ISO27k Statement of Applicability

Originally contributed to the ISO27k Toolkit by Richard O. Regalado, Information Security Consultant

Updated for the 2013 release of the standards and translated into Spanish by White Hat Consultores: December 201

Control numbering and text corrected: April/July 2015

German version contributed by Comma Soft AG: August 2015

French version contributed by Bachir Benyammi: July 2016 & updated by Laurent Legastelois: August 2017

This is atemplate orskeleton SOA based on Annex A of ISO/IEC 27001:2013. It is a starting point for use in ISO27k im
too - this is just one way to do it. Feel free to customize or adapt the template to suit your unique circumstances, sp

Please consult the ISO/IEC 27000-series standards for more detail about the controls listed herein, and about the In
manage them. This SoA alone is woefully inadequate. While Annex A of ISO/IEC 27001 briefly names the controls, I
including useful implementation notes. ISO/IEC 27005 explains how to identify, assess and decide how to treat you
to mitigate or reduce information risks by implementing security controls. Furthermore, you may need additional o

Speak to your certification auditors or ISO27k advisors for further advice, or ask the ISO27k Forum.

Copyright
This work is copyright 2016, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons Attr
You are welcome to reproduce, circulate, use and create derivative works from this provided that (a) it is not sold or
properly attributed to the ISO27k Forum at www.ISO27001security.com, and (c) if they are published or shared, der
this.

The copyright in parts of this document belong to ISO/IEC. They own the standards! We are reliant on the fair use p
ISO/IEC to reproduce a small part of their content here.
Statement of Applicability
Legend (for Selected Controls and Reasons for controls selection)
LR: legal requirements,CO: contractual obligations,BR/BP: business requirements/adopted best practices,RRA: r

ISO/IEC 27001:2013 Annex A controls

Clause Sec Control Objective/Control

5.1 Management direction for information security
5 Security Policies 5.1.1 Policies for information
5.1.2 Review of the policies for information security

6.1 Internal organisation

6.1.1 Information security roles and responsibilities
6.1.2 Segregation of duties
6 Organisation of 6.1.3 Contact with authorities
information 6.1.4 Contact with special interest groups
security 6.1.5 Information security in project management
6.2 Mobile devices and teleworking
6.2.1 Mobile device policy
6.2.2 Teleworking

7.1 Prior to employment

7.1.1 Screening
7.1.2 Terms and conditions of employment
7.2 During employment
7 Human resource 7.2.1
security Management responsibilities
7.2.2 Information security awareness, education and training
7.2.3 Disciplinary process
7.3 Termination and change of employment
7.3.1 Termination or change of employment responsibilities

8.1 Responsibility for assets

8.1.1 Inventory of assets
8.1.2 Ownership of assets
8.1.3 Acceptable use of assets
8.1.4 Return of assets
8.2 Information classification
8 Asset
8.2.1 Classification of information
management
8.2.2 Labeling of information
8.2.3 Handling of assets
8.3 Media handling
8.3.1 Management of removable media
8.3.2 Disposal of media
 8.3.3 Physical media transfer

9.1 Business requirements of access control

9.1.1 Access control policy
9.1.2 Access to networks and network services
9.2 User access management
9.2.1 User registration and de-registration
9.2.2 User access provisioning
9.2.3 Management of privileged access rights
9.2.4
Management of secret authentication information of users
9 Access control 9.2.5 Review of user access rights
9.2.6 Removal or adjustment of access rights
9.3 User responsibilities
9.3.1 Use of secret authentication information
9.4 System and application access control
9.4.1 Information access restriction
9.4.2 Secure log-on procedures
9.4.3 Password management system
9.4.4 Use of privileged utility programs
9.4.5 Access control to program source code

10.1 Cryptographic controls

10 Cryptography 10.1.1 Policy on the use of cryptographic controls
10.1.2 Key management

11.1 Secure areas

11.1.1 Physical security perimeter
11.1.2 Physical entry controls
11.1.3 Securing office, room and facilities
11.1.4 Protecting against external end environmental threats
11.1.5 Working in secure areas
11.1.6 Delivery and loading areas
11 Physical and 11.2 Equipment
environmental 11.2.1 Equipment siting and protection
security 11.2.2 Supporting utilities
11.2.3 Cabling security
11.2.4 Equipment maintenance
11.2.5 Removal of assets
11.2.6 Security of equipment and assets off-premises
11.2.7 Secure disposal or re-use of equipment
11.2.8 Unattended user equipment
11.2.9 Clear desk and clear screen policy

12.1 Operational procedures and responsibilities

 12.1.1 Documented operating procedures
12.1.2 Change management
12.1.3 Capacity management
12.1.4 Separation of development, testing and operational
environments
12.2 Protection from malware
12.2.1 Controls against malware
12.3 Backup
12.3.1 Information backup
12 Operations 12.4 Logging and monitoring
security 12.4.1 Event logging
12.4.2 Protection of log information
12.4.3 Administrator and operator logs
12.4.4 Clock synchronisaton
12.5 Control of operational software
12.5.1 Installation of software on operational systems
12.6 Technical vulnerability management
12.6.1 Management of technical vulnerabilities
12.6.2 Restrictions on software installation
12.7 Information systems audit considerations
12.7.1 Information systems audit controls

13.1 Network security management

13.1.1 Network controls
13.1.2 Security of network services
13 13.1.3 Segregation in networks
Communications 13.2 Information transfer
security 13.2.1 Information transfer policies and procedures
13.2.2 Agreements on information transfer
13.2.3 Electronic messaging
13.2.4 Confidentiality or non-disclosure agreements

14.1 Security requirements of information systems

14.1.1 Information security requirements analysis and specification
14.1.2 Securing applications services on public networks
14.1.3 Protecting application services transactions
14.2 Security in development and support processes
14.2.1 Secure development policy
14.2.2 System change control procedures
14 System
acquisition, 14.2.3 Technical review of applications after operating platform
development and changes
maintenance 14.2.4 Restrictions on changes to software packages
14.2.5 Secure system engineering principles
14.2.6 Secure development environment
14.2.7 Outsourced development
 14.2.8 System security testing
14.2.9 System acceptance testing
14.3 Test data
14.3.1 Protection of test data

15.1 Information security in supplier relationships

15.1.1 Information security policy for supplier relationships
15.1.2 Addressing security within supplier agreements
15 Supplier 15.1.3 Information and communication technology supply chain
relationships
15.2 Supplier service delivery management
15.2.1 Monitoring and review of supplier services
15.2.2 Managing changes to supplier services

16.1 Management of information security incidents and

improvements
16.1.1 Responsibilities and procedures
16 Information 16.1.2 Reporting information security events
security incident 16.1.3 Reporting information security weaknesses
management 16.1.4 Assessment of and decision on information security events
16.1.5 Response to information security incidents
16.1.6 Learning from information security incidents
16.1.7 Collection of evidence

17.1 Information security continuity

17.1.1 Planning information security continuity
17 Information
security aspects of 17.1.2 Implementing information security continuity
business
continuity 17.1.3
Verify, review and evaluate information security continuity
management
17.2 Redundancies
17.2.1 Availability of information processing facilities

18.1 Compliance with legal and contractual requirements

18.1.1 Identification of applicable legislation and contractual
requirements
18.1.2 Intellectual property rights
18.1.3 Protection of records
18 Compliance 18.1.4 Privacy and protection of personally identifiable information
18.1.5 Regulation of cryptographic controls
18.2 Information security reviews
18.2.1 Independent review of information security
18.2.2 Compliance with security policies and standards
18.2.3 Technical compliance review
 Current as of: DD/MM/YYYY

nts/adopted best practices,RRA: results of risk assessment,TSE: to some extent

Remarks (with Selected controls and

Current Remarks (overview of
justification for reasons for selection
controls implementation)
exclusions) LR CO BR/BP RRA
Declaracin de Aplicabilidad
Leyenda (para la seleccin de controles y razn por la que se seleccionaron):
LR: requerimientos legales,CO: obligaciones contractuales,BR/BP: requerimientos del negocio/mejores prcticas
punto

Controles
ISO 27001:2013 Controles de Seguridad actuales

Clusula Seccin Objetivo de control / control

5.1 Direccin de la alta gerencia para la seguridad de la
5 Polticas de informacin
Seguridad 5.1.1 Polticas de seguridad de la informacin
5.1.2 Revisin de las polticas de seguridad de la informacin

6.1 Organizacin interna

6.1.1 Roles y responsabilidad de seguridad de la informacin
6.1.2 Segregacin de deberes
6.1.3 Contacto con autoridades
6 Organizacin de 6.1.4 Contacto con grupos de inters especial
la Seguridad de la
Informacin 6.1.5
Seguridad de la informacin en la gestin de proyectos
6.2 Dispositivos mviles y teletrabajo
6.2.1 Poltica de dispositivos mviles
6.2.2 Teletrabajo

7.1 Previo al empleo

7.1.1 Verificacin de antecedentes
7.1.2 Trminos y condiciones del empleo
7.2 Durante el empleo
7 Seguridad en 7.2.1 Responsabilidades de la Alta Gerencia
los Recursos
Humanos 7.2.2 Conciencia, educacin y entrenamiento de seguridad de la
informacin
7.2.3 Proceso disciplinario
7.3 Terminacin y cambio de empleo
7.3.1 Termino de responsabilidades o cambio de empleo

8.1 Responsabilidad de los activos

8.1.1 Inventario de activos
8.1.2 Propiedad de activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolucin de activos

8 Gestin de
Activos
 8.2 Clasificacin de la informacin
8 Gestin de 8.2.1 Clasificacin de la informacin
Activos
8.2.2 Etiquetado de la informacin
8.2.3 Manejo de activos
8.3 Manejo de medios
8.3.1 Gestin de medios removibles
8.3.2 Eliminacin de medios
8.3.3 Transporte de medios fsicos

9.1 Requerimientos de negocio para el control de acceso

9.1.1 Poltica de control de acceso
9.1.2 Acceso a redes y servicios de red
9.2 Gestin de accesos de usuario
9.2.1 Registro y baja del usuario
9.2.2 Provisin de acceso a usuarios
9.2.3 Gestin de derechos de acceso privilegiados
9.2.4 Gestin de informacin de autenticacin secreta de
usuarios
9 Control de Acceso9.2.5 Revisin de derechos de acceso de usuarios
9.2.6 Eliminacin o ajuste de derechos de acceso
9.3 Responsabilidades del usuario
9.3.1 Uso de informacin de autenticacin secreta
9.4 Control de acceso de sistemas y aplicaciones
9.4.1 Restriccin de acceso a la informacin
9.4.2 Procedimientos de inicio de sesin seguro
9.4.3 Sistema de gestin de contraseas
9.4.4 Uso de programas y utilidades privilegiadas
9.4.5 Control de acceso al cdigo fuente del programa

10.1 Controles criptogrficos

10 Criptografa 10.1.1 Poltica en el uso de controles criptogrficos
10.1.2 Gestin de llaves

11.1 reas seguras

11.1.1 Permetro de seguridad fsico
11.1.2 Controles fsicos de entrada
11.1.3 Seguridad de oficinas, habitaciones y facilidades
11.1.4 Proteccin contra amenazas externas y del ambiente
11.1.5 Trabajo en reas seguras
11.1.6 reas de entrega y carga
11 Seguridad 11.2 Equipo
Fsica y del 11.2.1 Instalacin y proteccin de equipo
Entorno 11.2.2 Servicios de soporte
 11 Seguridad
Fsica y del
Entorno
11.2.3 Seguridad en el cableado
11.2.4 Mantenimiento de equipos
11.2.5 Retiro de activos
11.2.6 Seguridad del equipo y activos fuera de las instalaciones
11.2.7 Eliminacin segura o reuso del equipo
11.2.8 Equipo de usuario desatendido
11.2.9 Poltica de escritorio limpio y pantalla limpia

12.1 Procedimientos Operacionales y Responsabilidades

12.1.1 Documentacin de procedimientos operacionales
12.1.2 Gestin de cambios
12.1.3 Gestin de la capacidad
12.1.4 Separacin de los ambientes de desarrollo, pruebas y
operacin
12.2 Proteccin de Software Malicioso
12.2.1 Controles contra software malicioso
12.3 Respaldo
12.3.1 Respaldo de informacin
12.4 Bitcoras y monitoreo
12 Seguridad en 12.4.1
las Operaciones Bitcoras de eventos
12.4.2 Proteccin de informacin en bitcoras
12.4.3 Bitcoras de administrador y operador
12.4.4 Sincronizacin de relojes
12.5 Control de software operacional
12.5.1 Instalacin de software en sistemas operacionales
12.6 Gestin de vulnerabilidades tcnicas
12.6.1 Gestin de vulnerabilidades tcnicas
12.6.2 Restricciones en la instalacin de software
12.7
Consideraciones de auditoria de sistemas de informacin
12.7.1 Controles de auditora de sistemas de informacin

13.1 Gestin de seguridad en red

13.1.1 Controles de red
13.1.2 Seguridad en los servicios en red
13.1.3 Segregacin en redes
13 Seguridad en 13.2 Transferencia de informacin
las
Comunicaciones 13.2.1 Polticas y procedimientos para la transferencia de
informacin
13.2.2 Acuerdos en la transferencia de informacin
13.2.3 Mensajera electrnica
13.2.4 Acuerdos de confidencialidad o no-revelacin
 14.1
Requerimientos de seguridad en sistemas de informacin
14.1.1 Anlisis y especificacin de requerimientos de seguridad
14.1.2
Aseguramiento de servicios de aplicacin en redes pblicas
14.1.3
Proteccin de transacciones en servicios de aplicacin
14.2 Seguridad en el proceso de desarrollo y soporte
14 Adquisicin, 14.2.1 Poltica de desarrollo seguro
Desarrollo y 14.2.2 Procedimientos de control de cambios del sistema
Mantenimiento
de Sistemas 14.2.3 Revisin tcnica de aplicaciones despus de cambios a la
plataforma operativa
14.2.4 Restriccin de cambios en paquetes de software
14.2.5 Principios de seguridad en la ingeniera de sistemas
14.2.6 Entorno de desarrollo seguro
14.2.7 Desarrollo tercerizado
14.2.8 Pruebas de seguridad del sistema
14.2.9 Pruebas de aceptacin del sistema
14.3 Datos de prueba
14.3.1 Proteccin de datos de prueba

15.1 Seguridad de la informacin en relaciones con el

proveedor
15.1.1 Poltica de seguridad de la informacin en las relaciones
con el proveedor

15 Relaciones con 15.1.2 Atencin de tpicos de seguridad en los acuerdos con el

Proveedores proveedor
15.1.3 Cadena de suministros de tecnologas de la informacin y
comunicaciones
15.2 Gestin de entrega de servicios de proveedor
15.2.1 Monitoreo y revisin de servicios del proveedor
15.2.2 Gestin de cambios a los servicios del proveedor

16.1 Gestin de incidentes de seguridad de la informacin y

mejoras
16.1.1 Responsabilidades y procedimientos
16.1.2 Reporte de eventos de seguridad de la informacin

16 Gestin de 16.1.3 Reporte de debilidades de seguridad de la informacin

Incidentes de
Seguridad de la 16.1.4 Valoracin y decisin de eventos de seguridad de la
Informacin informacin
16.1.5
Respuesta a incidentes de seguridad de la informacin
Seguridad de la
Informacin

16.1.6
Aprendizaje de incidentes de seguridad de la informacin
16.1.7 Coleccin de evidencia

17.1 Continuidad de la seguridad de la informacin

17.1.1 Planeacin de la continuidad de la seguridad de la
informacin
17 Aspectos de
Seguridad de la 17.1.2 Implementacin de la continuidad de la seguridad de la
Informacin para informacin
la Gestin de la
Continuidad del 17.1.3 Verificacin, revisin y evaluacin de la continuidad de la
Negocio seguridad de la informacin
17.2 Redundancias
17.2.1 Disponibilidad de facilidades de procesamiento de
informacin

18.1
Cumplimiento con Requerimientos Legales y Contractuales
18.1.1 Identificacin de legislacin aplicable y requerimientos
contractuales
18.1.2 Derechos de propiedad intelectual (IPR)
18.1.3 Proteccin de registros
18 Cumplimiento 18.1.4 Privacidad y proteccin de informacin personal
identificable (PIR)
18.1.5 Regulacin de controles criptogrficos
18.2 Revisiones de seguridad de la informacin
18.2.1
Revisin independiente de seguridad de la informacin
18.2.2 Cumplimiento con polticas y estndares de seguridad
18.2.3 Revisin del cumplimiento tcnico
 Vigente para el: dd/mm/aaaa

egocio/mejores prcticas adoptadas ,RRA: resultado de la valoracin de riesgos;TSE: hasta cierto

Comentarios (justificacin Controles seleccionados y Comentarios (visin general de

de exclusin) razones de seleccin la implementacin)
LR CO BR/BP RRA
Statement of Applicability (Erklrung zur Anwendbarkeit)
Legende (fr ausgewhlte Manahmen und Grnde fr die Auswahl von Manahmen)
LR: gesetzliche Anforderungen,CO: vertragliche Verpflichtungen,BR/BP: Geschftsanforderungen/angeandte Be

DIN ISO/IEC 27001:2015 Annex Amanahmen

Clause Sec Control Objective/Control

5 5.1 Vorgaben der Leitung fr Informationssicherheit
Informationssiche 5.1.1 Informationssicherheitsrichtlinien
rheitsrichtlinien 5.1.2 berprfung der Informationssicherheitsrichtlinien

6.1 Interne Organisation

6.1.1 Informationssicherheitsrollen und -verantwortlichkeiten
6.1.2 Aufgabentrennung
6 Organisation der 6.1.3 Kontakt mit Behrden
Informationssiche 6.1.4 Kontakt mit speziellen Interessengruppen
rheit 6.1.5 Informationssicherheit im Projektmanagement
6.2 Mobilgerte und Telearbeit
6.2.1 Richtlinie zu Mobilgerten
6.2.2 Telearbeit

7.1 Vor der Beschftigung

7.1.1 Sicherheitsberprfung
7.1.2 Beschftigungs- und Vertragsbedingungen
7.2 Whrend der Beschftigung
7.2.1 Verantwortlichkeiten der Leitung
7
Personalsicherheit 7.2.2 Informationssicherheitsbewusstsein, -ausbildung und
-schulung
7.2.3 Maregelungsprozess
7.3 Beendigung und nderung der Beschftigung
7.3.1 Verantwortlichkeiten bei Beendigung oder nderung der
Beschftigung

8.1 Verantwortlichkeit fr Werte

8.1.1 Inventarisierung der Werte
8.1.2 Zustndigkeit fr Werte
8.1.3 Zulssiger Gebrauch von Werten
8.1.4 Rckgabe von Werten
8.2 Informationsklassifizierung
8 Verwaltung der 8.2.1
Werte Klassifizierung von Information
8.2.2 Kennzeichnung von Information
8.2.3 Handhabung von Werten
8.3 Handhabung von Datentrgern
 8.3.1 Handhabung von Wechseldatentrgern
8.3.2 Entsorgung von Datentrgern
8.3.3 Transport von Datentrgern

9.1 Geschftsanforderungen an die Zuganssteuerung

9.1.1 Zugangssteuerungsrichtlinie
9.1.2 Zugang zu Netzwerken und Netzwerkdiensten
9.2 Benutzerzugangsverwaltung
9.2.1 Registrierung und Deregistrierung von Benutzern
9.2.2 Zuteilung von Benutzerzugngen
9.2.3 Verwaltung privilegierter Zugangsrechte
9.2.4 Verwaltung geheimer Authentisierungsinformation von
Benutzern
9 9.2.5 berprfung von Benutzerzugangsrechten
Zugangssteuerung 9.2.6 Entzug oder Anpassung von Zugangsrechten
9.3 Benutzerverantwortlichkeiten
9.3.1 Gebrauch geheimer Authentisierungsinformation
9.4 Zugangssteuerung fr Systeme und Anwendungen
9.4.1 Informationszugangsbeschrnkung
9.4.2 Sichere Anmeldeverfahren
9.4.3 System zur Verwaltung von Kennwrtern
9.4.4
Gebrauch von Hilfsprogrammen mit privilegierten Rechten
9.4.5 Zugangssteuerung fr Quellcode von Programmen

10.1 Kryptographische Manahmen

10 Kryptographie 10.1.1 Richtlinie zum Gebrauch von kryptographischen Manahmen
10.1.2 Schlsselverwaltung

11.1 Sicherheitsbereiche
11.1.1 Physische Sicherheitsperimeter
11.1.2 Physische Zutrittssteuerung
11.1.3 Sichern von Bros, Rumen und Einrichtungen
11.1.4 Schutz vor externen und umweltbedingten Bedrohungen
11.1.5 Arbeiten in Sicherheitsbereichen
11.1.6 Anlieferungs- und Ladebereiche
11.2 Gerte und Betriebsmittel
11.2.1 Platzierung und Schutz von Gerten und Betriebsmitteln
11 Physische und 11.2.2 Versorgungseinrichtungen
umgebungsbezoge
ne Sicherheit 11.2.3 Sicherheit der Verkabelung
11.2.4 Instandhaltung von Gerten und Betriebsmitteln
11.2.5 Entfernen von Werten
11.2.6 Sicherheit von Gerten, Betriebsmitteln und Werten auerhalb
der Rumlichkeiten
 11.2.7 Sichere Entsorgung oder Wiederverwendung von Gerten und
Betriebsmitteln
11.2.8 Unbeaufsichtigte Benutzergerte
11.2.9 Richtlinie fr eine aufgerumte Arbeitsumgebung und
Bildschirmsperren

12.1 Betriebsablufe und -verantwortlichkeiten

12.1.1 Dokumentierte Bedienablufe
12.1.2 nderungssteuerung
12.1.3 Kapazittssteuerung
12.1.4 Trennung von Entwicklungs-, Test- und Betriebsumgebungen
12.2 Schutz vor Schadsoftware
12.2.1 Manahmen gegen Schadsoftware
12.3 Datensicherung
12.3.1 Sicherung von Information
12.4 Protokollierung und berwachung
12
Betriebssicherheit 12.4.1 Ereignisprotokollierung
12.4.2 Schutz der Protokollinformation
12.4.3 Administratoren- und Bedienerprotokolle
12.4.4 Uhrensynchronisation
12.5 Steuerung von Software im Betrieb
12.5.1 Installation von Software auf Systemen im Betrieb
12.6 Handhabung technischer Schwachstellen
12.6.1 Handhabung von technischen Schwachstellen
12.6.2 Einschrnkung von Softwareinstallation
12.7 Audit von Informationssystemen
12.7.1 Manahmen fr Audits von Informationssystemen

13.1 Netzwerksicherheitsmanagement
13.1.1 Netzwerksteuerungsmanahmen
13.1.2 Sicherheit von Netzwerkdiensten
13 13.1.3 Trennung in Netzwerken
Kommunikationssi 13.2 Informationsbertragung
cherheit 13.2.1 Richtlinien und Verfahren zur Informationsbertragung
13.2.2 Vereinbarungen zur Informationsbertragung
13.2.3 Elektronische Nachrichtenbermittlung
13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen

14.1 Sicherheitsanforderungen an Informationssysteme

Analyse und Spezifikation von
14.1.1 Informationssicherheitsanforderungen

14.1.2 Sicherung von Anwendungsdiensten in ffentlichen

Netzwerken
14.1.3 Schutz der Transaktionen bei Anwendungsdiensten
14.2 Sicherheit in Entwicklungs- und Untersttzungsprozessen
14.2.1 Richtlinie fr sichere Entwicklung
14 Anschaffung,
Entwicklung und
Instandhalten von
 14 Anschaffung, 14.2.2 System change control procedures
Entwicklung und Technische berprfung von Anwendungen nach nderungen
Instandhalten von 14.2.3 an der Betriebsplattform
Systemen
14.2.4 Beschrnkung
Grundstze frvon
die nderungen an Softwarepaketen
Analyse, Entwicklung und Pflege sicherer
14.2.5 Systeme
14.2.6 Sichere Entwicklungsumgebung
14.2.7 Ausgegliederte Entwicklung
14.2.8 Testen der Systemsicherheit
14.2.9 Systemabnahmetest
14.3 Testdaten
14.3.1 Schutz von Testdaten

15.1 Informationssicherheit in Lieferantenbeziehungen

15.1.1
Informationssicherheitsrichtlinie fr Lieferantenbeziehungen
15.1.2 Behandlung von Sicherheit in Lieferantenvereinbarungen
15 15.1.3
Lieferantenbezieh Lieferkette fr Informations- und Kommunikationstechnologie
ungen 15.2 Steuerung der Dienstleistungserbringung von Lieferanten
15.2.1 berwachung und berprfung von
Lieferantendienstleistungen
15.2.2
Handhabung der nderungen von Lieferantendienstleistungen

16.1 Handhabung von Informationssicherheitsvorfllen und

Verbesserungen
16.1.1 Verantwortlichkeiten und Verfahren
16 Handhabung 16.1.2 Meldung von Informationssichrheitsereignissen
von 16.1.3 Meldung von Schwchen in der Informationssicherheit
Informationssiche
rheitsvorfllen 16.1.4 Beurteilung von und Entscheidung ber
Informationssicherheitsereignisse
16.1.5 Reaktion auf Informationssicherheitsvorflle
16.1.6 Erkenntnisse aus Informationssicherheitsvorfllen
16.1.7 Sammeln von Beweismaterial

17.1 Aufrechterhaltung der Informationssicherheit

17 17.1.1 Planung zur Aufrechterhaltung der Informationssicherheit
Informationssiche 17.1.2 Umsetzen der Aufrechterhaltung der Informationssicherheit
rheitsaspekte
beim Business 17.1.3 berprfen und Bewerten der Aufrechterhaltung der
Continuity Informationssicherheit
Management 17.2 Redundanzen
17.2.1 Verfgbarkeit von informationsverarbeitenden Einrichtungen

18.1 Einhalten gesetzlicher und vertraglicher Anforderungen

 18.1.1 Bestimmung der anwendbaren Gesetzgebung und der
vertraglichen Anforderungen
18.1.2 Geistige Eigentumsrechte
18.1.3 Schutz von Aufzeichnungen
18 Compliance 18.1.4 Privatsphre und Schutz personenbezogener Information
18.1.5 Regelungen bezglich kryptographischer Manahmen
18.2 berprfungen der Informationssicherheit
18.2.1 Unabhngige berprfung der Informationssicherheit
18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards
18.2.3 berprfung der Einhaltung von technischen Vorgaben
 Gltig ab: DD/MM/YYYY

ftsanforderungen/angeandte Best Practices,RRA: Ergebnisse der Risikobeurteilung,TSE: zum Teil

Ausgewhlte Manahmen
Aktuelle Bemerkungen (mit und Grnde fr die Bemerkungen (berblick der
Ma- Begrndung fr Auswahl Implementierung)
nahmen Ausschlsse) LR CO BR/BP RRA
Dclaration d'applicabilit
Lgende (pour les mesures slectionnes et raisons de la slection des mesures)
LR: exigences lgales,CO: obligations contractuelles,BR/BP: exigences oprationnelles/meilleures pratiques adoptes,RRA

ISO/IEC 27001:2013 Annexe A : Mesures de scurit

Clause Sec

5 Politiques de 5.1
scurit 5.1.1
5.1.2

6.1
6.1.1
6.1.2
6 Organisation de la 6.1.3
scurit de 6.1.4
l'information 6.1.5
6.2
6.2.1
6.2.2

7.1
7.1.1
7.1.2
7.2
7 Scurit des 7.2.1
ressources
humaines 7.2.2
7.2.3
7.3

7.3.1

8.1
8.1.1
8.1.2
8.1.3
8.1.4
8.2
8 Gestion des actifs 8.2.1
8.2.2
8.2.3
 8.3
8.3.1
8.3.2
8.3.3

9.1
9.1.1
9.1.2
9.2
9.2.1
9.2.2
9.2.3

9.2.4
9 Contrle d'accs 9.2.5
9.2.6
9.3
9.3.1
9.4
9.4.1
9.4.2
9.4.3
9.4.4
9.4.5

10.1
10 Cryptographie 10.1.1
10.1.2

11.1
11.1.1
11.1.2
11.1.3
11.1.4
11.1.5
11.1.6
11 Scurit 11.2
physique et 11.2.1
environnementale 11.2.2
11.2.3
11.2.4
11.2.5
11.2.6
11.2.7
11.2.8
 11.2.9

12.1
12.1.1
12.1.2
12.1.3

12.1.4
12.2
12.2.1
12.3
12.3.1
12 Scurit lie 12.4
l'exploitation 12.4.1
12.4.2
12.4.3
12.4.4
12.5
12.5.1
12.6
12.6.1
12.6.2
12.7
12.7.1

13.1
13.1.1
13.1.2
13.1.3
13 Scurit des
communications 13.2
13.2.1
13.2.2
13.2.3
13.2.4

14.1

14.1.1
14.1.2
14.1.3

14.2
14 Acquisition, 14.2.1
dveloppement et 14.2.2
maintenance des
systmes
dinformation
 14 Acquisition,
dveloppement et
maintenance des
systmes
dinformation 14.2.3
14.2.4
14.2.5
14.2.6
14.2.7
14.2.8
14.2.9
14.3
14.3.1

15.1

15.1.1
15.1.2
15 Relations avec
les fournisseurs 15.1.3
15.2
15.2.1

15.2.2

16.1
16.1.1
16.1.2
16 Gestion des 16.1.3
incidents lis la
scurit de
linformation 16.1.4
16.1.5

16.1.6
16.1.7

17.1
17 Aspects de la 17.1.1
scurit de 17.1.2
linformation dans
la gestion de la
continuit de 17.1.3
lactivit 17.2
17.2.1

18.1

18.1.1
 18.1.2
18.1.3
18 Conformit
18.1.4
18.1.5
18.2
18.2.1
18.2.2
18.2.3
applicabilit
mesures slectionnes et raisons de la slection des mesures)
CO: obligations contractuelles,BR/BP: exigences oprationnelles/meilleures pratiques adoptes,RRA: rsultats dapprciation des risques

Mesures
ISO/IEC 27001:2013 Annexe A : Mesures de scurit actuelles

Objectif de scurit/Mesure

Orientations de la direction en matire de scurit de l'information

Politiques de scurit de l'information
Revue des politiques de scurit de linformation

Organisation interne
Fonctions et responsabilits lies la scurit de l'information
Sparation des tches
Relations avec les autorits
Relations avec des groupes de travail spcialiss
La scurit de l'information dans la gestion de projet
Appareils mobiles et tltravail
Politique en matire d'appareils mobiles
Tltravail

Avant l'embauche
Slection des candidats
Termes et conditions dembauche
Pendant la dure du contrat
Responsabilits de la direction
Sensibilisation, apprentissage et formation la scurit de
linformation
Processus disciplinaire
Rupture, terme ou modification du contrat de travail
Achvement ou modification des responsabilits associes au contrat
de travail

Responsabilits relatives aux actifs

Inventaire des actifs
Proprit des actifs
Utilisation correcte des actifs
Restitution des actifs
Classification de l'information
Classification des informations
Marquage des informations
Manipulation des actifs
Manipulation des supports
Gestion des supports amovibles
Mise au rebut des supports
Transfert physique des supports

Exigences mtier en matire de contrle d'accs

Politique de contrle daccs
Accs aux rseaux et aux services rseau
Gestion de laccs utilisateur
Enregistrement et dsinscription des utilisateurs
Distribution des accs utilisateurs
Gestion des droits d'accs privilges

Gestion des informations secrtes d'authentification des utilisateurs

Revue des droits daccs utilisateurs
Suppression ou adaptation des droits d'accs
Responsabilits des utilisateurs
Utilisation d'informations secrtes d'authentification
Contrle de l'accs au systme et linformation
Restriction daccs linformation
Scuriser les procdures de connexion
Systme de gestion des mots de passe
Utilisation de programmes utilitaires privilges
Contrle daccs au code source des programmes

Mesures cryptographiques
Politique dutilisation des mesures cryptographiques
Gestion des cls

Zones scurises
Primtre de scurit physique
Contrle d'accs physique
Scurisation des bureaux, des salles et des quipements
Protection contre les menaces extrieures et environnementales
Travail dans les zones scurises
Zones de livraison et de chargement
Matriels
Emplacement et protection du matriel
Services gnraux
Scurit du cblage
Maintenance du matriel
Sortie des actifs
Scurit du matriel et des actifs hors des locaux
Mise au rebut ou recyclage scuris(e) des matriels
Matriels utilisateur laisss sans surveillance
Politique du bureau propre et de lcran verrouill

Procdures et responsabilits lies lexploitation

Procdures dexploitation documentes
Gestion des changements
Dimensionnement
Sparation des environnements de dveloppement, de test et
d'exploitation
Protection contre les logiciels malveillants
Mesures contre les logiciels malveillants
Sauvegarde
Sauvegarde des informations
Journalisation et surveillance
Journalisation des vnements
Protection de linformation journalise
Journaux administrateur et oprateur
Synchronisation des horloges
Matrise des logiciels en exploitation
Installation de logiciels sur des systmes en exploitation
Gestion des vulnrabilits techniques
Gestion des vulnrabilits techniques
Restrictions lies l'installation de logiciels
Considrations sur laudit des systmes dinformation
Mesures relatives laudit des systmes dinformation

Gestion de la scurit des rseaux

Contrle des rseaux
Scurit des services de rseau
Cloisonnement des rseaux
Transfert de l'information
Politiques et procdures de transfert de l'information
Accords en matire de transfert d'information
Messagerie lectronique
Engagements de confidentialit ou de non-divulgation

Exigences de scurit applicables aux systmes dinformation

Analyse et spcification des exigences de scurit de l 'information

Scurisation des services d'application sur les rseaux publics
Protection des transactions lies aux services d'application

Scurit des processus de dveloppement et dassistance technique

Politique de dveloppement scuris
Procdures de contrle des changements de systme
Revue technique des applications aprs changement apport la
plateforme dexploitation
Restrictions relatives aux changements apports aux progiciels
Principe d'ingnierie de la scurit des systmes
Environnement de dveloppement scuris
Dveloppement externalis
Test de la scurit du systme
Test de conformit du systme
Donnes de test
Protection des donnes de test

Scurit dans les relations avec les fournisseurs

Politique de scurit de l'information dans les relations avec les
fournisseurs
Scurit dans les accords conclus avec les fournisseurs

chane d'approvisionnement des produits et services informatiques

Gestion de la prestation du service
Surveillance et revue des services des fournisseurs

Gestion des changements apports dans les services des fournisseurs

Gestion des incidents lis la scurit de linformation et

amliorations
Responsabilits et procdures
Signalement des vnements lis la scurit de linformation
Signalement des failles lies la scurit de linformation
Apprciation des vnements lis la scurit de l'information et
prise de dcision
Rponse aux incidents lis la scurit de linformation
Tirer des enseignements des incidents lis la scurit de
linformation
Collecte de preuves

Continuit de la scurit de l'information

Organisation de la continuit de la scurit de l'information
Mise en oeuvre de la continuit de la scurit de l'information

Vrifier, revoir et valuer la continuit de la scurit de l'information

Redondances
Disponibilit des moyens de traitement de linformation

Conformit aux obligations lgales et rglementaires

Identification de la lgislation et des exigences contractuelles
applicables
Droits de proprit intellectuelle (DPI)
Protection des enregistrements
Protection de la vie prive et protection des donnes caractre
personnel
Rglementation relative aux mesures cryptographiques
Revue de la scurit de linformation
Revue indpendante de la scurit de linformation
Conformit avec les politiques et les normes de scurit
Vrification de la conformit technique
 jour au: JJ/MM/AAAA

doptes,RRA: rsultats dapprciation des risques,TSE: jusqu' un certain point

Remarques (avec Mesures slectionnes et Remarques (aperu de la mise

justification des raisons de slection en uvre)
exclusions) LR CO BR/BP RRA