Questionnaire sur la sécurité de l'information et la protection des données pour le sous-traitant

Nom de l’organisation (tiers)

Byteflies NV
Borsbeeksebrug 22, 6de verdieping, 2600 Antwerpen
Numéro d’entreprise (BCE): BE0628.669.272

Prénom, nom et adresse email du responsable de la sécurité de l’information (CISO) (obligatoire)

Tim Bogaert

tim.bogaert@byteflies.com

Prénom, nom et adresse email du point de contact pour la sécurité de l’information (CISO) (facultatif)

/

Prénom, nom et adresse email du délégué à la protection des données (DPD) (obligatoire)

Niels Van Thienen

Niels Van Thienen@byteflies.com

Prénom, nom et adresse e-mail du point de contact local pour la protection des données (adjoint du DPD ou représentant) (facultatif))

/

Prénom, nom et adresse e-mail de la personne chargée de la gestion journalière (CEO) (obligatoire)

Hans Danneels

hans.danneels@byteflies.com

Question OUI ou NON Développez si la réponse est « non »
1 Disposez-vous d’une politique de sécurité de l’information formelle et actualisée, approuvée par le responsable de la gestion journalière ? OUI
2 Disposez-vous d’un processus d’évaluation des risques pour chaque processus/projet touchant à la sécurité de l’information/protection des données, que vous utilisez pour la fourniture des prestations de services ? OUI
3 Votre organisation a-t-elle, en son sein un service chargé de la sécurité de l’information placé sous l’autorité fonctionnelle directe du responsable de la gestion journalière de l’organisation? OUI
4 Disposez-vous d’un plan de sécurité de l’information approuvé par le responsable de la gestion journalière ? OUI
5 Combien d’heures le CISO et son équipe ont-ils prestées ?
1) CISO
2) Équipe
Combien d’heures de formation relative à la sécurité de l’information le DPD et son équipe ont-ils suivies ?
3)DPD
4)Équipe
1)160h / mois
2) 4h / mois


3)50h / an
4) 4h/ an
6 Disposez-vous de procédures pour le développement de nouveaux systèmes ou d’évolutions majeures dans les systèmes existants, de sorte que le responsable de projet puisse tenir compte des exigences de sécurité décrites dans les normes minimales ? OUI
s.o.
7 Prenez-vous les mesures adéquates afin que les données sensibles, confidentielles et professionnelles enregistrées sur des médias mobiles ne soient accessibles qu’aux seules personnes autorisées ? OUI
8 Prenez-vous les mesures adéquates, en fonction du moyen d’accès, afin de garantir la sécurité de l’information de l’accès réalisé en dehors de votre organisation aux données sensibles, confidentielles et professionnelles de l’organisation ? OUI
9 Avez-vous organisé les dispositifs de télétravail de telle sorte que sur le lieu du télétravail (à domicile, dans un bureau satellite ou à un autre endroit) aucune information ne soit enregistrée sur des appareils externes sans chiffrement et qu’aucune menace potentielle ne puisse atteindre l’infrastructure IT au départ du lieu de télétravail ? OUI
10 Sensibilisez-vous chaque année chacun de vos collaborateurs à la sécurité de l’information et à la protection des données et réalisez-vous chaque année une évaluation du respect de cette politique dans la pratique ? OUI
11 Avez-vous sécurisé l’accès par une procédure d’accès précise et avez-vous mis en œuvre un système d’accès (physique ou logique) afin d’éviter tout accès non autorisé ? OUI
12 Disposez-vous d’un schéma de classification des données à caractère personnel pour lesquelles vous fournissez des services et appliquez-vous ce schéma de classification ? NON Les types de données traitées par les systèmes Byteflies ont été répertoriés, mais aucune classification spécifique n’a été attribuée.
Au lieu de cela, le niveau d’accès et de sécurité a été ajusté en fonction de l’application et du rôle de l’utilisateur.
13 Avez-vous intégré dans une politique relative à la sécurité de l’information les règles qui sont spécifiées dans une directive « E-mail, communication en ligne et utilisation d’internet » ? OUI
14 Avez-vous désigné au moins un gestionnaire des accès lorsque vous utilisez un accès à distance à l’établissement de soins ? OUI
15 Avez-vous stimulé vos collaborateurs à lire et à appliquer les mesures de sécurité supplémentaires imposées (le cas échéant) par la structure de soins ? OUI
16 Lorsque vous souhaitez appliquer la cryptographie:
- disposez-vous d’une politique formelle pour l’utilisation de contrôles cryptographiques?
- disposez-vous d’une politique formelle pour l’utilisation, la protection et la durée de vie des clés cryptographiques pour le cycle de vie complet?
OUI

OUI
17 Prenez-vous les mesures nécessaires pour limiter l’accès aux bâtiments et locaux aux personnes autorisées et effectuez-vous un contrôle à ce sujet, tant pendant qu’en dehors des heures de travail ? OUI
18 Prenez-vous les mesures de prévention nécessaires contre la perte, l’endommagement, le vol ou la compromission des actifs et contre l’interruption des activités ? OUI
19 En cas de réutilisation du support d’information, réutilisez-vous celui-ci dans un niveau de classification des données au moins comparable ? OUI
20 Déterminez-vous contractuellement avec le donneur d’ordre les mesures appropriées pour la suppression de données ? OUI
21 Appliquez-vous les règles relatives à la journalisation des accès telles que fixées par le donneur d’ordre ? OUI
22 Des règles ont-elles été fixées pour l’acquisition, le développement et la maintenance de systèmes entre les différentes parties concernées ? OUI
23 Tous les collaborateurs travaillent-ils, dans le cadre de leur mission, avec des moyens TIC sur la base d’une autorisation minimale pour l’exécution de leurs tâches ? OUI
24 Les conditions de protection des accès (identification, authentification, autorisation) sont-elles définies, documentées, validées et communiquées ?
Ces accès sont-ils journalisés ?
OUI
25 Les risques liés à la sécurité et à la protection des données sont-ils définis dans un contrat entre vous et vos sous-traitants éventuels ? OUI
26 Utilisez-vous une liste de contrôle permettant au chef de projet de s’assurer que l’ensemble des directives relatives à la sécurité de l’information et à la protection des données sont correctement évaluées et sont, si nécessaire, mises en œuvre durant la phase de développement du projet ? OUI
27 Vous assurez-vous, à chaque mise en production d’un projet, que les exigences relatives à la sécurité et à la protection des données qui ont été fixées au début du projet ont effectivement été mises en œuvre ? OUI
28 Les dispositifs de développement, de test et/ou d’acceptation et de production sont-ils scindés sous la supervision du chef de projet – y compris le partage des responsabilités qui en découle dans le cadre du projet ? OUI
29 Tout accès à des données personnelles et confidentielles est-il journalisé conformément à une politique de « journalisation », à la législation et à la réglementation applicables ? OUI
30 Est-il précisé, dans les spécifications d’un projet, comment l’accès et l’utilisation des systèmes et des applications seront journalisés afin de contribuer à la détection d’anomalies en matière de sécurité de l’information et de protection des données ? OUI
31 La journalisation satisfait-elle au moins aux objectifs suivants ?

Les informations permettant de déterminer qui a obtenu un accès à quelles informations, à quel moment et de quelle manière
L’identification de la nature des informations consultées
OUI
32 Les outils nécessaires sont-ils disponibles pour permettre l’exploitation des données de journalisation par les personnes autorisées ? OUI
33 Les données de journalisation transactionnelles/fonctionnelles sont-elles conservées en fonction des données mêmes (p. ex. 30 ans pour des données médicales) ? OUI
34 Les produits livrables (les données traitées, la documentation (code source, programmes, documents techniques, etc.)) du projet sont-ils intégrés dans le système de gestion des sauvegardes ? OUI
35 Au cours du développement du projet, les besoins relatifs à la continuité de la prestation de services sont-ils formalisés conformément à vos attentes ? OUI
36 Votre plan de continuité et les procédures y afférentes, y compris les tests de continuité, sont-ils actualisés en fonction de l’évolution du projet ? OUI
37 Votre plan de continuité et les procédures y afférentes, y compris les tests de continuité, sont-ils actualisés en fonction de l’évolution du projet ? OUI
38 Les procédures relatives à la gestion des incidents sont-elles formalisées et validées au cours du développement du projet ? OUI
39 Le CISO est-il informé des incidents relatifs à la sécurité de l’information et le DPD est-il informé des incidents relatifs à la protection des données ? OUI
40 La documentation (technique, procédures, manuels, etc.) est-elle actualisée au cours de la durée de vie du projet ? OUI
41 Tous les actifs, y compris les systèmes acquis ou développés, sont-ils ajoutés à l’inventaire des moyens opérationnels ? OUI
42 La collaboration appropriée est-elle apportée aux audits effectués sous la forme de la mise à disposition du personnel, de la documentation, de la journalisation et des autres informations raisonnablement disponibles ? OUI
43 Les conditions relatives à la sécurité de l’information et à la protection des données sont-elles documentées afin de réduire les risques relatifs à l’accès aux moyens d’information ? OUI
44 Toutes les conditions pertinentes relatives à la sécurité de l’information et à la vie privée sont-elles définies et font-elles l’objet d’un accord entre votre organisation et les tiers/fournisseurs (qui lisent, traitent, enregistrent, communiquent des informations de l’organisation ou qui fournissent des éléments d’infrastructure TIC et des services TIC) ? OUI
45 Effectuez-vous régulièrement un monitoring, une évaluation et un audit de la prestation de services de tiers/fournisseurs ? OUI
46 Les modifications dans la prestation de services à votre organisation par le tiers/fournisseur sont-elles gérées, notamment par l’actualisation des politiques, procédures et mesures existantes en matière de sécurité de l’information et de protection des données ? OUI
47 Disposez-vous d’une politique « Cloud computing » pour l’utilisation de services infonuagiques ? OUI
48 Lorsque vous souhaitez traiter des données sensibles, confidentielles ou professionnelles dans un cloud, veillez-vous à respecter les garanties contractuelles minimales ? OUI
49 Disposez-vous de procédures d’enregistrement et de gestion des incidents relatifs à la sécurité de l’information ou à la protection des données et des responsabilités y afférentes, et avez-vous communiqué ces procédures à vos collaborateurs internes ? OUI
50 Avez-vous signé un contrat avec tous les collaborateurs dans lequel il est stipulé que chaque collaborateur (fixe ou temporaire, interne ou externe) est obligé de signaler toute utilisation, modification, publication, perte ou destruction non autorisée d’informations et de systèmes d’information ainsi que tout accès non autorisé à ces informations et systèmes ? OUI
51 Les failles et les événements relatifs à la sécurité de l’information ou à la protection des données en rapport avec les informations et les systèmes d’information sont-ils communiqués au donneur d’ordre de sorte que le donneur d’ordre et vous-même puissiez prendre, en temps utile, des mesures correctives adéquates ? OUI
52 BYTEFLIES dispose-t-elle d’une procédure pour communiquer/signaler le plus rapidement possible en interne les incidents relatifs à la sécurité de l’information/protection des données ? OUI
53 En cas d’incidents relatifs à la sécurité de l’information ou à la protection des données, les preuves sont-elles correctement collectées conformément aux prescriptions réglementaires et légales ? OUI
54 Tout incident relatif à la sécurité de l’information ou à la protection des données est-il évalué de manière formelle de façon à ce que les procédures et mesures de contrôle puissent être améliorées, et les leçons tirées d’un incident sont-elles communiquées à votre direction en vue de la validation et de l’approbation d’actions futures ? OUI
55 Avez-vous un plan de continuité pour tous les processus critiques et systèmes d’information essentiels ? OUI
56 La sécurité de l’information et la protection des données font-elles partie intégrante de votre gestion de la continuité ? OUI
57 Avez-vous votre propre plan de continuité ?
Ce plan est-il régulièrement testé et adapté et fait-il l’objet de la communication nécessaire à votre direction en vue de sa validation et de son approbation ?
OUI
58 Réalisez-vous périodiquement un audit de conformité de la situation relative à la sécurité de l’information et à la protection des données ? OUI
59 Disposez-vous d’une procédure disciplinaire formelle pour les travailleurs ayant commis une infraction à la sécurité de l’information ou à la protection des données ? OUI
60 Rassemblez-vous régulièrement toutes les données pour dresser la carte des risques relatifs à la conformité au RGPD et exécutez-vous les actions devenues nécessaires à cause d’un risque « résiduel » majeur de non-conformité ? OUI
61 Disposez-vous d’un registre central mis à jour du responsable du traitement ou du sous-traitant et possédez-vous une justification formelle de la non-réalisation des mesures de contrôle axées sur le respect du Règlement européen pour le traitement spécifique ? OUI