Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée

Dimension: px
Commencer à balayer dès la page:

Download "Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée"

Transcription

1 Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée Version Française 2012

2 Dédit de responsabilité Les informations contenues dans ce document représentent la vision de Microsoft Corporation sur les questions abordées à la date de publication. Dans la mesure où Microsoft doit s'adapter aux changements du marché, ces informations ne sauraient être interprétées comme un engagement de la part de Microsoft, et Microsoft ne garantit en rien l'exactitude des informations fournies après la date de publication. Pour accéder à la version la plus récente de ce document en langue anglaise, veuillez consulter le lien suivant Ce document est publié à titre informatif uniquement. MICROSOFT NE FORMULE AUCUNE GARANTIE, EXPLICITE OU IMPLICITE, CONCERNANT LES INFORMATIONS CONTENUES DANS CE DOCUMENT. Le respect de toutes les lois de copyright en vigueur relève de la responsabilité de l'utilisateur. Sans restriction des droits dérivés des droits d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à quelque fin, par quelque moyen (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la permission expresse et écrite de Microsoft Corporation. Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle Microsoft Corporation. Tous droits réservés Microsoft et Microsoft Office 365 sont soit des marques déposées, soit des marques de fabrique de Microsoft Corporation aux États-Unis et/ou dans d autres pays. Les noms de produits et de sociétés réels mentionnés dans la présente documentation peuvent être des marques de leurs propriétaires respectifs. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 2

3 Table des matières Page Introduction 4 Fourniture de Microsoft Office 365 : la pile de services 5 Certifications ISO pour la pile Microsoft Online Services 6-8 Réponse de Microsoft selon les identifiants des contrôles de la matrice «Cloud»: 9-53 Conformité CO-01 à CO Gouvernance des données DG-01 à DG s installations FS-01 à FS Ressources humaines HR-01 à HR l'information IS-01 à IS Juridique LG-01 à LG Gestion des Opérations OP-01 à OP Gestion du risque RI-01 à RI Gestion des changements RM-01 à RM Continuité de l activité RS-01 à RS Architecture de sécurité SA-01 à SA Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 3

4 L'association CSA (Cloud Security Alliance) est une entité à but non-lucratif dont le but est de promouvoir l utilisation de bonnes pratiques pour garantir la sécurité dans les environnements de «Cloud Computing». L'association a publié l'outil (Cloud Control Matrix), pour aider les consommateurs dans leur évaluation des services Cloud, et pour identifier les questions qu'ils doivent légitimement se poser avant d'utiliser ce type de services. En réponse à cette publication, Microsoft Online Services a créé ce document pour souligner la manière dont nous appliquons les principes suggérés, et comment nous les relions à la certification ISO. Pour en savoir plus : https://cloudsecurityalliance. org Introduction Le «Cloud Computing» soulève des questions sur la sécurité, la protection des données, la confidentialité et la propriété des données. Microsoft Office 365 (incluant les services de la marque Microsoft Exchange Online, Microsoft SharePoint Online, et Microsoft Lync Online ) sont hébergés dans les centres de données de Microsoft à travers le monde, et conçus pour répondre aux exigences des clients professionnels en matière de performance, d évolutivité, de sécurité et de niveau de service. Nous avons mis en œuvre une technologie à l état de l art, ainsi que des processus qui fournissent une qualité constante et éprouvée en termes d'accès, de sécurité et de confidentialité pour chaque utilisateur. Les services Microsoft Online Services offrent des fonctionnalités intégrées pour être conformes à un large éventail de réglementations et de directives sur le respect de la vie privée. Dans ce document, nous proposons à nos clients une présentation détaillée sur la manière dont les services Microsoft Online Services répondent aux exigences de sécurité, de confidentialité, de conformité et de gestion du risque, telles que définies dans le document (Cloud Control Matrix) publié par l'association CSA (Cloud Security Alliance). A noter que ce document a pour objectif de fournir également des informations sur le fonctionnement de Microsoft Online Services. Il est de la responsabilité des clients de contrôler et de gérer leur environnement une fois que le service est fourni (par exemple, gestion des accès des utilisateurs et respect des stratégies et des procédures conformément à leurs exigences réglementaires). Exigences de sécurité pour le Cloud : l'outil (Cloud Control Matrix). L'outil Matrice de Contrôle Cloud, ou (Cloud Control Matrix), est publié par une organisation à but non lucratif, une association composée de grands acteurs du marché dont l'objectif est de venir en aide aux clients qui veulent prendre la décision de passer sur le Cloud. Cette matrice fournit une description détaillée de la sécurité et du respect de la vie privée, des concepts et des principes qui sont alignés sur le guide Cloud Security Alliance en 13 domaines. Microsoft publie dans ce document une présentation détaillée de nos capacités vis-à-vis des exigences de la matrice. Avec cette réponse standard aux demandes d'information, nous souhaitons aider les clients en leur fournissant des informations aussi complètes que possible afin d'évaluer les différentes offres du marché actuel. Présentation de Microsoft Office 365 Alors que Microsoft offre une gamme complète de services Cloud, notre objectif ici est de donner des réponses spécifiques au sujet d Office 365, offre de service professionnel d'hébergement de Microsoft. Office 365 fournit un ensemble d'applications de productivité qui associent sur le Cloud les versions en ligne des logiciels de messagerie et de collaboration, avec notre suite bien connue Microsoft Office Professional Plus. Les applications Office 365 s'exécutent sur une infrastructure Cloud et sont accessibles depuis différents dispositifs clients. Les clients n'ont pas besoin de gérer ou de contrôler l'infrastructure Cloud sous-jacente, le réseau, les serveurs, les systèmes d'exploitation, le stockage ou les fonctionnalités de chaque application, à l'exception de certaines fonctions de configuration. Pour plus d'informations, veuillez visiter le site Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 4

5 Comment Microsoft Office 365 est mis à disposition : la pile de services Le Centre de gestion de la confidentialité fournit des informations supplémentaires sur des sujets tels que la géolocalisation des données, l'accès administrateur, ou la mise en application des règles de conformité. Lors de l'évaluation de l'environnement de contrôle d'une offre de type SaaS (Software as a Service), il est important de prendre en considération la totalité de la pile de services du fournisseur de service Cloud. Différentes organisations peuvent être impliquées dans la fourniture de services d'infrastructure et d'applications, ce qui peut augmenter le risque de dysfonctionnement. Une interruption sur l une des couches de la pile peut compromettre la fourniture du service Cloud et avoir des conséquences importantes. Pour cette raison, les clients devraient évaluer comment fonctionnent leurs fournisseurs de service, et appréhender l'infrastructure sous-jacente et les plateformes du service, ainsi que les applications effectivement délivrées. Microsoft est un fournisseur de service du Cloud qui possède et qui contrôle la totalité de la pile, depuis les applications développées pour le Cloud, jusqu'aux centres de données qui hébergent vos données et vos services, en passant par les installations de fibre optique qui acheminent vos informations, et la mise à disposition effective du service. Dans l'environnement Office 365, le service est géré par le groupe Microsoft Global Foundation Services qui fournit les services d'infrastructure à la fois en interne et aux clients Microsoft, et par le groupe Microsoft Online Services qui fournit la suite d'applications et la couche de données (voir la figure 1). Pour en savoir plus, visitez le site : Centre de gestion de la confidentialité Figure 1 : Pile de services pour Office 365 (http://go.microsoft.com/fwlink/? LinkID=206613&CLCID=0x40C) Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 5

6 Grâce à la certification ISO de Microsoft, les clients peuvent évaluer la manière dont Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. Certifications ISO pour la pile Microsoft Online Services Office 365 et l'infrastructure sur laquelle la solution s'appuie (Microsoft Global Foundation Services) font appel à des cadres méthodologiques de sécurité basées sur le corpus de normes internationales ISO/IEC 27001:2005, et ont été certifiées ISO par des auditeurs indépendants. Grâce à notre certification ISO 27001, les clients peuvent évaluer la manière dont Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. La norme ISO définit les méthodes de mise en œuvre, de contrôle, de gestion et d'optimisation en continu du Système de Management de la l'information (SMSI). De plus, les services et l'infrastructure font l'objet d'un audit annuel à la norme SAS 70 (ou à la norme SSAE16 qui la remplace). La politique de sécurité de l'information de Microsoft Online Services, applicable à Office 365, est également alignée sur la norme ISO 27002, complétée par des exigences spécifiques aux services en ligne. La norme ISO n'est pas une certification mais elle fournit un ensemble de contrôles adaptés au SMSI. Comment lire les exigences du CSA et les réponses de Microsoft Dans les pages suivantes, nous avons mis en parallèle nos pratiques de sécurité et les préconisations de l'outil. Les deux premières colonnes, intitulées «Contrôle ID» et, reprennent les contrôles les plus pertinents de l'outil 1. La troisième colonne, intitulée comprend : 1) Une brève explication sur la manière dont Microsoft Online Services satisfait aux recommandations du CSA. 2) Une référence aux contrôles ISO respectés par GFS (Microsoft Global Foundation Services) et/ou Microsoft Online Services dans le cadre des certifications ISO 27001, le cas échéant. Exemple : Le contrôle IS-O2 de l'outil Matrice de contrôle Cloud () du CSA définit la recommandation suivante : «La direction et la chaîne de management doivent prendre des mesures formelles pour soutenir la sécurité de l information grâce à des directives claires et documentées, un engagement, une mission explicite et une vérification de l'exécution de la mission.» Réponse de Microsoft : Chaque version approuvée par le management de la politique de sécurité de l'information et de ses mises à jour est distribuée à l'ensemble des parties prenantes impliquées. La politique de sécurité de l'information est communiquée à l'ensemble des employés (existants ou nouveaux) de Microsoft Online Services. (1) Le contenu des colonnes 1 et 2 de la matrice est 2011 Cloud Security Alliance, utilisé avec permission. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 6

7 Le fait que Microsoft Online Services est certifié ISO signifie que nous avons été en mesure de répondre aux attentes des auditeurs externes, et montrer que notre environnement respecte ou dépasse ces normes. La copie publique de la (suite): Tous les employés de Microsoft Online Services indiquent qu'ils ont pris connaissance et qu'ils approuvent toutes les mesures définies dans les documents de la politique de sécurité de l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les mesures pertinentes définies dans la politique de sécurité de l'information. Si une de ces parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la responsabilité de l'agent de supervision de Microsoft de leur fournir les documents correspondants. Une version de la politique de sécurité de l'information destinée aux clients peut être obtenue sur demande. Les clients et les prospects doivent avoir signé un accord de non-divulgation (NDA), ou équivalent, pour recevoir un exemplaire de la politique de sécurité de l'information. Certification ISO de Microsoft Online Services est disponible ici : Certification ISO Les dispositions «Implication de la direction vis-à-vis de la sécurité de l'information» et «Responsabilité de la direction» sont abordées dans la norme ISO 27001, notamment dans la Clause 5, et à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO (http://www.bsigroup.com/en/a ssessment-and-certificationservices/client-directory/ Motsclés : Microsoft Online Services) Pour en savoir plus : Il est vivement recommandé de consulter les normes ISO et ISO disponibles publiquement. Les normes ISO peuvent être commandées sur le site de l'organisation Internationale de Normalisation : Ces normes ISO fournissent des informations détaillées et la marche à suivre pour leur mise en œuvre. Une fois encore, le fait que Microsoft Online Services soit certifié ISO signifie que nous avons su répondre aux attentes d'un auditeur externe, et montrer que notre environnement respecte ou dépasse ces normes. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 7

8 Exemple: Lors de l'examen de la norme, on peut prendre le contrôle ou la clause de l'iso 27001, en examiner les spécificités, par exemple «Engagement de la direction sur sécurité de l'information» en clause 5, à partir de la norme ISO ou à partir de l'iso les détails du contrôle 6.1.1: «Responsabilité du management..» Ressources Visitez notre Centre de gestion de la confidentialité pour un accès aux documents suivants : Livres blancs Forums aux questions Informations sur la certification Normes ISO disponibles à l'achat (Lien du Centre de gestion de la confidentialité : La copie publique de la Certification ISO de Microsoft Online Services est disponible ici : Certification ISO (http://www.bsigroup.com/en/assessment-and-certification-services/clientdirectory/ Mots-clés : Microsoft Online Services) Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 8

9 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles CO-01 à CO-02 CO-01 Conformité - Planification de l'audit ( Version R1.1. Finale) Des plans d audit, des activités et des éléments d'action opérationnels se concentrant sur la duplication des données, l'accès, et les limitations des frontières des données doivent être conçus pour minimiser le risque de perturbation des processus métier. Les activités d audit doivent être planifiées et convenues à l'avance par les parties prenantes. Nos objectifs sont d'exploiter nos services en appliquant comme principes essentiels le respect de la sécurité, et de vous fournir des garanties quant aux mesures de sécurité prises. Nous avons implémenté et maintiendrons de manière raisonnable et appropriée les mesures techniques et organisationnelles, les contrôles internes, et les traitements usuels liés à la sécurité de l information pour contribuer à protéger les données du client contre toute perte, destruction ou altération accidentelles; les diffusions ou les accès non autorisés ; ou les destructions illégales. Chaque année, nous faisons réaliser des audits par des organismes tiers mondialement reconnus, afin d'obtenir une attestation indépendante de conformité avec nos politiques et procédures concernant la sécurité, la confidentialité, la continuité et la conformité. Les éléments des audits sont consultables, après accord de non divulgation et sur demande, par nos prospects ; et via le Centre de gestion de la confidentialité pour nos clients. Les rapports d'audit indépendants et les certifications de Microsoft Online Services sont partagés avec les clients. Ces certifications et attestations montrent précisément les méthodes d'obtention et de respect de nos objectifs de sécurité et de conformité, ainsi que la manière dont nous nous en servons en tant que mécanisme pratique pour valider nos engagements envers tous nos clients. La disposition «Surveillance et réexamen du ISMS» est abordée dans la norme ISO 27001, notamment dans la Clause Pour plus d informations, il est conseillé de consulter les normes ISO CO-02 Conformité - Audits indépendants Des examens indépendants et des évaluations doivent être effectués au moins annuellement, ou à intervalles planifiés, afin d'assurer que l'organisation est conforme aux politiques, procédures, normes et exigences réglementaires applicables (par exemple, audits internes/externes, certifications, tests de pénétration et de la vulnérabilité). Pour plus d'informations, veuillez-vous reporter au code CO-01 ou interroger le Centre de gestion de la confidentialité au sujet de nos certifications en cours et des attestations des tiers. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 9

10 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles CO-03 à CO-05 ( Version R1.1. Finale) CO-03 Conformité - Audits des tiers CO-04 Conformité - Contact / Gestion de l'autorité CO-05 Conformité - Correspondan ce de réglementatio n des systèmes d'information Les fournisseurs de service tiers doivent démontrer leur conformité avec la sécurité et la confidentialité de l information, les définitions du service et les accords sur le niveau de prestation inclus dans les contrats de tiers. Les rapports des tiers, dossiers et services sont soumis à vérification et examen, à intervalles planifiés, pour gérer et maintenir la conformité avec les accords de prestation du service. Des liaisons et des points de contact avec les autorités locales doivent être maintenus en conformité avec les exigences des entreprises et des clients et la conformité aux exigences législatives, réglementaires et contractuelles. Les données, objets, applications, l infrastructure et le matériel peuvent se voir assigner un domaine législatif et une juridiction pour faciliter les points de contact appropriés de conformité. Les exigences légales, réglementaires et contractuelles doivent être définies pour tous les éléments du système d'information. L'approche de l'organisation pour répondre aux besoins connus, et pour s'adapter aux nouveaux mandats, doit être explicitement définie, documentée et mise à jour pour chaque élément du système d'information de l organisation. Les éléments du système d'information peuvent inclure les données, les objets, les applications, l infrastructure et le matériel. Chaque élément peut être attribué à un domaine législatif et une juridiction pour faciliter une correspondance de conformité appropriée. Microsoft Online Services demande contractuellement aux fournisseurs de services tiers de Microsoft d'appliquer et de respecter les exigences définies conformément à la politique de sécurité de l'information de Microsoft Online Services. De plus, Microsoft Online Services demande que ces fournisseurs tiers se soumettent à un audit annuel réalisé par des organismes tiers, ou qu'ils fassent la demande pour que leur audit soit fait en même temps que l'audit annuel de Microsoft Online Services. Les dispositions «Sécurité dans les accords conclus avec des tiers» et «Gestion de la prestation de service conclus avec un tiers» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes 6.2. et 10.2 respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft Online Services garde le contact avec les parties externes (telles que les organismes de réglementation, les fournisseurs de service, les organisations de gestion du risque ou les forums de l industrie) pour assurer la mise en œuvre de mesures appropriées et rapides et obtenir si besoin des conseils. Microsoft dispose d'une équipe dédiée pour la plupart des contacts avec les organismes d'application de la loi. Les rôles et les responsabilités concernant la gestion et le contrôle de ces relations sont clairement définis. Les dispositions «Relations avec les autorités» et «Relations avec des groupes de spécialistes» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Microsoft Online Services fournit des informations sur les statuts et les réglementations auxquels il adhère, par le biais de ses contrats et des descriptions de service, y compris par juridiction. Microsoft Online Services dispose d'un processus bien établi qui permet l'identification et la mise en œuvre des changements à ses services en réponse aux modifications dans les statuts et réglementations applicables. Un réexamen intervient chaque année dans le cadre de notre audit ISO De plus, l'interface Web de Microsoft Online Services limite la possibilité d'ajouter des utilisateurs dans des juridictions situées hors de la portée de support de Microsoft Online Services Les dispositions «Établissement du ISMS», «Revue de direction du ISMS» et «Conformité aux exigences légales» sont abordées dans la norme ISO 27001, notamment dans les Clauses et 7.3 respectivement, ainsi qu'à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 10

11 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle CO-06 CO-06 Conformité - Propriété intellectuelle ( Version R1.1. Finale) Une politique, un processus et une procédure doivent être établies et mis en œuvre pour protéger la propriété intellectuelle et l'utilisation de logiciels propriétaires en prenant en compte les contraintes législatives de la juridiction et contractuelles qui régissent l'organisation. Il est exigé de tous les employés et équipes sous-traitantes d'appliquer et de respecter les lois relatives à la propriété intellectuelle, Microsoft gardant la responsabilité d'utiliser des logiciels propriétaires au sein des juridictions législatives et des obligations contractuelles qui régissent l'organisation. Avant sa mise à disposition, chaque service est contrôlé pour vérifier que tous les logiciels tiers sont couverts par une licence appropriée. De plus, Microsoft Online Services dispose de politiques et de procédures qui garantissent le respect des exigences de «désinstallation» de la loi américaine Digital Millenium Copyright Act (DMCA) sur les droits d'auteur, de même que la réglementation semblable sur le service. Microsoft utilise et gère les données des clients aux fins exclusives de fournir ses prestations Microsoft Online Services. Les services Microsoft destinés aux entreprises sont conçus séparément des services grand public de Microsoft. Si certaines données peuvent être stockées ou traitées sur des systèmes utilisés à la fois pour les services grand public et entreprises, les données de ces dernières ne sont pas partagées avec les systèmes utilisés pour les opérations publicitaires. La disposition «Établissement du ISMS» est abordée dans la norme ISO 27001, notamment dans la Clause Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 11

12 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-01 à DG-02 DG-01 Gouvernance des données - Propriété / Gérance ( Version R1.1. Finale) Toutes les données doivent être désignées avec un chargé d'intendance avec des responsabilités assignées qui seront définies, documentées et communiquées. Microsoft Online Services a mis en œuvre une politique formelle qui exige la comptabilisation des actifs (qui comprennent notamment les données et le matériel) utilisés pour exploiter Microsoft Online Services, ainsi que la nomination d'un propriétaire de chaque actif. Les propriétaires des actifs doivent tenir à jour toutes les informations concernant leurs actifs. Les dispositions «Attribution des responsabilités en matière de sécurité de l information» et «Propriété des actifs» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. DG-02 Gouvernance des données - Classification Les données et les objets contenant des données, doivent se voir assigner une classification basée sur le type de données, la juridiction d'origine, la juridiction de domiciliation, le contexte, les contraintes juridiques, les contraintes contractuelles, la valeur, la sensibilité, de criticité pour l'organisation et l'obligation des tiers concernant la rétention et la prévention des divulgations ou les emplois abusifs non autorisés. Les standards Microsoft Online Services fournissent des indications sur la classification des actifs au sein des différentes catégories de sécurité applicables, puis implémentent un ensemble standard d'attributs de sécurité et de confidentialité. La disposition «Classification des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 7.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 12

13 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-03 à DG-04 DG-03 Gouvernance des données - Manipulation / Marquage / Politique de sécurité DG-04 Gouvernance des données - Politique de conservation ( Version R1.1. Finale) Des politiques et procédures doivent être établies pour l'étiquetage, la manipulation et la sécurité des données et des objets qui contiennent des données. Des mécanismes d'héritage de l'étiquetage doivent être mis en œuvre pour les objets qui agissent comme des conteneurs globaux pour les données. Des politiques et procédures de conservation des données et de stockage doivent être établies et des mécanismes de sauvegarde ou de redondance mis en œuvre pour assurer la conformité avec les exigences réglementaires, statutaires, contractuelles ou métier. Des tests de récupération des sauvegardes sur disque ou sur bande doivent être mis en œuvre à intervalles planifiés. Les standards Microsoft Online Services fournissent des indications sur la classification des actifs au sein des différentes catégories de sécurité applicables, puis implémentent un ensemble standard d'attributs de sécurité et de confidentialité. La disposition «Classification des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 7.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft Online Services fournit à ses clients la possibilité d'appliquer des politiques de conservation des données, telles que définies dans les descriptions de service individuel. (http://www.microsoft.com/downloads/frfr/details.aspx?familyid=c60c0af0-10cc-4b11-bcefb989c1f168b0&displaylang=fr) Comme pour les sauvegardes, le contenu est répliqué depuis un centre de données primaire vers un centre de données secondaire. Ainsi, il n'y a pas de planning de sauvegarde spécifique dans la mesure où la réplication est constante. Les clients peuvent décider de réaliser leurs propres opérations d'extraction/sauvegarde si nécessaire. Les données du client sont stockées dans un environnement redondant bénéficiant de solutions fiables de sauvegarde, de restauration et de basculement, afin de garantir la disponibilité, la continuité de l'activité et la récupération rapide. Plusieurs niveaux de redondance des données sont implémentés, depuis les disques redondants pour se prémunir d une panne d un disque local jusqu'à la réplication complète et continue des données vers un centre de données géographiquement délocalisé. Microsoft Online Services fait l'objet d'une validation annuelle de ses méthodes de sauvegarde/restauration. La disposition «Sauvegarde des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 13

14 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-05 à DG-06 DG-05 Gouvernance des données - Mise au rebut sécurisée DG-06 Gouvernance des données - Données hors production ( Version R1.1. Finale) Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour l'élimination sûre et la suppression complète de données de tous les supports de stockage, assurant que les données ne sont récupérables par aucun moyen d investigation. Les données de production ne doivent pas être répliquées ou utilisés dans des environnements hors-production. Microsoft utilise des procédures de bonnes pratiques, ainsi qu'une solution d effacement des données conforme à la norme américaine NIST Pour les disques durs contenant des données qui ne peuvent être effacées, nous utilisons un processus de destruction matérielle (désintégration, broyage, pulvérisation, ou incinération). La méthode de mise au rebut adaptée est choisie en fonction du type de l actif. Un historique de la destruction est conservé. Toutes les équipes de Microsoft Online Services utilisent des services approuvés pour la gestion du stockage des supports et de leurs mises au rebut. Les documents papier sont détruits selon les méthodes approuvées, à la fin de leur cycle de vie défini à l'avance. Les dispositions «Mise au rebut ou recyclage sécurisé(e) du matériel» et «Mise au rebut des supports» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft applique le principe de ségrégation des fonctions pour garantir la restriction des accès entre les environnements de test et de production, conformément à la politique définie. Le déplacement ou la copie des données non-publiques du client depuis un environnement de production vers un environnement de non-production est expressément interdit, sauf consentement explicite du client, ou sur décision de la division juridique de Microsoft. Les dispositions «Séparation des équipements de développement, de test et d exploitation» et «Protection des données système de test» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 14

Réponse standard pour les demandes d'information

Réponse standard pour les demandes d'information Réponse standard pour les demandes d'information >Sécurité et Respect de la vie privée Mars Version 1 Dédit de responsabilité Les informations contenues dans ce document représentent la vision de Microsoft

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

ISO 9001:2000. CHAPITRE par CHAPITRE

ISO 9001:2000. CHAPITRE par CHAPITRE ISO 9001:2000 PARTIE 2-3 CHAPITRE par CHAPITRE 9001:2000, domaine Satisfaction du client par la prévention des N.C. (ISO 9001:1994) Appliquer efficacement le système pour répondre aux besoins du client

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

POLITIQUE SUR LE SIGNALEMENT ET

POLITIQUE SUR LE SIGNALEMENT ET LA BANQUE DE NOUVELLE ÉCOSSE POLITIQUE SUR LE SIGNALEMENT ET PROCÉDURES Y AFFÉRENTES Supplément au Code d éthique Octobre 2015 BANQUE SCOTIA Table des matières SECTION 1 INTRODUCTION... 3 SECTION 2 RAISON

Plus en détail

Points forts : Amélioration de vos opérations d'atelier grâce à l'enregistrement rapide des informations de production précises et en temps réel

Points forts : Amélioration de vos opérations d'atelier grâce à l'enregistrement rapide des informations de production précises et en temps réel GESTION D ATELIER Le module de gestion d atelier dans Microsoft Business Solutions Axapta automatise la récupération des informations sur les horaires et la présence des employés, ainsi que celle des données

Plus en détail

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE Résumé PREFACE 2 INTRODUCTION 2 1. BUT ET CHAMP D APPLICATION 2 2. REFERENCES DOCUMENTAIRES ET NORMES 3 3. TERMES ET DEFINITIONS 3 4. POLITIQUE POUR UNE CONSOMMATION RAISONNEE (PCC) 3 5. RESPONSABILITE

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION

MANDAT DU CONSEIL D ADMINISTRATION DIAGNOCURE INC. (la «Société») MANDAT DU CONSEIL D ADMINISTRATION (le «Conseil») Le rôle du Conseil consiste à superviser la gestion des affaires et les activités commerciales de la Société afin d en assurer

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

POLITIQUE SUR LE SIGNALEMENT ET

POLITIQUE SUR LE SIGNALEMENT ET LA BANQUE DE NOUVELLE ÉCOSSE POLITIQUE SUR LE SIGNALEMENT ET PROCEDURES Y AFFERENTES Supplément au Code d éthique Septembre 2013 Table des matières SECTION 1 INTRODUCTION...3 SECTION 2 RAISON D ÊTRE DE

Plus en détail

GUIDE 62. Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité

GUIDE 62. Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité GUIDE 62 Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité Première édition 1996 GUIDE ISO/CEI 62:1996(F) Sommaire Page Section 1:

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012 Évolutions de la norme NF EN ISO/CEI 17020 De la version 2005 à la version 2012 Plan de la présentation L intervention sera structurée suivant les 8 chapitres de la norme. Publiée le 1 er mars 2012, homologuée

Plus en détail

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000.

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000. Manuel 1 Objectif Décrire brièvement l organisation du système mis en place à l ICEDD afin de démontrer le respect des exigences de la norme ISO 9001 : 2000. Accessoirement, cela peut faciliter la recherche

Plus en détail

Formation à distance pour les examens professionnels fédéraux en informatique

Formation à distance pour les examens professionnels fédéraux en informatique Formation à distance pour les examens professionnels fédéraux en informatique Brevet fédéral d informaticienne en technique des systèmes et réseaux TIC Brevet fédéral d informaticienne de gestion 1. :

Plus en détail

Instruction administrative ICC/AI/2007/005 Date: 19/06/2007

Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 SÉCURITÉ DES INFORMATIONS DANS LE CADRE DE L EXÉCUTION DE CONTRATS CONCLUS AVEC DES TIERCES PARTIES En application de la directive de la Présidence

Plus en détail

Les exigences de la norme ISO 9001:2008

Les exigences de la norme ISO 9001:2008 Les exigences de la norme ISO 9001:2008! Nouvelle version en 2015! 1 Exigences du client Satisfaction du client Le SMQ selon ISO 9001:2008 Obligations légales Collectivité Responsabilité de la direction

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

MANAGEMENT DE LA RADIOPROTECTION

MANAGEMENT DE LA RADIOPROTECTION Page : 1/10 MANUEL MAN-CAM-NUC-F Seule la version informatique est mise à jour, avant toute utilisation consulter sur le réseau Intranet la version en cours de ce document Page : 2/10 HISTORIQUE DE RÉVISION

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Protection des données personnelles de candidat Alstom

Protection des données personnelles de candidat Alstom Protection des données personnelles de candidat Alstom Contents Section 1 L engagement d Alstom envers la protection des données personnelles... 1 Section 2 Definitions:... 1 Section 3 Données personnelles...

Plus en détail

COMMISSION SCOLAIRE DE LA BEAUCE-ETCHEMIN Page 1 de 7 POLITIQUE DE GESTION DES DOCUMENTS POLITIQUE DE GESTION DES DOCUMENTS

COMMISSION SCOLAIRE DE LA BEAUCE-ETCHEMIN Page 1 de 7 POLITIQUE DE GESTION DES DOCUMENTS POLITIQUE DE GESTION DES DOCUMENTS COMMISSION SCOLAIRE DE LA BEAUCE-ETCHEMIN Page 1 de 7 1.0 PRÉAMBULE La présente politique est fondée sur les éléments suivants : Tel que stipulé dans la Loi sur les archives, la Commission scolaire doit

Plus en détail

IRIS International Railway Industry Standard

IRIS International Railway Industry Standard Français Addendum 19 Juin 2008 IRIS International Railway Industry Standard Hier kann ein kleiner Text stehen Hier kann ein kleiner Text stehen Hier kann ein kleiner Text stehen Hier kann ein kleiner Text

Plus en détail

REGLEMENT SUR LE SERVICE D AUDIT INTERNE DE LA SOCIETE ANONYME «COMPAGNIE NATIONALE «ASTAN EXPO-2017»

REGLEMENT SUR LE SERVICE D AUDIT INTERNE DE LA SOCIETE ANONYME «COMPAGNIE NATIONALE «ASTAN EXPO-2017» «Approuvé» Par la décision du Conseil des Directeurs de la SA «CN «Astana EXPO-2017» du 29 août 2013 Protocole N 6 avec des amendements introduits par la décision du Conseil des Directeurs de la SA «CN

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Ref : ASTRIUM.F.0061 Issue : 1 Rev. : 0 Date : 19/01/2011 Page : 1 / 9

Ref : ASTRIUM.F.0061 Issue : 1 Rev. : 0 Date : 19/01/2011 Page : 1 / 9 Page : 1 / 9 Exigences applicables aux Fournisseurs d Astrium résultant des Législations relatives à la Protection de l Environnement et à la Santé des Travailleurs La version actuelle applicable de ce

Plus en détail

Banque européenne d investissement. Charte de l Audit interne

Banque européenne d investissement. Charte de l Audit interne Charte de l Audit interne Juin 2013 Juin 2013 page 1 / 6 Juin 2013 page 2 / 6 1. Politique L Audit interne est une fonction essentielle dans la gestion de la Banque. Il aide la Banque en produisant des

Plus en détail

CHARTE DE L AUDIT INTERNE DU CMF

CHARTE DE L AUDIT INTERNE DU CMF CHARTE DE L AUDIT INTERNE DU CMF Approuvée par le Collège du CMF en date du 3 juillet 2013 1 La présente charte définit officiellement les missions, les pouvoirs et les responsabilités de la structure

Plus en détail

Par nature, Nous vous rendons. Plus performant. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse.

Par nature, Nous vous rendons. Plus performant. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse Par nature, Nous vous rendons Plus performant. 11 décembre 2007 Group Présentation et comparaison de la norme ISO 14001

Plus en détail

COMITÉ D AUDIT. minimum de cinq administrateurs nommés par le Conseil, dont obligatoirement le président du Comité des RH et de la rémunération;

COMITÉ D AUDIT. minimum de cinq administrateurs nommés par le Conseil, dont obligatoirement le président du Comité des RH et de la rémunération; COMITÉ D AUDIT 1. Composition et quorum minimum de cinq administrateurs nommés par le Conseil, dont obligatoirement le président du Comité des RH et de la rémunération; seuls des administrateurs indépendants,

Plus en détail

efficacité énergétique des grandes entreprises : audit et certification

efficacité énergétique des grandes entreprises : audit et certification efficacité énergétique des grandes entreprises : audit et certification ISO 50001 Le cadre réglementaire évolue incitant aujourd hui les Grandes Entreprises à s engager vers une meilleure efficience énergétique.

Plus en détail

Points forts : Amélioration de la génération et de la qualification des listes de clients potentiels

Points forts : Amélioration de la génération et de la qualification des listes de clients potentiels TÉLÉMARKETING Le module de télémarketing de Microsoft Business Solutions Axapta vous permet d'exécuter et de gérer les ventes assistées par téléphone, ainsi que les activités de marketing à partir d une

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

En quoi consiste la gestion des dossiers et de l information (GDI)?

En quoi consiste la gestion des dossiers et de l information (GDI)? OBJET Les dossiers et l information sont d importants biens stratégiques pour une organisation et, comme c est le cas d autres éléments organisationnels (ressources humaines, capital et technologie), ils

Plus en détail

Norme CIP-003-1 Cybersécurité Mécanismes de gestion de la sécurité

Norme CIP-003-1 Cybersécurité Mécanismes de gestion de la sécurité A. Introduction 1. Titre : Cybersécurité Mécanismes de gestion de la sécurité 2. Numéro : CIP-003-1 3. Objet : La norme CIP-003 exige des entités responsables qu elles aient en place des mécanismes minimaux

Plus en détail

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security

Plus en détail

INSTITUT INTERNATIONAL DE GESTION DU CYANURE

INSTITUT INTERNATIONAL DE GESTION DU CYANURE INSTITUT INTERNATIONAL DE GESTION DU CYANURE Rapport sommaire de l audit pour les sociétés de transport de cyanure Pour le Code international de gestion du cyanure www.cyanidecode.org Juin 2012 Le Code

Plus en détail

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI)

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) Date : 15.06.2011 Version : 1.0 Auteur : DSI Statut : Approuvé Classification : Publique Destinataires : ACV TABLE DES MATIÈRES 1 RESUME

Plus en détail

Description de l offre de services

Description de l offre de services Description de l offre de services Prestations en Webconférence... 2 Les prestations :... 3 Etude d éligibilité Microsoft Office 365... 3 Forfait de Mise en service... 4 Migration 5 utilisateurs... 5 Formation

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

Les clauses «sécurité» d'un contrat SaaS

Les clauses «sécurité» d'un contrat SaaS HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric

Plus en détail

Grand-Duché du Luxembourg

Grand-Duché du Luxembourg Version 2.0 16.06.2014 Page 1 de 20 Lignes directrices d audit de la règle technique d exigences et de mesures pour la certification des Prestataires de Services de Dématérialisation ou de Conservation

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

CONDITIONS GENERALES D OUVERTURE ET D UTILISATION DES LISTES CADEAUX CITY CONCORDE.

CONDITIONS GENERALES D OUVERTURE ET D UTILISATION DES LISTES CADEAUX CITY CONCORDE. CONDITIONS GENERALES D OUVERTURE ET D UTILISATION DES LISTES CADEAUX CITY CONCORDE. ARTICLE 1 : DEFINITIONS Liste Cadeaux : Ensemble d au moins un produit identifié par le Bénéficiaire de liste comme cadeau

Plus en détail

LA NORME ISO 14001 A RETENIR

LA NORME ISO 14001 A RETENIR A RETENIR La norme ISO 14001, publiée en 1996, est une norme internationale qui s'applique à tous les types d'organisations (entreprises industrielles, de services, etc.) quelles que soient leurs tailles

Plus en détail

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations.

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations. Chapitre 4 A. Introduction Le contrôle d'accès représente une opération importante au niveau de la gestion de la sécurité sur un serveur de bases de données. La sécurisation des données nécessite une organisation

Plus en détail

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Table des Matières Conditions Spécifiques à l'utilisation des Services d'hébergement Mutualisé...2 1 - Obligations & Responsabilités

Plus en détail

Conditions d'utilisation 1. Applicabilité et informations juridiques

Conditions d'utilisation 1. Applicabilité et informations juridiques Conditions d'utilisation 1. Applicabilité et informations juridiques Votre accès au site web www.drogistenverband.ch et à ses pages signifie que vous avez compris et accepté les conditions d utilisation

Plus en détail

I OBJECTIF PROFESSIONNEL DU CQPM

I OBJECTIF PROFESSIONNEL DU CQPM COMMISSION PARITAIRE NATIONALE DE L'EMPLOI DE LA METALLURGIE Qualification : 2012 07 31 0297 Catégorie : C* Dernière modification : 31/07/2012 REFERENTIEL DU CQPM TITRE DU CQPM : Gestionnaire de configuration

Plus en détail

SYSTEMES DE MANAGEMENT ENVIRONNEMENTAL ISO14001

SYSTEMES DE MANAGEMENT ENVIRONNEMENTAL ISO14001 Quand le dernier arbre aura été abattu, Quand la dernière rivière aura été empoisonnée, Quand le dernier poisson aura été péché, Alors on saura que l argent ne se mange pas. Géronimo, chef apache SYSTEMES

Plus en détail

CHARTE DU COMITÉ D AUDIT

CHARTE DU COMITÉ D AUDIT CHARTE DU COMITÉ D AUDIT I. OBJECTIF GÉNÉRAL ET PRINCIPAL MANDAT Le comité d audit (le «comité») est établi par le conseil d administration (le «conseil») d Ovivo Inc. (la «Société») pour l aider à s acquitter

Plus en détail

Techniques d évaluation des risques norme ISO 31010

Techniques d évaluation des risques norme ISO 31010 Techniques d évaluation des risques norme ISO 31010 www.pr4gm4.com Gestion des risques Présentation Mars 2010 Copyright 2010 - PR4GM4 Actualité du 27 janvier 2010 2 Actualité du 11 février 2010 3 Domaine

Plus en détail

Directive sur l utilisation de l Internet, du réseau et des ordinateurs par les élèves

Directive sur l utilisation de l Internet, du réseau et des ordinateurs par les élèves Directive sur l utilisation de l Internet, Département responsable: Services éducatifs En vigueur le: 1 er janvier 2003 Référence: Approuvée par: Directeur général Amendée le 4 septembre 2007: L un des

Plus en détail

Datagest, une entité de

Datagest, une entité de Datagest, une entité de Datagest en quelques mots Entité informatique de BDO à Luxembourg Gestion de l informatique du groupe Société informatique pour les clients externes Nos activités : Éditeur de logiciel

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel.

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. INTRODUCTION QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. Ce certificat est destiné à toutes les écoles d enseignement

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

CHARTE DU COMITÉ D AUDIT

CHARTE DU COMITÉ D AUDIT CHARTE DU COMITÉ D AUDIT Comité d audit 1.1 Membres et quorom Au moins quatre administrateurs, qui seront tous indépendants. Tous les membres du comité d audit doivent posséder des compétences financières

Plus en détail

8) Certification ISO 14 001 : une démarche utile et efficace

8) Certification ISO 14 001 : une démarche utile et efficace Aller plus loin 8) Certification ISO 14 001 : une démarche utile et efficace 8) Certification ISO 14 001 8 La norme ISO 14001 et la certification Cette norme internationale vise à établir dans l organisme

Plus en détail

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302*

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Transports Canada Transport Canada TP 14693F (05/2007) Aviation civile Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Imprimé au Canada Veuillez acheminer vos commentaires, vos commandes

Plus en détail

DOCUMENT PRÉLIMINAIRE

DOCUMENT PRÉLIMINAIRE DOCUMENT PRÉLIMINAIRE Principes universels de base de bonne gouvernance du Mouvement olympique et sportif 1. Vision, mission et stratégie p. 2 2. Structures, règlementations et processus démocratique p.

Plus en détail

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI)

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI) COMMUNIQUÉ 14-COM-002 14 juillet 2014 Lignes directrices relatives à la gouvernance des technologies de l information (TI) L Association des superviseurs prudentiels des caisses (ASPC) a créé un groupe

Plus en détail

Cisco Unified Business Attendant Console

Cisco Unified Business Attendant Console Cisco Unified Business Attendant Console Cisco Unified Communications est un système étendu de communications IP, d applications et de produits voix, vidéo, données et mobilité. Il rend les communications

Plus en détail

Services Microsoft Online Services de Bell. Trousse de bienvenue

Services Microsoft Online Services de Bell. Trousse de bienvenue Services Microsoft Online Services de Bell Trousse de bienvenue Table des matières Introduction... 3 Installation des services Microsoft Online Services de Bell... 3 1. Réception de la première lettre

Plus en détail

Conditions générales pour Polaris Office version 2015

Conditions générales pour Polaris Office version 2015 Conditions générales pour Polaris Office version 2015 Vous devez lire attentivement les Conditions générales d'utilisation avant d'installer le produit. Polaris Office 2015 (ci-après dénommé «Logiciel»)

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Guide d'installation de Citrix EdgeSight pour test de charge. Citrix EdgeSight pour test de charge 3.8

Guide d'installation de Citrix EdgeSight pour test de charge. Citrix EdgeSight pour test de charge 3.8 Guide d'installation de Citrix EdgeSight pour test de charge Citrix EdgeSight pour test de charge 3.8 Copyright L'utilisation du produit documenté dans ce guide est soumise à l'acceptation préalable du

Plus en détail

Microsoft IT Operation Consulting

Microsoft IT Operation Consulting Microsoft IT Operation Consulting Des offres de services qui vous permettent : D améliorer l agilité et l alignement de votre IT aux besoins métier de votre entreprise. De maîtriser votre informatique

Plus en détail

RÈGLEMENT DE CERTIFICATION

RÈGLEMENT DE CERTIFICATION QSE_DOC_015 V4.0 RÈGLEMENT DE CERTIFICATION Systèmes de management Tél. : 01 41 98 09 49 - Fax : 01 41 98 09 48 certification@socotec.com Sommaire Introduction 1. Déroulé d une prestation de certification

Plus en détail

Etabli le : 19.12.14 Par : Hervé De Nicola Remplace la version du :

Etabli le : 19.12.14 Par : Hervé De Nicola Remplace la version du : CAHIER DES CHARGES 1. Actualisation Etabli le : 19.12.14 Par : Hervé De Nicola Remplace la version du : Motif d actualisation : Internalisation ressources 2. Identification du poste Département : INFRASTRUCTURES

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

Guide sur la politique de la protection des renseignements personnels et des données électroniques de Groupe Cloutier Inc. Annexe 16 Novembre 2013

Guide sur la politique de la protection des renseignements personnels et des données électroniques de Groupe Cloutier Inc. Annexe 16 Novembre 2013 Guide sur la politique de la protection des renseignements personnels et des données électroniques de Groupe Cloutier Inc. Annexe 16 Novembre 2013 Table des matières 1. Protection des renseignements personnels...

Plus en détail

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du

Plus en détail

TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION

TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION 1 TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION I. INTRODUCTION A. Objet et objectifs Le Conseil d administration (le «Conseil») de la société par actions Tembec Inc. (la «Société») est responsable de

Plus en détail

Les raisons du choix d un WMS en mode hébergé!

Les raisons du choix d un WMS en mode hébergé! Les raisons du choix d un WMS en mode hébergé! Tout le monde connait maintenant les avantages d une solution de gestion d entrepôt (WMS) : productivité accrue, accès en temps réel à l'information, précision

Plus en détail

ENREGISTREMENT. Conditions générales d accès et d utilisation de la Plateforme collaborative de veille réglementaire d Esqualearning

ENREGISTREMENT. Conditions générales d accès et d utilisation de la Plateforme collaborative de veille réglementaire d Esqualearning Page : 1 / 1 Objet Les présentes conditions générales d accès et d utilisation constituent les seuls accords passés entre Esqualearning, et un abonné bénéficiant d un accès gratuit à la plateforme collaborative

Plus en détail

Livret de suivi du candidat(outil B)

Livret de suivi du candidat(outil B) A chaque étape du parcours CQP, son outil : Branche de la Miroiterie, Transformation et Négoce du Verre CQP Animateur d équipe de 1 er niveau Livret de suivi du candidat(outil B) Document à remplir par

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 21 Avril 2011 Activation du Service : L activation du Service intervient à compter de la

Plus en détail

Notre offre PCA/PRA systemes@arrabal-is.com

Notre offre PCA/PRA systemes@arrabal-is.com systemes@arrabal-is.com De plus en plus, le rôle que jouent l'accès à Internet, la messagerie et les logiciels métier, rend essentielle la continuité de l'activité des PME, notamment en cas de panne ou

Plus en détail

Offre et Contrat. Type de Contrat: Abonnement annuel ; = = =

Offre et Contrat. Type de Contrat: Abonnement annuel ; = = = Offre et Contrat Type de Contrat: Abonnement annuel ; - COMMANDE à CaravelCut. Les services du site de CaravelCut sont mis à disposition de l'utilisateur pour la période de temps d'une année, à partir

Plus en détail

Fonds des médias du Canada/Canada Media Fund

Fonds des médias du Canada/Canada Media Fund Fonds des médias du Canada/Canada Media Fund Statuts du Comité d audit A. Mandat La fonction principale du Comité d audit (le «Comité») est d aider le Fonds des médias du Canada/Canada Media Fund (la «Société»)

Plus en détail

Guide pour la réalisation de projets de cyberadministration

Guide pour la réalisation de projets de cyberadministration Comment Guide pour la réalisation de projets de cyberadministration dans les communes Six étapes pour réussir les projets de cyberadministration dans des petites et moyennes communes avec la méthode de

Plus en détail

Réforme de la biologie : Impacts sur l informatique des laboratoires de biologie médicale

Réforme de la biologie : Impacts sur l informatique des laboratoires de biologie médicale Réforme de la biologie : Impacts sur l informatique des laboratoires de biologie médicale Alain Coeur, Consultant Alain Cœur Conseil PLAN Evolution de la structure des laboratoires de biologie médicale

Plus en détail

SERVICE SMS : AVERTISSEMENT ET TERMES ET CONDITIONS

SERVICE SMS : AVERTISSEMENT ET TERMES ET CONDITIONS SERVICE SMS : AVERTISSEMENT ET TERMES ET CONDITIONS Le service de messagerie courte «SMS», fourni aux demandeurs est de leur mettre au courant de l'état actuel du processus de leur demande de visa. Les

Plus en détail

Ce que dit la norme 2009

Ce que dit la norme 2009 Mettre en œuvre un système d archivage électronique : les apports de la norme révisée Ce que dit la norme 2009 Formation APROGED 2009 1 Domaine d application de la norme Politique et pratiques d archivage

Plus en détail

Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits combinés

Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits combinés EA-7/05 Guide EA pour l application de la norme ISO/CEI 17021:2006 pour les audits combinés Référence de la publication Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits

Plus en détail

Clauses de Protection de la Vie Privée du Site Internet. Informations fournies volontairement par un utilisateur du site

Clauses de Protection de la Vie Privée du Site Internet. Informations fournies volontairement par un utilisateur du site Politique générale Vippass de Protection de la Vie privée et des données personnelles sur Internet Vippass respecte votre droit à la vie privée. Le présent documentent vise à identifier quels types de

Plus en détail