Ils n'ont pas besoin d'une copie de l'intégralité de votre politique informatique interne, mais je pense qu'ils peuvent vouloir quelque chose de similaire à cela - quelqu'un a certainement besoin de vous obtenir suffisamment d'informations sur le contrat pour déterminer la quantité de détails que vous devez fournir et sur quoi. Je suis d'accord avec Joseph - s'ils ont besoin d'informations pour des raisons juridiques / de conformité, il doit y avoir une contribution juridique.
Informations d'arrière-plan
1) Certains de vos employés sont-ils situés en dehors des États-Unis?
2) Votre entreprise a-t-elle mis en place des politiques de sécurité des informations formalisées et documentées?
3) Le traitement et la classification des informations et des données sont-ils couverts par vos politiques de sécurité des informations?
4) Y a-t-il des problèmes réglementaires en suspens que vous traitez actuellement dans le ou les États dans lesquels vous opérez? Si oui, explique pourquoi.
Sécurité générale
1) Avez-vous un programme de formation de sensibilisation à la sécurité de l'information pour les employés et les sous-traitants?
2) Parmi les méthodes suivantes d'authentification et d'autorisation d'accès à vos systèmes et applications, lesquelles utilisez-vous actuellement:
- Réalisé par le système d'exploitation
- Réalisé par un produit commercial
- Authentification unique
- Certificats numériques côté client
- Autre authentification à deux facteurs
- Maison
- Aucun mécanisme d'authentification en place
3) Qui autorise l'accès pour les employés, les entrepreneurs, les intérimaires, les fournisseurs et les partenaires commerciaux?
4) Autorisez-vous vos employés (y compris les sous-traitants, les intérimaires, les vendeurs, etc.) à accéder à distance à vos réseaux?
5) Avez-vous un plan de réponse aux incidents de sécurité des informations? Si non, comment les incidents de sécurité des informations sont-ils traités?
6) Avez-vous une politique qui traite du traitement des informations internes ou confidentielles dans les messages électroniques à l'extérieur de votre entreprise?
7) Examinez-vous vos politiques et normes de sécurité des informations au moins une fois par an?
8) Quelles méthodes et contrôles physiques sont en place pour empêcher tout accès non autorisé aux zones sécurisées de votre entreprise?
- Serveurs réseau dans des pièces fermées
- Accès physique aux serveurs limité par l'identification de sécurité (cartes d'accès, biométrie, etc.)
- Surveillance vidéo
- Journaux et procédures de connexion
- Badges de sécurité ou cartes d'identité visibles à tout moment dans des zones sécurisées
- Gardes de sécurité
- Aucun
- Autre, veuillez fournir des détails supplémentaires
9) Veuillez décrire votre politique de mot de passe pour tous les environnements? C'est à dire. Longueur, résistance et vieillissement
10) Avez-vous un plan de reprise après sinistre (DR)? Si oui, à quelle fréquence le testez-vous?
11) Avez-vous un plan de continuité des opérations (BC)? Si oui, à quelle fréquence le testez-vous?
12) Pouvez-vous nous fournir une copie des résultats de vos tests (BC et DR) si demandé?
Revue d'architecture et de système
1) Les données et / ou les applications de [la société] seront-elles stockées et / ou traitées sur un serveur dédié ou partagé?
2) Si sur un serveur partagé, comment les données de [La Société] seront-elles segmentées à partir des données d'autres sociétés?
3) Quel (s) type (s) de connectivité d'entreprise à entreprise sera fourni?
- l'Internet
- Ligne privée / louée (par exemple, T1)
- Dial-up
- VPN (réseau privé virtuel)
- Service Terminal
- Aucun
- Autre, veuillez fournir des détails supplémentaires
4) Cette connectivité réseau sera-t-elle cryptée? Si oui, quelle (s) méthode (s) de chiffrement sera utilisée?
5) Existe-t-il un code côté client (y compris ActiveX ou Java) requis pour utiliser la solution? Si oui, veuillez décrire.
6) Avez-vous un ou des pare-feu pour contrôler l'accès réseau externe à vos serveurs Web. Si non, où se trouvent ces serveurs?
7) Votre réseau comprend-il une DMZ pour l'accès Internet aux applications? Si non, où sont situées ces applications?
8) Votre organisation prend-elle des mesures pour se prémunir contre les pannes par refus de service? Veuillez décrire ces étapes
9) Effectuez-vous l'un des examens / tests de sécurité de l'information suivants
- Analyses internes du système / réseau
- Auto-évaluations et / ou revues de due diligence gérées en interne
- Examens du code interne / examens par les pairs
- Tests / études de pénétration externes de tiers
- Autre, veuillez fournir des détails À quelle fréquence ces tests sont-ils effectués?
10) Lesquelles des pratiques de sécurité de l'information suivantes sont activement utilisées dans votre organisation
- Listes de contrôle d'accès
- Certificats numériques - Côté serveur
- Certificats numériques - Côté client
- Signatures numériques
- Détection / prévention d'intrusion basée sur le réseau
- Détection / prévention des intrusions basée sur l'hôte
- Mises à jour planifiées des fichiers de signature de détection / prévention des intrusions
- Surveillance d'intrusion 24x7
- Analyse antivirus continue
- Mises à jour planifiées des fichiers de signatures de virus
- Études et / ou tests de pénétration
- Aucun
11) Avez-vous des normes pour durcir ou sécuriser vos systèmes d'exploitation?
12) Avez-vous un calendrier pour appliquer des mises à jour et des correctifs à vos systèmes d'exploitation? Si non, dites-nous comment vous déterminez quoi et quand appliquer les correctifs et les mises à jour critiques
13) Pour assurer une protection contre une panne de courant ou de réseau, maintenez-vous des systèmes entièrement redondants pour vos principaux systèmes transactionnels?
Serveur Web (le cas échéant)
1) Quelle est l'URL qui sera utilisée pour accéder à l'application / aux données?
2) Quel (s) système (s) d'exploitation sont les serveurs Web? (Veuillez fournir le nom du système d'exploitation, la version et le niveau de service pack ou de correctif.)
3) Qu'est-ce que le logiciel du serveur Web?
Serveur d'applications (le cas échéant)
1) Quel (s) système (s) d'exploitation sont les serveurs d'applications? (Veuillez fournir le nom du système d'exploitation, la version et le niveau de service pack ou de correctif.)
2) Qu'est-ce que le logiciel du serveur d'applications?
3) Utilisez-vous le contrôle d'accès basé sur les rôles? Si oui, comment les niveaux d'accès sont-ils attribués aux rôles?
4) Comment vous assurez-vous que l'autorisation appropriée et la séparation des tâches sont en place?
5) Votre application utilise-t-elle un accès / sécurité utilisateur à plusieurs niveaux? Si oui, fournissez des détails.
6) Les activités de votre application sont-elles surveillées par un système ou service tiers? Si oui, veuillez nous fournir le nom de l'entreprise et du service et les informations surveillées
Serveur de base de données (le cas échéant)
1) Quel (s) système (s) d'exploitation sont les serveurs de base de données? (Veuillez fournir le nom du système d'exploitation, la version et le niveau de service pack ou de correctif.)
2) Quel logiciel de serveur de bases de données est utilisé?
3) La base de données est-elle répliquée?
4) Le serveur DB fait-il partie d'un cluster?
5) Que fait-on (le cas échéant) pour isoler les données de [La Société] des autres sociétés?
6) Les données de [la société], une fois stockées sur disque, seront-elles cryptées? Si oui, veuillez décrire la méthode de cryptage
7) Comment les données sources sont-elles capturées?
8) Comment sont traitées les erreurs d'intégrité des données?
Audit et journalisation
1) Connectez-vous l'accès client sur:
- Le serveur web?
- Le serveur d'applications?
- Le serveur de base de données?
2) Les journaux sont-ils examinés? Si oui, veuillez expliquer le processus et à quelle fréquence sont-ils examinés?
3) Fournissez-vous des systèmes et des ressources pour maintenir et surveiller les journaux d'audit et les journaux de transactions? Si oui, quels journaux conservez-vous et combien de temps les conservez-vous?
4) Autoriserez-vous [la société] à consulter les journaux de votre système en ce qui concerne notre société?
Intimité
1) Quels sont les processus et procédures utilisés pour déclassifier / supprimer / supprimer les données de [la société] lorsqu'elles ne sont plus nécessaires?
2) Avez-vous à tout moment divulgué par erreur ou accidentellement des informations client?
Si oui, quelles mesures correctives avez-vous mises en œuvre depuis?
3) Les entrepreneurs (non-employés) ont-ils accès à des informations sensibles ou confidentielles? Si oui, ont-ils signé un accord de confidentialité?
4) Avez-vous des fournisseurs autorisés à accéder à vos réseaux, systèmes ou applications et à en assurer la maintenance? Si oui, ces fournisseurs sont-ils sous contrat écrit prévoyant la confidentialité, la vérification des antécédents et une assurance / indemnisation contre la perte?
5) Comment vos données sont-elles classées et sécurisées?
Les opérations
1) Quelle est la fréquence et le niveau de vos sauvegardes?
2) Quelle est la période de conservation sur site des sauvegardes?
3) Dans quel format vos sauvegardes sont-elles stockées?
4) Stockez-vous des sauvegardes hors site? Si oui, quelle est la durée de conservation?
5) Chiffrez-vous vos sauvegardes de données?
6) Comment vous assurez-vous que seuls des programmes de production valides sont exécutés?