Questionnaire sur la sécurité de l'information et la protection des données pour le sous-traitant
|
Nom de l’organisation (tiers) |
Byteflies NV |
|
Prénom, nom et adresse email du responsable de la sécurité de l’information (CISO) (obligatoire) |
Tim Bogaert |
|
Prénom, nom et adresse email du point de contact pour la sécurité de l’information (CISO) (facultatif) |
/ |
|
Prénom, nom et adresse email du délégué à la protection des données (DPD) (obligatoire) |
Niels Van Thienen |
|
Prénom, nom et adresse e-mail du point de contact local pour la protection des données (adjoint du DPD ou représentant) (facultatif)) |
/ |
|
Prénom, nom et adresse e-mail de la personne chargée de la gestion journalière (CEO) (obligatoire) |
Hans Danneels |
| Question | OUI ou NON | Développez si la réponse est « non » | |
| 1 | Disposez-vous d’une politique de sécurité de l’information formelle et actualisée, approuvée par le responsable de la gestion journalière ? | OUI | |
| 2 | Disposez-vous d’un processus d’évaluation des risques pour chaque processus/projet touchant à la sécurité de l’information/protection des données, que vous utilisez pour la fourniture des prestations de services ? | OUI | |
| 3 | Votre organisation a-t-elle, en son sein un service chargé de la sécurité de l’information placé sous l’autorité fonctionnelle directe du responsable de la gestion journalière de l’organisation? | OUI | |
| 4 | Disposez-vous d’un plan de sécurité de l’information approuvé par le responsable de la gestion journalière ? | OUI | |
| 5 | Combien d’heures le CISO et son équipe ont-ils prestées ? 1) CISO 2) Équipe Combien d’heures de formation relative à la sécurité de l’information le DPD et son équipe ont-ils suivies ? 3)DPD 4)Équipe |
1)160h / mois 2) 4h / mois 3)50h / an 4) 4h/ an |
|
| 6 | Disposez-vous de procédures pour le développement de nouveaux systèmes ou d’évolutions majeures dans les systèmes existants, de sorte que le responsable de projet puisse tenir compte des exigences de sécurité décrites dans les normes minimales ? | OUI s.o. |
|
| 7 | Prenez-vous les mesures adéquates afin que les données sensibles, confidentielles et professionnelles enregistrées sur des médias mobiles ne soient accessibles qu’aux seules personnes autorisées ? | OUI | |
| 8 | Prenez-vous les mesures adéquates, en fonction du moyen d’accès, afin de garantir la sécurité de l’information de l’accès réalisé en dehors de votre organisation aux données sensibles, confidentielles et professionnelles de l’organisation ? | OUI | |
| 9 | Avez-vous organisé les dispositifs de télétravail de telle sorte que sur le lieu du télétravail (à domicile, dans un bureau satellite ou à un autre endroit) aucune information ne soit enregistrée sur des appareils externes sans chiffrement et qu’aucune menace potentielle ne puisse atteindre l’infrastructure IT au départ du lieu de télétravail ? | OUI | |
| 10 | Sensibilisez-vous chaque année chacun de vos collaborateurs à la sécurité de l’information et à la protection des données et réalisez-vous chaque année une évaluation du respect de cette politique dans la pratique ? | OUI | |
| 11 | Avez-vous sécurisé l’accès par une procédure d’accès précise et avez-vous mis en œuvre un système d’accès (physique ou logique) afin d’éviter tout accès non autorisé ? | OUI | |
| 12 | Disposez-vous d’un schéma de classification des données à caractère personnel pour lesquelles vous fournissez des services et appliquez-vous ce schéma de classification ? | NON | Les types de données traitées par les systèmes Byteflies ont été répertoriés, mais aucune classification spécifique n’a été attribuée. Au lieu de cela, le niveau d’accès et de sécurité a été ajusté en fonction de l’application et du rôle de l’utilisateur. |
| 13 | Avez-vous intégré dans une politique relative à la sécurité de l’information les règles qui sont spécifiées dans une directive « E-mail, communication en ligne et utilisation d’internet » ? | OUI | |
| 14 | Avez-vous désigné au moins un gestionnaire des accès lorsque vous utilisez un accès à distance à l’établissement de soins ? | OUI | |
| 15 | Avez-vous stimulé vos collaborateurs à lire et à appliquer les mesures de sécurité supplémentaires imposées (le cas échéant) par la structure de soins ? | OUI | |
| 16 | Lorsque vous souhaitez appliquer la cryptographie: - disposez-vous d’une politique formelle pour l’utilisation de contrôles cryptographiques? - disposez-vous d’une politique formelle pour l’utilisation, la protection et la durée de vie des clés cryptographiques pour le cycle de vie complet? |
OUI OUI |
|
| 17 | Prenez-vous les mesures nécessaires pour limiter l’accès aux bâtiments et locaux aux personnes autorisées et effectuez-vous un contrôle à ce sujet, tant pendant qu’en dehors des heures de travail ? | OUI | |
| 18 | Prenez-vous les mesures de prévention nécessaires contre la perte, l’endommagement, le vol ou la compromission des actifs et contre l’interruption des activités ? | OUI | |
| 19 | En cas de réutilisation du support d’information, réutilisez-vous celui-ci dans un niveau de classification des données au moins comparable ? | OUI | |
| 20 | Déterminez-vous contractuellement avec le donneur d’ordre les mesures appropriées pour la suppression de données ? | OUI | |
| 21 | Appliquez-vous les règles relatives à la journalisation des accès telles que fixées par le donneur d’ordre ? | OUI | |
| 22 | Des règles ont-elles été fixées pour l’acquisition, le développement et la maintenance de systèmes entre les différentes parties concernées ? | OUI | |
| 23 | Tous les collaborateurs travaillent-ils, dans le cadre de leur mission, avec des moyens TIC sur la base d’une autorisation minimale pour l’exécution de leurs tâches ? | OUI | |
| 24 | Les conditions de protection des accès (identification, authentification, autorisation) sont-elles définies, documentées, validées et communiquées ? Ces accès sont-ils journalisés ? |
OUI | |
| 25 | Les risques liés à la sécurité et à la protection des données sont-ils définis dans un contrat entre vous et vos sous-traitants éventuels ? | OUI | |
| 26 | Utilisez-vous une liste de contrôle permettant au chef de projet de s’assurer que l’ensemble des directives relatives à la sécurité de l’information et à la protection des données sont correctement évaluées et sont, si nécessaire, mises en œuvre durant la phase de développement du projet ? | OUI | |
| 27 | Vous assurez-vous, à chaque mise en production d’un projet, que les exigences relatives à la sécurité et à la protection des données qui ont été fixées au début du projet ont effectivement été mises en œuvre ? | OUI | |
| 28 | Les dispositifs de développement, de test et/ou d’acceptation et de production sont-ils scindés sous la supervision du chef de projet – y compris le partage des responsabilités qui en découle dans le cadre du projet ? | OUI | |
| 29 | Tout accès à des données personnelles et confidentielles est-il journalisé conformément à une politique de « journalisation », à la législation et à la réglementation applicables ? | OUI | |
| 30 | Est-il précisé, dans les spécifications d’un projet, comment l’accès et l’utilisation des systèmes et des applications seront journalisés afin de contribuer à la détection d’anomalies en matière de sécurité de l’information et de protection des données ? | OUI | |
| 31 | La journalisation satisfait-elle au moins aux objectifs suivants ? Les informations permettant de déterminer qui a obtenu un accès à quelles informations, à quel moment et de quelle manière L’identification de la nature des informations consultées |
OUI | |
| 32 | Les outils nécessaires sont-ils disponibles pour permettre l’exploitation des données de journalisation par les personnes autorisées ? | OUI | |
| 33 | Les données de journalisation transactionnelles/fonctionnelles sont-elles conservées en fonction des données mêmes (p. ex. 30 ans pour des données médicales) ? | OUI | |
| 34 | Les produits livrables (les données traitées, la documentation (code source, programmes, documents techniques, etc.)) du projet sont-ils intégrés dans le système de gestion des sauvegardes ? | OUI | |
| 35 | Au cours du développement du projet, les besoins relatifs à la continuité de la prestation de services sont-ils formalisés conformément à vos attentes ? | OUI | |
| 36 | Votre plan de continuité et les procédures y afférentes, y compris les tests de continuité, sont-ils actualisés en fonction de l’évolution du projet ? | OUI | |
| 37 | Votre plan de continuité et les procédures y afférentes, y compris les tests de continuité, sont-ils actualisés en fonction de l’évolution du projet ? | OUI | |
| 38 | Les procédures relatives à la gestion des incidents sont-elles formalisées et validées au cours du développement du projet ? | OUI | |
| 39 | Le CISO est-il informé des incidents relatifs à la sécurité de l’information et le DPD est-il informé des incidents relatifs à la protection des données ? | OUI | |
| 40 | La documentation (technique, procédures, manuels, etc.) est-elle actualisée au cours de la durée de vie du projet ? | OUI | |
| 41 | Tous les actifs, y compris les systèmes acquis ou développés, sont-ils ajoutés à l’inventaire des moyens opérationnels ? | OUI | |
| 42 | La collaboration appropriée est-elle apportée aux audits effectués sous la forme de la mise à disposition du personnel, de la documentation, de la journalisation et des autres informations raisonnablement disponibles ? | OUI | |
| 43 | Les conditions relatives à la sécurité de l’information et à la protection des données sont-elles documentées afin de réduire les risques relatifs à l’accès aux moyens d’information ? | OUI | |
| 44 | Toutes les conditions pertinentes relatives à la sécurité de l’information et à la vie privée sont-elles définies et font-elles l’objet d’un accord entre votre organisation et les tiers/fournisseurs (qui lisent, traitent, enregistrent, communiquent des informations de l’organisation ou qui fournissent des éléments d’infrastructure TIC et des services TIC) ? | OUI | |
| 45 | Effectuez-vous régulièrement un monitoring, une évaluation et un audit de la prestation de services de tiers/fournisseurs ? | OUI | |
| 46 | Les modifications dans la prestation de services à votre organisation par le tiers/fournisseur sont-elles gérées, notamment par l’actualisation des politiques, procédures et mesures existantes en matière de sécurité de l’information et de protection des données ? | OUI | |
| 47 | Disposez-vous d’une politique « Cloud computing » pour l’utilisation de services infonuagiques ? | OUI | |
| 48 | Lorsque vous souhaitez traiter des données sensibles, confidentielles ou professionnelles dans un cloud, veillez-vous à respecter les garanties contractuelles minimales ? | OUI | |
| 49 | Disposez-vous de procédures d’enregistrement et de gestion des incidents relatifs à la sécurité de l’information ou à la protection des données et des responsabilités y afférentes, et avez-vous communiqué ces procédures à vos collaborateurs internes ? | OUI | |
| 50 | Avez-vous signé un contrat avec tous les collaborateurs dans lequel il est stipulé que chaque collaborateur (fixe ou temporaire, interne ou externe) est obligé de signaler toute utilisation, modification, publication, perte ou destruction non autorisée d’informations et de systèmes d’information ainsi que tout accès non autorisé à ces informations et systèmes ? | OUI | |
| 51 | Les failles et les événements relatifs à la sécurité de l’information ou à la protection des données en rapport avec les informations et les systèmes d’information sont-ils communiqués au donneur d’ordre de sorte que le donneur d’ordre et vous-même puissiez prendre, en temps utile, des mesures correctives adéquates ? | OUI | |
| 52 | BYTEFLIES dispose-t-elle d’une procédure pour communiquer/signaler le plus rapidement possible en interne les incidents relatifs à la sécurité de l’information/protection des données ? | OUI | |
| 53 | En cas d’incidents relatifs à la sécurité de l’information ou à la protection des données, les preuves sont-elles correctement collectées conformément aux prescriptions réglementaires et légales ? | OUI | |
| 54 | Tout incident relatif à la sécurité de l’information ou à la protection des données est-il évalué de manière formelle de façon à ce que les procédures et mesures de contrôle puissent être améliorées, et les leçons tirées d’un incident sont-elles communiquées à votre direction en vue de la validation et de l’approbation d’actions futures ? | OUI | |
| 55 | Avez-vous un plan de continuité pour tous les processus critiques et systèmes d’information essentiels ? | OUI | |
| 56 | La sécurité de l’information et la protection des données font-elles partie intégrante de votre gestion de la continuité ? | OUI | |
| 57 | Avez-vous votre propre plan de continuité ? Ce plan est-il régulièrement testé et adapté et fait-il l’objet de la communication nécessaire à votre direction en vue de sa validation et de son approbation ? |
OUI | |
| 58 | Réalisez-vous périodiquement un audit de conformité de la situation relative à la sécurité de l’information et à la protection des données ? | OUI | |
| 59 | Disposez-vous d’une procédure disciplinaire formelle pour les travailleurs ayant commis une infraction à la sécurité de l’information ou à la protection des données ? | OUI | |
| 60 | Rassemblez-vous régulièrement toutes les données pour dresser la carte des risques relatifs à la conformité au RGPD et exécutez-vous les actions devenues nécessaires à cause d’un risque « résiduel » majeur de non-conformité ? | OUI | |
| 61 | Disposez-vous d’un registre central mis à jour du responsable du traitement ou du sous-traitant et possédez-vous une justification formelle de la non-réalisation des mesures de contrôle axées sur le respect du Règlement européen pour le traitement spécifique ? | OUI |