Audit

Pages: 60 (14882 mots) Publié le: 11 avril 2012
Questionnaire Sécurité du Système d’Information (QSSI)
1 | Politique de sécurité | O | N | NC | Commentaire |
| 1.1 | Politique de sécurité de l'information | | | | |
| | 1.1.1 | Document de politique de sécurité de l'information | | | | |
Existe-t-il un document décrivant la politique de sécurité des systèmes d'information et, en particulier, les principes d'organisation, demanagement et de pilotage de la sécurité (rôles et responsabilités) ainsi que les principes fondamentaux structurant le management de la sécurité de l'information ? | | | | |
| | 1.1.2 | Contrôle physique des accès | | | | |
Cette politique de sécurité est-elle revue à intervalles réguliers ou lors de changements significatifs, afin d'assurer le maintien de sa pertinence et de sonefficacité ? | | | | |
| | | | | | | |
2 | Organisation de la sécurité de l'information | O | N | NC | Commentaire |
| 2.1 | Organisation interne | | | | |
| | 2.1.1 | Engagement de la direction vis-à-vis de la sécurité de l'information | | | | |
Le management de l'entreprise est-il impliqué dans l'organisation de la sécurité de l'information et, en particulier dansl'élaboration et l'approbation de la politique de sécurité, la définition des responsabilités, l'allocation de ressources et le contrôle de l'efficacité des mesures prises ? | | | | |
| | 2.1.2 | Coordination de la sécurité de l'information | | | | |
A-t-on défini dans le détail la structure et l'organisation du management de la sécurité : RSSI et correspondants ou responsableslocaux, rôles et responsabilités respectifs et vis-à-vis des managers opérationnels, et cette structure est-elle opérationnelle ? | | | | |
Cette structure a-t-elle la capacité à alerter sans délai la Direction Générale en cas de problème grave ? | | | | |
A-t-on défini dans le détail le mode de management de la sécurité et les processus de prise de décision : méthodologie (audit devulnérabilité, analyse de risque, etc.), outils associés, acteurs (animateur, support, formation, expertise, conseils, etc.) ? | | | | |
| | 2.1.3 | Attribution des responsabilités en matière de sécurité de l'information | | | | |
A-t-on clairement défini les rôles respectifs des responsables de la sécurité, des managers opérationnels et des responsables fonctionnels de domaines(propriétaires d'information) dans la prise de décision finale, ainsi que les processus d'arbitrage ? | | | | |
A-t-on défini dans le détail un mode de pilotage global de la sécurité des systèmes d'information : tableau de bord (contenu et périodicité), structure de pilotage et d'orientation, reporting ? | | | | |
| | 2.1.4 | Système d'autorisation concernant les moyens de traitement del'information | | | | |
La mise en production de nouveaux équipements ou logiciels n'est-elle possible que par le personnel d'exploitation et selon un processus de validation et d'autorisation défini ? | | | | |
La mise en production de nouveaux systèmes ou applications n'est-elle possible que par le personnel d'exploitation et selon un processus de validation et d'autorisation défini ? | | || |
A-t-on établi une politique de sécurité relative à l'utilisation d'équipements personnels dans le cadre du travail ?
Les directives devraient traiter de l'introduction et de l'utilisation d'équipements personnels tels qu’ordinateurs portables, assistants personnels, disques externes, etc. | | | | |
A-t-on défini et mis en place des moyens de contrôle relatifs à l'usage d'équipementspersonnels ? | | | | |
| | 2.1.5 | Engagement de confidentialité | | | | |
Une note précisant les devoirs et responsabilités du personnel, a-t-elle été diffusée à l'ensemble des collaborateurs (y compris les intérimaires, stagiaires, etc.) de telle sorte qu'ils ne puissent nier en avoir eu connaissance ? | | | | |
Existe-t-il, dans les contrats d'embauche ou dans le...
Lire le document complet

Veuillez vous inscrire pour avoir accès au document.

Vous pouvez également trouver ces documents utiles

  • audit
  • Audit
  • Audit
  • audit
  • Audit
  • Audit
  • Audit
  • Audit

Devenez membre d'Etudier

Inscrivez-vous
c'est gratuit !