Audit
Note de Recherches : Audit. Rechercher de 53 000+ Dissertation Gratuites et Mémoiresrise de décision : méthodologie (audit de vulnérabilité, analyse de risque, etc.), outils associés, acteurs (animateur, support, formation, expertise, conseils, etc.) ? | | | | |
| | 2.1.3 | Attribution des responsabilités en matière de sécurité de l'information | | | | |
A-t-on clairement défini les rôles respectifs des responsables de la sécurité, des managers opérationnels et des responsables fonctionnels de domaines (propriétaires d'information) dans la prise de décision finale, ainsi que les processus d'arbitrage ? | | | | |
A-t-on défini dans le détail un mode de pilotage global de la sécurité des systèmes d'information : tableau de bord (contenu et périodicité), structure de pilotage et d'orientation, reporting ? | | | | |
| | 2.1.4 | Système d'autorisation concernant les moyens de traitement de l'information | | | | |
La mise en production de nouveaux équipements ou logiciels n'est-elle possible que par le personnel d'exploitation et selon un processus de validation et d'autorisation défini ? | | | | |
La mise en production de nouveaux systèmes ou applications n'est-elle possible que par le personnel d'exploitation et selon un processus de validation et d'autorisation défini ? | | | | |
A-t-on établi une politique de sécurité relative à l'utilisation d'équipements personnels dans le cadre du travail ?
Les directives devraient traiter de l'introduction et de l'utilisation d'équipements personnels tels qu’ordinateurs portables, assistants personnels, disques externes, etc. | | | | |
A-t-on défini et mis en place des moyens de contrôle relatifs à l'usage d'équipements personnels ? | | | | |
| | 2.1.5 | Engagement de confidentialité | | | | |
Une note précisant les devoirs et responsabilités du personnel, a-t-elle été diffusée à l'ensemble des collaborateurs (y compris les intérimaires, stagiaires, etc.) de telle sorte qu'ils ne puissent nier en avoir eu connaissance ? | | | | |
Existe-t-il, dans les contrats d'embauche ou dans le règlement intérieur, une clause précisant l'obligation de respecter l'ensemble des règles de sécurité en vigueur ? | | | | |
Une note précisant les obligations légales, réglementaires ou contractuelles a-t-elle été diffusée à l'ensemble des collaborateurs ? | | | | |
Les devoirs et responsabilités imposés au personnel sont-ils imposés contractuellement (par le biais de conditions générales ou de clauses spécifiques) à tout prestataire intervenant au profit de l'entreprise et pouvant, de ce fait, avoir accès ou favoriser l'accès à des informations ou à des ressources sensibles ? | | | | |
Impose-t-on contractuellement à toute société prestataire pouvant avoir accès ou favoriser l'accès à des informations ou à des ressources sensibles, que ses collaborateurs signent un engagement personnel de respect des clauses de sécurité spécifiées ? | | | | |
| | 2.1.6 | Relations avec les autorités | | | | |
Maintient-on des contacts avec les autorités pouvant être concernées par la sécurité de l'information et les situations de crise (Police, Services de renseignements, Administration judiciaire, Pompiers, Services publics, etc....) ? | | | | |
| | 2.1.7 | Relations avec des groupes de spécialistes | | | | |
Assure-t-on une veille technologique en matière de sécurité (participation à des cercles, associations, congrès...) ? | | | | |
| | 2.1.8 | Revue indépendante de la sécurité de l'information | | | | |
Existe-t-il une procédure de mise à jour des notes d'organisation relatives à la sécurité des systèmes d'information en fonction des évolutions de structures ou à intervalles planifiés ? | | | | |
| 2.2 | Tiers | | | | |
| | 2.2.1 | Identification des risques provenant des tiers | | | | |
A-t-on analysé les risques liés aux accès de personnel tiers (prestataires) au système d'information ou aux locaux contenant de l'information et défini en conséquences les mesures de sécurité nécessaires ? | | | | |
| | 2.2.2 | Revue indépendante de la sécurité de l'information | | | | |
A-t-on analysé les risques liés aux accès de clients ou du public au système d'information (ou à une partie du système d'information) ou aux locaux contenant de l'information et défini en conséquences les mesures de sécurité nécessaires ? | | | | |
| | 2.2.3 | Revue indépendante de la sécurité de l'information | | | | |
A-t-on défini l'ensemble des clauses de sécurité que devrait comprendre tout accord signé avec un tiers impliquant un accès au système d'information ou aux locaux contenant de l'information ?
Le système d'information incluant les divers supports d'information ou moyens de traitement, transport et communication de l'information. | | | | |
Tout accès d'un tiers au système d'information ou aux locaux contenant de l'information n'est-il autorisé qu'après la signature d'un accord formel reprenant ces clauses ? | | | | |
| | | | | | | |
3 | Gestion des biens | O | N | NC | Commentaire |
| 3.1 | Responsabilités relatives aux biens | | | | |
| | 3.1.1 | Inventaire des biens | | | | |
A-t-on défini les types d'actifs devant être identifiés et inventoriés ?
Les actifs peuvent être des informations (bases de données, fichiers, contrats et accords, documentation, manuels, procédures, plans, archives, etc.), des logiciels (applications, firmware, middleware, outils et utilitaires, etc.), des équipements matériels (ordinateurs, équipements de réseau, media, etc.), des services et servitudes (énergie, chauffage, climatisation, etc.), des personnes ou du savoir-faire, des actifs intangibles tels que la réputation ou l'image. | | | | |
Tient-on à jour un inventaire des types d'actifs tels qu'identifiés et définis ci-dessus ? | | | | |
| | 3.1.2 | Propriété des biens | | | | |
A-t-on désigné pour chaque actif identifié et inventorié un "propriétaire" de cet actif ?
Un propriétaire est la personne ou l'entité désignée pour assumer la responsabilité du développement, de la maintenance, de l'exploitation, de l'utilisation et de la sécurité de cet actif. Le terme de propriétaire ne signifie pas que la personne ou l'entité détient un droit de propriété sur cet actif. | | | | |
| | 3.1.3 | Utilisation correcte des biens | | | | |
A-t-on défini et documenté, pour chaque actif, les règles d'utilisation acceptables ?
Ceci implique, en particulier, de définir l'usage privé qu'un collaborateur peut faire d'un actif de l'entreprise. | | | | |
| 3.2 | Classification des informations | | | | |
| | 3.2.1 | Lignes directrices pour la classification | | | | |
A-t-on défini un schéma de classification permettant d'attribuer aux informations et ressources un niveau de classification reflétant le besoin de protection de ces informations ou ressources en fonction du contexte de l'entreprise et prenant en compte les critères Disponibilité, Intégrité, Confidentialité ? | | | | |
Existe-t-il une procédure de revue périodique des classifications et l'application de cette procédure est-elle contrôlée ? | | | | |
| | 3.2.2 | Marquage et manipulation de l'information | | | | |
Ces règles sont-elles établies en fonction du niveau de classification des ressources concernées ? | | | | |
Ce schéma de classification définit-il le marquage des différents types de ressources en fonction de leur classification ? | | | | |
| | | | | | | |
4 | Sécurité liée aux ressources humaines | O | N | NC | Commentaire |
| 4.1 | Avant le recrutement | | | | |
| | 4.1.1 | Rôles et responsabilités | | | | |
Y a-t-il une procédure d'information préliminaire auprès du personnel (interne ou contracté), en ce qui concerne ses devoirs et responsabilités et les exigences de sécurité de la fonction, avant tout changement d'affectation ou embauche ? | | | | |
| | 4.1.2 | Sélection | | | | |
...