POLITIQUE DE SÉCURITÉ INFORMATIQUE DE BASE

CETTE POLITIQUE DE SÉCURITÉ INFORMATIQUE DE BASE EST RÉGIE PAR L'ENTENTE PRINCIPALE DE BASELINE («MSA»). TOUTES LES CONDITIONS CAPITALES EN VERTU DE CETTE POLITIQUE DE SÉCURITÉ INITIALE DE BASE IT SONT CONSIDÉRÉES COMME AVOIR LA SIGNIFICATION APPORTÉE À CES CONDITIONS DANS LE CADRE DE LA MSA.

ENGAGEMENTS

• DROIT À L'AUDIT DE SÉCURITÉ

• Accès aux locaux de base

Le client qui a signé un contrat-cadre de services avec Baseline est autorisé à accéder aux locaux de Baseline à des fins d'audit de sécurité, sous réserve: (i) du consentement écrit préalable de Baseline (à ne pas refuser de manière déraisonnable); à (ii) toute disposition de sécurité raisonnable de Baseline en vigueur au moment de cet accès, et à (iii) un accord sur les détails du personnel, les délais, la durée et la portée des services fournis. L'accès peut notamment être refusé en raison de conflits de rôles et d'impact sur les performances de Baseline.

• Audit de sécurité

1. Le client a le droit de procéder à des audits périodiques des exigences de l'environnement de sécurité physique.
2. Baseline autorise le client à inspecter / auditer régulièrement les processus et procédures de base relatifs aux politiques de sécurité informatique et de sécurité informatique mis en œuvre en ce qui concerne les services de base, notamment les éléments ci-dessous, sans toutefois s'y limiter:

1. Processus de gestion des risques.
2. Processus de gestion des incidents et des changements.
3. Tests de sécurité (vulnérabilité et Pentest).
4. Directives de durcissement du système.
5. BCP et DR et autres services et processus d’urgence.

1. Baseline autorise le Client, sans frais supplémentaires, à inspecter les processus opérationnels mis en œuvre pour les services de base en fonction de la portée, de l'étendue et des accords de base en vigueur et en vigueur.
2. Baseline reconnaît que le client se réserve le droit de demander des modifications aux processus des stratégies de confidentialité et de sécurité informatique de Baseline si elles s'avèrent inadéquates. de tels changements sont mutuellement convenus, commercialement raisonnables et soumis à un délai d'exécution raisonnable.

• Rapports d'inspection

1. Baseline reconnaît que le client se réserve le droit de recevoir des rapports d'audit lorsque des auditeurs indépendants sont utilisés pour auditer les dispositifs de gestion des risques de Baseline pour les services Baseline, y compris les rapports d'évaluation de la sécurité tels que les tests d'intrusion, les évaluations de vulnérabilité et les plans de BCP / DR , rapports de test, etc.
2. Baseline recommande au Client de procéder à des examens et à des évaluations indépendants au moins une fois par an, ou à intervalles réguliers, afin de s’assurer que l’organisation se conforme aux politiques, procédures, normes et exigences réglementaires applicables (audits internes / externes, certifications, vulnérabilités, etc.). et tests de pénétration).

• INFRASTRUCTURE OPÉRATIONNELLE

• Contrôles physiques

1. Baseline a mis en place des procédures appropriées pour veiller à ce que les responsabilités en matière de maintenance d'un environnement d'exploitation sécurisé soient correctement attribuées et assumées.
2. Baseline a mis en place des contrôles physiques et environnementaux pour protéger le service en fonction du niveau de risque. Le niveau de référence a abordé les menaces physiques et environnementales dans l’évaluation des risques.
3. La protection physique de l'équipement des services de base et de la zone de travail de maintenance couvre au minimum:

1. Les intrus.
2. Sécurité des personnes exposées aux incendies et autres menaces telles que les catastrophes naturelles (tempêtes, cyclones, incendies de forêt, etc.) ainsi que les catastrophes causées par l'homme (menaces à la bombe, activités malveillantes accidentelles ou intentionnelles).

1. Les sites où les données ou les processus sensibles sont gérés sont conformes aux normes reconnues (telles que ANSI / TIA942) pour la gestion et la sécurité des locaux du centre de données.

• Contrôle logique

1. Baseline garantit que le matériel informatique (sur les sites principal, de secours et tiers) utilisé pour fournir des services Baseline au client sépare logiquement les données commerciales du client et les données personnelles des utilisateurs de celles de ses autres clients.
2. Baseline garantit que l'environnement du client, dans ses locaux désignés, est au moins logiquement compartimenté, en le séparant du reste de l'environnement de Baseline afin d'éviter toute pénétration possible d'autres environnements client ou du réseau plus étendu de Baseline.

• Restriction de l'accès au réseau, lien privé

1. Baseline ne dispose que d’un accès minimal au réseau du Client afin de fournir les services de base. Lorsque Baseline a besoin d'accéder à certaines applications, l'accès est fourni, dans la mesure du possible, par le biais d'un mécanisme de services de terminal. Lorsque ce n'est pas possible, les systèmes partagés sont situés sur une zone DMZ spécifique. Les droits d'accès au niveau du système d'exploitation et des applications sont également gérés pour limiter l'accès au minimum requis pour fournir les services de base.
2. Le transfert de données entre le client et Baseline doit être sécurisé de bout en bout en tant que lien privé. Lorsqu'il est mis en œuvre via un réseau privé virtuel, le niveau de cryptage doit être suffisant pour assurer l'intégrité de la connexion et est établi au niveau de cryptage commercial le plus élevé actuel. Dans la mesure du possible, le VPN doit être établi au niveau de l'application (par exemple, le VPN SSL) plutôt qu'au niveau du réseau (par exemple, IPSEC) afin de limiter l'accès et la connectivité uniquement aux besoins. Lorsqu'un réseau privé virtuel (VPN) réseau est requis, l'encapsulation d'application (par exemple via des services terminaux) doit être utilisée et des contrôles stricts en matière de compartimentation sont appliqués (comme ci-dessus).
3. Le transfert de données via un lien de communication dédié est crypté afin d'éviter toute fuite de données.

• Architecture d'application

Pour le développement d'applications, les différents composants de l'application (présentation, traitement de données, base de données, processus d'identification et d'authentification, etc.) sont distincts et, si possible, hébergés sur différents serveurs physiques ou virtuels, de manière à ce que les différents composants soient situés sur des zones différentes. l'architecture de réseau.

• Séparation des environnements de développement

La référence doit respecter une séparation claire des environnements de production, de développement et d'intégration.

• Mécanisme de filtrage

1. Baseline appliquera les mécanismes de filtrage nécessaires pour empêcher un accès illimité depuis Internet aux interfaces d'administration des sites Web.
2. Baseline suppose que le client est défensif de son réseau professionnel et définit un certain nombre de conditions pour les systèmes autorisés à s'y connecter. Le niveau de référence doit introduire des contrôles pour limiter l'incidence de:

1. Accès non autorisé aux systèmes du client.
2. Interférence avec les composants du réseau.
3. Dégradation des performances sur le réseau.
4. Interférence avec le trafic réseau.
5. Une authentification multifactorielle est requise pour tout accès utilisateur distant.

1. Baseline doit inclure les conditions suivantes pour tous les systèmes souhaitant se connecter au réseau du Client:

1. La passerelle entre le réseau du client et les systèmes externes est correctement sécurisée.
2. Il existe des contrôles pour empêcher les accès non autorisés des systèmes connectés au réseau de l'entreprise.
3. Il existe une surveillance et des contrôles adéquats pour empêcher les réseaux ou les systèmes externes d’interférer avec le fonctionnement du réseau du Client.

1. Baseline doit mettre en œuvre la norme industrielle en matière de contrôle d'accès et d'autorisation via l'utilisation d'identifiants d'utilisateur et de mots de passe (longueur, caractères, tentatives, nouvelle authentification, durée et expiration, stockage, désactivation, etc.).
2. Une authentification forte sera utilisée pour les applications critiques et les activités d’accès à distance.
3. L'accès des utilisateurs aux ports de diagnostic et de configuration doit être limité aux personnes et applications autorisées.
4. Des politiques et procédures sont établies et des mécanismes sont mis en place pour chiffrer les données sensibles stockées (serveurs de fichiers, bases de données et postes de travail des utilisateurs finaux) et les données en cours de transmission (interfaces système, réseaux publics et messagerie électronique, par exemple).
5. Les données relatives au commerce électronique (e-commerce) traversant des réseaux publics doivent être classées de manière appropriée et protégées contre les activités frauduleuses, la divulgation non autorisée ou la modification, de manière à éviter les conflits contractuels et la compromission des données.
6. Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour protéger les environnements de réseau sans fil, notamment:

1. Les pare-feu Perimeter ont été mis en place et configurés pour limiter le trafic non autorisé.
2. Paramètres de sécurité activés avec chiffrement renforcé pour l'authentification et la transmission, remplaçant les paramètres par défaut du fournisseur (clés de chiffrement, mots de passe, chaînes de communauté SNMP, etc.).
3. Accès utilisateur physique et logique aux périphériques de réseau sans fil réservé au personnel autorisé.
4. Capacité à détecter la présence de périphériques réseau sans fil non autorisés (non autorisés) pour une déconnexion rapide du réseau.

1. Une source de temps externe précise (convenue de manière externe) doit être utilisée pour synchroniser les horloges système de tous les systèmes de traitement de l'information pertinents au sein de l'organisation ou définir explicitement le domaine de sécurité afin de faciliter le traçage et la reconstitution des calendriers d'activité. Remarque: certaines juridictions et plateformes de stockage orbital et de relais (US GPS et EU Galileo Satellite Network) peuvent imposer une horloge de référence dont la synchronisation diffère de celle du lieu de référence du domicile de l'organisation. Dans ce cas, la juridiction ou la plateforme est traitée comme une sécurité explicitement définie domaine.
2. L’identification automatique des équipements doit être utilisée comme méthode d’authentification de la connexion. Des technologies tenant compte de l'emplacement peuvent être utilisées pour valider l'intégrité de l'authentification de connexion en fonction de l'emplacement connu de l'équipement.

• Contrôles de stockage et des supports

Baseline veille à ce que son personnel comprenne la sensibilité associée à tous les médias du service et mette en place les procédures appropriées pour sa destruction en toute sécurité en cas de panne, de défaillance ou de péremption

• Infrastructure opérationnelle: Licence

Baseline doit démontrer une attitude responsable à l’égard du droit d’auteur dans la mesure où il a une incidence sur les licences et l’utilisation de logiciels, notamment:

1. Procédures de gestion des logiciels et des licences.
2. Surveiller toute utilisation de logiciels non autorisés / sans licence.
3. Enquête sur de tels incidents et ses exigences en matière de rapport obligatoire à l'attention du client.

• Logiciel malveillant

1. Baseline doit mettre en place des procédures de vérification et d’élimination appropriées pour garantir que le service ne soit pas affecté par des virus au cours du développement, de la maintenance et de l’exploitation.
2. Baseline garantit l'intégrité de tous les logiciels introduits et des nouvelles versions du logiciel avant leur intégration dans les environnements de service.
3. Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour limiter l'installation de logiciels non autorisés.

• Configurations sécurisées

1. Des exigences de sécurité de base doivent être établies et appliquées à la conception et à la mise en œuvre d'applications, de bases de données, de systèmes, d'infrastructure de réseau et de traitement de l'information (développés ou achetés) conformes aux politiques, aux normes et aux exigences réglementaires applicables. La conformité aux exigences de base en matière de sécurité est réévaluée au moins une fois par an ou lors de changements importants.
2. Toute variation doit être documentée et convenue par les parties.
3. Des politiques et procédures doivent être établies et un mécanisme mis en place pour la gestion des vulnérabilités et des correctifs, garantissant que les vulnérabilités des applications, des systèmes et des périphériques réseau sont évaluées et que les correctifs de sécurité fournis par le fournisseur sont appliqués en temps voulu, en adoptant une approche basée sur les risques pour hiérarchiser les correctifs critiques.
4. Des politiques et procédures doivent être établies et des mesures doivent être mises en œuvre pour limiter strictement l'accès aux données sensibles provenant d'appareils portables et mobiles, tels que les ordinateurs portables, les téléphones portables et les assistants numériques personnels, qui présentent généralement un risque plus élevé que les appareils non portables ordinateurs de bureau dans les installations de l’organisation).
5. Les accords sur les niveaux de service du réseau et de l’infrastructure (internes ou externes) définissent clairement les contrôles de sécurité, les capacités et les niveaux de service des documents, ainsi que les exigences de l’entreprise ou des clients.
6. Le code mobile est autorisé avant son installation et son utilisation, et la configuration garantit que le code mobile autorisé fonctionne conformément à une politique de sécurité clairement définie. Tous les codes mobiles non autorisés sont empêchés de s'exécuter.

• Enregistrement et surveillance

1. Les journaux d'audit enregistrant les activités d'accès des utilisateurs privilégiés, les tentatives d'accès autorisé et non autorisé, les exceptions système et les événements de sécurité des informations doivent être conservés, conformément aux politiques et réglementations en vigueur. Les journaux d'audit doivent être examinés au moins quotidiennement et les outils d'intégrité de fichier (hôte) et de détection d'intrusion réseau (IDS) doivent être mis en œuvre pour faciliter la détection rapide, l'analyse par cause fondamentale et la réponse aux incidents. L'accès physique et logique des utilisateurs aux journaux d'audit doit être réservé au personnel autorisé.
2. L’accès aux outils d’audit qui interagissent avec les systèmes d’information de l’organisation et leur utilisation doivent être segmentés et restreints de manière appropriée pour éviter toute compromission et toute utilisation abusive des données du journal.

• GESTION DE L'INFORMATION, SÉCURITÉ ET CONFIDENTIALITÉ

• Information

1. Les journaux d'audit enregistrant les activités d'accès des utilisateurs privilégiés, les tentatives d'accès autorisé et non autorisé, les exceptions système et les événements de sécurité des informations doivent être conservés, conformément aux politiques et réglementations en vigueur. Les journaux d'audit doivent être examinés au moins quotidiennement et les outils d'intégrité de fichier (hôte) et de détection d'intrusion réseau (IDS) doivent être mis en œuvre pour faciliter la détection rapide, l'analyse par cause fondamentale et la réponse aux incidents. L'accès physique et logique des utilisateurs aux journaux d'audit doit être réservé au personnel autorisé.
2. Un inventaire complet des actifs critiques est maintenu avec la propriété définie et documentée.
3. Des politiques et procédures doivent être établies pour une utilisation acceptable des actifs informationnels.
4. Toutes les informations soumises par le client à Baseline, ou autrement détenues ou accessibles par Baseline, restent la propriété du client. Les informations client ne sont pas:

1. Utilisé par Baseline autrement que dans le cadre de la fourniture des services de base.
2. Divulguée, vendue, cédée, louée ou autrement fournie à des tiers par Baseline.
3. Exploité commercialement par ou pour le compte de Baseline.
4. Tous les actifs appartenant à l'organisation dans un délai défini et documenté une fois que l'emploi, le contrat ou l'accord est résilié, sont renvoyés.

1. Les données et les objets contenant des données se voient attribuer une classification basée sur le type de données, la juridiction d'origine, la juridiction d'origine, le contexte, les contraintes légales, les contraintes contractuelles, la valeur, la sensibilité, la criticité vis-à-vis de l'organisation et l'obligation pour le tiers de conservation et de prévention de la divulgation non autorisée ou une mauvaise utilisation.
2. Des politiques et procédures doivent être établies pour l'étiquetage, le traitement et la sécurité des données et des objets contenant des données. Des mécanismes d'héritage d'étiquettes doivent être mis en œuvre pour les objets agissant comme des conteneurs d'agrégats pour les données.
3. Des mécanismes de sécurité doivent être mis en place pour empêcher les fuites de données.
4. Les données de production ne sont ni répliquées ni utilisées dans des environnements non productifs.
5. La documentation du système d'information (guides de l'administrateur et de l'utilisateur, diagrammes d'architecture, etc.) est mise à la disposition du personnel autorisé pour garantir les éléments suivants:

1. Configuration, installation et exploitation du système d’information.
2. Utiliser efficacement les fonctions de sécurité du système.

1. Baseline garantit que la classification des données spécifiée par le propriétaire des informations du client (en termes de confidentialité, d'intégrité et de disponibilité) est respectée à toutes les étapes du traitement de l'information et qu'elle est également conforme aux exigences de la MSA.
2. Baseline garantit qu’elle (et toute personne employée ou engagée par cette partie en relation avec le projet au cours de cet emploi ou de cet engagement) n’utilise que les informations confidentielles fournies par le Client aux fins pour lesquelles elles ont été fournies ou sont entrées en sa possession.

• Conformité

1. La référence doit être conforme au système de gestion de la sécurité de l’information (ISMS), selon le cas.
2. Les liaisons et les points de contact avec les autorités locales doivent être maintenus conformément aux exigences de l'entreprise et des clients et aux exigences législatives, réglementaires et contractuelles. Les données, les objets, les applications, l'infrastructure et le matériel peuvent se voir attribuer un domaine législatif et une juridiction afin de faciliter la mise en conformité des points de contact
3. Les exigences légales, réglementaires et contractuelles doivent être définies pour tous les éléments du système d'information. L’approche adoptée par Baseline pour répondre aux exigences connues et s’adapter aux nouveaux mandats doit être explicitement définie, documentée et tenue à jour pour chaque élément du système d’information. Les éléments du système d'information peuvent inclure des données, des objets, des applications, une infrastructure et du matériel. Chaque élément peut se voir attribuer un domaine législatif et une juridiction afin de faciliter une cartographie de conformité appropriée.
4. Baseline doit approuver un document officiel de politique de sécurité de l'information (le « Politique de sécurité de l'information ») qui est communiqué et publié aux employés, sous-traitants et autres parties externes concernées. La politique de sécurité de l'information doit établir la direction de l'organisation et s'aligner sur les meilleures pratiques, les lois réglementaires, fédérales / provinciales et internationales, le cas échéant. La politique de sécurité de l'information doit être étayée par un plan stratégique et un programme de sécurité avec des rôles et des responsabilités bien définis pour les rôles de leadership et d'agent.
5. Baseline examinera la politique de sécurité de l'information à intervalles planifiés ou à la suite de changements apportés à l'organisation pour s'assurer de son efficacité et de sa précision. Des politiques et procédures sont établies et mises à la disposition de tout le personnel afin de soutenir de manière adéquate le rôle opérationnel des services.
6. Des politiques et procédures sont établies pour l’autorisation de la direction pour le développement ou l’acquisition de nouvelles applications, systèmes, bases de données, infrastructure, services, opérations et installations.

• Protection de la confidentialité, de l'intégrité et de la disponibilité

1. Baseline reconnaît officiellement sa responsabilité de protéger les informations confidentielles conformément aux termes et conditions de l'accord-cadre de services. Les exigences reflétant les besoins de l'organisation en matière de protection des données et les détails opérationnels doivent être identifiées, documentées et revues à intervalles réguliers.
2. Baseline met en œuvre des mesures de protection pour assurer la confidentialité des informations confidentielles du client et des informations de tiers confiées au client, stockées et en transit applicables dans le service, pouvant inclure:

1. Contrôles d'accès adéquats aux fichiers / enregistrements.
2. Cryptage de fichiers sensibles.
3. Cryptage des communications.
4. Gestion sécurisée des clés.
5. Politique sur les structures de répertoires.
6. Moins de privilège.
7. Besoin de connaître les autorités.

1. Baseline prend toutes les précautions nécessaires pour que les informations confidentielles ne soient divulguées qu'à leurs employés, agents, mandataires, consultants ou sous-traitants ayant besoin de savoir.
2. L'accès des utilisateurs normaux et privilégiés aux applications, aux systèmes, aux bases de données, aux configurations réseau, aux données et fonctions sensibles est restreint et approuvé par la direction avant que l'accès ne soit accordé.
3. Les stratégies et procédures d'accès des utilisateurs sont documentées, approuvées et mises en œuvre pour accorder et révoquer les accès normaux et privilégiés aux applications, aux bases de données et aux infrastructures de serveur et de réseau conformément aux exigences commerciales, de sécurité, de conformité et de niveau de service.
4. La déprovisioning, la révocation ou la modification en temps voulu de l'accès des utilisateurs aux systèmes de l'entreprise, aux actifs informationnels et aux données sont mises en œuvre dès le changement de statut des employés, des sous-traitants, des clients, des partenaires commerciaux ou des tiers. Tout changement de statut doit inclure la cessation d'emploi, le contrat ou l'accord, le changement d'emploi ou le transfert au sein de l'organisation.
5. Tous les niveaux d'accès des utilisateurs sont examinés par la direction à intervalles planifiés et documentés. Pour les violations d'accès identifiées, la correction suit les stratégies et procédures de contrôle d'accès documentées.
6. Les accords conclus avec des tiers qui ont un impact direct ou indirect sur les informations ou les données de l'organisation incluent une couverture explicite de toutes les exigences de sécurité pertinentes. Cela inclut les accords impliquant le traitement, l'accès, la communication, l'hébergement ou la gestion des actifs informationnels de l'organisation, ou l'ajout ou la suppression de services ou de produits aux informations existantes. Les dispositions relatives aux contrats d’actif incluent la sécurité (par exemple, le cryptage, les contrôles d’accès et la prévention des fuites) et le contrôle de l’intégrité des données échangées afin d’empêcher toute divulgation, altération ou destruction inappropriée.
7. Avant d'accorder aux clients l'accès aux données, aux actifs et aux systèmes d'information, toutes les exigences de sécurité, contractuelles et réglementaires identifiées relatives à l'accès des clients doivent être traitées et corrigées.

• Retour ou destruction d'informations

À la demande du client à tout moment, Baseline devra:

1. Renvoyer rapidement au client, dans le format et sur le support utilisés, à la date de la demande, en totalité ou en partie, des données commerciales du client; et / ou
2. Efface ou détruit tout ou partie des données commerciales du client en possession de Baseline et détruit tous les supports contenant des données commerciales du client qui ne fonctionnent pas correctement. Si le client demande à Baseline d’effacer ou de détruire tout ou partie de ses données commerciales, Baseline le confirme immédiatement par écrit et par écrit. Les bandes d'archivage contenant les données commerciales du client sont utilisées uniquement à des fins de sauvegarde et sont renvoyées ou détruites.

• Politique et portée

1. Baseline doit avoir une politique de gestion des risques liés à l’information qui puisse être démontrée et couvre au minimum les domaines suivants:

1. Protection de l'information
2. Processus de sensibilisation
3. Sécurité physique
4. Gestion informatique et réseau
5. Contrôles d'accès
6. Développement et maintenance du système
7. Plans de reprise du SI
8. Conformité

1. Baseline effectue périodiquement une évaluation des risques couvrant toutes les opérations relevant du contrat de Baseline avec le client. Baseline examine également les exigences du client en matière de gestion des risques liés aux informations pour ses services de base.

• Rôles et responsabilités

1. Dans le cadre de l'accord de niveau de service de base, les rôles de gestion des risques liés à l'information attribués à chaque partie et les responsabilités associées sont clairement définis.
2. Baseline désignera un responsable des risques liés aux informations pour le client (le responsable technique de compte (TAM)) et sera responsable de la protection des informations confidentielles du client et des informations de tiers confiées au client.
3. Les rôles et les responsabilités des entrepreneurs, des employés et des utilisateurs tiers sont documentés dans la mesure où ils se rapportent aux actifs informationnels et à la sécurité.
4. Des politiques, processus et procédures sont mis en œuvre pour appliquer et assurer une séparation appropriée des tâches. Dans les cas où il existe une contrainte de conflit d'intérêts dans le rôle d'un utilisateur, des contrôles techniques sont en place pour atténuer les risques résultant d'une modification ou d'une utilisation non autorisée ou non intentionnelle des actifs informationnels de l'organisation.
5. Les utilisateurs sont informés de leurs responsabilités pour:

1. Maintenir la connaissance et la conformité aux politiques de sécurité, procédures, normes et exigences réglementaires applicables.
2. Maintenir un environnement de travail sûr et sécurisé.
3. Laisser le matériel laissé sans surveillance de manière sécurisée.

• Gestion des risques

1. Baseline partage les conclusions de l’évaluation des risques et les plans de correction proposés avec le Client et l'informe de tout retard dans le respect des dates convenues pour la mise en œuvre de contrôles de gestion des risques liés aux informations spécifiques, et adhère au processus convenu pour la gestion des retards.
2. Baseline doit mettre en place des procédures de gestion des risques en ce qui concerne la gestion du personnel:

1. Assurer la liaison avec le responsable des risques liés aux informations du client.
2. Surveillance du service pour détecter les violations de la gestion des risques de l’information.
3. Enquêter et signaler toutes les violations de la gestion des risques liés aux informations et les résultats de toutes les enquêtes dans les limites du service fourni.

1. Baseline doit mettre en place des procédures de gestion des risques en ce qui concerne la gestion du personnel:

1. Embauche, changement de travail, licenciement, démission, licenciement, résiliation du contrat, mutation, indisponibilité du personnel, suppression des privilèges d'accès des utilisateurs.
2. Tous les membres du personnel de Baseline et du sous-traitant doivent signer un accord de confidentialité concernant les informations exclusives du Client et celles de tiers confiées au Client.

1. Conformément aux lois, réglementations, règles déontologiques et contractuelles locales, tous les candidats à l'emploi, les contractants et les tiers sont soumis à une vérification des antécédents proportionnelle à la classification des données, aux exigences de l'entreprise et aux risques acceptables.
2. Baseline garantit que le régime de gestion des risques de l’information proposé pour protéger les informations est adapté aux risques ambiants.
3. L’exécutif et la hiérarchie doivent prendre des mesures formelles pour soutenir la sécurité de l’information en établissant des directives claires, des engagements, une affectation explicite et une vérification de l’exécution de l’affectation.
4. Baseline doit avoir un processus pour résoudre les litiges concernant les problèmes de gestion des risques liés à l’information.
5. Le niveau de référence doit développer et maintenir un cadre de gestion du risque d'entreprise pour gérer le risque à un niveau acceptable.
6. Alignées sur le cadre à l’échelle de l’entreprise, des évaluations formelles des risques doivent être effectuées au moins une fois par an, ou à des intervalles planifiés, déterminant la probabilité et l’impact de tous les risques identifiés, à l’aide de méthodes qualitatives et quantitatives. La probabilité et l'impact associés au risque inhérent et résiduel doivent être déterminés de manière indépendante, en tenant compte de toutes les catégories de risque (par exemple, les résultats d'audit, l'analyse de la menace et de la vulnérabilité, et la conformité réglementaire).
7. Les risques doivent être atténués à un niveau acceptable. Les niveaux d'acceptation fondés sur les critères de risque doivent être établis et documentés conformément à des délais de résolution raisonnables et à l'approbation de la direction.
8. Les résultats de l'évaluation des risques doivent inclure des mises à jour des politiques, procédures, normes et contrôles de sécurité pour garantir leur pertinence et leur efficacité.
9. L’identification, l’évaluation et la hiérarchisation des risques posés par les processus d’entreprise nécessitant l’accès de tiers aux systèmes d’information et aux données de l’entreprise sont suivies d’une application coordonnée de ressources visant à minimiser, surveiller et mesurer la probabilité et l’impact d’un accès non autorisé ou inapproprié. Les contrôles compensatoires dérivés de l'analyse des risques sont mis en œuvre avant l'accès de provisioning.

• Conscience

1. Baseline veille à ce que son personnel comprenne les menaces et préoccupations liées à la gestion des risques liés à l’information, ainsi que les politiques pertinentes en matière de gestion des risques liés aux informations.
2. Le personnel de base affecté aux services de base doit recevoir une formation et des mises à jour régulières sur les politiques et procédures de gestion des risques d'informations pertinentes du système de classification standard de gestion des risques et des procédures appropriées.
3. Le personnel des sous-traitants affectés aux services de base doit être informé du système de classification de gestion des risques de l'information de base et des procédures appropriées.
4. Des politiques et procédures doivent être établies pour effacer les documents visibles contenant des données sensibles lorsqu'un espace de travail n'est pas surveillé et pour appliquer la déconnexion de session du poste de travail pendant une période d'inactivité.

• LA GESTION DES INCIDENTS

• Procédures de gestion des incidents de sécurité de l'information

1. Des procédures doivent être établies pour l’enquête et le signalement de tous les incidents de sécurité de l’information, y compris les suivantes, sans toutefois s’y limiter:

1. L'enquête
2. Escalade
3. Format du rapport
4. Des mesures disciplinaires
5. Une action en justice
6. Mesures prises pour empêcher la répétition de l'incident
7. Retour d'information dans le système de gestion de la sécurité

1. Baseline doit disposer d'un processus permettant de garantir que les incidents de sécurité des informations sont correctement gérés, sans frais supplémentaires pour le Client, dans les délais prévus dans l'Accord de niveau de service et pour toute enquête médico-légale officielle.
2. Baseline s'engage à communiquer en toute transparence avec le client à propos de l'enquête et des actions entreprises suite à des incidents de sécurité des informations impliquant le client.
3. Des mécanismes doivent être en place pour surveiller et quantifier les types, les volumes et les coûts des incidents de sécurité de l'information.
4. Baseline informera le Client de toute possession, divulgation, utilisation, connaissance ou tentative non autorisée des informations du Client dont il aura connaissance, y compris de la violation de la sécurité d'un système, réseau local ou réseau de télécommunication contenant, traitant ou transmettant des informations confidentielles.
5. Baseline doit s'assurer que les journaux de service sont régulièrement et efficacement inspectés pour détecter les incidents de sécurité des informations. 
6. Baseline informera le Client de toute modification de son environnement susceptible de modifier de manière significative le niveau de sécurité des services de base.
7. Baseline doit effectuer une surveillance et un reporting des risques liés à l’information et, au minimum:

1. Surveillance et rapport sur l'état de la sécurité.
2. Rapport d'incident de gestion des risques d'informations.
3. Adhère à la structure et aux formats de rapport prédéfinis.
4. Les fréquences de rapport sont au moins trimestrielles.

1. Baseline informera immédiatement le responsable des contrats du Client ou le contact désigné du Client de toute compromission connue ou présumée des actifs informationnels du Client ou des violations du contrat.

• Suivi et notification

1. Les enquêtes sur les incidents de sécurité des informations découverts dans les pistes d'audit doivent être gérées dans le cadre des procédures globales établies pour la gestion et le compte rendu des incidents de sécurité des informations.
2. Dans le cas où une action de suivi concernant une personne ou une organisation après un incident de sécurité des informations nécessite une action en justice, des procédures médico-légales appropriées, y compris la chaîne de traçabilité, sont en place pour la collecte, la conservation et la présentation d'éléments de preuve permettant d'étayer une action en justice éventuelle juridiction compétente.

• Réponse d'urgence

1. Baseline a mis en place une équipe d’intervention d’urgence, conformément à la SLA.
2. En cas d'infraction majeure à la gestion des risques, Baseline attribuera les ressources appropriées à l'équipe d'intervention d'urgence mise en place par le client.

• CONTINUITÉ DE L'ACTIVITÉ

• Plan et procédures

1. Baseline doit disposer d’une méthode définie et documentée pour déterminer l’impact de toute perturbation de l’organisation, qui intègre les éléments suivants:

1. Identifiez les produits et services critiques.
2. Identifiez toutes les dépendances, y compris les processus, les applications, les partenaires commerciaux et le service tiers Baseline.
3. Comprendre les menaces pesant sur les produits et services critiques.
4. Déterminez les impacts résultant des perturbations planifiées ou non planifiées et leur variation dans le temps.
5. Établissez la période maximale tolérable de perturbation.
6. Établissez les priorités pour le rétablissement.
7. Fixez des objectifs de temps de récupération pour la reprise des produits et services critiques dans leur période de perturbation maximale tolérable.
8. Estimez les ressources nécessaires à la reprise.
9. Sensibilisation du personnel aux imprévus.
10. Plans de sécurité.

1. Le niveau de référence doit comporter un ensemble défini de procédures d’action en cas d’urgence. Baseline doit s'assurer que:

1. Les conditions de mise en œuvre sont clairement définies et comprises.
2. Les responsabilités de Baseline sont entièrement définies.
3. Toutes les responsabilités de tiers sont entièrement définies.

1. Un plan de secours et de reprise détaillé doit être inclus dans le plan de migration pour éviter la perte ou la corruption des informations du client.
2. Des politiques et procédures doivent être établies pour la maintenance des équipements afin de garantir la continuité et la disponibilité des opérations.
3. Afin de réduire les risques liés aux menaces environnementales, les dangers et les possibilités d’accès non autorisé au matériel doivent être situés à l’écart de lieux soumis à des risques environnementaux de probabilité élevée et complétés par du matériel redondant situé à une distance raisonnable.
4. Des mécanismes de sécurité et des redondances doivent être mis en œuvre pour protéger les équipements contre les pannes de services publics (par exemple, pannes de courant, pannes de réseau, etc.).
5. Les équipements de télécommunication, les câbles et les relais transmettant des données ou les services de support doivent être protégés de toute interception ou de tout dommage, et conçus avec des redondances, une source d'alimentation alternative et un acheminement alternatif.
6. Baseline doit fournir une technologie fiable appuyée par des installations alternatives ou dupliquées, ainsi que par une stratégie de sauvegarde de données primaire (sur site) et secondaire (hors site) afin de répondre aux exigences de service définies dans l'accord de base en vigueur et en vigueur, ainsi qu'une capacité suffisante pour faire face aux prévisions actuelles et futures charges de travail.
7. Des politiques et procédures de conservation et de stockage des données doivent être établies et des mécanismes de sauvegarde ou de redondance mis en place pour assurer la conformité aux exigences réglementaires, réglementaires, contractuelles ou commerciales. Les tests de récupération des sauvegardes sur disque ou sur bande doivent être mis en œuvre à des intervalles planifiés.

• Résilience du service

1. Le niveau de référence doit comporter un plan de test annuel décrivant le nombre et le type de tests à réaliser ainsi que les objectifs de test.
2. Les initiatives de base pour lesquelles le plan de continuité des opérations approuvé doit être testé périodiquement par une tierce partie pour en déterminer la pertinence et l'efficacité.

• Procédures de changement et d'évolution

1. Baseline doit comporter un processus de gestion des modifications apportées aux services de base (pour couvrir tous les composants des environnements opérationnels de service) qui:

1. Un processus formel et contrôlé doit être appliqué pour toutes les modifications.
2. Un processus d'intégration doit être appliqué à tous les nouveaux composants avant leur déploiement.
3. Un plan de restauration doit être défini et validé pour chaque modification.
4. Les modifications fonctionnelles doivent être validées par les propriétaires de l’information.
5. Toute modification apportée aux applications ou au système d'exploitation ayant un impact sur l'infrastructure doit être validée par le responsable de la sécurité de l'information concerné.
6. Les applications doivent être maintenues en tenant compte du soutien continu de l'infrastructure et de l'évolution des plates-formes par les fournisseurs.

1. Baseline informera le responsable des risques liés aux informations du Client de tout changement susceptible d'avoir une incidence sur l'environnement de gestion des risques liés aux informations des Services Baseline.

• Essai

1. Baseline doit avoir mis en place des procédures pour garantir la certification et l'acceptation appropriées des produits après les tests, lesquelles comprennent au minimum:

1. Acceptation de l'autorité de conception
2. Certification de test
3. Procédures de transfert du client

1. La ligne de base s'efforce de démontrer que son régime de test est capable de gérer correctement les données de test
2. Baseline prend toutes les précautions nécessaires pour que Sensitive Data ne soit jamais utilisé à des fins de test. Si l'utilisation de données sensibles est essentielle à la réussite de la mise en œuvre des services de base, celle-ci doit mettre en œuvre des procédures pour la gérer de manière appropriée.
3. Tous les logiciels fournis pour une utilisation avec les services de base doivent être testés de manière adéquate et comporter au minimum:

1. Test fonctionel.
2. Test d'intégration.
3. Test de sécurité.
4. Test de performance.
5. Tests d'acceptation.
6. Autorité de test indépendante.
7. Tests indépendants.
8. Test de régression de la compatibilité de la version du logiciel système.
9. Tests de l'environnement système, y compris des logiciels d'exploitation et d'application, de l'infrastructure réseau et des processus opérationnels impliqués dans la prestation de services.

• Changements d'urgence

Baseline doit comporter un processus de traitement des modifications d’urgence, qui inclut l’intégration des modifications dans les procédures standard.

• SÉCURITÉ PCI-DSS

Le niveau de référence doit avoir formellement évalué et documenté sa conformité aux exigences de la norme PCI DSS.

• DÉVELOPPEMENT DE LOGICIELS ET D'APPLICATIONS

• Procédures

1. Baseline doit disposer d’une méthode définie et documentée pour déterminer l’impact de toute perturbation de l’organisation, qui intègre les éléments suivants:
2. Les politiques de sécurité doivent indiquer explicitement les exigences de sécurité et les processus à adopter lors du développement du logiciel / de l'application. Elles sont conçues conformément aux normes de sécurité acceptées par l'industrie et aux exigences réglementaires et commerciales applicables.
3. Un processus de sécurité est établi, mis en œuvre et surveillé.
4. Baseline doit s'assurer que ses développeurs reçoivent des sessions de sensibilisation régulières.
5. Baseline doit avoir des processus de sécurité pour identifier et adresser les applications qui utilisent des données personnelles d'utilisateur.

• Phase d'exigences

Baseline doit disposer d’un processus permettant de déterminer les exigences de sécurité de l’entreprise / du propriétaire de l’application à partir des exigences et des étapes de faisabilité elles-mêmes. Au minimum, il traite:

1. Sensibilisation aux contacts et aux conseillers en matière de sécurité et de confidentialité.
2. Document défini sur les barres de bogues de sécurité et de confidentialité avec l'utilisation obligatoire du système de suivi des bogues.
3. Identification du personnel ayant accès aux données sensibles.
4. Administration des utilisateurs par le biais de revues d’accès et de vérification d’identité.
5. Fonctions de journalisation des applications activées.
6. Identification et communication sur l'authentification et le cryptage multifactoriels dans la solution, le cas échéant.

• Phase de conception, de développement et de mise en œuvre

1. Baseline doit disposer de techniques de conception documentées, suivies d’une identification sur la base du code géré / non géré, des privilèges minimaux, de la minimisation et de la minimisation de la surface d’attaque, des paramètres par défaut, etc. code exposé.
2. Baseline doit garantir que les critères de sécurité supplémentaires identifiés par des problèmes spécifiques au produit tels que les scripts intersites, les attaques par injection SQL, etc.
3. Baseline doit adopter et mettre en œuvre un processus de modélisation des menaces en tant que revue systématique de l'architecture des fonctionnalités et des produits afin d'identifier les menaces et de les atténuer.
4. La sécurité est considérée et prise en compte dans la validation des entrées et la gestion des exceptions.
5. La référence doit garantir que la conception de l'équilibrage de la charge et de la surveillance de la charge a été conçue pour protéger contre la destruction ou le déni de service et pour garantir la disponibilité.
6. Un processus, une documentation et des outils définis sont nécessaires pour garantir un déploiement et un fonctionnement sécurisés.

• Vérification, test et validation

1. Au minimum, Baseline doit prendre en compte et assurer les éléments suivants:

1. Évaluations de la vulnérabilité effectuées pour assurer la sécurité des applications.
2. Les tests d'intrusion visant à garantir les impacts sur la sécurité du point de vue d'un pirate informatique sont couverts.
3. Tous les plans d'intervention sont mis en œuvre et mis en œuvre avec la réévaluation de la surface d'attaque.
4. Réalisation d’une revue de code automatique et manuelle pour s’assurer que le code est exempt de bogues.
5. Révision de la conception et de l'architecture à la lumière des nouvelles menaces.
6. Routines d'intégrité d'entrée et de sortie des données (c.-à-d. Contrôles de rapprochement et d'édition).

1. Baseline doit veiller à ce qu'il y ait une vérification finale de la sécurité (ne faisant pas partie des tests de sécurité) dans le cadre du processus de publication afin de s'assurer qu'il n'y a pas de vulnérabilités de sécurité connues.