GUIDE D ? AUDIT DES SI UTILISATION DE COBIT PO Évaluer et gérer les risques informatiques Un référentiel de gestion des risques est créé et maintenu à niveau Ce référentiel documente un niveau de risques informatiques commun et agréé des stratégies pour l
GUIDE D ? AUDIT DES SI UTILISATION DE COBIT PO Évaluer et gérer les risques informatiques Un référentiel de gestion des risques est créé et maintenu à niveau Ce référentiel documente un niveau de risques informatiques commun et agréé des stratégies pour leur réduction et les risques résiduels Tout impact potentiel d'un événement imprévu sur les objectifs de l'entreprise est identi ?é analysé et évalué Des stratégies de réduction des risques sont adoptées pour ramener le risque résiduel à un niveau acceptable Le résultat de l'évaluation doit être compréhensible par les parties prenantes et exprimé en termes ?nanciers pour permettre à ces parties de préconiser le niveau de risque tolérable Objectif de contrôle PO Référentiel de gestion des risques informatiques Mettre en place un référentiel de gestion des risques informatiques alignés sur le référentiel de gestion des risques de l'entreprise Inducteurs de valeur ? Approche cohérente de la gestion des risques informatiques ? Gestion e ?cace des risques informatiques ? Évaluation permanente des menaces et des risques informatiques pesant sur l'entreprise ? Approche élargie de la gestion des risques informatiques Inducteurs de risque ? Risques informatiques et risques métiers gérés séparément ? Non détection de l'impact d'un risque informatique sur l'entreprise ? Ma? trise des coûts insu ?sante en matière de gestion des risques ? Chaque risque est considéré comme une menace distincte sans être pris en compte dans un contexte global ? Soutien ine ?cace de la direction générale en matière d'évaluation des risques Evaluer les contrôles ? Déterminer si le référentiel de gestion des risques informatiques est en harmonie avec le référentiel de gestion des risques de l'entreprise et s'il inclut des composants orientés métiers pour la stratégie les programmes les projets et les activités Examiner la classi ?cation des risques informatiques pour s'assurer qu'ils sont basés sur un socle commun de caractéristiques issues du référentiel de gestion des risques d'entreprise Déterminer si l'estimation des risques informatiques est standardisée et hiérarchisée et si elle tient compte de facteurs alignés sur le référentiel de gestion des risques d'entreprise impact acceptation du risque résiduel et probabilités ? S'assurer que les risques informatiques sont pris en compte dans l'élaboration et la véri ?cation des plans informatiques stratégiques ? AFAI Tous droits réservés www afai fr Objectif de contrôle PO Établissement du contexte du risque Établir le contexte dans lequel s'applique le cadre d'évaluation du risque pour s'assurer d'obtenir les résultats appropriés Cela implique de déterminer le contexte interne et externe de chaque évaluation du risque le but de l'évaluation et les critères de cette évaluation Inducteurs de valeur ? Utilisation e ?cace et e ?ciente des ressources pour la gestion des risques ? Harmonie entre les priorités de gestion des risques et les besoins métiers ? Focalisation sur les risques importants et signi ?catifs ? Hiérarchisation des risques Inducteurs de risque ? Risques insigni ?ants considérés comme importants ? Risques importants ne béné ?ciant pas de l'attention qu'ils méritent ? Approche inappropriée de l'évaluation des risques Evaluer les contrôles ? Véri
Documents similaires
-
27
-
0
-
0
Licence et utilisation
Gratuit pour un usage personnel Aucune attribution requise- Détails
- Publié le Mai 08, 2021
- Catégorie Management
- Langue French
- Taille du fichier 41.2kB