ISO/IEC 27011:2016
(Main)Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
The scope of this Recommendation | ISO/IEC 27011:2016 is to define guidelines supporting the implementation of information security controls in telecommunications organizations. The adoption of this Recommendation | ISO/IEC 27011:2016 will allow telecommunications organizations to meet baseline information security management requirements of confidentiality, integrity, availability and any other relevant security property.
Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour les contrôles de la sécurité de l'information fondés sur l'ISO/IEC 27002 pour les organismes de télécommunications
Le domaine d'application de la présente Recommandation | Norme internationale est de fournir des lignes directrices qui étayent la mise en œuvre de contrôles de la sécurité de l'information dans les organismes de télécommunications. L'adoption de la présente Recommandation | Norme internationale permettra aux organismes de télécommunications de satisfaire aux exigences de référence en matière de gestion de la sécurité de l'information concernant la confidentialité, l'intégrité, la disponibilité et toute autre propriété de sécurité pertinente.
General Information
Relations
Frequently Asked Questions
ISO/IEC 27011:2016 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations". This standard covers: The scope of this Recommendation | ISO/IEC 27011:2016 is to define guidelines supporting the implementation of information security controls in telecommunications organizations. The adoption of this Recommendation | ISO/IEC 27011:2016 will allow telecommunications organizations to meet baseline information security management requirements of confidentiality, integrity, availability and any other relevant security property.
The scope of this Recommendation | ISO/IEC 27011:2016 is to define guidelines supporting the implementation of information security controls in telecommunications organizations. The adoption of this Recommendation | ISO/IEC 27011:2016 will allow telecommunications organizations to meet baseline information security management requirements of confidentiality, integrity, availability and any other relevant security property.
ISO/IEC 27011:2016 is classified under the following ICS (International Classification for Standards) categories: 03.100.70 - Management systems; 35.030 - IT Security; 35.040 - Information coding. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 27011:2016 has the following relationships with other standards: It is inter standard links to ISO/IEC 27011:2016/Cor 1:2018, ISO/IEC 27011:2024, ISO/IEC 27011:2008. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 27011:2016 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27011
Second edition
2016-12-01
Information technology — Security
techniques — Code of practice for
Information security controls based on
ISO/IEC 27002 for telecommunications
organizations
Technologies de l'information — Techniques de sécurité — Code de
bonne pratique pour les contrôles de la sécurité de l'information fondés
sur l'ISO/IEC 27002 pour les organismes de télécommunications
Reference number
©
ISO/IEC 2016
© ISO/IEC 2016
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Ch. de Blandonnet 8 CP 401
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2016 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
This second edition cancels and replaces firs edition of ISO/IEC 27011:2008 which has been technically
revised.
ISO/IEC 27011 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques, in collaboration with ITU-T. The identical text is published as
Rec. ITU-T X.1051.
© ISO/IEC 2016 – All rights reserved ii-1
CONTENTS
Page
1 Scope . 1
2 Normative references. 1
3 Definitions and abbreviations . 1
3.1 Definitions . 1
3.2 Abbreviations . 2
4 Overview . 2
4.1 Structure of this Recommendation | International Standard . 2
4.2 Information security management systems in telecommunications organizations . 3
5 Information security policies . 5
6 Organization of information security. 5
6.1 Internal organization . 5
6.2 Mobile devices and teleworking . 6
7 Human resource security . 6
7.1 Prior to employment . 6
7.2 During employment . 7
7.3 Termination or change of employment . 7
8 Asset management . 7
8.1 Responsibility for assets . 7
8.2 Information classification . 8
8.3 Media handling . 8
9 Access control . 8
9.1 Business requirement for access control . 8
9.2 User access management . 9
9.3 User responsibilities . 9
9.4 System and application access control . 9
10 Cryptography . 9
11 Physical and environmental security . 9
11.1 Secure areas . 9
11.2 Equipment . 10
12 Operations security . 12
12.1 Operational procedures and responsibilities . 12
12.2 Protection from malware . 13
12.3 Backup . 13
12.4 Logging and monitoring . 13
12.5 Control of operational software . 13
12.6 Technical vulnerability management . 14
12.7 Information systems audit considerations . 14
13 Communications security . 14
13.1 Network security management . 14
13.2 Information transfer. 15
14 System acquisition, development and maintenance . 16
14.1 Security requirements of information systems . 16
14.2 Security in development and support processes . 16
14.3 Test data . 16
15 Supplier relationships . 16
15.1 Information security in supplier relationships . 16
15.2 Supplier service delivery management . 17
16 Information security incident management . 17
16.1 Management of information security incidents and improvements. 17
17 Information security aspects of business continuity management . 19
ITU-T Rec. X.1051 (04/2016) iii
Page
17.1 Information security continuity . 19
17.2 Redundancies . 20
18 Compliance . 20
Annex A – Telecommunications extended control set . 21
Annex B – Additional guidance for network security . 29
B.1 Security measures against network attacks . 29
B.2 Network security measures for network congestion . 30
Bibliography . 31
iv ITU-T Rec. X.1051 (04/2016)
Introduction
This Recommendation | International Standard provides interpretation guidelines for the implementation and management
of information security controls in telecommunications organizations based on ISO/IEC 27002.
Telecommunications organizations provide telecommunications services by facilitating the communications of customers
through their infrastructure. In order to provide telecommunications services, telecommunications organizations need to
interconnect and/or share their services and facilities and/or use the services and facilities of other telecommunications
organizations. Furthermore, the site location, such as radio sites, antenna locations, ground cables and utility provision
(power, water), may be accessed not only by the organization's staff, but also by contractors and providers external to the
organization.
Therefore, the management of information security in telecommunications organizations is complex, potentially:
– depending on external parties;
– having to cover all areas of network infrastructure, services applications and other facilities;
– including a range of telecommunications technologies (e.g., wired, wireless or broadband);
– supporting a wide range of operational scales, service areas and service types.
In addition to the application of security objectives and controls described in ISO/IEC 27002, telecommunications
organizations may need to implement extra controls to ensure confidentiality, integrity, availability and any other security
property of telecommunications in order to manage security risk in an adequate fashion.
1) Confidentiality
Protecting confidentiality of information related to telecommunications from unauthorized disclosure. This
implies non-disclosure of communications in terms of the existence, the content, the source, the destination
and the date and time of communicated information.
It is critical that telecommunications organizations ensure that the non-disclosure of communications being
handled by them is not breached. This includes ensuring that persons engaged by the telecommunications
organization maintain the confidentiality of any information regarding others that may have come to be
known during their work duties.
NOTE – The term "secrecy of communications" is used in some countries in the context of "non-disclosure of
communications".
2) Integrity
Protecting the integrity of telecommunications information includes controlling the installation and use of
telecommunications facilities to ensure the authenticity, accuracy and completeness of information
transmitted, relayed or received by wire, radio or any other method.
3) Availability
Availability of telecommunications information includes ensuring that access to facilities and the medium
used for the provision of communication services is authorized, regardless of whether communications is
provided by wire, radio or any other method. Typically, telecommunications organizations give priority to
essential communications in case of emergencies, managing unavailability of less important
communications in compliance with regulatory requirements.
Audience
The audience of this Recommendation | International Standard consists of telecommunications organizations and those
responsible for information security; together with security vendors, auditors, telecommunications terminal vendors and
application content providers. This Recommendation | International Standard provides a common set of general security
control objectives based on ISO/IEC 27002, telecommunications sector-specific controls and information security
management guidelines allowing for the selection and implementation of such controls.
ITU-T Rec. X.1051 (04/2016) v
INTERNATIONAL STANDARD
ITU-T RECOMMENDATION
Information technology – Security techniques – Code of practice for information security
controls based on ISO/IEC 27002 for telecommunications organizations
1 Scope
The scope of this Recommendation | International Standard is to define guidelines supporting the implementation of
information security controls in telecommunications organizations.
The adoption of this Recommendation | International Standard will allow telecommunications organizations to meet
baseline information security management requirements of confidentiality, integrity, availability and any other relevant
security property.
2 Normative references
The following Recommendations and International Standards contain provisions which, through reference in this text,
constitute provisions of this Recommendation | International Standard. At the time of publication, the editions indicated
were valid. All Recommendations and Standards are subject to revision, and parties to agreements based on this
Recommendation | International Standard are encouraged to investigate the possibility of applying the most recent edition
of the Recommendations and Standards listed below. Members of IEC and ISO maintain registers of currently valid
International Standards. The Telecommunication Standardization Bureau of the ITU maintains a list of currently valid
ITU-T Recommendations.
– ISO/IEC 27000, Information technology – Security techniques – Information security management systems
– Overview and vocabulary.
– ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for information
security controls.
3 Definitions and abbreviations
3.1 Definitions
For the purposes of this Recommendation | International Standard, the definitions given in ISO/IEC 27000 and the
following apply:
3.1.1 co-location: Installation of telecommunications facilities on the premises of other telecommunications carriers.
3.1.2 communication centre: Building where facilities for providing telecommunications business are sited.
3.1.3 essential communications: Communications whose contents are necessary for the prevention of or relief from
disasters and for the maintenance of public order in adverse conditions.
3.1.4 non-disclosure of communications: Requirement not to disclose the existence, the content, the source, the
destination and the date and time of communicated information.
3.1.5 priority call: Telecommunications made by specific terminals in the event of emergencies, which should be
handled with priority by restricting public calls.
NOTE – The specific terminals may span different services (voice over Internet protocol (VoIP), public switched telephone network
(PSTN) voice, Internet protocol (IP) data traffic, etc.) for wired and wireless networks.
3.1.6 telecommunications applications: Applications such as Voice over IP (VoIP) that are consumed by end-users
and built upon the network based services.
3.1.7 telecommunications business: Business to provide telecommunications services in order to meet the demand
of others.
3.1.8 telecommunications equipment room: A secure location or room within a general building where equipment
for providing telecommunications business are sited.
3.1.9 telecommunications facilities: Machines, equipment, wire and cables, physical buildings or other electrical
facilities for the operation of telecommunications.
ITU-T Rec. X.1051 (04/2016) 1
3.1.10 telecommunications organizations: Business entities who provide telecommunications services in order to
meet the demand of others.
3.1.11 telecommunication records: Information concerning the parties in a communication excluding the contents of
the communication, and the time, and duration of the telecommunication that took place.
3.1.12 telecommunications services: Communications using telecommunications facilities, or any other means of
providing communications either between telecommunications service users or telecommunications service customers.
3.1.13 telecommunications service customer: Person or organization who enters into a contract with
telecommunications organizations to be offered telecommunications services by them.
3.1.14 telecommunications service user: Person or organization who utilizes telecommunications services.
3.1.15 terminal facilities: Telecommunications facilities which are to be connected to one end of telecommunications
circuit facilities and part of which is to be installed on the same premises (including the areas regarded as the same
premises) or in the same building where any other part thereof is also to be installed.
3.1.16 user: Person or organization who utilizes information processing facilities or systems, e.g., employee,
contractor or third party user.
3.2 Abbreviations
For the purposes of this Recommendation | International Standard, the following abbreviations apply:
CIA Confidentiality, Integrity and Availability
CNI Critical National Infrastructure
DDoS Distributed Denial of Service
DNS Domain Name System
DoS Denial of Service
HVAC Heating, Ventilation, and Air Conditioning
IP Internet Protocol
IRC Internet Relay Chat
ISAC Information Sharing and Analysis Centre
ISMS Information Security Management System
NMS Network Management System
OAM&P Operations, Administration, Maintenance and Provisioning
PSTN Public Switched Telephone Network
SIP Session Initiation Protocol
SLA Service Level Agreement
SMS Short Message Service
SOA Statement of Applicability
URL Uniform Resource Locator
VoIP Voice over Internet Protocol
4 Overview
4.1 Structure of this Recommendation | International Standard
This Recommendation | International Standard has been structured in a format similar to ISO/IEC 27002. In cases where
objectives and controls specified in ISO/IEC 27002 are applicable without a need for any additional information, only a
reference is provided to ISO/IEC 27002. A telecommunications sector-specific set of control and implementation
guidance is described in normative Annex A.
In cases where controls need additional guidance specific to telecommunications, the ISO/IEC 27002 control is repeated
without modification, followed by the specific telecommunications guidance related to this control. Telecommunications
sector specific guidance and information is included in the following clauses:
– Organization of information security (clause 6)
2 ITU-T Rec. X.1051 (04/2016)
– Human resources security (clause 7)
– Asset management (clause 8)
– Access control (clause 9)
– Physical and environmental security (clause 11)
– Operations security (clause 12)
– Communications security (clause 13)
– Systems acquisition, development and maintenance (clause 14)
– Supplier relationships (clause 15)
– Information security incident management (clause 16)
– Information security aspects of business continuity management (clause 17)
4.2 Information security management systems in telecommunications organizations
4.2.1 Goal
Information is critical to every organization. In the case of telecommunications, information consists of data transmitted
between any two points in an electronic formation as well as metadata of each transmission, e.g., positioning data of
sender and receiver. Regardless of how the information is transmitted and whether it is cached or stored during
transmission, information should always be appropriately protected.
Telecommunications organizations and their information systems and networks are exposed to security threats from a
wide range of sources, including: wire-tapping; advanced persistent threats; terrorism; espionage; sabotage; vandalism;
information leakage; errors; and force majeure events. These security threats may originate from inside or outside the
telecommunications organization, resulting in damage to the organization.
Once information security is violated, e.g., by wire-tapping the telecommunications lines, the organization may suffer
damage. Therefore, it is essential for an organization to ensure its information security by continual improvement of its
information security management system (ISMS).
Effective information security is achieved by implementing a suitable set of controls based on those described in this
Recommendation | International Standard. These controls need to be established, implemented, monitored, reviewed and
improved in telecommunications facilities, services and applications. These activities will enable an organization to meet
its security objectives and therefore business objectives.
Telecommunications organizations provide facilities to various user types to process, transmit and store information. This
information could be personally identifiable information, or confidential private and business data. In all cases,
information should be handled with the correct level of care and attention, and the appropriate levels of protection
provided to ensure confidentiality, integrity and availability (CIA), with privacy and sensitivity being paramount.
4.2.2 Security considerations in telecommunications
The requirement for a generic security framework in telecommunications has originated from different sources:
a) customers/subscribers needing confidence in the network and the services to be provided, including
availability of services (especially emergency services) in case of major catastrophes;
b) public authorities demanding security by directives, regulation and legislation, in order to ensure
availability of services, fair competition and privacy protection;
c) network operators and service providers themselves needing security to safeguard their operational and
business interests, and to meet their obligations to their customers and the public.
Furthermore, telecommunications organizations should consider the following environmental and operational security
incidents.
a) Telecommunications services are heavily dependent on various interconnected facilities, such as routers,
switches, domain name servers, transmission relay systems and a network management system (NMS).
Therefore, telecommunications security incidents can occur to various equipment/facilities and the
incidents can propagate rapidly through the network into other equipment/facilities.
b) In addition to telecommunications facilities, vulnerabilities in network protocols and topology can result
in serious security incidents. In particular, convergence of wired and wireless networks can impose
significant challenges for developing interoperable protocols.
ITU-T Rec. X.1051 (04/2016) 3
c) A major concern of telecommunications organizations is the possibility of compromised security that
causes network down-time. Such down-time can be extremely costly in terms of customer relations, lost
revenue and recovery costs. Deliberate attacks on the availability of the national telecommunications
infrastructure can be viewed as a national security concern.
d) Telecommunications management networks and systems are susceptible to hacker penetrations. A
common motivation for such penetrations is theft of telecommunications services. Such theft can be
engineered in various ways, such as invoking diagnostic functions, manipulating accounting records,
altering provisioning databases and eavesdropping on subscriber calls.
e) In addition to external penetrations, carriers are concerned about security compromises from internal
sources, such as invalid changes to network management databases and configurations on the part of
unauthorized personnel. Such occurrences may be accidental or deliberate.
f) Telecommunications services can be disrupted by malware such as worms and viruses attacking end
systems or communications infrastructure. DoS/DDoS is a major cause of incidents on communications
and can be caused by various methods to interrupt or block communication signals, or sending data to one
system or network from many hundreds of systems as the same time to overload it (see TEL 13.1.6).
For the purpose of protecting information assets in telecommunications originating from different sources in various
telecommunications environments, security guidelines for telecommunications are indispensable to support the
implementation of information security management in telecommunications organizations.
The security guidelines should be applicable to the following:
a) telecommunications organizations seeking confidence that the information security requirements of their
interested parties (e.g., suppliers, customers, regulators) will be satisfied;
b) telecommunications organizations seeking a business advantage through the implementation of an ISMS;
c) users and suppliers of the information security related products and services for the telecommunications
industry;
d) those internal or external to the telecommunications organization who assess and audit the ISMS for
conformity with the requirements of ISO/IEC 27001;
e) those internal or external to the telecommunications organizations who give advice or training on the ISMS
appropriate to that organization;
f) ensuring compliance with trans-border legal and regulatory requirements, and complying with statutory
requirements in all countries of operation or transit.
4.2.3 Information assets to be protected
In order to establish information security management, it is essential for an organization to clarify and identify all
organizational assets. The clarification of attributes and importance of the assets makes it possible to implement
appropriate controls.
Information assets which telecommunications organizations should protect can be found in clause 8.1.1.
4.2.4 Establishment of information security management
4.2.4.1 How to establish security requirements
It is essential for telecommunications organizations to identify their security requirements. There are three main sources
of security requirements as follows.
a) Those derived from assessing risks to a telecommunications carrier, taking into account its overall business
strategy and objectives. Through risk assessment, threats to assets are identified, vulnerability to and
likelihood of occurrence is evaluated and potential impact is estimated.
b) The legal, statutory, regulatory, and contractual requirements that telecommunications organizations have
to satisfy, trans-border legal and regulatory compliance, and the socio-cultural environment. Examples of
legislative requirements for telecommunications organizations are non-disclosure of communications
(TEL.18.1.6 in Annex A) and ensuring essential communications (TEL.18.1.7 in Annex A). Examples of
socio-cultural requirements are ensuring the integrity of telecommunications that are transmitted, relayed
and received by any means, the availability of wired or wireless telecommunications facilities by
authorized persons and not harming other telecommunications facilities.
c) The particular set of principles, objectives and business requirements for information processing that a
telecommunications carrier has developed to support its operations.
4 ITU-T Rec. X.1051 (04/2016)
4.2.4.2 Assessing security risks
Security requirements are identified by a methodical assessment of security risks. Expenditure on controls needs to be
balanced against the business harm likely to result from security failures. The results of the risk assessment will help to
guide and determine the appropriate management action and priorities for managing information security risks, and for
implementing controls selected to protect against these risks.
Risk assessment should be repeated periodically and at least annually, to address any changes that might influence the
risk assessment results.
4.2.4.3 Selecting controls
Once security requirements and risks have been identified and decisions for the treatment of risks have been made,
appropriate controls should be selected and implemented to ensure risks are reduced to an acceptable level.
This Recommendation | International Standard provides additional guidance and telecommunications-specific controls,
in addition to general information security management, taking account of telecommunications-specific requirements.
Therefore, telecommunications organizations are recommended to select controls from this Recommendation |
International Standard and implement them. In addition, new controls can be designed to meet specific needs as
appropriate.
The selection of security controls is dependent upon organizational decisions based on the criteria for risk acceptance,
risk treatment options and the general risk management approach applied to telecommunications organizations;
additionally, the selection should be subject to all relevant national and international legislation and regulations.
5 Information security policies
The control objective and the contents from ISO/IEC 27002 clause 5 apply.
NOTE – It might be necessary to take account of telecommunications-specific legislation and regulatory requirements and
associated requirements concerning how these are both met and evidenced.
6 Organization of information security
6.1 Internal organization
Objective: To establish a management framework to initiate and control the implementation and operation of information
security within the organization.
6.1.1 Information security roles and responsibilities
Control
All information security responsibilities should be defined and allocated.
Implementation guidance
The implementation guidance from ISO/IEC 27002 6.1.1 applies.
Telecommunications-specific implementation guidance
There should be an appointment of an executive manager who is responsible for all risks to telecommunication
infrastructure and is accountable for their management.
Telecommunications organizations should appoint telecommunications engineers and other staff, who have the right
credentials or appropriate knowledge and skills, to be in charge of the supervision of matters related to the installation,
maintenance and operation of telecommunications facilities for the telecommunications business. The relevant telecoms
engineers and other staff should be notified of and formally agree to their assigned roles and responsibilities.
Where cryptography is used, there should be specific crypto-custodian roles and personnel in these positions should be
properly trained in the management of cryptographic material and the use and protection of cryptographic systems.
Other information
The other information from ISO/IEC 27002 6.1.1 applies.
ITU-T Rec. X.1051 (04/2016) 5
6.1.2 Segregation of duties
Control and the contents from ISO/IEC 27002 6.1.2 apply.
6.1.3 Contact with authorities
Control
Appropriate contacts with relevant authorities should be maintained.
Implementation guidance
The implementation guidance from ISO/IEC 27002 6.1.3 applies.
Telecommunications-specific implementation guidance
When telecommunications organizations receive enquiries from law-enforcement agencies or investigative organizations
regarding information relating to telecommunications service users, these telecommunications organizations need to
confirm that the enquiries have gone through legitimate processes and procedures according to national laws and
regulations before any information is disclosed.
The applications and infrastructure of telecommunications organizations can be considered part of critical infrastructure
and may be essential for the functioning of the community, society and economy as a whole. Operators of such systems
should therefore maintain contact with all of the relevant authorities. Telecommunications organizations should therefore
maintain contact with all of the relevant authorities.
Other information
The other information from ISO/IEC 27002 6.1.3 applies.
6.1.4 Contact with special interest groups
Control and the contents from ISO/IEC 27002 6.1.4 apply.
6.1.5 Information security in project management
Control and the contents from of ISO/IEC 27002 6.1.5 apply.
6.2 Mobile devices and teleworking
The control objectives and the contents from ISO/IEC 27002 6.2 apply.
7 Human resource security
7.1 Prior to employment
Objective: To ensure that employees and contractors understand their responsibilities and are suitable for the roles for
which they are considered.
7.1.1 Screening
Control
Background verification checks on all candidates for employment should be carried out in accordance with relevant laws,
regulations and ethics, and should be proportional to the business requirements, the classification of the information to be
accessed and the perceived risks.
Implementation guidance
The implementation guidance from ISO/IEC 27002 7.1.1 applies.
Telecommunications-specific implementation guidance
Telecommunications organizations should consider detailed checks on candidates for job positions that give employees
access to sensitive information. This should also apply to positions giving employees access to telecommunications
equipment or to communications information as this could provide unrestricted access to data which can become sensitive
as a result of aggregation.
6 ITU-T Rec. X.1051 (04/2016)
NOTE – Any person who is involved with critical national infrastructure (CNI) aspects of communications systems should be
subjected to formal screening and criminal records checks before being given access.
7.1.2 Terms and conditions of employment
Control
The contractual agreements with employees and contractors should state their and the organization's responsibilities for
information security.
Implementation guidance
The implementation guidance from ISO/IEC 27002 7.1.2 applies.
Telecommunications-specific implementation guidance
The legal rights and responsibilities regarding non-disclosure of communications and essential communications, which
telecommunications organizations should take into account, are included in the laws and regulations.
Telecommunications organizations should clarify and state the responsibilities for maintaining the communications
service provided by telecommunications organizations in addition to the protection and non-disclosure of personally
identifiable and other confidential information in the terms and conditions of employment.
Telecommunications organizations should make sure that any person engaged in their telecommunications services is
aware and up-to date on:
a) their responsibilities for protecting the personal identifiable information and other confidential information
of users of their service;
b) their responsibilities concerning the non-disclosure of privileged information obtained through their
operational activities on telecommunications services.
Other information
The other information from ISO/IEC 27002 7.1.1 applies.
7.2 During employment
The control objectives and the contents from ISO/IEC 27002 7.2 apply.
7.3 Termination or change of employment
The control objectives and the contents from ISO/IEC 27002 7.3 apply.
8 Asset management
8.1 Responsibility for assets
Objective: To identify organizational assets and define appropriate protection responsibilities.
8.1.1 Inventory of assets
Control
Assets associated with information and information processing facilities should be identified and an inventory of these
assets should be drawn up and maintained.
Implementation guidance
The implementation guidance from ISO/IEC 27002 8.1.1 applies.
Telecommunications-specific implementation guidance
When developing and maintaining the inventory of assets, clear responsibilities between the telecommunications facilities
of the organization and those of other connected or related telecommunications organizations should be specified and
clearly documented.
The list of assets should be comprehensive, covering all telecommunications assets of value including information assets
for network facilities, network services and applications.
ITU-T Rec. X.1051 (04/2016) 7
Other information
The other information from ISO/IEC 27002 8.1.1 applies.
8.1.2 Ownership of assets
Control and the contents from ISO/IEC 27002 8.1.2 apply.
8.1.3 Acceptable use of assets
Control and the contents from ISO/IEC 27002 8.1.3 apply.
8.1.4 Return of assets
Control and the contents from ISO/IEC 27002 8.1.4 apply.
8.2 Information classification
Objective: To ensure that information receives an appropriate level of protection in accordance with its importance to the
organization.
8.2.1 Classification guidelines
Control
Information should be classified in terms of legal requirements, value, criticality and sensitivity to unauthorized disclosure
or modification.
Implementation guidance
The implementation guidance from ISO/IEC 27002 8.2.1 applies.
Telecommunications-specific implementation guidance
In classifying information, in addition to the general requirements for organizational sensitive and critical information,
telecommunications organizations should also take into account the following:
a) situations where information may be subject to legally regulated disclosure requirements;
b) distinction between information relating to essential communications that need to be handled with priority
in an emergency or possible emergency and non-essential communications (see TEL.18.1.7 in Annex A);
c) awareness of the effects of aggregation, where classified or sensitive information can be deduced by
searching large amount of data.
Other information
The other information from ISO/IEC 27002 8.2.1 applies.
8.2.2 Labelling of information
Control and the contents from ISO/IEC 27002 8.2.2 apply.
8.2.3 Handling of assets
Control and the contents from ISO/IEC 27002 8.2.3 apply.
8.3 Media handling
The control objective and the contents from ISO/IEC 27002 8.3 apply.
9 Access control
9.1 Business requirement for access control
Objective: To limit access to information and information processing facilities.
8 ITU-T Rec. X.1051 (04/2016)
9.1.1 Access control policy
Control
An access control policy should be established, documented and reviewed based on business and information security
requirements.
Implementation guidance
The implementation guidance from ISO/IEC 27002 9.1.1 applies.
Telecommunications-specific implementation guidance
Telecommunications organizations should implement role-based access controls, with a limited number of profiles and
controlled sets of user access permissions as applicable.
As telecommunication companies are regularly exposed to different suppliers that may not support the same security
features or standards, it is essential to ensure all access is tracked for amendments and timely removal.
Only the authorized users should have access to use the communications services, such as a particular phone number,
voicemail or other data services that have been assigned to them.
Other information
The other information from ISO/IEC 27002 9.1.1 applies.
9.1.2 Access to networks and network services
Control and the contents from ISO/IEC 27002 9.1.2 apply.
9.2 User access management
The control objective and the contents from ISO/IEC 27002 9.2 apply.
9.3 User responsibilities
The control objective and the contents from ISO/IEC 27002 9.3 apply.
9.4 System and application access control
The control objective and the contents from ISO/IEC 27002 9.4 apply.
10 Cryptography
The control objectives and the contents from ISO/IEC 27002 clause 10 apply.
11 Physical and environmental security
11.1 Secure areas
Objective: To prevent unauthorized physical access, damage and interference to the organization's information and
information processing facilities.
11.1.1 Physical security perimeter
Control
Security perimeters should be defined and used to protect areas that contain either sensitive or critical information and
information processing facilities.
Implementation guidance
The implementation guidance from ISO/IEC 27002 11.1.1 applies.
ITU-T Rec. X.1051 (04/2016) 9
Telecommunications-specific implementation guidance
Telecommunications organizations should consider and implement the following guidelines where appropriate for
physical security perimeters:
a) telecommunications operations centres should be equipped with adequate phy
...
NORME ISO/IEC
INTERNATIONALE 27011
Deuxième édition
2016-12-01
Technologies de l'information —
Techniques de sécurité — Code de
bonne pratique pour les contrôles de
la sécurité de l'information fondés sur
l'ISO/IEC 27002 pour les organismes
de télécommunications
Information technology — Security techniques — Code of practice
for Information security controls based on ISO/IEC 27002 for
telecommunications organizations
Numéro de référence
©
ISO/IEC 2016
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2016, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2016 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou de
l'IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques créés
par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les comités
techniques de l'ISO et de l'IEC collaborent dans des domaines d'intérêt commun. D'autres organismes
internationaux, gouvernementaux et non gouvernementaux, en liaison avec l'ISO et l'IEC participent également
aux travaux. Dans le domaine des technologies de l'information, l'ISO et l'IEC ont créé un comité technique
mixte, l'ISO/IEC JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/IEC,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de droits de
propriété intellectuelle ou de droits analogues. L'ISO et l'IEC ne sauraient être tenues pour responsables de ne pas
avoir identifié de tels droits de propriété et averti de leur existence.
Cette deuxième édition annule et remplace la première édition de l’ISO/IEC 27011:2008, qui a fait l'objet d'une
révision technique.
L’ISO/IEC 27011 a été élaborée par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information. Le texte identique est publié en tant
que Rec. ITU-T X.1051.
© ISO/IEC 2016 – Tous droits réservés
iv ITU-T Rec. X.1051 (04/2016)
Sommaire Page
1 Domaine d'application . 1
2 Références normatives . 1
3 Définitions et abréviations . 1
3.1 Définitions . 1
3.2 Abréviations . 2
4 Vue d'ensemble. 3
4.1 Structure de la présente Recommandation | Norme internationale . 3
4.2 Systèmes de management de la sécurité de l'information dans les organismes de télécommunications. 3
5 Politiques de sécurité de l'information . 6
6 Organisation de la sécurité de l'information . 6
6.1 Organisation interne . 6
6.2 Appareils mobiles et télétravail . 7
7 Sécurité des ressources humaines . 8
7.1 Avant l'embauche . 8
7.2 Pendant la durée du contrat . 9
7.3 Rupture, terme ou modification du contrat de travail . 9
8 Gestion des actifs . 9
8.1 Responsabilités relatives aux actifs. 9
8.2 Classification de l'information . 9
8.3 Manipulation des supports . 10
9 Contrôle d'accès . 10
9.1 Exigence métier en matière de contrôle d'accès . 10
9.2 Gestion de l'accès utilisateur . 11
9.3 Responsabilités des utilisateurs . 11
9.4 Contrôle de l'accès au système et aux applications . 11
10 Cryptographie . 11
11 Sécurité physique et environnementale . 11
11.1 Zones sécurisées . 11
11.2 Matériels . 12
12 Sécurité liée à l'exploitation . 14
12.1 Procédures et responsabilités liées à l'exploitation. 14
12.2 Protection contre les logiciels malveillants . 15
12.3 Sauvegarde . 15
12.4 Journalisation et surveillance . 15
12.5 Maîtrise des logiciels en exploitation . 16
12.6 Gestion des vulnérabilités techniques . 16
12.7 Considérations sur l'audit des systèmes d'information . 17
13 Sécurité des communications . 17
13.1 Management de la sécurité des réseaux . 17
13.2 Transfert de l'information . 18
14 Acquisition, développement et maintenance des systèmes. 18
14.1 Exigences de sécurité applicables aux systèmes d'information . 18
© ISO/IEC 2016 – Tous droits réservés
ITU-T Rec. X.1051 (04/2016) v
14.2 Sécurité des processus de développement et d'assistance technique . 19
14.3 Données de test . 19
15 Relations avec les fournisseurs . 19
15.1 Sécurité de l'information dans les relations avec les fournisseurs . 19
15.2 Gestion de la prestation de services des fournisseurs . 20
16 Gestion des incidents liés à la sécurité de l'information . 20
16.1 Gestion des incidents liés à la sécurité de l'information et améliorations . 20
17 Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité . 23
17.1 Continuité de la sécurité de l'information . 23
17.2 Redondances . 23
18 Conformité . 24
Annexe A Ensemble de contrôles étendus des télécommunications . 25
Annexe B Recommandations supplémentaires relatives à la sécurité des réseaux . 35
B.1 Mesures de sécurité contre les attaques de réseaux . 35
B.2 Mesures de sécurité du réseau pour la congestion des réseaux . 36
Bibliographie . 37
© ISO/IEC 2016 – Tous droits réservés
vi ITU-T Rec. X.1051 (04/2016)
Introduction
La présente Recommandation | Norme internationale fournit des lignes directrices d'interprétation pour la mise en œuvre et la
gestion des contrôles de la sécurité de l'information basés sur l'ISO/IEC 27002 dans les organismes de télécommunications.
Les organismes de télécommunications fournissent des services de télécommunications en facilitant les communications
entre les clients par l'intermédiaire de leur infrastructure. Afin de fournir des services de télécommunications, les organismes
de télécommunications ont besoin d'établir une interconnexion et/ou de partager leurs services et installations et/ou d'utiliser
les services et installations d'autres organismes de télécommunications. De plus, l'emplacement du site, notamment les
stations radio, les emplacements d'antennes, les câbles de terre et les réseaux de fourniture de services d'infrastructure
(électricité, eau), peut être accessible non seulement au personnel de l'organisme, mais également à des sous-traitants et
prestataires extérieurs à l'organisme.
La gestion de la sécurité de l'information dans les organismes de télécommunications peut donc être complexe et
éventuellement impliquer :
– une dépendance à des parties externes ;
– la nécessité de couvrir toutes les zones de l'infrastructure réseau, des applications de services et autres
installations ;
– l'inclusion d'une diversité de technologies de télécommunications (par exemple, filaires, sans fil, haut débit) ;
– la prise en charge d'une grande diversité d'échelles opérationnelles, de domaines de services et de types de
services.
Outre l'application des objectifs et des mesures de sécurité décrits dans l'ISO/IEC 27002, les organismes de
télécommunications peuvent avoir besoin de mettre en œuvre des mesures supplémentaires pour garantir la confidentialité,
l'intégrité, la disponibilité et toute autre propriété de sécurité des télécommunications afin de gérer le risque de sécurité de
façon adéquate.
1) Confidentialité
Protection de la confidentialité des informations relatives aux télécommunications contre une divulgation non
autorisée. Cela implique la non-divulgation de communications eu égard à l'existence, au contenu, à la source,
à la destination et aux date et heure des informations communiquées.
Il est essentiel que les organismes de télécommunications empêchent toute violation du principe de
non-divulgation des communications qu'ils gèrent. Cela consiste notamment à s'assurer que les personnes
engagées par l'organisme de télécommunications préservent la confidentialité de toute information concernant
des tiers dont ils peuvent avoir eu connaissance dans l'exercice de leurs fonctions.
NOTE Le terme « secret des communications » est utilisé dans certains pays dans le contexte de la
« non-divulgation de communications ».
2) Intégrité
La protection de l'intégrité des informations de télécommunications consiste à contrôler l'installation et
l'utilisation des installations de télécommunications afin de garantir l'authenticité, l'exactitude et l'exhaustivité
des informations transmises, relayées ou reçues par liaison filaire, radio ou autre.
3) Disponibilité
La disponibilité des informations de télécommunications consiste à s'assurer que l'accès aux installations et au
support utilisés pour la fourniture des services de communication est autorisé, que ces communications soient
fournies par liaison filaire, radio ou autre. En règle générale, les organismes de télécommunications donnent
priorité aux communications essentielles en cas d'urgence, en gérant l'indisponibilité des communications de
moindre importance conformément aux exigences réglementaires.
Public visé
La présente Recommandation | Norme internationale s'adresse aux organismes de télécommunications et aux personnes
responsables de la sécurité de l'information ; ainsi qu'aux fournisseurs de solutions de sécurité, auditeurs, fournisseurs de
terminaux de télécommunications et fournisseurs de contenus applicatifs. La présente Recommandation | Norme
internationale fournit un ensemble commun d'objectifs généraux de contrôle de la sécurité fondés sur l'ISO/IEC 27002, des
mesures spécifiques au secteur des télécommunications et des lignes directrices pour la gestion de la sécurité de l'information
permettant le choix et la mise en œuvre de telles mesures.
© ISO/IEC 2016 – Tous droits réservés
ITU-T Rec. X.1051 (04/2016) vii
NORME INTERNATIONALE
RECOMMANDATION DE L'UIT-T
Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour les
contrôles de la sécurité de l'information fondés sur l'ISO/IEC 27002 pour les organismes de
télécommunications
1 Domaine d'application
Le domaine d'application de la présente Recommandation | Norme internationale est de fournir des lignes directrices qui
étayent la mise en œuvre de contrôles de la sécurité de l'information dans les organismes de télécommunications.
L'adoption de la présente Recommandation | Norme internationale permettra aux organismes de télécommunications de
satisfaire aux exigences de référence en matière de gestion de la sécurité de l'information concernant la confidentialité,
l'intégrité, la disponibilité et toute autre propriété de sécurité pertinente.
2 Références normatives
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui
en est faite, constituent des dispositions valables pour la présente Recommandation | Norme internationale. Au moment
de la publication, les éditions indiquées étaient en vigueur. Toutes les Recommandations | Normes internationales sont
sujettes à révision et les parties prenantes des accords fondés sur la présente Recommandation | Norme internationale
sont invitées à rechercher la possibilité d'appliquer les éditions les plus récentes des Recommandations et Normes
indiquées ci-après. Les membres de l'IEC et de l'ISO possèdent le registre des Normes Internationales en vigueur à un
moment donné. Le Bureau de la Normalisation des Télécommunications de l'UIT tient à jour une liste de
Recommandations de l'UIT-T actuellement valides.
– ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de
la sécurité de l'information — Vue d'ensemble et vocabulaire
– ISO/IEC 27002:2013, Technologies de l'information — Techniques de sécurité — Code de bonne pratique
pour le management de la sécurité de l'information
3 Définitions et abréviations
3.1 Définitions
Pour les besoins de la présente Recommandation | Norme internationale, les définitions données dans l'ISO/IEC 27000 et
les suivantes s'appliquent.
3.1.1 co-localisation : montage d'installations de télécommunications dans les locaux d'autres opérateurs de
télécommunications
3.1.2 centre de communication : bâtiment où sont situées des installations pour la fourniture d'activités de
télécommunications
3.1.3 communications essentielles : communications dont le contenu est nécessaire pour la prévention de
catastrophes ou l'aide déployée en cas de catastrophes, et pour le maintien de l'ordre public dans des conditions
défavorables
3.1.4 non-divulgation de communications : exigence consistant à ne pas divulguer l'existence, le contenu, la
source, la destination et les date et heure des informations communiquées
© ISO/IEC 2016 – Tous droits réservés
ITU-T Rec. X.1051 (04/2016) 1
3.1.5 appel prioritaire : télécommunications établies par des terminaux spécifiques en cas d'urgence, qu'il convient
de traiter en priorité par une limitation des appels publics
NOTE Les terminaux spécifiques peuvent couvrir différents services (voix sur IP (VoIP), réseau téléphonique public
commuté, trafic de données IP, etc.) pour les réseaux filaires et sans fil.
3.1.6 applications de télécommunications : applications telles que voix sur IP (VoIP, Voice over IP), consommées
par l'utilisateur final et basées sur les services en réseau
3.1.7 activité de télécommunications : activité consistant à fournir des services de télécommunications afin de
répondre à la demande d'autres personnes
3.1.8 salle d'équipement de télécommunications : site ou local sécurisé dans un bâtiment général où est situé
l'équipement de fourniture d'activités de télécommunications
3.1.9 installations de télécommunications : machines, équipements, fils et câbles, bâtiments physiques ou autres
installations électriques pour le fonctionnement des télécommunications
3.1.10 organismes de télécommunications : entités commerciales qui fournissent des services de télécommunications
afin de répondre à la demande d'autres personnes
3.1.11 registres de télécommunications : informations concernant les parties à une communication, excluant le
contenu de la communication, l'heure et la durée de la télécommunication
3.1.12 services de télécommunications : communications utilisant des installations de télécommunications ou
d'autres moyens de fournir des communications soit entre des utilisateurs de services de télécommunications, soit entre
des clients de services de télécommunications
3.1.13 client de services de télécommunications : personne ou organisme qui signe un contrat avec des organismes
de télécommunications afin que lui soient fournis des services de télécommunications
3.1.14 utilisateur de services de télécommunications : personne ou organisme qui utilise des services de
télécommunications
3.1.15 installations de terminal : installations de télécommunications qui sont connectées à une extrémité des
installations du circuit de télécommunications et dont une partie est destinée à être installée dans les mêmes locaux
(y compris les zones considérées comme étant les mêmes locaux) ou dans le même bâtiment où il est prévu d'installer
également une autre partie de ces installations
3.1.16 utilisateur : personne ou organisme qui utilise des installations ou systèmes de traitement de l'information, par
exemple employé, sous-traitant ou utilisateur tiers
3.2 Abréviations
Pour les besoins de la présente Recommandation | Norme internationale, les abréviations suivantes s'appliquent.
CID Confidentialité, Intégrité et Disponibilité
CNI Infrastructure nationale critique (Critical National Infrastructure)
DDoS Déni de service distribué (Distributed Denial of Service)
DNS Système de nom de domaine (Domain Name System)
DoS Déni de service (Denial of Service)
HVAC Chauffage, ventilation et climatisation (Heating, Ventilation and Air Conditioning)
IP Protocole Internet (Internet Protocol)
IRC Discussion relayée par Internet (Internet Relay Chat)
ISAC Centre de partage et d'analyse d'informations (Information Sharing and Analysis Centre)
NMS Système de gestion de réseau (Network Management System)
OAM&P Opérations, Administration, Maintenance et Provisionnement
RTPC Réseau Téléphonique Public Commuté
© ISO/IEC 2016 – Tous droits réservés
2 ITU-T Rec. X.1051 (04/2016)
SIP Protocole d'initiation de session (Session Initiation Protocol)
SLA Accord de niveau de service (Service Level Agreement)
SMS Service de messagerie courte (Short Message Service)
SMSI Système de management de la sécurité de l'information
SOA Déclaration d'applicabilité (Statement of Applicability)
URL Localisateur de ressources universel (Uniform Resource Locator)
VoIP Voix sur protocole Internet (Voice over Internet Protocol)
4 Vue d'ensemble
4.1 Structure de la présente Recommandation | Norme internationale
La présente Recommandation | Norme internationale a été structurée dans un format similaire à celui de l'ISO/IEC 27002.
Dans les cas où les objectifs et mesures spécifiés dans l'ISO/IEC 27002 sont applicables sans nécessiter d'informations
supplémentaires, seule la référence à l'ISO/IEC 27002 est fournie. Un ensemble de recommandations de mesure et de
mise en œuvre spécifiques au secteur des télécommunications est décrit dans l'Annexe A normative.
Dans les cas où des mesures nécessitent des recommandations supplémentaires propres aux télécommunications, la
mesure de l'ISO/IEC 27002 est répétée sans modification, suivie des recommandations spécifiques aux
télécommunications en lien avec cette mesure. Des recommandations et des informations spécifiques au secteur des
télécommunications sont fournies dans les articles suivants :
– Organisation de la sécurité de l'information (Article 6) ;
– Sécurité des ressources humaines (Article 7) ;
– Gestion des actifs (Article 8) ;
– Contrôle d'accès (Article 9) ;
– Sécurité physique et environnementale (Article 11) ;
– Sécurité liée à l'exploitation (Article 12) ;
– Sécurité des communications (Article 13) ;
– Acquisition, développement et maintenance des systèmes d'information (Article 14) ;
– Relations avec les fournisseurs (Article 15) ;
– Gestion des incidents liés à la sécurité de l'information (Article 16) ;
– Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité (Article 17).
4.2 Systèmes de management de la sécurité de l'information dans les organismes de
télécommunications
4.2.1 Objectif
L'information est un élément critique pour chaque organisme. Dans le cas des télécommunications, les informations se
composent des données transmises entre deux points dans une formation électronique, ainsi que des métadonnées de
chaque transmission, par exemple les données de positionnement de l'expéditeur et du récepteur. Quelle que soit la
manière dont les informations sont transmises et qu'elles soient ou non mises en cache ou stockées pendant la
transmission, il convient de toujours protéger les informations de manière appropriée.
Les organismes de télécommunications et leurs systèmes d'information et réseaux sont exposés à des menaces de sécurité
provenant de diverses sources, notamment : écoute en ligne ; cyberattaques persistantes ; terrorisme ; espionnage ;
sabotage ; vandalisme ; fuite d'informations ; erreurs ; événements de force majeure. Ces menaces de sécurité peuvent
trouver leur origine à l'intérieur ou à l'extérieur de l'organisme de télécommunications, entraînant un préjudice pour
l'organisme.
© ISO/IEC 2016 – Tous droits réservés
ITU-T Rec. X.1051 (04/2016) 3
Après une violation de la sécurité de l'information, par exemple par une écoute des lignes de télécommunications,
l'organisme peut subir un préjudice. Il est par conséquent essentiel pour un organisme de garantir la sécurité de ses
informations par une amélioration continue de son système de management de la sécurité de l'information (SMSI).
Une sécurité de l'information efficace est obtenue par la mise en œuvre d'un ensemble approprié de mesures fondées sur
celles décrites dans la présente Recommandation | Norme internationale. Il est nécessaire d'établir, de mettre en œuvre, de
surveiller, d'examiner et d'améliorer ces mesures dans les installations, services et applications de télécommunications.
Ces activités permettront à un organisme d'atteindre ses objectifs de sécurité et, par conséquent, ses objectifs métier.
Les organismes de télécommunications fournissent à différents types d'utilisateur des installations pour traiter,
transmettre et stocker les informations. Ces informations peuvent être des informations personnelles identifiables ou des
données privées et métier confidentielles. Dans tous les cas, il convient de traiter les informations avec le niveau de soin
et d'attention qui leur est dû, et de fournir les niveaux de protection appropriés pour en garantir la confidentialité,
l'intégrité et la disponibilité (CID), en privilégiant par-dessus tout la vie privée et la sensibilité.
4.2.2 Considérations relatives à la sécurité dans les télécommunications
L'exigence d'un cadre générique pour la sécurité dans les télécommunications a été exprimée par différentes sources :
a) les clients/abonnés, qui ont besoin d'avoir confiance dans le réseau et les services fournis, y compris la
disponibilité des services (en particulier les services d'urgence) en cas de catastrophes majeures ;
b) les autorités publiques qui, par des directives, lois et réglementations, exigent une forme de sécurité pour
garantir la disponibilité des services, la concurrence loyale et la protection de la vie privée ;
c) les opérateurs de réseaux et les fournisseurs de services eux-mêmes, qui ont besoin d'une sécurité pour
protéger leurs intérêts opérationnels et commerciaux, et pour honorer leurs obligations envers les clients et
le public.
Il convient, par ailleurs, que les organismes de télécommunications tiennent compte des incidents de sécurité
environnementaux et opérationnels ci-dessous.
a) Les services de télécommunications dépendent fortement de diverses installations interconnectées, telles
que des routeurs, des commutateurs, des serveurs de noms de domaine, des systèmes de relais de
transmission et un système de gestion de réseau (NMS). Des incidents de sécurité des télécommunications
peuvent donc se produire sur divers équipements/installations, et les incidents peuvent se propager
rapidement à travers le réseau dans d'autres équipements/installations.
b) Au-delà des installations de télécommunications, des vulnérabilités au niveau des protocoles et de la
topologie de réseau peuvent également conduire à de graves incidents de sécurité. La convergence des
réseaux filaires et sans fil peut notamment soulever des défis majeurs pour le développement de protocoles
interopérables.
c) Les organismes de télécommunications sont fortement préoccupées par la possibilité d'une atteinte à la
sécurité entraînant une indisponibilité du réseau. Une telle indisponibilité peut se révéler extrêmement
coûteuse du point de vue des relations client, de la perte de revenus et des coûts de récupération. Des
attaques délibérées visant la disponibilité de l'infrastructure nationale de télécommunications peuvent être
perçues comme une préoccupation relevant de la sécurité nationale.
d) Les réseaux et systèmes de gestion des télécommunications sont susceptibles d'être la cible de pirates. Le
vol de services de télécommunications constitue une motivation courante pour ce type d'attaque. Les vols
de cette nature peuvent s'appuyer sur différentes techniques, notamment l'appel de fonctions de diagnostic,
la manipulation de documents comptables, la modification de bases de données de provisionnement ou
l'écoute d'appels d'abonnés.
e) Outre les intrusions externes, les opérateurs craignent que leur sécurité ne soit compromise par des sources
externes, par exemple à la suite de modifications non valides des bases de données de gestion du réseau et
des configurations de la part d'un personnel non autorisé. Ces incidents peuvent être accidentels ou
délibérés.
© ISO/IEC 2016 – Tous droits réservés
4 ITU-T Rec. X.1051 (04/2016)
f) Les services de télécommunications peuvent être perturbés par des programmes malveillants, tels que des
vers et virus qui attaquent les systèmes finaux ou l'infrastructure de communications. Les
attaques DoS/DDoS sont une cause majeure d'incidents de communications, et peuvent être perpétrées par
diverses méthodes pour interrompre ou bloquer les signaux de communication, ou encore pour surcharger
un système ou un réseau en lui envoyant des données simultanément depuis des centaines de systèmes
(voir TEL 13.1.6).
Afin de protéger les actifs informationnels dans les télécommunications provenant de différentes sources dans divers
environnements de télécommunications, des lignes directrices pour la sécurité des télécommunications sont
indispensables pour encadrer la mise en œuvre de la gestion de la sécurité de l'information dans les organismes de
télécommunications.
Il convient que les lignes directrices pour la sécurité s'appliquent :
a) aux organismes de télécommunications qui cherchent à avoir la garantie que les exigences en matière de
sécurité de l'information exprimées par les parties intéressées (par exemple, fournisseurs, clients,
législateurs) seront satisfaites ;
b) aux organismes de télécommunications qui cherchent à acquérir un avantage commercial par la mise en
œuvre d'un SMSI ;
c) aux utilisateurs et fournisseurs de produits et services liés à la sécurité de l'information auprès du secteur
des télécommunications ;
d) aux intervenants internes ou externes à l'organisme de télécommunications, qui évaluent et contrôlent la
conformité du SMSI aux exigences de l'ISO/IEC 27001 ;
e) aux intervenants internes ou externes à l'organisme de télécommunications, qui dispensent des conseils ou
des formations sur le SMSI adaptés à l'organisme ;
f) à la garantie de conformité aux exigences légales et réglementaires transfrontalières, et au respect des
exigences légales dans tous les pays d'exploitation ou de transit.
4.2.3 Actifs à protéger
Afin d'établir la gestion de la sécurité de l'information, il est essentiel qu'un organisme clarifie et identifie l'ensemble de
ses actifs organisationnels. La clarification des attributs et de l'importance des actifs rend possible la mise en œuvre de
mesures appropriées.
Les actifs qu'il convient que les organismes de télécommunications protègent sont décrits au paragraphe 8.1.1.
4.2.4 Établissement d'une gestion de la sécurité de l'information
4.2.4.1 Modalités d'établissement des exigences de sécurité
Il est essentiel que les organismes de télécommunications identifient leurs exigences de sécurité. Ces exigences
proviennent de trois sources principales :
a) celles dérivées de l'appréciation du risque pour un opérateur de télécommunications, compte tenu de sa
stratégie globale et de ses objectifs généraux. L'appréciation du risque permet d'identifier les menaces
pesant sur les actifs, d'analyser les vulnérabilités, de mesurer la vraisemblance des attaques et d'en évaluer
l'impact potentiel ;
b) les exigences légales, statutaires, réglementaires et contractuelles que les organismes de
télécommunications sont tenus de respecter, le respect des exigences légales et réglementaires
transfrontalières et l'environnement socioculturel. La non-divulgation des communications (TEL.18.1.6,
Annexe A) et la prise en charge des communications essentielles (TEL.18.1.7, Annexe A) sont des
exemples d'exigences législatives applicables aux organismes de télécommunications. Les exigences
socioculturelles consistent, par exemple, à garantir l'intégrité des télécommunications qui sont transmises,
relayées et reçues par un quelconque moyen, la disponibilité des installations de télécommunications
filaires ou sans fil par des personnes autorisées, et l'absence d'atteinte à d'autres installations de
télécommunications ;
c) l'ensemble particulier de principes, d'objectifs et d'exigences métier en matière de traitement de
l'information qu'un opérateur de télécommunications s'est constitué pour mener à bien ses activités.
© ISO/IEC 2016 – Tous droits réservés
ITU-T Rec. X.1051 (04/2016) 5
4.2.4.2 Appréciation des risques de sécurité
Les exigences de sécurité sont identifiées par une appréciation méthodique des risques pour la sécurité. Il est nécessaire
de trouver un certain équilibre entre les dépenses engagées pour la mise en œuvre des mesures de sécurité et le préjudice
que des brèches de sécurité sont susceptibles d'entraîner pour l'activité. Les résultats de l'appréciation du risque
permettent de définir les actions de gestion appropriées et les priorités en matière de gestion des risques liés à la sécurité
de l'information, ainsi que de mettre en œuvre les mesures identifiées destinées à contrer ces risques.
Il convient de répéter régulièrement la procédure d'appréciation du risque, à raison d'au moins une fois par an, afin de
tenir compte de toute modification pouvant influencer les résultats de l'appréciation du risque.
4.2.4.3 Choix des mesures
Une fois que les exigences et les risques de sécurité ont été identifiés et que des décisions ont été prises pour le traitement
des risques, il convient de choisir et de mettre en œuvre des mesures appropriées pour s'assurer que les risques sont
réduits à un niveau acceptable.
La présente Recommandation | Norme internationale fournit des recommandations supplémentaires et des mesures
spécifiques aux télécommunications qui viennent en complément de la gestion générale de la sécurité de l'information, en
tenant compte des exigences spécifiques aux télécommunications. Il est donc recommandé aux organismes de
télécommunications de choisir des mesures dérivées de la présente Recommandation | Norme internationale et de les
mettre en œuvre. De plus, de nouvelles mesures peuvent être définies pour répondre à des besoins spécifiques.
Le choix des mesures de sécurité dépend des décisions prises par les organismes de télécommunications en fonction de
leurs critères d'acceptation du risque, de leurs options de traitement du risque et de leur approche de la gestion générale
du risque. Il convient également de prendre en considération les lois et règlements nationaux et internationaux concernés.
5 Politiques de sécurité de l'information
L'objectif et le contenu des mesures dérivés de l'Article 5 de l'ISO/IEC 27002 s'appliquent.
NOTE Il peut être nécessaire de prendre en compte les exigences légales et réglementaires spécifiques aux
télécommunications quant à la manière dont elles sont satisfaites et dont leur conformité est démontrée.
6 Organisation de la sécurité de l'information
6.1 Organisation interne
Objectif : Établir un cadre de gestion pour engager, puis vérifier la mise en œuvre et le fonctionnement de la sécurité de
l'information au sein de l'organisme.
6.1.1 Rôles et responsabilités liés à la sécurité de l'information
Mesure
Il convient de définir et d'attribuer toutes les responsabilités en matière de sécurité de l'information.
Préconisations de mise en œuvre
Les préconisations de mise en œuvre de l'ISO/IEC 27002, 6.1.1, s'appliquent.
Préconisations de mise en œuvre spécifiques aux télécommunications
Il convient de désigner un représentant de la direction pour assumer la responsabilité de tous les risques pour
l'infrastructure de télécommunication et rendre compte de leur gestion.
© ISO/IEC 2016 – Tous droits réservés
6 ITU-T Rec. X.1051 (04/2016)
Il convient que les organismes de télécommunications désignent des ingénieurs de télécommunications et d'autres
membres du personnel qui disposent des bonnes qualifications ou des connaissances et aptitudes appropriées pour
assumer la supervision de tout ce qui se rapporte à l'installation, à la maintenance et à l'exploitation des installations de
télécommunications pour les activités de télécommunications. Il convient que les ingénieurs de télécommunications et
autres membres du personnel concernés soient informés des rôles et responsabilités qui leur sont attribués, et qu'ils les
acceptent de façon formelle.
Lorsqu'une cryptographie est utilisée, il convient d'instaurer des rôles de crypto-gardiens et de former convenablement les
membres du personnel affectés à de tels postes à la gestion des supports cryptographiques ainsi qu'à l'utilisation et à la
protection des systèmes cryptographiques.
Informations supplémentaires
Les informations supplémentaires de l'ISO/IEC 27002, 6.1.1, s'appliquent.
6.1.2 Séparation des tâches
La mesure et le contenu de l'ISO/IEC 27002, 6.1.2, s'appliquent.
6.1.3 Relations avec les autorités
Mesure
Il convient d'entretenir des relations appropriées avec les autorités compétentes.
Préconisations de mise en œuvre
Les préconisations de mise en œuvre de l'ISO/IEC 27002, 6.1.3, s'appliquent.
Préconisations de mise en œuvre spécifiques aux télécommunications
Lorsque des organismes de télécommunications reçoivent des demandes d'informations de la part d'autorités policières ou
d'organismes d'enquête concernant des informations relatives à des utilisateurs de services de télécommunications, il est
nécessaire que ces organismes de télécommunications confirment que les demandes d'informations ont suivi des
processus et procédures légitimes conformément aux lois et réglementations nationales avant de divulguer toute
information.
Les applications et l'infrastructure des organismes de télécommunications peuvent faire partie d'infrastructures critiques
et être indispensables au fonctionnement de la communauté, de la société et de l'économie dans son ensemble. Il convient
donc que les opérateurs de ces systèmes restent en contact avec toutes les autorités appropriées. Il convient par
conséquent que les organismes de télécommunications restent en contact avec toutes les autorités appropriées.
Informations supplémentaires
Les informations supplémentaires de l'ISO/IEC 27002, 6.1.3, s'appliquent.
6.1.4 Relations avec des groupes de travail spécialisés
La mesure et le contenu de l'ISO/IEC 27002, 6.1.4, s'appliquent.
6.1.5 La sécurité de l'information dans la gestion de projet
La mesure et le contenu de l'ISO/IEC 27002, 6.1.5, s'appliquent.
6.2 Appareils mobiles et télétravail
Les objectifs et le contenu des mesures de l'ISO/IEC 27002, 6.2, s'appliquent.
© ISO/IEC 2016 – Tous droits réservés
ITU-T Rec. X.1051 (04/2016) 7
7 Sécurité des ressources humaines
7.1 Avant l'embauche
Objectif : S'assurer que les salariés et les contractants comprennent leurs responsabilités et qu'ils sont compétents pour
remplir les fonctions que l'organisme envisage de leur confier.
7.1.1 Sélection des candidats
Mesure
Il convient que des vérifications des informations concernant tous les candidats à l'embauche soient réalisées
conformément aux lois, aux règlements et à l'éthique, et il convient qu'elles soient proportionnelles aux exigences métier,
à la classification des informations accessibles et aux risques identifiés.
Préconisations de mise en œuvre
Les préconisations de mise en œuvre de l'ISO/IEC 27002, 7.1.1, s'appliquent.
Préconisations de mise en œuvre spécifiques aux télécommunications
Il convient que les organismes de télécommunications entreprennent des vérifications détaillées pour les candidats à des
postes qui permettent aux employés d'accéder à des informations sensibles. Il convient d'appliquer également ce principe
aux postes qui donnent aux employés un accès à des équipements de télécommunications ou à des informations de
communication, car cela peut impliquer l'octroi d'un accès sans restriction à des données qui, une fois agrégées, peuvent
devenir sensibles.
NOTE Il convient que toute personne impliquée dans des aspects des systèmes de communication liés à une infrastructure
nationale critique (CNI) fasse l'objet d'une procédure de sélection formelle et d'une vérification du casier judiciaire avant de se voir
octroyer un quelconque accès.
7.1.2 Termes et conditions d'embauche
Mesure
Il convient que les accords contractuels conclus avec les salariés et les contractants déterminent leurs responsabilités et
celles de l'organisme en matière de sécurité de l'information.
Préconisations de mise en œuvre
Les préconisations de mise en œuvre de l'ISO/IEC 27002, 7.1.2, s'appliquent.
Préconisations de mise en œuvre spécifiques aux télécommunications
Les lois et réglementations stipulent les droits et responsabilités juridiques relatifs à la non-divulgation de
communications et de communications essentielles qu'il convient que les organismes de télécommunications prennent en
compte.
Il convient que les organismes de télécommunications clarifient et énoncent, dans les termes et conditions d'embauche,
les responsabilités relatives au maintien du service de communications fourni par les organismes de télécommunications,
en plus de la protection et de la non-divulgation d'informations personnelles identifiables et autres informations
confidentielles.
Il convient que les organismes de télécommunications veillent à ce que toute personne impliquée dans leurs services de
télécommunications ait connaissance et se tienne informée :
a) de ses responsabilités en ce qui concerne la protection des informations personnelles identifiables et
...
ISO/IEC 27011:2016 is a code of practice that provides guidelines for implementing information security controls in telecommunications organizations. It aims to help these organizations meet basic requirements for managing the security of their information, including confidentiality, integrity, availability, and other relevant security properties.
記事のタイトル: ISO/IEC 27011:2016 - 情報技術 - セキュリティ技術 - 電気通信機関に基づく情報セキュリティコントロールの実践指針 記事の内容:この勧告書| ISO/IEC 27011:2016の範囲は、電気通信機関における情報セキュリティコントロールの実装をサポートするためのガイドラインを定義することです。この勧告書| ISO/IEC 27011:2016の採用により、電気通信機関は機密性、完全性、可用性、およびその他の関連するセキュリティの性質の基準となる情報セキュリティ管理要件を満たすことができます。
記事タイトル:ISO/IEC 27011:2016 - 情報技術-セキュリティ技術- ISO/IEC 27002に基づく通信組織の情報セキュリティ制御のための実践規範 記事内容:この勧告、ISO/IEC 27011:2016の範囲は、通信組織における情報セキュリティ制御の実施をサポートするためのガイドラインを定義することです。この勧告、ISO/IEC 27011:2016の採用により、通信組織は機密性、整合性、可用性およびその他の関連するセキュリティの要件を満たすことができます。
제목: ISO/IEC 27011:2016 - 정보 기술 - 보안 기법 - 통신 기관을 위한 ISO/IEC 27002 기반 정보 보안 통제의 규범 내용: 이 권고안인 ISO/IEC 27011:2016의 범위는 통신 기관에서 정보 보안 통제를 지원하기 위한 지침을 정의하는 것입니다. 이 권고안인 ISO/IEC 27011:2016의 채택은 통신 기관이 기밀성, 무결성, 가용성 및 기타 관련 보안 속성의 기본 정보 보안 관리 요구 사항을 충족할 수 있도록 합니다.
The article discusses ISO/IEC 27011:2016, which is a code of practice for information security controls in telecommunications organizations. It provides guidelines for the implementation of these controls, allowing organizations to meet basic information security management requirements. This includes ensuring confidentiality, integrity, availability, and other relevant security properties.
기사 제목: ISO/IEC 27011:2016 - 정보 기술 - 보안 기법 - 통신 기관을 위한 ISO/IEC 27002에 기반한 정보 보안 제어에 대한 실천 지침 기사 내용: 이 권고안 | ISO/IEC 27011:2016의 범위는 통신 기관에서 정보 보안 제어를 지원하는 지침을 정의하는 것입니다. 이 권고안 | ISO/IEC 27011:2016의 채택은 통신 기관이 기밀성, 무결성, 가용성 및 기타 관련 보안 속성의 기본 정보 보안 관리 요구 사항을 충족할 수 있도록 지원할 것입니다.
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...