assets are protected, used and handled appropriately. Check existence of rules Compare date of publication to date of check 5.11 Return of assets Protect the organization's assets in the process of changing or terminating their employment, contract or agreement. Control the list of employees who have left the organization and proof of return of assets to the organization. 5.12 Classification of information Ensure the identification and understanding of information protection needs according to its importance for the organization. Check the existence and updating of the procedure and its content given the context of the organization 5.13 Marking of information Facilitate the communication of information classification and support the automation of information management and processing. Monitor the marking procedure and its implementation on a sample of information from the organization. 5.14 Transfer of information Maintain the security of information transferred within the organization and to any external interested parties Monitor the implementation of rules, procedures or agreements for the transfer of information, the inventory of the agreements concerned and the terms of the agreements. 5.15 Access control Ensure authorized access and prevent unauthorized access to information and other related assets. Control the definition and implementation of policies to manage physical and logical access to information and other associated assets based on business and information security requirements. 5.16 Identity management Enable unique identification of people and systems accessing information and other associated assets of the organization, and to enable the appropriate assignment of access rights. Control the management of the full lifecycle of identities. 5.17 Authentication information Ensure correct authentication of the entity and avoid failures of authentication processes. Check the existence and application of the process for managing the allocation of secret authentication information 5.18 Access rights Ensure that access to information and other associated assets is defined and authorized in accordance with business requirements Check the existence of the user access management control process, the validity of proof of application of the process and review of access rights 5.19 Information security in supplier relationships Maintain the agreed level of information security in supplier relationships. Check that requirements are documented and updated and that measures are accepted by suppliers 5.20 Consideration of information security in supplier agreements Maintain the agreed level of information security in supplier relationships. Check that requirements are documented and updated and requirements are agreed with suppliers 5.21 Management of information security in the ICT supply chain Maintain the agreed level of information security in relations with suppliers. Check that the requirements are documented and that the agreements made contain the requirements 5.22 Monitoring, reviewing and change management of supplier services Maintain an agreed level of information security and service delivery, in accordance with agreements with suppliers. Check that the organization regularly monitors, reviewing, evaluating and managing changes in supplier information security and service delivery practices. 5.23 Information security in the use of cloud services Specify and manage information security in the use of cloud services. Control that the processes of acquisition, use, management and termination of cloud services are defined in accordance with the organization's information security requirements. 5.24 Information security incident management planning and preparation Ensuring a timely, effective, consistent and orderly response to information security incidents, including communication of security events information. Check that incident management responsibilities are defined Check that the incident management procedure exists and is up to date 5.25 Assessment of information security events and decision-making Ensure effective categorization and prioritization of information security events. Check that the selection process is applied 5.26 Response to information security incidents Ensure an efficient and effective response to information security incidents. Check that the procedure exists and is up to date Check that the procedure is followed 5.27 Draw lessons from information security incidents Reduce the likelihood or consequences of future incidents. Check for existence of improvement in procedure Check for evidence of improvement 5.28 Evidence gathering Ensuring consistent and effective management of evidence relating to information security incidents for the purposes of legal or disciplinary action. Controlling the documentation of evidence gathering in the procedure Controlling the application of evidence collection 5.29 Security of information during a disruption Protect information and other associated assets during a disruption. Check existence and updating of procedure Check security and continuity requirements 5.30 Preparing ICT for business continuity Ensuring the availability of information and other associated assets of the organization during a disruption. Checking the identification of systems and their security objectives Checking the performance of continuity tests 5.31 Identification of legal, statutory, regulatory and contractual requirements Ensure compliance with legal, statutory, regulatory and contractual requirements relating to information security. Check that the inventory is up to date and that the approach is documented 5.32 Intellectual property rights Ensuring compliance with legal, statutory, regulatory and contractual requirements relating to intellectual property rights and the use of proprietary products. Check the existence of the procedure and its updating and proof of application of the procedure 5.33 Protection of records Ensure compliance with legal, statutory, regulatory, and contractual requirements, as well as company or community expectations relating to the protection and availability of records. - Verify that measures comply with the requirements. - Control the evidence of application of the measures - Control the update of the inventory of the sources of key information - Control the deletion of information 5.34 Privacy and protection of personal data Ensure compliance with legal, statutory, regulatory and contractual requirements relating to aspects of information security relating to the protection of personal data. Check the existence and updating of the privacy policy and the application of protection measures 5.35 Independent review of information security Ensure that the organisation's approach to managing information security is continuously appropriate, adequate and effective. Check that independent reviews of the approach retained by the organization to manage and implement the security of information, including people, processes and technologies are carried out at defined intervals or when significant changes have occurred. 5.36 Compliance with information security policies and standards Ensure that information security is implemented and operating in accordance with the information security policy, topic-specific policies, rules and standards of the organization. Ensure that compliance with the information security policy, topic policies, and standards of the organization is reviewed regularly. 5.37 Documented operating procedures Ensure the correct and secure operation of information processing resources. Check the existence and updating of operating procedures and the provision of procedures to users concerned 6.01 Screening Ensure that all staff members are eligible and suitable to perform the functions for which they are nominated, and that they remain so throughout their employment. Check the existence of a procedure up-to-date and the existence of proof of execution of the selection process. 6.02 General conditions of employment Ensure that personnel understand their responsibilities in terms of information security within the framework of the functions that the organization intends to entrust to them. Check the existence of the terms and proof of presence of the terms agreements 6.03 Information security awareness, learning and training Ensure that staff and relevant interested parties are aware of and fulfill their information security responsibilities. Check existence of a plan awareness raising and staff participation in training 6.04 Disciplinary process Ensure that staff and other relevant interested parties understand the consequences of violations of the information security policy, prevent such breaches, and treat staff and other parties appropriately who have committed violations. Ensure that a disciplinary process for taking action against staff and other interested parties who have committed a violation of the information security policy is formalized and communicated. 6.05 Responsibilities upon termination or modification of employment contract To protect the interests of the organization in the process of changing or terminating a job or contract. Existence of terms and proof of application 6.06 Confidentiality or non-disclosure covenants Ensuring the confidentiality of information accessed by staff or external parties. Ensure that requirements are identified and documented 6.07 Remote work Ensure information security when staff work remotely. Check the existence and updating of additional security measures and proof of application of these measures 6.08 Reporting of information security events Enable the reporting of information security events that can be identified by personnel, in a timely, consistent and efficient manner. Check the existence of the procedure , its application and its update 7.01 Perimeter Physical Security Prevent unauthorized physical access to, damage to, or interference with information and other associated assets of the organization. Control only perimeter security used to protect areas that contain information sensitive or critical e and other associated assets are defined. 7.02 Physical access controls Ensure that only authorized physical access to information and other related assets of the organization is possible. Verify that secure areas are protected by adequate entry controls to ensure that only authorized personnel are admitted. 7.03 Securing offices, rooms and equipment Prevent unauthorized physical access, damage and interference to information and other associated assets of the organization in offices, rooms and facilities. Control inventory , security measures and the application of measures. 7.04 Physical security monitoring Detect and deter unauthorized physical access. Enforce continuous site surveillance measures 7.05 Protection against physical and environmental threats Prevent or reduce the consequences of events resulting from physical or environmental threats. Control the inventory and the application of measures. Count the number of anomalies. 7.06 Working in secure areas Protect information and other associated assets in secure areas from damage and unauthorized interference by personnel working in such areas. Check that inventories exist and are up-to-date. 7.07 Clean desktop and blank screen Reduce the risk of unauthorized access to, loss of, and damage to information on desktops, screens, and other accessible locations during and outside normal working hours. Control that clean desk rules for paper documents and removable storage media, and clean screen rules for information processing facilities are defined and enforced. 7.08 Equipment location and protection Reduce risks from physical and environmental threats, and unauthorized access and damage. Control inventory of affected equipment and their locations. Check the application of protection measures. 7.09 Security of off-premises assets Prevent loss, damage, theft or compromise of off-premises terminals and disruption of business operations. Enforce security measures 7.10 Storage media Ensure that only authorized disclosure, modification, removal or destruction of organization information on storage media is performed. - Check that procedures for managing removable media are implemented operates in accordance with the classification plan adopted by the organization. - Check that media that is no longer needed is safely disposed of following formal procedures. - Check that the media containing information are protected against unauthorized access, user errors and alteration during transport. 7.11 General Services Prevent loss, damage, or compromise of information and other related assets, or disruption of business operations, caused by support service failures and disruptions. Control inventory equipment and the application of protective measures. 7.12 Cable Security Prevent loss, damage, theft, or compromise of information and other associated assets and disruption to the organization's business related to electrical and communications cabling. Control inventory of wiring and application of measures 7.13 Hardware maintenance Prevent loss, damage, theft or compromise of information and other related assets and disruption of business operations caused by lack of maintenance. Control hardware inventory concerned, the maintenance measures and the application of the 7.14 Safe disposal or recycling of materials Prevent information leakage from materials for disposal or reuse. Check that inventory is up-to-date. Check the presence of evidence of data erasure 8.01 User endpoints Protect information against the risks associated with the use of user endpoint devices. Control that any information stored on an end user endpoint device, processed by or accessed through such a device, is protected. 8.02 Access privileges Ensuring that only authorized users, software components, and services are granted privileged access rights. Checking the existence of privilege access rights restrictions and the allocation of privileges Privileged Access 8.03 Restriction of access to information Ensure only authorized access and prevent unauthorized access to information and other related assets. Monitor restrictions on access to information and the application of these restrictions in accordance compliance with the policy on the subject of access control. 8.04 Access to source code Prevent the introduction of unauthorized functionality, prevent unintentional or malicious modifications, and preserve the confidentiality of important intellectual property. Monitor the effectiveness of restricting access to code program source. 8.05 Secure authentication Ensuring that a user or entity is securely authenticated when granted access to systems, applications and services. Enforce secure login procedures 8.06 Dimensioning Ensuring needs in terms of information processing resources, human resources, offices and other facilities. Checking the inventory of monitored resources, evidence of monitoring and projections made 8.07 Protection against malware Ensuring that information and other related assets are protected against malware. Monitoring the existence and updating of operating procedures and the availability of procedures to users concerned 8.08 Management of technical vulnerabilities Prevent the exploitation of technical vulnerabilities. Check that the inventory is relevant, that there is verification evidence of the measures taken 8.09 Configuration management Ensuring that hardware, software, services and networks are operating properly with required security settings, and that the configuration is not altered by unauthorized or incorrect changes. Check that the inventory of the systems concerned is complete, the configuration documentation and that checks are carried out 8.10 Deletion of information Prevent unnecessary exposure of sensitive information and comply with legal, statutory, regulatory, and contractual requirements for deletion of information. Control inventory of requirements, affected information, and evidence deletion 8.11 Data masking Limit the exposure of sensitive data, including personal data, and comply with legal, statutory, regulatory and contractual requirements. Check the existence and updating of the masking procedure, the relevance of the data concerned and the application of the masking 8.12 Prevention of data leaks Detect and prevent the unauthorized disclosure and extraction of information by persons or systems. - Check the existence and date of the procedure - Check the data concerned - Check application of measures 8.13 Backup of information Allow recovery in the event of loss of data or systems. - Check the existence and updating of the backup policy - Existence of backup copies - Tests of backup copies 8.14 Redundancy of information processing resources Ensure the continuous operation of information processing resources. Check that the inventory is up to date, the availability requirements and the existence of proof of redundancy 8.15 Logging Record events, generate evidence, ensure integrity of logging information, prevent unauthorized access, identify information security events that may lead to an information security incident and assist the investigations. Check that the logs exist and are up to date, the measures for protecting the logs, the storage capacities and the analysis carried out on these logs. 8.16 Monitoring activities Detect abnormal behavior and possible information security incidents. Monitor the inventory of the networks, systems and applications concerned, the detection measures put in place and that assessments are carried out or incidents generated 8.17 Synchronization of clocks Allow the correlation and analysis of security events and other recorded data, assist in the investigation of information security incidents. Control the inventory of clocks, the unique time source used and the synchronization of the clocks on the source 8.18 Use of privileged utility programs Ensure that the use of utility programs does not compromise the information security measures of systems and applications. Enforce controls on program use utilities 8.19 Installation of software on operating systems Ensuring the integrity of operating systems and preventing the exploitation of technical vulnerabilities. Checking the effectiveness of the installation control procedure 8.20 Measures related to networks Protect information in networks and means of processing supporting information against compromise via the network. Control r that controls are in place and that these controls are effective 8.21 Security of network services Ensure security when using network services. Check that the inventory of relevant network services is complete and up-to-date, that the security mechanisms of service levels and the requirements are identified and incorporated into service agreements 8.22 Internet filtering Divide the network into security perimeters and control traffic between them based on business needs. Control external website access rules and blocking. 8.23 Segregation of networks Protect systems from compromise by malicious programs and prevent access to unauthorized web resources. Control inventory of groups of information services, users, and information systems and the implementation of network partitioning measures 8.24 Use of cryptography Ensure the correct and effective use of cryptography to protect the confidentiality, authenticity or integrity of information in accordance with business and information security requirements, and taking into account legal, statutory, regulatory and contractual requirements relating to cryptography. Controls the rules for the use of cryptography measures, their development and implementation as well as the cryptographic keys and algorithms used. 8.25 Secure development lifecycle Ensure that information security is designed and implemented during the secure development lifecycle of software and systems. Check the existence of development rules , their update and the application of development rules 8.26 Application security requirements Ensure that all information security requirements are identified and addressed when developing or acquiring applications. Monitor network service inventory and effectiveness safeguards against fraudulent activity, contractual disputes, and unauthorized disclosure and modification. 8.27 Principles of secure system engineering and architecture Ensuring that information systems are designed, implemented, and operated securely throughout the development life cycle. Check that the principles of engineering are established and maintained and that these principles are applied in information systems implementation work 8.28 Secure coding Ensuring that software is developed in a secure manner in order to reduce the number of possible information security vulnerabilities in software. Controlling the inventory of developments carried out and the application of rules coding 8.29 Security testing in development and acceptance Validate compliance with information security requirements when applications or code are deployed into the environment. Check that testing is performed on new systems, when updating on new versions 8.30 Outsourced development Ensure that the information security measures required by the organization are implemented within the framework of the outsourced development of the systems. Check that controls are carried out on the outsourced developments. 8.31 Separation of development, test, and production environments Protect the operational environment and related data from compromises that may arise from development and test activities. Control the presence of environments for each application and the effectiveness of the separation of environments 8.32 Change management Preserving information security when executing changes. Control the change management procedure, its updating and the changes made follow the procedure 8.33 Testing information Ensuring appropriateness of testing and protection of operational information used for testing. Monitoring the application of protective measures to test data 8.34 Protection of information systems under audit and test Minimize the impact of audit and other assurance activities on operational systems and business processes. Control requirements, forecasting, and the validation of activities and the existence of disturbances caused by these verifications","title":"Annex"},{"location":"api.fr/","text":"English API Deming peut \u00eatre modifi\u00e9e ou mis \u00e0 jour via une REST API. Une API REST ( Representational State Transfer ) est une interface de programmation d'application qui respecte les contraintes du style d'architecture REST et permet d'interagir avec les services web RESTful. Installer l'API pour installer l'API, il est n\u00e9cessaire d'installer Passport en lan\u00e7ant cette commande : php artisan passport:install l'environnement Docker prend en charge cette fonctionnalit\u00e9 nativement, via le l'entrypoint. Les APIs /api/attributes /api/domains /api/measures /api/controls /api/documents Actions g\u00e9r\u00e9es par le contr\u00f4leur de ressources Les requ\u00eates et URI de chaque api est repr\u00e9sent\u00e9e dans le tableau ci-dessous. Requ\u00eate URI Action GET /api/objets renvoie la liste des objets GET /api/objets/{id} renvoie l'objet POST /api/objets sauve un nouvel objet PUT/PATCH /api/objets/{id} met \u00e0 jour l'objet DELETE /api/objets/{id} supprimer l'objet Droits d'acc\u00e8s Il faut s'identifier avec un utilisateur de l'application Deming pour pouvoir acc\u00e8der aux API. Cet utilisateur doit disposer du r\u00f4le \"API\". Lorsque l'authentification r\u00e9ussi, l'API envoie un \"token\" qui doit \u00eatre pass\u00e9 dans l'ent\u00eate \"Authorization\" de la requ\u00eate de l'API. Exemples Voici quelques exemples d'utilisation de l'API avec PHP : Authentification <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/login\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"POST\", CURLOPT_POSTFIELDS => http_build_query( array(\"email\" => \"api@admin.com\", \"password\" => \"12345678\")), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"content-type: application/x-www-form-urlencoded\", ), )); $response = curl_exec($curl); $err = curl_error($curl); $info = curl_getinfo($curl); curl_close($curl); if ($err) { set_error_handler($err); } else { if ($info['http_code'] == 200) { $token = json_decode($response)->token; } else { set_error_handler(\"Login to api faild status 403\"); error_log($responseInfo['http_code']); error_log(\"No login api status 403\"); } } var_dump($response); Liste des domaines <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); R\u00e9cup\u00e9rer un domaine <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Mettre \u00e0 jour un domaine <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains/8\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true, CURLOPT_CUSTOMREQUEST => \"PUT\", CURLOPT_POSTFIELDS => http_build_query( array( 'title' => 'Nouveau titre', 'description' => 'Nouvelle description' ) ), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Python Voici un exemple d'utilisation de l'API en Python #!/usr/bin/python3 import requests vheaders = {} vheaders['accept'] = 'application/json' print(\"Login\") response = requests.post(\"http://127.0.0.1:8000/api/login\", headers=vheaders, data= {'email':'api@admin.localhost', 'password':'12345678'} ) print(response.status_code) vheaders['Authorization'] = \"Bearer \" + response.json()['token'] print(\"Get domains\") response = requests.get(\"http://127.0.0.1:8000/api/domains\", headers=vheaders) print(response.status_code) print(response.json()) bash Voici un exemple d'utilisation de l'API en ligne de commande avec CURL et JQ # valid login and password data='{\"email\":\"api@admin.localhost\",\"password\":\"12345678\"}' # get a token after correct login token=$(curl -s -d ${data} -H \"Content-Type: application/json\" http://localhost:8000/api/login | jq -r .token) # query users and decode JSON data with JQ. curl -s -H \"Content-Type: application/json\" -H \"Authorization: Bearer ${token}\" \"http://127.0.0.1:8000/api/domains\" | jq .","title":"API"},{"location":"api.fr/#api","text":"Deming peut \u00eatre modifi\u00e9e ou mis \u00e0 jour via une REST API. Une API REST ( Representational State Transfer ) est une interface de programmation d'application qui respecte les contraintes du style d'architecture REST et permet d'interagir avec les services web RESTful.","title":"API"},{"location":"api.fr/#installer-lapi","text":"pour installer l'API, il est n\u00e9cessaire d'installer Passport en lan\u00e7ant cette commande : php artisan passport:install l'environnement Docker prend en charge cette fonctionnalit\u00e9 nativement, via le l'entrypoint.","title":"Installer l'API"},{"location":"api.fr/#les-apis","text":"/api/attributes /api/domains /api/measures /api/controls /api/documents","title":"Les APIs"},{"location":"api.fr/#actions-gerees-par-le-controleur-de-ressources","text":"Les requ\u00eates et URI de chaque api est repr\u00e9sent\u00e9e dans le tableau ci-dessous. Requ\u00eate URI Action GET /api/objets renvoie la liste des objets GET /api/objets/{id} renvoie l'objet POST /api/objets sauve un nouvel objet PUT/PATCH /api/objets/{id} met \u00e0 jour l'objet DELETE /api/objets/{id} supprimer l'objet","title":"Actions g\u00e9r\u00e9es par le contr\u00f4leur de ressources"},{"location":"api.fr/#droits-dacces","text":"Il faut s'identifier avec un utilisateur de l'application Deming pour pouvoir acc\u00e8der aux API. Cet utilisateur doit disposer du r\u00f4le \"API\". Lorsque l'authentification r\u00e9ussi, l'API envoie un \"token\" qui doit \u00eatre pass\u00e9 dans l'ent\u00eate \"Authorization\" de la requ\u00eate de l'API.","title":"Droits d'acc\u00e8s"},{"location":"api.fr/#exemples","text":"Voici quelques exemples d'utilisation de l'API avec PHP :","title":"Exemples"},{"location":"api.fr/#authentification","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/login\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"POST\", CURLOPT_POSTFIELDS => http_build_query( array(\"email\" => \"api@admin.com\", \"password\" => \"12345678\")), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"content-type: application/x-www-form-urlencoded\", ), )); $response = curl_exec($curl); $err = curl_error($curl); $info = curl_getinfo($curl); curl_close($curl); if ($err) { set_error_handler($err); } else { if ($info['http_code'] == 200) { $token = json_decode($response)->token; } else { set_error_handler(\"Login to api faild status 403\"); error_log($responseInfo['http_code']); error_log(\"No login api status 403\"); } } var_dump($response);","title":"Authentification"},{"location":"api.fr/#liste-des-domaines","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Liste des domaines"},{"location":"api.fr/#recuperer-un-domaine","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"R\u00e9cup\u00e9rer un domaine"},{"location":"api.fr/#mettre-a-jour-un-domaine","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains/8\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true, CURLOPT_CUSTOMREQUEST => \"PUT\", CURLOPT_POSTFIELDS => http_build_query( array( 'title' => 'Nouveau titre', 'description' => 'Nouvelle description' ) ), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Mettre \u00e0 jour un domaine"},{"location":"api.fr/#python","text":"Voici un exemple d'utilisation de l'API en Python #!/usr/bin/python3 import requests vheaders = {} vheaders['accept'] = 'application/json' print(\"Login\") response = requests.post(\"http://127.0.0.1:8000/api/login\", headers=vheaders, data= {'email':'api@admin.localhost', 'password':'12345678'} ) print(response.status_code) vheaders['Authorization'] = \"Bearer \" + response.json()['token'] print(\"Get domains\") response = requests.get(\"http://127.0.0.1:8000/api/domains\", headers=vheaders) print(response.status_code) print(response.json())","title":"Python"},{"location":"api.fr/#bash","text":"Voici un exemple d'utilisation de l'API en ligne de commande avec CURL et JQ # valid login and password data='{\"email\":\"api@admin.localhost\",\"password\":\"12345678\"}' # get a token after correct login token=$(curl -s -d ${data} -H \"Content-Type: application/json\" http://localhost:8000/api/login | jq -r .token) # query users and decode JSON data with JQ. curl -s -H \"Content-Type: application/json\" -H \"Authorization: Bearer ${token}\" \"http://127.0.0.1:8000/api/domains\" | jq .","title":"bash"},{"location":"api/","text":"Fran\u00e7ais API Deming can be modified or updated via a REST API. A REST API ( Representational State Transfer ) is an application programming interface that respects the constraints of the REST architecture and enables interaction with RESTful web services. Installing the API To install the API, you need to install Passport by running this command: php artisan passport:install The Docker environment supports this functionality natively, via the entrypoint. The APIs /api/attributes /api/domains /api/measures /api/controls /api/documents Actions managed by the resource controller Requests and URIs for each api are shown in the table below. Request URI Action GET /api/objects returns the list of objects GET /api/objets/{id} returns object POST /api/objects save new object PUT/PATCH /api/objets/{id} update object /api/objets/{id} delete object Access rights To access the APIs, you need to identify yourself as a Deming application user. This user must have the \"API\" role. When authentication is successful, the API sends a \"token\" which must be passed in the \"Authorization\" header of the API request. Examples Here are a few examples of how to use the API with PHP: Authentication <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/login\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"POST\", CURLOPT_POSTFIELDS => http_build_query( array(\"email\" => \"api@admin.com\", \"password\" => \"12345678\")), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"content-type: application/x-www-form-urlencoded\", ), )); $response = curl_exec($curl); $err = curl_error($curl); $info = curl_getinfo($curl); curl_close($curl); if ($err) { set_error_handler($err); } else { if ($info['http_code'] == 200) { $token = json_decode($response)->token; } else { set_error_handler(\"Login to api faild status 403\"); error_log($responseInfo['http_code']); error_log(\"No login api status 403\"); } } var_dump($response); Liste des domaines <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Get a control <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/controls/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Update a control <?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/controls/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true, CURLOPT_CUSTOMREQUEST => \"PUT\", CURLOPT_POSTFIELDS => http_build_query( array( ... ), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response); Python Voici un exemple d'utilisation de l'API en Python #!/usr/bin/python3 import requests vheaders = {} vheaders['accept'] = 'application/json' print(\"Login\") response = requests.post(\"http://127.0.0.1:8000/api/login\", headers=vheaders, data= {'email':'api@admin.localhost', 'password':'12345678'} ) print(response.status_code) vheaders['Authorization'] = \"Bearer \" + response.json()['token'] print(\"Get domains\") response = requests.get(\"http://127.0.0.1:8000/api/domains\", headers=vheaders) print(response.status_code) print(response.json()) bash Voici un exemple d'utilisation de l'API en ligne de commande avec CURL et JQ # valid login and password data='{\"email\":\"api@admin.localhost\",\"password\":\"12345678\"}' # get a token after correct login token=$(curl -s -d ${data} -H \"Content-Type: application/json\" http://localhost:8000/api/login | jq -r .token) # query users and decode JSON data with JQ. curl -s -H \"Content-Type: application/json\" -H \"Authorization: Bearer ${token}\" \"http://127.0.0.1:8000/api/domains\" | jq .","title":"API"},{"location":"api/#api","text":"Deming can be modified or updated via a REST API. A REST API ( Representational State Transfer ) is an application programming interface that respects the constraints of the REST architecture and enables interaction with RESTful web services.","title":"API"},{"location":"api/#installing-the-api","text":"To install the API, you need to install Passport by running this command: php artisan passport:install The Docker environment supports this functionality natively, via the entrypoint.","title":"Installing the API"},{"location":"api/#the-apis","text":"/api/attributes /api/domains /api/measures /api/controls /api/documents","title":"The APIs"},{"location":"api/#actions-managed-by-the-resource-controller","text":"Requests and URIs for each api are shown in the table below. Request URI Action GET /api/objects returns the list of objects GET /api/objets/{id} returns object POST /api/objects save new object PUT/PATCH /api/objets/{id} update object /api/objets/{id} delete object","title":"Actions managed by the resource controller"},{"location":"api/#access-rights","text":"To access the APIs, you need to identify yourself as a Deming application user. This user must have the \"API\" role. When authentication is successful, the API sends a \"token\" which must be passed in the \"Authorization\" header of the API request.","title":"Access rights"},{"location":"api/#examples","text":"Here are a few examples of how to use the API with PHP:","title":"Examples"},{"location":"api/#authentication","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/login\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"POST\", CURLOPT_POSTFIELDS => http_build_query( array(\"email\" => \"api@admin.com\", \"password\" => \"12345678\")), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"content-type: application/x-www-form-urlencoded\", ), )); $response = curl_exec($curl); $err = curl_error($curl); $info = curl_getinfo($curl); curl_close($curl); if ($err) { set_error_handler($err); } else { if ($info['http_code'] == 200) { $token = json_decode($response)->token; } else { set_error_handler(\"Login to api faild status 403\"); error_log($responseInfo['http_code']); error_log(\"No login api status 403\"); } } var_dump($response);","title":"Authentication"},{"location":"api/#liste-des-domaines","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/domains\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Liste des domaines"},{"location":"api/#get-a-control","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/controls/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_CUSTOMREQUEST => \"GET\", CURLOPT_POSTFIELDS => null, // here you can send parameters CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", \"content-type: application/json\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Get a control"},{"location":"api/#update-a-control","text":"<?php $curl = curl_init(); curl_setopt_array($curl, array( CURLOPT_URL => \"http://127.0.0.1:8000/api/controls/1\", CURLOPT_RETURNTRANSFER => true, CURLOPT_MAXREDIRS => 10, CURLOPT_TIMEOUT => 30, CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true, CURLOPT_CUSTOMREQUEST => \"PUT\", CURLOPT_POSTFIELDS => http_build_query( array( ... ), CURLOPT_HTTPHEADER => array( \"accept: application/json\", \"Authorization: \" . \"Bearer\" . \" \" . $token . \"\", \"cache-control: no-cache\", ), )); $response = curl_exec($curl); $err = curl_error($curl); curl_close($curl); var_dump($response);","title":"Update a control"},{"location":"api/#python","text":"Voici un exemple d'utilisation de l'API en Python #!/usr/bin/python3 import requests vheaders = {} vheaders['accept'] = 'application/json' print(\"Login\") response = requests.post(\"http://127.0.0.1:8000/api/login\", headers=vheaders, data= {'email':'api@admin.localhost', 'password':'12345678'} ) print(response.status_code) vheaders['Authorization'] = \"Bearer \" + response.json()['token'] print(\"Get domains\") response = requests.get(\"http://127.0.0.1:8000/api/domains\", headers=vheaders) print(response.status_code) print(response.json())","title":"Python"},{"location":"api/#bash","text":"Voici un exemple d'utilisation de l'API en ligne de commande avec CURL et JQ # valid login and password data='{\"email\":\"api@admin.localhost\",\"password\":\"12345678\"}' # get a token after correct login token=$(curl -s -d ${data} -H \"Content-Type: application/json\" http://localhost:8000/api/login | jq -r .token) # query users and decode JSON data with JQ. curl -s -H \"Content-Type: application/json\" -H \"Authorization: Bearer ${token}\" \"http://127.0.0.1:8000/api/domains\" | jq .","title":"bash"},{"location":"config.fr/","text":"English Configuration Attributs Cet \u00e9cran permet de g\u00e9rer les attributs associ\u00e9s aux mesures de s\u00e9curit\u00e9. Il contient la liste des attributs et permet de cr\u00e9er, supprimer ou modifier des listes d\u2019attributs. Domaines Cet \u00e9cran permet de cr\u00e9er, modifier ou supprimer des liste de domaines de s\u00e9curit\u00e9. L\u2019application est founir avec une base de mesure de s\u00e9curit\u00e9 inspir\u00e9e de la norme ISO 27001:2022 mais il est possible de d\u00e9finir de nouveaux domaines de s\u00e9curit\u00e9 inspir\u00e9s d\u2019autres normes comme PCIDSS, HDS... Utilisateurs Les utilisateurs sont d\u00e9finits dans l\u2019application. Il existe quatres roles diff\u00e9rents : RSSI : le RSSI est l\u2019adminsitrateur de l\u2019application. Il peut cr\u00e9er de nouvelles mesures, de nouveaux attributs, modifier des contr\u00f4les d\u00e9j\u00e0 r\u00e9alis\u00e9s... Utilisateurs : les utilisateur peuvent utiliser l\u2019application sans pouvoir modifier les mesures, les attributs et les contr\u00f4les d\u00e9j\u00e0 r\u00e9alis\u00e9s. Audit\u00e9 : les audit\u00e9s ne peuvent r\u00e9aliser et voir que les contr\u00f4les qui leur sont assign\u00e9s ou qu'ils ont r\u00e9alis\u00e9 pr\u00e9c\u00e9dement. Auditeur : l\u2019auditeur a un acc\u00e8s en lecture \u00e0 l\u2019ensemble des informations de l\u2019application. Rapports L\u2019application permet de g\u00e9n\u00e9rer le rapport de pilotage du SMSI et d\u2019exporter dans un fichier Excell la liste des domains, les mesures de s\u00e9curit\u00e9s et tous les contr\u00f4les r\u00e9alis\u00e9s. Voici le rapport de pilotage du SMSI : Import Il est possible d'importer des mesures de s\u00e9curit\u00e9 depuis un fichier .XLSX ou depuis la base de donn\u00e9es de mod\u00e8les. Lors de l'importation, il est possible de supprimer tous les autres contr\u00f4les et mesures et de g\u00e9n\u00e9rer des donn\u00e9es de test. Documents Cet \u00e9cran permet de modifier les mod\u00e8les de document utilis\u00e9s pour les fiches de contr\u00f4le et le rapport de pilotage du SMSI. et permet d\u2019avoir une vue sur l\u2019ensemble des documents utilis\u00e9s comme preuve lors de la r\u00e9alisation des contr\u00f4les de s\u00e9curit\u00e9. Le bouton \u00ab V\u00e9rifier \u00bb permet de v\u00e9rifier l\u2019int\u00e9grit\u00e9 des documents conserv\u00e9s dans l'application. Notifications Cet \u00e9cran permet de configurer les notifications envoy\u00e9es aux utilisateurs lorsqu'ils doivent r\u00e9aliser des contr\u00f4les. L'\u00e9cran contient : Le sujet du mail envoy\u00e9 \u00e0 l'utilisateur; L'\u00e9metteur du mail; La p\u00e9riodicit\u00e9 de l'envoi des notifications; Le d\u00e9lais de notification. Lorsque vous cliquer sur : \"Sauver\" - la configuration est sauv\u00e9e; \"Test\" - un mail de test est envoy\u00e9 \u00e0 l'utilisateur courant ; \"Cancel\" - vous revenez \u00e0 la page principale.","title":"Configuration"},{"location":"config.fr/#configuration","text":"","title":"Configuration"},{"location":"config.fr/#attributs","text":"Cet \u00e9cran permet de g\u00e9rer les attributs associ\u00e9s aux mesures de s\u00e9curit\u00e9. Il contient la liste des attributs et permet de cr\u00e9er, supprimer ou modifier des listes d\u2019attributs.","title":"Attributs"},{"location":"config.fr/#domaines","text":"Cet \u00e9cran permet de cr\u00e9er, modifier ou supprimer des liste de domaines de s\u00e9curit\u00e9. L\u2019application est founir avec une base de mesure de s\u00e9curit\u00e9 inspir\u00e9e de la norme ISO 27001:2022 mais il est possible de d\u00e9finir de nouveaux domaines de s\u00e9curit\u00e9 inspir\u00e9s d\u2019autres normes comme PCIDSS, HDS...","title":"Domaines"},{"location":"config.fr/#utilisateurs","text":"Les utilisateurs sont d\u00e9finits dans l\u2019application. Il existe quatres roles diff\u00e9rents : RSSI : le RSSI est l\u2019adminsitrateur de l\u2019application. Il peut cr\u00e9er de nouvelles mesures, de nouveaux attributs, modifier des contr\u00f4les d\u00e9j\u00e0 r\u00e9alis\u00e9s... Utilisateurs : les utilisateur peuvent utiliser l\u2019application sans pouvoir modifier les mesures, les attributs et les contr\u00f4les d\u00e9j\u00e0 r\u00e9alis\u00e9s. Audit\u00e9 : les audit\u00e9s ne peuvent r\u00e9aliser et voir que les contr\u00f4les qui leur sont assign\u00e9s ou qu'ils ont r\u00e9alis\u00e9 pr\u00e9c\u00e9dement. Auditeur : l\u2019auditeur a un acc\u00e8s en lecture \u00e0 l\u2019ensemble des informations de l\u2019application.","title":"Utilisateurs"},{"location":"config.fr/#rapports","text":"L\u2019application permet de g\u00e9n\u00e9rer le rapport de pilotage du SMSI et d\u2019exporter dans un fichier Excell la liste des domains, les mesures de s\u00e9curit\u00e9s et tous les contr\u00f4les r\u00e9alis\u00e9s. Voici le rapport de pilotage du SMSI :","title":"Rapports"},{"location":"config.fr/#import","text":"Il est possible d'importer des mesures de s\u00e9curit\u00e9 depuis un fichier .XLSX ou depuis la base de donn\u00e9es de mod\u00e8les. Lors de l'importation, il est possible de supprimer tous les autres contr\u00f4les et mesures et de g\u00e9n\u00e9rer des donn\u00e9es de test.","title":"Import"},{"location":"config.fr/#documents","text":"Cet \u00e9cran permet de modifier les mod\u00e8les de document utilis\u00e9s pour les fiches de contr\u00f4le et le rapport de pilotage du SMSI. et permet d\u2019avoir une vue sur l\u2019ensemble des documents utilis\u00e9s comme preuve lors de la r\u00e9alisation des contr\u00f4les de s\u00e9curit\u00e9. Le bouton \u00ab V\u00e9rifier \u00bb permet de v\u00e9rifier l\u2019int\u00e9grit\u00e9 des documents conserv\u00e9s dans l'application.","title":"Documents"},{"location":"config.fr/#notifications","text":"Cet \u00e9cran permet de configurer les notifications envoy\u00e9es aux utilisateurs lorsqu'ils doivent r\u00e9aliser des contr\u00f4les. L'\u00e9cran contient : Le sujet du mail envoy\u00e9 \u00e0 l'utilisateur; L'\u00e9metteur du mail; La p\u00e9riodicit\u00e9 de l'envoi des notifications; Le d\u00e9lais de notification. Lorsque vous cliquer sur : \"Sauver\" - la configuration est sauv\u00e9e; \"Test\" - un mail de test est envoy\u00e9 \u00e0 l'utilisateur courant ; \"Cancel\" - vous revenez \u00e0 la page principale.","title":"Notifications"},{"location":"config/","text":"Fran\u00e7ais Setup Attributes This screen allows you to manage the attributes associated with the security measures. It contains the list of attributes and allows you to create, delete or modify attribute lists. Domains This screen allows you to create, modify or delete lists of security domains. The application is provided with a security measurement base inspired by the ISO 27001:2022 standard, but it is possible to define new security domains inspired by other standards such as PCIDSS, HDS, etc. Users Users are directly defined in the application. There are four different roles: RSSI: the RSSI is the administrator of the application. He can create new measurements, new attributes, modify controls already carried out... Users: users can use the application without being able to modify the measurements, attributes and controls already carried out. Auditee: Auditees can only carry out and see the mesurements that have been assigned to them or that they have carried out previously. Auditor: the auditor has read access to all the information in the application. Reports The application allows you to generate the ISMS management report and to export the list of domains, the security measures and all the checks carried out in an Excell file. Here is the ISMS pilot report: Import Measures can be imported from an .XLSX file or from the template database. When importing, all other controls and measures can be deleted and test data generated. Documents This screen is used to modify the document templates used for the control sheets and the ISMS management report and provides an overview of all the documents used as evidence when carrying out security checks. The \"Verify\" button allows you to verify the integrity of the documents stored in the application. Notifications This screen is used to configure the notifications sent to users when they have to carry out controls. The screen contains: The subject of the mail sent to the user; The sender of the email; The periodicity of sending notifications; The notification deadlines. When you click on: \"Save\" - the configuration is saved; \"Test\" - a test mail is sent to the current user; \"Cancel\" - you return to the main page.","title":"Configuration"},{"location":"config/#setup","text":"","title":"Setup"},{"location":"config/#attributes","text":"This screen allows you to manage the attributes associated with the security measures. It contains the list of attributes and allows you to create, delete or modify attribute lists.","title":"Attributes"},{"location":"config/#domains","text":"This screen allows you to create, modify or delete lists of security domains. The application is provided with a security measurement base inspired by the ISO 27001:2022 standard, but it is possible to define new security domains inspired by other standards such as PCIDSS, HDS, etc.","title":"Domains"},{"location":"config/#users","text":"Users are directly defined in the application. There are four different roles: RSSI: the RSSI is the administrator of the application. He can create new measurements, new attributes, modify controls already carried out... Users: users can use the application without being able to modify the measurements, attributes and controls already carried out. Auditee: Auditees can only carry out and see the mesurements that have been assigned to them or that they have carried out previously. Auditor: the auditor has read access to all the information in the application.","title":"Users"},{"location":"config/#reports","text":"The application allows you to generate the ISMS management report and to export the list of domains, the security measures and all the checks carried out in an Excell file. Here is the ISMS pilot report:","title":"Reports"},{"location":"config/#import","text":"Measures can be imported from an .XLSX file or from the template database. When importing, all other controls and measures can be deleted and test data generated.","title":"Import"},{"location":"config/#documents","text":"This screen is used to modify the document templates used for the control sheets and the ISMS management report and provides an overview of all the documents used as evidence when carrying out security checks. The \"Verify\" button allows you to verify the integrity of the documents stored in the application.","title":"Documents"},{"location":"config/#notifications","text":"This screen is used to configure the notifications sent to users when they have to carry out controls. The screen contains: The subject of the mail sent to the user; The sender of the email; The periodicity of sending notifications; The notification deadlines. When you click on: \"Save\" - the configuration is saved; \"Test\" - a test mail is sent to the current user; \"Cancel\" - you return to the main page.","title":"Notifications"},{"location":"controls.fr/","text":"English Contr\u00f4les Liste des contr\u00f4les Cet \u00e9cran permet d\u2019afficher la liste des contr\u00f4les et de les filtrer par : domaine, attribut, p\u00e9riode de planification, \u00e9tat du contr\u00f4le : tous, fait et \u00e0 faire, texte libre sur le nom, l\u2019objectif, les observations. Lorsque vous cliquez sur : Le domaine, vous arrivez l'\u00e9cran d' affichage du domaine de s\u00e9curit\u00e9 La clause, vous arrivez l'\u00e9cran d' affichage de la mesure de s\u00e9curit\u00e9 . La date de r\u00e9alisation, de planification ou la date du contr\u00f4le suivant, vous arrivez l'\u00e9cran d' affichage du contr\u00f4le de s\u00e9curit\u00e9 . Afficher un contr\u00f4le Cet \u00e9cran contient les informations d\u2019un contr\u00f4le : Le nom d\u2019un contr\u00f4les ; L\u2019objectif du contr\u00f4le ; Les attributs ; Les donn\u00e9es ; Le mod\u00e8le ; La dates de planification, de r\u00e9alisation et la date du contr\u00f4le suivant ; La note attribut\u00e9e au contr\u00f4le ; et Le score attribut\u00e9 au contr\u00f4le (vert, orange ou rouge). Les boutons \u00ab Faire \u00bb et \u00ab Planifier \u00bb sont pr\u00e9sents si ce cont\u00f4le n\u2019a pas encore \u00e9t\u00e9 r\u00e9alis\u00e9. Les boutons \u00ab Modifier \u00bb et \u00ab Supprimer \u00bb sont pr\u00e9sents si l'utilisateur est administrateur. Lorsque vous cliquez sur : \u00ab Faire \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de r\u00e9alisation d\u2019un contr\u00f4le \u00ab Planifier \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de planification d\u2019un contr\u00f4les \u00ab Modifier \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de modification du contr\u00f4les \u00ab Supprimer \u00bb, le contr\u00f4le est supprimer et vous \u00eates envoy\u00e9 vers la liste des contr\u00f4les \u00ab Annuler \u00bb, vous \u00eates envoy\u00e9 vers la liste des contr\u00f4les Planifier un contr\u00f4le Cet \u00e9cran permet de planifier un contr\u00f4le. Cet \u00e9cran contient les informations d\u2019un contr\u00f4le : Le nom d\u2019un contr\u00f4les ; L\u2019objectif du contr\u00f4le ; Le p\u00e9rim\u00e8tre du contr\u00f4le ; La date de planification ; La p\u00e9riodicit\u00e9 ; et Les responsables de la r\u00e9alisation du contr\u00f4les. Lorsque vous cliquez sur : \u00ab Plan \u00bb, la date de planifierion, la r\u00e9curence et les responsables sont mis \u00e0 jour et vous \u00eatres renvoy\u00e9s vers l\u2019 \u00e9cran d'affichage du contr\u00f4les \u00ab Annuler \u00bb, Vous \u00eatres renvoy\u00e9s vers l\u2019 \u00e9cran d'affichage du contr\u00f4les R\u00e9aliser un contr\u00f4les Cet \u00e9cran permet de r\u00e9aliser un contr\u00f4le de s\u00e9curit\u00e9. Cet \u00e9cran contient : Le nom du contr\u00f4le L\u2019objectif Les donn\u00e9es La date de r\u00e9alisation, la date de planification Les observation du contr\u00f4le Une zone pour sauvegarder les preuves ( CTRL+V permet de coller un fichier ou une capture d'\u00e9cran) Un lien permettant de t\u00e9l\u00e9charger la fiche de contr\u00f4les Le mod\u00e8le de calcul appliqu\u00e9 La note Le score Le plan d\u2019action La date du prochaine contr\u00f4le Lorsque vous cliquez sur : \u00ab Faire \u00bb, le contr\u00f4le est sauv\u00e9 et un nouveau contr\u00f4le est cr\u00e9\u00e9 \u00e0 la date planifi\u00e9e \u00ab Sauver \u00bb, le contr\u00f4le est sauv\u00e9 et vous revenez vers la liste des contr\u00f4les . Fiche de contr\u00f4le La fiche de contr\u00f4le est un document word g\u00e9n\u00e9r\u00e9 par l'application sur base des donn\u00e9es du contr\u00f4le. Cette fiche permet de d\u00e9crire les observations r\u00e9alis\u00e9s, d'ajouter des captures d'\u00e9cran ou des tableaux et de signer \u00e9lectroniquement les observations. La fiche de contr\u00f4le peut \u00eatre adapt\u00e9e afin de respecter le mod\u00e8le de document de votre organisation.","title":"Contr\u00f4les"},{"location":"controls.fr/#controles","text":"","title":"Contr\u00f4les"},{"location":"controls.fr/#liste-des-controles","text":"Cet \u00e9cran permet d\u2019afficher la liste des contr\u00f4les et de les filtrer par : domaine, attribut, p\u00e9riode de planification, \u00e9tat du contr\u00f4le : tous, fait et \u00e0 faire, texte libre sur le nom, l\u2019objectif, les observations. Lorsque vous cliquez sur : Le domaine, vous arrivez l'\u00e9cran d' affichage du domaine de s\u00e9curit\u00e9 La clause, vous arrivez l'\u00e9cran d' affichage de la mesure de s\u00e9curit\u00e9 . La date de r\u00e9alisation, de planification ou la date du contr\u00f4le suivant, vous arrivez l'\u00e9cran d' affichage du contr\u00f4le de s\u00e9curit\u00e9 .","title":"Liste des contr\u00f4les"},{"location":"controls.fr/#afficher-un-controle","text":"Cet \u00e9cran contient les informations d\u2019un contr\u00f4le : Le nom d\u2019un contr\u00f4les ; L\u2019objectif du contr\u00f4le ; Les attributs ; Les donn\u00e9es ; Le mod\u00e8le ; La dates de planification, de r\u00e9alisation et la date du contr\u00f4le suivant ; La note attribut\u00e9e au contr\u00f4le ; et Le score attribut\u00e9 au contr\u00f4le (vert, orange ou rouge). Les boutons \u00ab Faire \u00bb et \u00ab Planifier \u00bb sont pr\u00e9sents si ce cont\u00f4le n\u2019a pas encore \u00e9t\u00e9 r\u00e9alis\u00e9. Les boutons \u00ab Modifier \u00bb et \u00ab Supprimer \u00bb sont pr\u00e9sents si l'utilisateur est administrateur. Lorsque vous cliquez sur : \u00ab Faire \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de r\u00e9alisation d\u2019un contr\u00f4le \u00ab Planifier \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de planification d\u2019un contr\u00f4les \u00ab Modifier \u00bb, vous \u00eates envoy\u00e9 vers l\u2019 \u00e9cran de modification du contr\u00f4les \u00ab Supprimer \u00bb, le contr\u00f4le est supprimer et vous \u00eates envoy\u00e9 vers la liste des contr\u00f4les \u00ab Annuler \u00bb, vous \u00eates envoy\u00e9 vers la liste des contr\u00f4les","title":"Afficher un contr\u00f4le"},{"location":"controls.fr/#planifier-un-controle","text":"Cet \u00e9cran permet de planifier un contr\u00f4le. Cet \u00e9cran contient les informations d\u2019un contr\u00f4le : Le nom d\u2019un contr\u00f4les ; L\u2019objectif du contr\u00f4le ; Le p\u00e9rim\u00e8tre du contr\u00f4le ; La date de planification ; La p\u00e9riodicit\u00e9 ; et Les responsables de la r\u00e9alisation du contr\u00f4les. Lorsque vous cliquez sur : \u00ab Plan \u00bb, la date de planifierion, la r\u00e9curence et les responsables sont mis \u00e0 jour et vous \u00eatres renvoy\u00e9s vers l\u2019 \u00e9cran d'affichage du contr\u00f4les \u00ab Annuler \u00bb, Vous \u00eatres renvoy\u00e9s vers l\u2019 \u00e9cran d'affichage du contr\u00f4les","title":"Planifier un contr\u00f4le"},{"location":"controls.fr/#realiser-un-controles","text":"Cet \u00e9cran permet de r\u00e9aliser un contr\u00f4le de s\u00e9curit\u00e9. Cet \u00e9cran contient : Le nom du contr\u00f4le L\u2019objectif Les donn\u00e9es La date de r\u00e9alisation, la date de planification Les observation du contr\u00f4le Une zone pour sauvegarder les preuves ( CTRL+V permet de coller un fichier ou une capture d'\u00e9cran) Un lien permettant de t\u00e9l\u00e9charger la fiche de contr\u00f4les Le mod\u00e8le de calcul appliqu\u00e9 La note Le score Le plan d\u2019action La date du prochaine contr\u00f4le Lorsque vous cliquez sur : \u00ab Faire \u00bb, le contr\u00f4le est sauv\u00e9 et un nouveau contr\u00f4le est cr\u00e9\u00e9 \u00e0 la date planifi\u00e9e \u00ab Sauver \u00bb, le contr\u00f4le est sauv\u00e9 et vous revenez vers la liste des contr\u00f4les .","title":"R\u00e9aliser un contr\u00f4les"},{"location":"controls.fr/#fiche-de-controle","text":"La fiche de contr\u00f4le est un document word g\u00e9n\u00e9r\u00e9 par l'application sur base des donn\u00e9es du contr\u00f4le. Cette fiche permet de d\u00e9crire les observations r\u00e9alis\u00e9s, d'ajouter des captures d'\u00e9cran ou des tableaux et de signer \u00e9lectroniquement les observations. La fiche de contr\u00f4le peut \u00eatre adapt\u00e9e afin de respecter le mod\u00e8le de document de votre organisation.","title":"Fiche de contr\u00f4le"},{"location":"controls/","text":"Fran\u00e7ais Measurements List of measurements This screen is used to display the list of measurements and to filter them by: domain, attribute, planning period, measurement status: all, done and to do, free text on name, purpose, comments. When you click: The domain, you arrive at the security domain display screen Clause, you arrive at the security measure display screen. The date of completion, planning or the date of the next check, you arrive at the security check display screen. Show a measurement This screen contains the information of a measurement: The name of a measurement; The objective of the measurement; Attributes ; Data; The model ; The dates of planning, completion and the date of the next inspection; The score assigned to the measurement; And The score attributed to the measurement (green, orange or red). The \"Make\" and \"Plan\" buttons are present if this measurement has not yet been carried out. The \"Modify\" and \"Delete\" buttons are available if the user is an administrator. When you click: \"Make\", you are sent to the measurement completion screen \"Plan\", you are sent to the measurement planning screen \"Edit\", you are sent to the measurement edit screen \"Delete\", the measurement is deleted and you are sent to the list of measurements . \"Cancel\", you are sent to the list of measurements Schedule a measurement This screen is used to schedule a measurement. This screen contains the information of a measurement: The name of a measurement; The objective of the measurement; The date of palnification; Periodicity ; and Those responsible for carrying out the measurements. When you click: \"Plan\", the planning date, the recurrence and the persons in charge are updated and you are returned to the display screen of measurements \"Unplan\", remove the measurement and you are returned to the List of measurements \"Cancel\", You are returned to the measurement display screen Making a measurement check This screen allows you to perform a measurement. This screen contains: The name of the measurement The goal Data Completion date, planning date A text area for observations A file area for saving evidence ( CTRL+V can be used to paste a file or screenshot) A link to download the measurement sheet The computation model applied The note The score The action plan The date of the next check When you click: \"Make\", the measurement is saved and a new measurement is created at the scheduled date \"Save\", the measurement is saved and you return to the list of measurements . Measurement sheet The measurement sheet is a word document generated by the application based on the measurement data. This form allows you to describe the observations made, to add screenshots or tables and to electronically sign the observations. The checklist can be adapted to match your organization's document model.","title":"Measures"},{"location":"controls/#measurements","text":"","title":"Measurements"},{"location":"controls/#list-of-measurements","text":"This screen is used to display the list of measurements and to filter them by: domain, attribute, planning period, measurement status: all, done and to do, free text on name, purpose, comments. When you click: The domain, you arrive at the security domain display screen Clause, you arrive at the security measure display screen. The date of completion, planning or the date of the next check, you arrive at the security check display screen.","title":"List of measurements"},{"location":"controls/#show-a-measurement","text":"This screen contains the information of a measurement: The name of a measurement; The objective of the measurement; Attributes ; Data; The model ; The dates of planning, completion and the date of the next inspection; The score assigned to the measurement; And The score attributed to the measurement (green, orange or red). The \"Make\" and \"Plan\" buttons are present if this measurement has not yet been carried out. The \"Modify\" and \"Delete\" buttons are available if the user is an administrator. When you click: \"Make\", you are sent to the measurement completion screen \"Plan\", you are sent to the measurement planning screen \"Edit\", you are sent to the measurement edit screen \"Delete\", the measurement is deleted and you are sent to the list of measurements . \"Cancel\", you are sent to the list of measurements","title":"Show a measurement"},{"location":"controls/#schedule-a-measurement","text":"This screen is used to schedule a measurement. This screen contains the information of a measurement: The name of a measurement; The objective of the measurement; The date of palnification; Periodicity ; and Those responsible for carrying out the measurements. When you click: \"Plan\", the planning date, the recurrence and the persons in charge are updated and you are returned to the display screen of measurements \"Unplan\", remove the measurement and you are returned to the List of measurements \"Cancel\", You are returned to the measurement display screen","title":"Schedule a measurement"},{"location":"controls/#making-a-measurement-check","text":"This screen allows you to perform a measurement. This screen contains: The name of the measurement The goal Data Completion date, planning date A text area for observations A file area for saving evidence ( CTRL+V can be used to paste a file or screenshot) A link to download the measurement sheet The computation model applied The note The score The action plan The date of the next check When you click: \"Make\", the measurement is saved and a new measurement is created at the scheduled date \"Save\", the measurement is saved and you return to the list of measurements .","title":"Making a measurement check"},{"location":"controls/#measurement-sheet","text":"The measurement sheet is a word document generated by the application based on the measurement data. This form allows you to describe the observations made, to add screenshots or tables and to electronically sign the observations. The checklist can be adapted to match your organization's document model.","title":"Measurement sheet"},{"location":"dashboards.fr/","text":"English Tableaux de bords Il existe trois tableaux de bord : les contr\u00f4les par domaines les contr\u00f4le par domaine et par mesure les contr\u00f4les par attribut Les contr\u00f4les par domaines Les contr\u00f4le par domaines et par mesures Les contr\u00f4les par attributs","title":"Tableaux de bords"},{"location":"dashboards.fr/#tableaux-de-bords","text":"Il existe trois tableaux de bord : les contr\u00f4les par domaines les contr\u00f4le par domaine et par mesure les contr\u00f4les par attribut","title":"Tableaux de bords"},{"location":"dashboards.fr/#les-controles-par-domaines","text":"","title":"Les contr\u00f4les par domaines"},{"location":"dashboards.fr/#les-controle-par-domaines-et-par-mesures","text":"","title":"Les contr\u00f4le par domaines et par mesures"},{"location":"dashboards.fr/#les-controles-par-attributs","text":"","title":"Les contr\u00f4les par attributs"},{"location":"dashboards/","text":"Fran\u00e7ais Dashboards There are three dashboards: controls by domains controls by domain and by measure controls by attribute Controls by domains Controls by domain and by measure Attribute checks","title":"Dashboards"},{"location":"dashboards/#dashboards","text":"There are three dashboards: controls by domains controls by domain and by measure controls by attribute","title":"Dashboards"},{"location":"dashboards/#controls-by-domains","text":"","title":"Controls by domains"},{"location":"dashboards/#controls-by-domain-and-by-measure","text":"","title":"Controls by domain and by measure"},{"location":"dashboards/#attribute-checks","text":"","title":"Attribute checks"},{"location":"delegation.fr/","text":"English D\u00e9l\u00e9gation Deming permet de d\u00e9l\u00e9guer la r\u00e9alisation des contr\u00f4les de s\u00e9curit\u00e9 \u00e0 des utilisateurs qui ont le r\u00f4le audit\u00e9 . L'assignation du r\u00f4le audit\u00e9 \u00e0 un utilisateur se fait via l'\u00e9cran de gestion des utilisateurs . Cette d\u00e9l\u00e9gation respecte les r\u00e8gles suivantes : Les audit\u00e9s sont inform\u00e9s r\u00e9guli\u00e8rement par mail des contr\u00f4les \u00e0 r\u00e9aliser ; Les audit\u00e9s ne voient que les contr\u00f4les qui leur sont assign\u00e9s et les contr\u00f4les qu'ils ont r\u00e9alis\u00e9s pr\u00e9c\u00e9demment ; Les utilisateurs peuvent accepter ou refuser un contr\u00f4le r\u00e9alis\u00e9 par un audit\u00e9 ; Lorsqu'un contr\u00f4le est refus\u00e9, il retourne dans la liste des contr\u00f4les \u00e0 r\u00e9aliser de l'audit\u00e9. Liste des contr\u00f4les \u00e0 r\u00e9aliser Du point de vue de l'audit\u00e9, la page principale de l'application contient la liste des contr\u00f4les qui lui sont assign\u00e9s. L'audit\u00e9 peut : Effectuer des recherches dans la liste des contr\u00f4les Filtrer les contr\u00f4les par domaine, p\u00e9rim\u00e8tre, attribut, p\u00e9riode. Trier la liste par chacune des colonnes S\u00e9lectionner un contr\u00f4le \u00e0 r\u00e9aliser R\u00e9aliser un contr\u00f4le Lorsqu'un audit\u00e9 r\u00e9alise un contr\u00f4le, il peut : Sauver le contr\u00f4le Faire le contr\u00f4le Lorsqu'il clique sur : \"Sauver\", les modifications qu'il a faites sont sauv\u00e9es, le contr\u00f4le reste dans la liste des contr\u00f4les \u00e0 r\u00e9aliser \"Faire\", les modifications qu'il a faite sont sauv\u00e9es et le contr\u00f4le passe dans l'\u00e9tat \u00e0 valider. Du point de vue de l'audit\u00e9, le contr\u00f4le se trouve dans la liste des contr\u00f4les r\u00e9alis\u00e9s. \"Annuler\", les modifications ne sont pas sauv\u00e9e, l'utilisateur retourne vers la vue du contr\u00f4le. Accepter / Refuser un contr\u00f4le Une fois qu'un contr\u00f4le a \u00e9t\u00e9 r\u00e9alis\u00e9 par un audit\u00e9, il passe dans l'\u00e9tat \"\u00e0 valider\". Cela se mat\u00e9rialise pour les autres utilisateurs par un sablier \u00e0 c\u00f4t\u00e9 de la date de r\u00e9alisation dans la liste des contr\u00f4les \u00e0 r\u00e9aliser : Lorsque l'utilisateur clique sur la date de r\u00e9alisation \u00e0 c\u00f4t\u00e9 du sablier, il arrive sur le contr\u00f4le r\u00e9alis\u00e9 par l'audit\u00e9. Il peut alors accepter ou refuser le contr\u00f4le en ajoutant une note dans les observations du contr\u00f4le et, selon les r\u00e9sultats du contr\u00f4le, proposer un plan d'action et une date de revue du contr\u00f4le. Si l'utilisateur clique sur : \"Accepter\" : les donn\u00e9es modifi\u00e9es sont sauv\u00e9es et un nouveau contr\u00f4le est cr\u00e9\u00e9 \u00e0 la date de planification introduite. \"Rejet\u00e9\" : les donn\u00e9es modifi\u00e9es sont sauv\u00e9es et le contr\u00f4le est renvoy\u00e9 dans la liste des contr\u00f4les \u00e0 r\u00e9aliser de l'audit\u00e9. \"Sauv\u00e9\" : les donn\u00e9es sont sauv\u00e9es et l'utilisateur revient \u00e0 la vue du contr\u00f4le. \"Annuler\" : l'utilisateur revient \u00e0 la vue du contr\u00f4le.","title":"D\u00e9l\u00e9gation"},{"location":"delegation.fr/#delegation","text":"Deming permet de d\u00e9l\u00e9guer la r\u00e9alisation des contr\u00f4les de s\u00e9curit\u00e9 \u00e0 des utilisateurs qui ont le r\u00f4le audit\u00e9 . L'assignation du r\u00f4le audit\u00e9 \u00e0 un utilisateur se fait via l'\u00e9cran de gestion des utilisateurs . Cette d\u00e9l\u00e9gation respecte les r\u00e8gles suivantes : Les audit\u00e9s sont inform\u00e9s r\u00e9guli\u00e8rement par mail des contr\u00f4les \u00e0 r\u00e9aliser ; Les audit\u00e9s ne voient que les contr\u00f4les qui leur sont assign\u00e9s et les contr\u00f4les qu'ils ont r\u00e9alis\u00e9s pr\u00e9c\u00e9demment ; Les utilisateurs peuvent accepter ou refuser un contr\u00f4le r\u00e9alis\u00e9 par un audit\u00e9 ; Lorsqu'un contr\u00f4le est refus\u00e9, il retourne dans la liste des contr\u00f4les \u00e0 r\u00e9aliser de l'audit\u00e9.","title":"D\u00e9l\u00e9gation"},{"location":"delegation.fr/#liste-des-controles-a-realiser","text":"Du point de vue de l'audit\u00e9, la page principale de l'application contient la liste des contr\u00f4les qui lui sont assign\u00e9s. L'audit\u00e9 peut : Effectuer des recherches dans la liste des contr\u00f4les Filtrer les contr\u00f4les par domaine, p\u00e9rim\u00e8tre, attribut, p\u00e9riode. Trier la liste par chacune des colonnes S\u00e9lectionner un contr\u00f4le \u00e0 r\u00e9aliser","title":"Liste des contr\u00f4les \u00e0 r\u00e9aliser"},{"location":"delegation.fr/#realiser-un-controle","text":"Lorsqu'un audit\u00e9 r\u00e9alise un contr\u00f4le, il peut : Sauver le contr\u00f4le Faire le contr\u00f4le Lorsqu'il clique sur : \"Sauver\", les modifications qu'il a faites sont sauv\u00e9es, le contr\u00f4le reste dans la liste des contr\u00f4les \u00e0 r\u00e9aliser \"Faire\", les modifications qu'il a faite sont sauv\u00e9es et le contr\u00f4le passe dans l'\u00e9tat \u00e0 valider. Du point de vue de l'audit\u00e9, le contr\u00f4le se trouve dans la liste des contr\u00f4les r\u00e9alis\u00e9s. \"Annuler\", les modifications ne sont pas sauv\u00e9e, l'utilisateur retourne vers la vue du contr\u00f4le.","title":"R\u00e9aliser un contr\u00f4le"},{"location":"delegation.fr/#accepter-refuser-un-controle","text":"Une fois qu'un contr\u00f4le a \u00e9t\u00e9 r\u00e9alis\u00e9 par un audit\u00e9, il passe dans l'\u00e9tat \"\u00e0 valider\". Cela se mat\u00e9rialise pour les autres utilisateurs par un sablier \u00e0 c\u00f4t\u00e9 de la date de r\u00e9alisation dans la liste des contr\u00f4les \u00e0 r\u00e9aliser : Lorsque l'utilisateur clique sur la date de r\u00e9alisation \u00e0 c\u00f4t\u00e9 du sablier, il arrive sur le contr\u00f4le r\u00e9alis\u00e9 par l'audit\u00e9. Il peut alors accepter ou refuser le contr\u00f4le en ajoutant une note dans les observations du contr\u00f4le et, selon les r\u00e9sultats du contr\u00f4le, proposer un plan d'action et une date de revue du contr\u00f4le. Si l'utilisateur clique sur : \"Accepter\" : les donn\u00e9es modifi\u00e9es sont sauv\u00e9es et un nouveau contr\u00f4le est cr\u00e9\u00e9 \u00e0 la date de planification introduite. \"Rejet\u00e9\" : les donn\u00e9es modifi\u00e9es sont sauv\u00e9es et le contr\u00f4le est renvoy\u00e9 dans la liste des contr\u00f4les \u00e0 r\u00e9aliser de l'audit\u00e9. \"Sauv\u00e9\" : les donn\u00e9es sont sauv\u00e9es et l'utilisateur revient \u00e0 la vue du contr\u00f4le. \"Annuler\" : l'utilisateur revient \u00e0 la vue du contr\u00f4le.","title":"Accepter / Refuser un contr\u00f4le"},{"location":"delegation/","text":"Fran\u00e7ais Delegation Deming allows you to delegate the realisation of measurements to users who have the auditee role. The auditee role is assigned to a user via the user management screen . This delegation complies with the following rules: Auditees are regularly informed by email of the measurements to be carried out; Auditees only see the measurements to be carried out and the measurements they have previously carried out; Users can accept or reject a measurement performed by an auditee; When a measurement is rejected, it returns to the list of measurements to be carried out by the auditee. List of measurements to be performed From the auditee's point of view, the application's main page contains the list of measurements that are assigned to him. Tha auditee can : Search the list of measurements Filter measurements by domain, scope, attribute or period. Sort the list by each column Select a measurement to perform Performing an measurement When an auditee performs an mesurement, they can : \"Save\" the measurement \"Make\" the mesurement When the auditee clicks on : \"Save\", the changes made are saved and the measurement remains in the list of measurements to be performed \"Make\", the changes made are saved and the measurement changes to the status to be validated. From the auditee's point of view, the measurement is in the list of measurements performed. If the auditee selects \"Cancel\", the changes are not saved and the auditee returns to the measuremet view. Accepting / Rejecting a measurement Once an measurement has been carried out by an auditee, it changes status to \"to be validated\". For other users, this is shown by an hourglass next to the completion date in the list of checks to be carried out: When the user clicks on the date next to the hourglass, they are taken to the measurement performed by the auditee. They can then accept or reject the measurement, adding a note in the measurement observations and, depending on the measurement score, propose an action plan and anmeasurement review date. If the user clicks on : \"Accept\": the modified data is saved and a new measurement is created on the planning date entered. \"Reject\": the modified data is saved and the measurement is returned to the auditee list of controls to be performed. \"Save\": the data is saved and the user returns to the measurement view. \"Cancel\": the user returns to the measurement view.","title":"Delegation"},{"location":"delegation/#delegation","text":"Deming allows you to delegate the realisation of measurements to users who have the auditee role. The auditee role is assigned to a user via the user management screen . This delegation complies with the following rules: Auditees are regularly informed by email of the measurements to be carried out; Auditees only see the measurements to be carried out and the measurements they have previously carried out; Users can accept or reject a measurement performed by an auditee; When a measurement is rejected, it returns to the list of measurements to be carried out by the auditee.","title":"Delegation"},{"location":"delegation/#list-of-measurements-to-be-performed","text":"From the auditee's point of view, the application's main page contains the list of measurements that are assigned to him. Tha auditee can : Search the list of measurements Filter measurements by domain, scope, attribute or period. Sort the list by each column Select a measurement to perform","title":"List of measurements to be performed"},{"location":"delegation/#performing-an-measurement","text":"When an auditee performs an mesurement, they can : \"Save\" the measurement \"Make\" the mesurement When the auditee clicks on : \"Save\", the changes made are saved and the measurement remains in the list of measurements to be performed \"Make\", the changes made are saved and the measurement changes to the status to be validated. From the auditee's point of view, the measurement is in the list of measurements performed. If the auditee selects \"Cancel\", the changes are not saved and the auditee returns to the measuremet view.","title":"Performing an measurement"},{"location":"delegation/#accepting-rejecting-a-measurement","text":"Once an measurement has been carried out by an auditee, it changes status to \"to be validated\". For other users, this is shown by an hourglass next to the completion date in the list of checks to be carried out: When the user clicks on the date next to the hourglass, they are taken to the measurement performed by the auditee. They can then accept or reject the measurement, adding a note in the measurement observations and, depending on the measurement score, propose an action plan and anmeasurement review date. If the user clicks on : \"Accept\": the modified data is saved and a new measurement is created on the planning date entered. \"Reject\": the modified data is saved and the measurement is returned to the auditee list of controls to be performed. \"Save\": the data is saved and the user returns to the measurement view. \"Cancel\": the user returns to the measurement view.","title":"Accepting / Rejecting a measurement"},{"location":"home.fr/","text":"English Application Page principale La page principale de l\u2019application permet d'avoir une vue d'enseble du SMSI et des contr\u00f4les \u00e0 r\u00e9aliser. Elle est compos\u00e9es de : Sur la gauche, le menu principal de l\u2019application ; En haut des indicateurs sur : le nombre de domaines de s\u00e9curit\u00e9 le nombre de mesures de s\u00e9curit\u00e9 s\u00e9lectionn\u00e9es le nombre de contr\u00f4les r\u00e9alis\u00e9s le nombre de plans d\u2019action Note : si un domaine n'a aucune mesure de s\u00e9curit\u00e9 ou qu'aucunes des mesures de s\u00e9curit\u00e9 de ce domaine n'est planifi\u00e9e alors le domaine n'est pas pris en compte. si une mesure de s\u00e9curit\u00e9 n'est pas planifi\u00e9e, elle n'est pas prise en compte dans le comptage. si un plan d'action est termin\u00e9 il n'est pas pris en compte. Au milieu : Le planning des contr\u00f4le qui montre les contr\u00f4le \u00e0 r\u00e9aliser avec leur r\u00e9sultat (vert, orange ou rouge) et les contr\u00f4le plannifi\u00e9s (en gris) Un \u00e9tat global des contr\u00f4les La partie inf\u00e9rieur de la page principale contient la liste des cont\u00f4les pannifi\u00e9s dans les 30 prochains jours : Les dates des contr\u00f4les en retard sont affich\u00e9s en rouge. Recherche Un outil de recherche permet de rechecher la pr\u00e9sence d\u2019un mot dans le nom, les objectifs, les observations des contr\u00f4les et dans leurs plans d\u2019action.","title":"Page principale"},{"location":"home.fr/#application","text":"","title":"Application"},{"location":"home.fr/#page-principale","text":"La page principale de l\u2019application permet d'avoir une vue d'enseble du SMSI et des contr\u00f4les \u00e0 r\u00e9aliser. Elle est compos\u00e9es de : Sur la gauche, le menu principal de l\u2019application ; En haut des indicateurs sur : le nombre de domaines de s\u00e9curit\u00e9 le nombre de mesures de s\u00e9curit\u00e9 s\u00e9lectionn\u00e9es le nombre de contr\u00f4les r\u00e9alis\u00e9s le nombre de plans d\u2019action Note : si un domaine n'a aucune mesure de s\u00e9curit\u00e9 ou qu'aucunes des mesures de s\u00e9curit\u00e9 de ce domaine n'est planifi\u00e9e alors le domaine n'est pas pris en compte. si une mesure de s\u00e9curit\u00e9 n'est pas planifi\u00e9e, elle n'est pas prise en compte dans le comptage. si un plan d'action est termin\u00e9 il n'est pas pris en compte. Au milieu : Le planning des contr\u00f4le qui montre les contr\u00f4le \u00e0 r\u00e9aliser avec leur r\u00e9sultat (vert, orange ou rouge) et les contr\u00f4le plannifi\u00e9s (en gris) Un \u00e9tat global des contr\u00f4les La partie inf\u00e9rieur de la page principale contient la liste des cont\u00f4les pannifi\u00e9s dans les 30 prochains jours : Les dates des contr\u00f4les en retard sont affich\u00e9s en rouge.","title":"Page principale"},{"location":"home.fr/#recherche","text":"Un outil de recherche permet de rechecher la pr\u00e9sence d\u2019un mot dans le nom, les objectifs, les observations des contr\u00f4les et dans leurs plans d\u2019action.","title":"Recherche"},{"location":"home/","text":"Fran\u00e7ais Application Main page The main page of the application provides an overview of the ISMS and the checks to be carried out. It is composed of: On the left, the application's main menu; at the top of the indicators on: the number of security domains the number of selected controls the number of measures carried out the number of action plans Note: if a domain has no controls, or none of the domain's controls are planned, then the domain is not taken into account. if a control is not planned, it is not included in the count. if an action plan has been completed, it is not taken into account. In the middle : The inspection schedule which shows the inspections to be carried out with their result (green, orange or red) and the planned inspections (in grey) An overall state of controls The lower part of the main page contains the list of controls scheduled for the next 30 days: Overdue check dates are displayed in red. Search A search tool allows you to search for the presence of a word in the name, the objectives, the observations of the controls and in their action plans.","title":"Homepage"},{"location":"home/#application","text":"","title":"Application"},{"location":"home/#main-page","text":"The main page of the application provides an overview of the ISMS and the checks to be carried out. It is composed of: On the left, the application's main menu; at the top of the indicators on: the number of security domains the number of selected controls the number of measures carried out the number of action plans Note: if a domain has no controls, or none of the domain's controls are planned, then the domain is not taken into account. if a control is not planned, it is not included in the count. if an action plan has been completed, it is not taken into account. In the middle : The inspection schedule which shows the inspections to be carried out with their result (green, orange or red) and the planned inspections (in grey) An overall state of controls The lower part of the main page contains the list of controls scheduled for the next 30 days: Overdue check dates are displayed in red.","title":"Main page"},{"location":"home/#search","text":"A search tool allows you to search for the presence of a word in the name, the objectives, the observations of the controls and in their action plans.","title":"Search"},{"location":"index.fr/","text":"English Introduction Qu\u2019est-ce que Deming ? Deming est un outil Open Source con\u00e7u pour aider les RSSI \u00e0 mettre en place et \u00e0 maintenir leur syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information. Gr\u00e2ce \u00e0 cette application, les RSSI peuvent facilement planifier et suivre la mise en \u0153uvre des contr\u00f4les de s\u00e9curit\u00e9 et le cycle d'am\u00e9lioration continue requis par la norme ISO 27001. L'application est con\u00e7ue pour \u00eatre facile \u00e0 utiliser et \u00e0 personnaliser, avec une interface utilisateur intuitive. Deming offre des fonctionnalit\u00e9s telles que la gestion des mesures de s\u00e9curit\u00e9 , la planification des contr\u00f4les , la cr\u00e9ation des fiches de contr\u00f4le , l\u2019enregistrement des preuves, le suivi des plans d\u2019action ainsi que des tableaux de bord et des rapports de pilotage du SMSI pour aider les RSSI \u00e0 suivre le maintient des mesures de s\u00e9curit\u00e9 de l'information. L'application est con\u00e7ue pour \u00eatre compatible avec la norme ISO 27001:2022, en suivant les exigences sp\u00e9cifiques de la norme pour la planification, la mise en \u0153uvre, la v\u00e9rification et l'am\u00e9lioration continue du syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information. Elle est \u00e9galement con\u00e7ue pour aider les RSSI \u00e0 pr\u00e9parer leur organisation aux audits de certification ISO 27001 en fournissant des rapports d\u00e9taill\u00e9s sur les contr\u00f4les de s\u00e9curit\u00e9 et la mesure de leur efficacit\u00e9. Cette application est publi\u00e9e sous la licence GPL , permettant aux utilisateurs de l'utiliser, de la modifier et de la distribuer librement. Cette approche open source permet aux utilisateurs de contribuer au d\u00e9veloppement de l'application en soumettant des demandes de changement, des rapports de bogues ou des fonctionnalit\u00e9s suppl\u00e9mentaires. Cette application de gestion de la s\u00e9curit\u00e9 de l'information est un outil puissant et personnalisable pour les RSSI qui cherchent \u00e0 mettre en place et \u00e0 maintenir un syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information conforme \u00e0 la norme ISO 27001. Avec son interface utilisateur intuitive, la possibilit\u00e9 de d\u00e9finir de nouveaux contr\u00f4les et sa compatibilit\u00e9 ISO 27001:2022, elle offre aux RSSI une grande flexibilit\u00e9 pour adapter l'application \u00e0 leurs besoins sp\u00e9cifiques. Qu'est-ce qui n'est pas Deming ? Deming n'est pas une solution miracle qui r\u00e9alise l'analyse des risques, importe toutes les normes existantes, g\u00e8re automatiquement votre documentation, fournit des proc\u00e9dures par d\u00e9faut ou utilise de l'intelligence artificielle de mani\u00e8re autonome... Mais : elle n'est pas dans le nuage; vous n'avez pas besoin de 5 jours de formation pour l'utiliser; vous n'\u00eates pas contact\u00e9 par une soci\u00e9t\u00e9 de conseil et elle est gratuite. Pourquoi contr\u00f4ler ? Pour g\u00e9rer la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information il faut mettre en place un ensemble de mesures de s\u00e9curit\u00e9 et contr\u00f4ler r\u00e9guli\u00e8rement que ces mesures sont effectives et efficaces. Ces contr\u00f4les r\u00e9guliers permettent de garantir que les mesures de s\u00e9curit\u00e9 mises en place atteignent leurs objectifs de s\u00e9curit\u00e9. Les exigences de mesure de l\u2019efficacit\u00e9 sont : a) d\u2019\u00e9valuer l'efficacit\u00e9 des contr\u00f4les; b) d\u2019\u00e9valuer l'efficacit\u00e9 du syst\u00e8me de gestion de l'information; c) de v\u00e9rifier dans quelle mesure les exigences de s\u00e9curit\u00e9 identifi\u00e9es ont \u00e9t\u00e9 respect\u00e9es; d) de faciliter l\u2019am\u00e9lioration des performances de la s\u00e9curit\u00e9 de l\u2019information par rapport aux objectifs; e) de fournir des donn\u00e9es pour la revue de la direction afin de faciliter la prise de d\u00e9cisions li\u00e9es au SMSI; f) de justifier les besoins d'am\u00e9lioration du ISMS. Evaluation des performances La norme ISO 27001 au chapitre 9.1, impose d\u2019\u00e9valuer les performances de s\u00e9curit\u00e9 de l\u2019information, ainsi que l\u2019efficacit\u00e9 du syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information. Pour \u00e9valuer ces performances, il faut d\u00e9terminer : a) ce qu\u2019il est n\u00e9cessaire de surveiller et de mesurer, y compris les processus et les mesures de s\u00e9curit\u00e9 de l\u2019information; b) les m\u00e9thodes de surveillance, de mesurage, d\u2019analyse et d\u2019\u00e9valuation, selon le cas, pour assurer la validit\u00e9 des r\u00e9sultats; c) quand la surveillance et les mesures doivent \u00eatre effectu\u00e9es; d) qui doit effectuer la surveillance et les mesures; e) quand les r\u00e9sultats de la surveillance et des mesures doivent \u00eatre analys\u00e9s et \u00e9valu\u00e9s; et f) qui doit analyser et \u00e9valuer ces r\u00e9sultats. Deming permet de r\u00e9pondre \u00e0 ces exigences et de conserver les informations document\u00e9es appropri\u00e9es comme preuves des r\u00e9sultats de la surveillance et des mesures. Definitions Mesures de s\u00e9curit\u00e9 (en anglais \u00ab Control \u00bb) : ensemble de dispositions \u00e0 mettre en \u0153uvre. Ce sont les mesures \u00e0 prendre pour mettre en \u0153uvre la politique de s\u00e9curit\u00e9. Contr\u00f4le ou Mesurage (en anglais \u00ab Measurement \u00bb) : processus d\u2019obtention relative \u00e0 l\u2019efficacit\u00e9 d\u2019un SMSI et de mesures de s\u00e9curit\u00e9, \u00e0 l\u2019aide d\u2019une m\u00e9thode d\u2019\u00e9valuation, d\u2019une fonction d\u2019\u00e9valuation, d\u2019un mod\u00e8le analytique, et de crit\u00e8re de d\u00e9cisions [ISO/IEC 27004]. Indicateur : r\u00e9sultat de l\u2019application d\u2019un mod\u00e8le analytique \u00e0 une ou plusieurs variables en relation avec les crit\u00e8res de d\u00e9cision ou d\u2019un besoin d\u2019information [ISO/IEC 27004]. Attribut : propri\u00e9t\u00e9 ou caract\u00e9ristique d\u2019un objet qui peut \u00eatre distingu\u00e9 quantitativement ou qualitativement par des moyens humains ou automatiques [ISO/IEC 15939:2007].","title":"Introduction"},{"location":"index.fr/#introduction","text":"","title":"Introduction"},{"location":"index.fr/#quest-ce-que-deming","text":"Deming est un outil Open Source con\u00e7u pour aider les RSSI \u00e0 mettre en place et \u00e0 maintenir leur syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information. Gr\u00e2ce \u00e0 cette application, les RSSI peuvent facilement planifier et suivre la mise en \u0153uvre des contr\u00f4les de s\u00e9curit\u00e9 et le cycle d'am\u00e9lioration continue requis par la norme ISO 27001. L'application est con\u00e7ue pour \u00eatre facile \u00e0 utiliser et \u00e0 personnaliser, avec une interface utilisateur intuitive. Deming offre des fonctionnalit\u00e9s telles que la gestion des mesures de s\u00e9curit\u00e9 , la planification des contr\u00f4les , la cr\u00e9ation des fiches de contr\u00f4le , l\u2019enregistrement des preuves, le suivi des plans d\u2019action ainsi que des tableaux de bord et des rapports de pilotage du SMSI pour aider les RSSI \u00e0 suivre le maintient des mesures de s\u00e9curit\u00e9 de l'information. L'application est con\u00e7ue pour \u00eatre compatible avec la norme ISO 27001:2022, en suivant les exigences sp\u00e9cifiques de la norme pour la planification, la mise en \u0153uvre, la v\u00e9rification et l'am\u00e9lioration continue du syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information. Elle est \u00e9galement con\u00e7ue pour aider les RSSI \u00e0 pr\u00e9parer leur organisation aux audits de certification ISO 27001 en fournissant des rapports d\u00e9taill\u00e9s sur les contr\u00f4les de s\u00e9curit\u00e9 et la mesure de leur efficacit\u00e9. Cette application est publi\u00e9e sous la licence GPL , permettant aux utilisateurs de l'utiliser, de la modifier et de la distribuer librement. Cette approche open source permet aux utilisateurs de contribuer au d\u00e9veloppement de l'application en soumettant des demandes de changement, des rapports de bogues ou des fonctionnalit\u00e9s suppl\u00e9mentaires. Cette application de gestion de la s\u00e9curit\u00e9 de l'information est un outil puissant et personnalisable pour les RSSI qui cherchent \u00e0 mettre en place et \u00e0 maintenir un syst\u00e8me de management de la s\u00e9curit\u00e9 de l'information conforme \u00e0 la norme ISO 27001. Avec son interface utilisateur intuitive, la possibilit\u00e9 de d\u00e9finir de nouveaux contr\u00f4les et sa compatibilit\u00e9 ISO 27001:2022, elle offre aux RSSI une grande flexibilit\u00e9 pour adapter l'application \u00e0 leurs besoins sp\u00e9cifiques.","title":"Qu\u2019est-ce que Deming ?"},{"location":"index.fr/#quest-ce-qui-nest-pas-deming","text":"Deming n'est pas une solution miracle qui r\u00e9alise l'analyse des risques, importe toutes les normes existantes, g\u00e8re automatiquement votre documentation, fournit des proc\u00e9dures par d\u00e9faut ou utilise de l'intelligence artificielle de mani\u00e8re autonome... Mais : elle n'est pas dans le nuage; vous n'avez pas besoin de 5 jours de formation pour l'utiliser; vous n'\u00eates pas contact\u00e9 par une soci\u00e9t\u00e9 de conseil et elle est gratuite.","title":"Qu'est-ce qui n'est pas Deming ?"},{"location":"index.fr/#pourquoi-controler","text":"Pour g\u00e9rer la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information il faut mettre en place un ensemble de mesures de s\u00e9curit\u00e9 et contr\u00f4ler r\u00e9guli\u00e8rement que ces mesures sont effectives et efficaces. Ces contr\u00f4les r\u00e9guliers permettent de garantir que les mesures de s\u00e9curit\u00e9 mises en place atteignent leurs objectifs de s\u00e9curit\u00e9. Les exigences de mesure de l\u2019efficacit\u00e9 sont : a) d\u2019\u00e9valuer l'efficacit\u00e9 des contr\u00f4les; b) d\u2019\u00e9valuer l'efficacit\u00e9 du syst\u00e8me de gestion de l'information; c) de v\u00e9rifier dans quelle mesure les exigences de s\u00e9curit\u00e9 identifi\u00e9es ont \u00e9t\u00e9 respect\u00e9es; d) de faciliter l\u2019am\u00e9lioration des performances de la s\u00e9curit\u00e9 de l\u2019information par rapport aux objectifs; e) de fournir des donn\u00e9es pour la revue de la direction afin de faciliter la prise de d\u00e9cisions li\u00e9es au SMSI; f) de justifier les besoins d'am\u00e9lioration du ISMS.","title":"Pourquoi contr\u00f4ler ?"},{"location":"index.fr/#evaluation-des-performances","text":"La norme ISO 27001 au chapitre 9.1, impose d\u2019\u00e9valuer les performances de s\u00e9curit\u00e9 de l\u2019information, ainsi que l\u2019efficacit\u00e9 du syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information. Pour \u00e9valuer ces performances, il faut d\u00e9terminer : a) ce qu\u2019il est n\u00e9cessaire de surveiller et de mesurer, y compris les processus et les mesures de s\u00e9curit\u00e9 de l\u2019information; b) les m\u00e9thodes de surveillance, de mesurage, d\u2019analyse et d\u2019\u00e9valuation, selon le cas, pour assurer la validit\u00e9 des r\u00e9sultats; c) quand la surveillance et les mesures doivent \u00eatre effectu\u00e9es; d) qui doit effectuer la surveillance et les mesures; e) quand les r\u00e9sultats de la surveillance et des mesures doivent \u00eatre analys\u00e9s et \u00e9valu\u00e9s; et f) qui doit analyser et \u00e9valuer ces r\u00e9sultats. Deming permet de r\u00e9pondre \u00e0 ces exigences et de conserver les informations document\u00e9es appropri\u00e9es comme preuves des r\u00e9sultats de la surveillance et des mesures.","title":"Evaluation des performances"},{"location":"index.fr/#definitions","text":"Mesures de s\u00e9curit\u00e9 (en anglais \u00ab Control \u00bb) : ensemble de dispositions \u00e0 mettre en \u0153uvre. Ce sont les mesures \u00e0 prendre pour mettre en \u0153uvre la politique de s\u00e9curit\u00e9. Contr\u00f4le ou Mesurage (en anglais \u00ab Measurement \u00bb) : processus d\u2019obtention relative \u00e0 l\u2019efficacit\u00e9 d\u2019un SMSI et de mesures de s\u00e9curit\u00e9, \u00e0 l\u2019aide d\u2019une m\u00e9thode d\u2019\u00e9valuation, d\u2019une fonction d\u2019\u00e9valuation, d\u2019un mod\u00e8le analytique, et de crit\u00e8re de d\u00e9cisions [ISO/IEC 27004]. Indicateur : r\u00e9sultat de l\u2019application d\u2019un mod\u00e8le analytique \u00e0 une ou plusieurs variables en relation avec les crit\u00e8res de d\u00e9cision ou d\u2019un besoin d\u2019information [ISO/IEC 27004]. Attribut : propri\u00e9t\u00e9 ou caract\u00e9ristique d\u2019un objet qui peut \u00eatre distingu\u00e9 quantitativement ou qualitativement par des moyens humains ou automatiques [ISO/IEC 15939:2007].","title":"Definitions"},{"location":"measures.fr/","text":"English Mesures de s\u00e9curit\u00e9 Cette partie permet de d\u00e9finir, de modifier et de plannifier de nouvelles mesures de s\u00e9curit\u00e9. Liste des mesures de s\u00e9curit\u00e9 La liste des mesures de s\u00e9curit\u00e9 permet d\u2019afficher la liste des mesures, de les filtrer par domaine ou de recherche une mesure sur base d\u2019une partie de son nom. En cliquant sur : le domaine, vous arrivez sur la d\u00e9finition du domaine choisi la clause, vous arrivez sur la description de la mesure de s\u00e9curit\u00e9 le nombre de contr\u00f4le, vous arrivez sur la liste des contr\u00f4les de cette mesure de s\u00e9curit\u00e9 le bouton \"planifier\", vous arrivez sur la planification de la mesure de s\u00e9curit\u00e9 Afficher une mesure de s\u00e9curit\u00e9 Cet \u00e9cran permet d\u2019afficher une mesure de s\u00e9curit\u00e9. Une mesure de s\u00e9curit\u00e9 est compos\u00e9e : d\u2019un domaine ; d\u2019un nom ; d\u2019un objectif de s\u00e9curit\u00e9 ; d\u2019attributs ; des donn\u00e9es de mesures : du mod\u00e8le de v\u00e9rification ; d\u2019un indicateur (vert, orange, rouge) ; et d\u2019un plan d\u2019action \u00e0 appliquer si le contr\u00f4le de cette mesure de s\u00e9curit\u00e9 est en \u00e9chec. Lorsque vous cliquez sur : \u00ab Planifier \u00bb : vous arrivez vers l\u2019\u00e9cran de planification de la mesure de s\u00e9curit\u00e9 . \u00ab Modifier \u00bb : vous arrivez vers l\u2019\u00e9cran de moficiaton de la mesure \u00ab Supprimer \u00bb: vous permet de supprimer la mesure et de revenir \u00e0 la liste des mesures de s\u00e9curit\u00e9 \u00ab Annuler \u00bb : vous renvoie vers la liste des mesures de s\u00e9ucurit\u00e9 Modifier une mesure de s\u00e9curit\u00e9 Cet \u00e9cran permet de modifier une mesure de s\u00e9curit\u00e9. Lorsque vous cliquez sur : \u00ab Sauver \u00bb, les modifications sont sauv\u00e9es et vous revenez \u00e0 l\u2019\u00e9cran d\u2019 affichage de la mesure de s\u00e9curit\u00e9 . \u00ab Annluer \u00bb, vous revenez \u00e0 l\u2019\u00e9cran d\u2019 affichage de la mesure de s\u00e9curit\u00e9 . Planifier un contr\u00f4le Cet \u00e9cran permet de planifier un contr\u00f4le de s\u00e9curit\u00e9 \u00e0 partir d\u2019une mesure. L\u2019\u00e9cran contient : Le domaine ; Le nom de la mesure ; L\u2019objectif de s\u00e9curit\u00e9 ; La date de planification ; La p\u00e9riodicit\u00e9 du contr\u00f4les et Les responsables de la r\u00e9alisation du contr\u00f4les. Lorsque vous cliquez sur : \u00ab Planifier \u00bb, s\u2019il n\u2019existe pas de contr\u00f4le avec ce p\u00e9rim\u00e8tre pour cette mesure, un nouveau contr\u00f4le est cr\u00e9\u00e9 en copiant toutes les donn\u00e9es de le mesure et est planifi\u00e9 \u00e0 la date sp\u00e9cifi\u00e9e. S\u2019il existe d\u00e9j\u00e0 un contr\u00f4le avec ce p\u00e9rim\u00e8tre pour cette mesure de s\u00e9curit\u00e9, une erreur est affich\u00e9e. Vous revenez ensuite \u00e0 la liste des mesures de s\u00e9curit\u00e9 . \u00ab Annuler \u00bb, vous revenez vers la liste des mesures de s\u00e9curit\u00e9 .","title":"Mesures"},{"location":"measures.fr/#mesures-de-securite","text":"Cette partie permet de d\u00e9finir, de modifier et de plannifier de nouvelles mesures de s\u00e9curit\u00e9.","title":"Mesures de s\u00e9curit\u00e9"},{"location":"measures.fr/#liste-des-mesures-de-securite","text":"La liste des mesures de s\u00e9curit\u00e9 permet d\u2019afficher la liste des mesures, de les filtrer par domaine ou de recherche une mesure sur base d\u2019une partie de son nom. En cliquant sur : le domaine, vous arrivez sur la d\u00e9finition du domaine choisi la clause, vous arrivez sur la description de la mesure de s\u00e9curit\u00e9 le nombre de contr\u00f4le, vous arrivez sur la liste des contr\u00f4les de cette mesure de s\u00e9curit\u00e9 le bouton \"planifier\", vous arrivez sur la planification de la mesure de s\u00e9curit\u00e9","title":"Liste des mesures de s\u00e9curit\u00e9"},{"location":"measures.fr/#afficher-une-mesure-de-securite","text":"Cet \u00e9cran permet d\u2019afficher une mesure de s\u00e9curit\u00e9. Une mesure de s\u00e9curit\u00e9 est compos\u00e9e : d\u2019un domaine ; d\u2019un nom ; d\u2019un objectif de s\u00e9curit\u00e9 ; d\u2019attributs ; des donn\u00e9es de mesures : du mod\u00e8le de v\u00e9rification ; d\u2019un indicateur (vert, orange, rouge) ; et d\u2019un plan d\u2019action \u00e0 appliquer si le contr\u00f4le de cette mesure de s\u00e9curit\u00e9 est en \u00e9chec. Lorsque vous cliquez sur : \u00ab Planifier \u00bb : vous arrivez vers l\u2019\u00e9cran de planification de la mesure de s\u00e9curit\u00e9 . \u00ab Modifier \u00bb : vous arrivez vers l\u2019\u00e9cran de moficiaton de la mesure \u00ab Supprimer \u00bb: vous permet de supprimer la mesure et de revenir \u00e0 la liste des mesures de s\u00e9curit\u00e9 \u00ab Annuler \u00bb : vous renvoie vers la liste des mesures de s\u00e9ucurit\u00e9","title":"Afficher une mesure de s\u00e9curit\u00e9"},{"location":"measures.fr/#modifier-une-mesure-de-securite","text":"Cet \u00e9cran permet de modifier une mesure de s\u00e9curit\u00e9. Lorsque vous cliquez sur : \u00ab Sauver \u00bb, les modifications sont sauv\u00e9es et vous revenez \u00e0 l\u2019\u00e9cran d\u2019 affichage de la mesure de s\u00e9curit\u00e9 . \u00ab Annluer \u00bb, vous revenez \u00e0 l\u2019\u00e9cran d\u2019 affichage de la mesure de s\u00e9curit\u00e9 .","title":"Modifier une mesure de s\u00e9curit\u00e9"},{"location":"measures.fr/#planifier-un-controle","text":"Cet \u00e9cran permet de planifier un contr\u00f4le de s\u00e9curit\u00e9 \u00e0 partir d\u2019une mesure. L\u2019\u00e9cran contient : Le domaine ; Le nom de la mesure ; L\u2019objectif de s\u00e9curit\u00e9 ; La date de planification ; La p\u00e9riodicit\u00e9 du contr\u00f4les et Les responsables de la r\u00e9alisation du contr\u00f4les. Lorsque vous cliquez sur : \u00ab Planifier \u00bb, s\u2019il n\u2019existe pas de contr\u00f4le avec ce p\u00e9rim\u00e8tre pour cette mesure, un nouveau contr\u00f4le est cr\u00e9\u00e9 en copiant toutes les donn\u00e9es de le mesure et est planifi\u00e9 \u00e0 la date sp\u00e9cifi\u00e9e. S\u2019il existe d\u00e9j\u00e0 un contr\u00f4le avec ce p\u00e9rim\u00e8tre pour cette mesure de s\u00e9curit\u00e9, une erreur est affich\u00e9e. Vous revenez ensuite \u00e0 la liste des mesures de s\u00e9curit\u00e9 . \u00ab Annuler \u00bb, vous revenez vers la liste des mesures de s\u00e9curit\u00e9 .","title":"Planifier un contr\u00f4le"},{"location":"measures/","text":"Fran\u00e7ais Controls This part allows you to define, modify and plan new controls. List of controls The list of controls allows you to display the list of controls, to filter them by domain or to search for a control based on part of its name. Clicking on : the domain, you arrive at the chosen domain definition the clause, you arrive on the description of the control the number of measurements, you arrive to the list of measurements of this control the \"plan\" button takes you to the control planning Show control This screen displays a control. A control consists of: of a domain; of a name; a security objective; attributes; controlment data: of the verification model; an indicator (green, orange, red); and an action plan to be applied if control of this control fails. When you click: \u201cPlan\u201d: you arrive at the control planning screen. \"Modify\": you arrive at the controlment modification screen \u201cDelete\u201d: allows you to delete the control and return to the list of controls \"Cancel\": returns you to the list of controls Edit a control This screen allows you to modify a control. When you click: \"Save\", the changes are saved and you return to the control display screen. \"Cancel\", you return to the control display screen. Schedule a control This screen is used to plan a control based on a control. The screen contains: The domain ; The name of the control; The security objective; The planning date; and The frequency of checks; Those responsible for carrying out the controls. When you click: \"Plan\", if there is no measurement with this scope, a new measurement is created by copying all the control data and is scheduled for the specified date. if there is a measurement with the same scope for this control, an error is displayed. You then return to the list of controls . \"Cancel\", you return to the list of controls .","title":"Controls"},{"location":"measures/#controls","text":"This part allows you to define, modify and plan new controls.","title":"Controls"},{"location":"measures/#list-of-controls","text":"The list of controls allows you to display the list of controls, to filter them by domain or to search for a control based on part of its name. Clicking on : the domain, you arrive at the chosen domain definition the clause, you arrive on the description of the control the number of measurements, you arrive to the list of measurements of this control the \"plan\" button takes you to the control planning","title":"List of controls"},{"location":"measures/#show-control","text":"This screen displays a control. A control consists of: of a domain; of a name; a security objective; attributes; controlment data: of the verification model; an indicator (green, orange, red); and an action plan to be applied if control of this control fails. When you click: \u201cPlan\u201d: you arrive at the control planning screen. \"Modify\": you arrive at the controlment modification screen \u201cDelete\u201d: allows you to delete the control and return to the list of controls \"Cancel\": returns you to the list of controls","title":"Show control"},{"location":"measures/#edit-a-control","text":"This screen allows you to modify a control. When you click: \"Save\", the changes are saved and you return to the control display screen. \"Cancel\", you return to the control display screen.","title":"Edit a control"},{"location":"measures/#schedule-a-control","text":"This screen is used to plan a control based on a control. The screen contains: The domain ; The name of the control; The security objective; The planning date; and The frequency of checks; Those responsible for carrying out the controls. When you click: \"Plan\", if there is no measurement with this scope, a new measurement is created by copying all the control data and is scheduled for the specified date. if there is a measurement with the same scope for this control, an error is displayed. You then return to the list of controls . \"Cancel\", you return to the list of controls .","title":"Schedule a control"},{"location":"plan.fr/","text":"English Planning L\u2019\u00e9cran de planning permet d\u2019avoir une vue sur les contr\u00f4les r\u00e9alis\u00e9 et \u00e0 r\u00e9aliser. La partie de gauche de l\u2019\u00e9cran contient les contr\u00f4les pass\u00e9s et \u00e0 venir. En cliquant sur une colonne, vous \u00eates renvoy\u00e9 vers la liste des contr\u00f4le planifi\u00e9s du mois correspondant. La partie de droite contient les contr\u00f4les planifi\u00e9s ce mois. Il est possible de changer le mois en cours et de s\u00e9lectionner un contr\u00f4le dans le calendrier.","title":"Planning"},{"location":"plan.fr/#planning","text":"L\u2019\u00e9cran de planning permet d\u2019avoir une vue sur les contr\u00f4les r\u00e9alis\u00e9 et \u00e0 r\u00e9aliser. La partie de gauche de l\u2019\u00e9cran contient les contr\u00f4les pass\u00e9s et \u00e0 venir. En cliquant sur une colonne, vous \u00eates renvoy\u00e9 vers la liste des contr\u00f4le planifi\u00e9s du mois correspondant. La partie de droite contient les contr\u00f4les planifi\u00e9s ce mois. Il est possible de changer le mois en cours et de s\u00e9lectionner un contr\u00f4le dans le calendrier.","title":"Planning"},{"location":"plan/","text":"Fran\u00e7ais Schedule The schedule screen provides a view of the controls carried out and to be carried out. The left part of the screen contains past and future checks. By clicking on a column, you are returned to the list of controls planned for the corresponding month. The right side contains the checks scheduled for this month. It is possible to change the current month and select a control in the calendar.","title":"Planning"},{"location":"plan/#schedule","text":"The schedule screen provides a view of the controls carried out and to be carried out. The left part of the screen contains past and future checks. By clicking on a column, you are returned to the list of controls planned for the corresponding month. The right side contains the checks scheduled for this month. It is possible to change the current month and select a control in the calendar.","title":"Schedule"},{"location":"references.fr/","text":"English R\u00e9f\u00e9rences Les r\u00e9f\u00e9rences utilis\u00e9es dans cette documentation sont : ISO/IEC 27001 La norme ISO 27001 sur Management de la s\u00e9curit\u00e9 de l\u2019information Github du projet Le code source de l'application Deming.","title":"R\u00e9f\u00e9rences"},{"location":"references.fr/#references","text":"Les r\u00e9f\u00e9rences utilis\u00e9es dans cette documentation sont : ISO/IEC 27001 La norme ISO 27001 sur Management de la s\u00e9curit\u00e9 de l\u2019information Github du projet Le code source de l'application Deming.","title":"R\u00e9f\u00e9rences"},{"location":"references/","text":"Fran\u00e7ais References The references used in this documentation are: ISO/IEC 27001 The ISO 27001 standard on Information security management Project Github The source code of the Deming application.","title":"References"},{"location":"references/#references","text":"The references used in this documentation are: ISO/IEC 27001 The ISO 27001 standard on Information security management Project Github The source code of the Deming application.","title":"References"}]}
\ No newline at end of file
diff --git a/sitemap.xml.gz b/sitemap.xml.gz
index d816588..7e81b2c 100644
Binary files a/sitemap.xml.gz and b/sitemap.xml.gz differ