MON PORTAIL

Checklist liée au contrat de sous-traitance


Nom et type d'entité

Numéro d'entreprise

Adresse

Pays

Avez-vous désigné un conseiller en sécurité (CISO) ?

Avez-vous désigné un Data Protection Officer (DPO)?


Disposez vous d’une politique de sécurité de l’information formelle et actualisée, approuvée par le responsable de la gestion journalière?

Disposez vous d’une évaluation des risques pour tout processus et tout projet relatif à la sécurité de l'information et à la vie privée que vous utilisez pour la prestation de service?

L'organisation a-t-elle organisé un service de sécurité placé sous la direction d’un conseiller en sécurité?

L'organisation a-t-elle organisé un service chargé de la sécurité de l’information placé sous l’autorité fonctionnelle directe du responsable de la gestion journalière de l’organisation?

Disposez vous d’un plan de sécurité de l'information approuvé par le responsable de la gestion journalière?

Disposez vous de procédures pour le développement de nouveaux systèmes ou d’évolutions importantes dans les systèmes existants, de sorte que le responsable de projet puisse tenir compte des exigences de sécurité décrites dans les normes minimales?

Avez-vous pris les mesures adéquates afin que les données sensibles, confidentielles et professionnelles enregistrées sur des médias mobiles ne soient accessibles qu’aux seules personnes autorisées?

Avez-vous pris les mesures adéquates, en fonction du moyen d'accès, afin de garantir la sécurité de l'information de l'accès en ligne réalisé en dehors de votre organisation aux données sensibles, confidentielles et professionnelles?


Avez-vous organisé les dispositifs de télétravail de la sorte que sur le lieu du télétravail (à domicile, dans un bureau satellite ou à un autre endroit) aucune information ne soit enregistrée sur des appareils externes sans chiffrement et qu’aucune menace potentielle ne puisse atteindre l’infrastructure IT au départ du lieu de télétravail?

Est-ce que vous sensibilisez annuellement tous vos collaborateurs à la sécurité de l'information et à la vie privée et est-ce que vous réalisez annuellement une évaluation du respect de cette politique dans la pratique?

Avez-vous sécurisé l’accès par un dispositif d’accès précis et avez vous implémenté un système d’accès (physique ou logique) afin d’éviter tout accès non autorisé?

Disposez vous d’un schéma de classification interne pour laquelle vous fournissez des services et est-ce que vous appliquez les règles supplémentaires en fonction du schéma de classification ?

Avez-vous intégré les règles dans une politique relative à la sécurité de l’information et à la vie privée qui sont spécifiées dans la ligne directrice « E-mail, communication en ligne et utilisation d’internet »?

Avez vous désigné au moins un gestionnaire des accès lorsque vous utilisez les services et applications du portail de la sécurité sociale pour les besoins de vos utilisateurs?

Avez vous stimulé vos collaborateurs à lire et à appliquer les règlements relatifs à l’utilisation des systèmes d’information des portails ?


Disposez vous d’une politique formelle pour l’utilisation de contrôles cryptographiques ?

Disposez vous d’une politique formelle pour l’utilisation, la protection et la durée de vie des clés cryptographiques pour le cycle de vie complet ?

Avez-vous pris les mesures nécessaires permettant de limiter l’accès aux bâtiments et locaux aux personnes autorisées et est-ce que vous effectuez des contrôle à ce sujet tant pendant qu’en dehors des heures de travail ?

Avez-vous pris les mesures de prévention nécessaires contre la perte, l’endommagement, le vol ou la compromission des actifs et contre l’interruption des activités ?

En cas de réutilisation du support d'information, est-ce que vous réutilisez celui-ci dans un niveau de classification des données au moins comparable ?

Avez-vous déterminé les mesures appropriées pour la suppression de données dans un contrat avec le mandant ?

Est-ce que vous appliquez les règles relatives à la journalisation des accès telles que fixées par le mandant ?


Est-ce qu’il y a une communication constructive dans chaque projet d’acquisition, de développement ou de maintenance de systèmes entre les différentes parties concernées par le projet et le(s) conseiller(s) en sécurité ?

L’ensemble de vos collaborateurs travaillent-ils avec des moyens TIC sur la base d’une autorisation minimale pour l’exécution de leurs tâches?

Les conditions de protection des accès (identification, authentification, autorisation) ont-elles été définies, documentées, validées et communiquées? Ces accès font-ils l’objet d’une prise de traces ?

Les risques relatifs à la sécurité et à la vie privée sont-ils fixés dans un contrat entre vous et le mandant et des clauses de confidentialité et de continuité sont-elles prévues ?

Est-ce que vous utilisez une liste de contrôle pour le chef de projet de sorte que ce dernier puisse s’assurer que l’ensemble des directives relatives à la sécurité de l'information et à la vie privée sont correctement évaluées et sont, si nécessaire, mises en oeuvre durant la phase de développement du projet ?

Assurez vous lors de la mise en production du projet, que les conditions relatives à la sécurité et à la vie privée qui ont été fixées au début du projet sont effectivement mises en oeuvre ?

Les dispositifs de développement, de test et/ou d’acceptation, et de production sont-ils scindés sous la supervision du chef de projet et le partage des responsabilités qui en découle est-il réalisé dans le cadre du projet ?


Est-il précisé dans les spécifications d'un projet comment l'accès et l'utilisation des systèmes et des applications seront journalisés, afin de contribuer à la détection d’anomalies par rapport aux directives relatives à la sécurité de l'information et à la vie privée ?

Les outils nécessaires sont-ils disponibles pour que les données de journalisation puissent être exploitées par les personnes autorisées ?

Les données de journalisation fonctionnelles/transactionnelles sont-elles conservées pendant 10 ans au moins et les données de journalisation techniques/infrastructurelles pendant 2 ans au moins ?

Les délivrables du projet (données traitées, la documentation (code source, programmes, documents techniques, ...)) sont-ils intégrés dans le système de gestion des sauvegardes comme imposé dans les politiques ?


Au cours du développement du projet, les besoins relatifs à la continuité de la prestation de services sont-ils formalisés conformément à vos attentes ?

Vos plans de continuité et vos procédures y afférentes, en ce compris les tests de continuité, sont-ils actualisés en fonction de l’évolution du projet ?

Une analyse des risques est-elle réalisée au début du projet afin de définir les procédures d’urgence ?

Les procédures relatives à la gestion des incidents sont-elles formalisées et validées au cours du développement d’un projet ?

Le conseiller en sécurité est-il informé des incidents relatifs à la sécurité et à la vie privée ?

La documentation (technique, procédures, manuels, ...) est-elle actualisée au cours de la durée de vie du projet ?

Tous les actifs, en ce compris les systèmes acquis ou développés, sont-ils ajoutés au système de gestion des moyens opérationnels (inventaire) ?


La collaboration appropriée pour l’audit est-elle apportée sous la forme de mise à la disposition du personnel, de la documentation, de la gestion des traces et des autres informations qui sont raisonnablement disponibles ?

Les conditions relatives à la sécurité de l'information et à la vie privée sont-elles documentées afin de réduire les risques relatifs à l’accès aux moyens d’information ?

Toutes les conditions pertinentes relatives à la sécurité de l'information et à la vie privée sont-elles définies et font-elles l’objet d’un accord entre vous et les tiers / sous-traitants (qui lisent, traitent, enregistrent, communiquent les informations de l’organisation ou fournissent des éléments d’infrastructure TIC et des services TIC) ?

Est-ce que vous effectuez régulièrement un monitoring, une évaluation et un audit de la prestation de service du tiers / du sous-traitant ?

Les adaptations de la prestation de service sont-elles gérées par le tiers / soustraitant, dont notamment l’actualisation des directives, procédures et mesures relatives à la sécurité de l'information et à la vie privée existantes ?


Lorsque vous faites appel aux services d’un cloud, est-ce que vous êtes en conformité avec le point 2.1 de la politique « Cloud Computing » ?

Lorsque vous souhaitez traiter des données sensibles, confidentielles ou professionnelles dans un cloud, est-ce que vous satisfait aux garanties contractuelles minimales et aux directives telles que décrites au point 2.2, 2.3 et 2.4 de la politique « Cloud computing » ?

Disposez vous de procédures pour la détermination et la gestion d’incidents relatifs à la sécurité de l'information ou à la vie privée et des responsabilités y afférentes et est-ce que vous communiquez les procédures à vos collaborateurs ?

Est-ce que vous avez signé un contrat avec les collaborateurs dans lequel il est stipulé que tous les collaborateurs (fixe ou temporaire, interne ou externe) sont obligés de signaler tout accès, utilisation, modification, publication, perte ou destruction non autorisés d’informations et de systèmes d’information ?

Les événements et failles relatifs à la sécurité de l'information ou à la vie privée en rapport avec les informations et les systèmes d'information de l’organisation sontils communiqués à vous de sorte que vous pouvez prendre, en temps utile, des mesures correctrices adéquates ?

Les incidents relatifs à la sécurité de l'information et à la vie privée sont-ils rapportés, dans les meilleurs délais, à l’intervention du supérieur hiérarchique, du helpdesk, du conseiller en sécurité de l'information (CISO) ou du délégué à la protection des données (DPO)?

En cas d’incidents relatifs à la sécurité de l'information ou à la vie privée, les preuves sont-elles collectées conformément aux prescriptions réglementaires et légales ?