Avez-vous défini un chef de projet au sein de votre équipe pour la mise en place de la certification ISO 27001 (Chef de projet, RSSI) ?

Avez-vous déjà fait un audit ou un diagnostic ?

Les enjeux internes et externes sont-ils bien définis ?

Le périmètre de certification est-il clair et documenté ?

Avez-vous identifié les éléments à protéger au sein de votre société ?

Y a-t-il une politique de sécurité de l'information approuvée par la direction ?

Les rôles et responsabilités pour la sécurité de l'information sont-ils attribués et communiqués ? 

Des opportunités et des risques sont-ils déterminés, avec des actions qui sont intégrées au plan d'action ? 

L'organisation a-t-elle effectué une analyse de risques complète afin d'identifier les menaces et les vulnérabilités liées à la sécurité de l'information ?

Des objectifs de sécurité sont-ils définis et suivis à l'aide d'indicateurs ?

Disposez-vous des ressources nécessaires pour faire fonctionner le SMSI, tant au niveau humain que technique ?

Existe-t-il des programmes de sensibilisation et de formation à la sécurité de l'information destinés aux employés ?

Disposez-vous d'un plan de communication détaillant les actions de communication réalisées en termes de sécurité, à la fois en interne et en externe ?

Des indicateurs permettant d'évaluer les performances de la sécurité et l'efficacité du SMSI sont-ils définis et suivis ? 

Les actions de sécurité identifiées sont-elles mises en œuvre et suivies ? 

Ai-je identifié les exigences réglementaires applicables à mon entreprise ?

Est-ce que je fais de la veille en cybersécurité (sites/magazines de veille/newsletters) ?

Ma société conserve-t-elle correctement des preuves qu'elle respecte la réglementation ? 

Ma société est-elle conforme au RGPD ou à toute autre réglementation en matière de protection des données/vie privée ?

Quelles sont les mesures de sécurité mises en place sur les postes de travail et les appareils mobiles pour protéger les données de l'entreprise ?

Des mesures de sécurité sont mises en place pour l'utilisation des téléphones mobile professionnels ?

Des mesures de sécurité sont elles mises en place pour l'utilisation des supports amovibles (ex. : clés USB, disques durs externes) ?

Enregistrez-vous et surveillez-vous les activités réseau pour identifier rapidement les comportements suspects et les tentatives d'intrusion ?

Utilisez-vous un gestionnaire de mot de passe centralisé ?

Faites-vous des sauvegardes des données critiques ?

Avez vous la liste des utilisateurs et accès sur l'ensemble de vos systèmes ?

Avez-vous des systèmes pour détecter les vulnérabilités vos serveurs ou postes de travail et les mettre à jour ?

Avez-vous un réseau local segmenté ?

Avez-vous une séparation des environnements de développement, de test et de production ?

Des outils sont ils déployés pour garantir la sécurité ? (firewall, ips/ids)

Le WiFi est-il protégé (WiFi guest, protection de connexion) ?

Faites-vous des audits techniques ?