Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Objectifs du séminaire Présenter l’audit Présenter les référentiels potentiel

Objectifs du séminaire Présenter l’audit Présenter les référentiels potentiels pour l’audit informatique COBIT (Gouvernance IT) ITIL (Gestion des services) ISO27000 (Gestion de la sécurité de l’information) ISO27000 (Gestion de la sécurité de l’information) Présenter l’Audit de la Sécurité des Systèmes d'Information selon l’ISO 27000 L’audit Le terme « Audit » vient du latin, du verbe audire qui signifie « écouter». L'ATH énonce ce qui suit : « l'audit est l'examen d'information en vue d'exprimer sur cette information une opinion responsable et d'exprimer sur cette information une opinion responsable et indépendante par référence à un critère de qualité, cette opinion doit accroître l'utilité de l'information » ATH, Audit Financier, Edition CLET 1983, p18 L’audit Méthodologie Référentiels potentiels pour l’audit informatique COBIT (Gouvernance IT) Le référentiel COBIT est un cadre de référence et de contrôle fourni avec de nombreux outils (indicateurs, guides,…) pour les SI visant à déterminer « si les technologies de l’information sont en cohérence avec les objectifs […] et la stratégie de l’entreprise. » Guide informatique, Principe du COBIT, Guide informatique, Principe du COBIT, www.guideinformatique.com De par son utilisation, COBIT permet aux SI : • de s’aligner sur le métier de l’entreprise • d’apporter un plus aux métiers • de gérer au mieux ses ressources • de gérer les risques de façon efficace COBIT peut être analysé comme une succession d’étapes formant un cycle itératif et incrémental. Ces dernières sont : • La compréhension des objectifs métiers • Leur traduction en Référentiels potentiels pour l’audit informatique COBIT (Gouvernance IT) • Leur traduction en objectifs informatiques • La détermination des principaux processus • La mesure de leurs effets sur les objectifs précédemment définis Référentiels potentiels pour l’audit informatique ITIL (Gestion des services) ITIL à été mis en place dès 1988 par l’Organisation du commerce britannique (l’OGC). Le but premier était de rassembler des modes de pensées, de trouver les meilleurs procédés et de les rassembler dans des livres. Cette méthode se caractérise par l’utilisation d’un langage commun et d’une séparation des processus fondée sur le langage commun et d’une séparation des processus fondée sur le principe d’amélioration continue. L’objectif premier d’ITIL est de mettre sous contrôle la production au travers la mise en place de bonnes pratiques répertoriées dans plusieurs livres. Les deux tomes les plus utilisés sont le soutien et la fourniture des services informatiques. ITIL dans sa version 3 s’articule autour du catalogue de service et met l’accent sur le cycle de vie du service : Service Strategy Service Design Service Transition Service Operation Amélioration continue des services. Référentiels potentiels pour l’audit informatique ITIL (Gestion des services) Amélioration continue des services. Référentiels potentiels pour l’audit informatique ISO27000 (Gestion de la sécurité de l’information) Cette norme est très répandue sur le marché et contient les exigences concernant la mise en place un système de management de la sécurité de l’information au travers sécurité de l’information au travers de 11 domaines. ISO 27000 Processus d’implémentation et Certification Statement of Applicability Risk Treatment Plan La gestion des risques (accidents, erreurs, défaillances, malveillances) de sécurité consiste à protéger les biens de votre organisation contre les menaces pouvant subvenir. Objectif(s): Identifier et déterminer les risques qu'il faut maîtriser ou accepter en fonction des objectifs fixés par votre organisation. ISO 27000 Appréciation et traitement du risque (§ 4) accepter en fonction des objectifs fixés par votre organisation. CONTROLES ISO 27000 4.1 Appréciation du risque lié à la sécurité 4.2 Traitement du risque lié à la sécurité ISO 27000 Appréciation et traitement du risque (§ 4) ISO 27000 Politique de Sécurité de l’Information (§ 5) La Politique de Sécurité de l’Information est composée d’un ensemble de documents constitués de directives Sécurité. Ces derniers sont définis sous la forme d’un ensemble de règles. Objectif(s): Protection du patrimoine informationnel de votre organisation. organisation. CONTROLES ISO 27000 5.1.1 Document de politique de sécurité de l’information 5.1.2 Réexamen de la politique de sécurité de l’information ISO 27000 Politique de Sécurité de l’Information (§ 5) Questionnaire Est-ce qu’il existe un document qui traite de la sécurité des systèmes d’information ? Est-ce que ce document: a été approuvé par la direction ? a été communiqué et approprié par tous les employés ? est révisé régulièrement ? est révisé régulièrement ? ISO 27000 Organisation de la Sécurité de l’Information (§ 6) L'organisation de la sécurité de l'information consiste à : •définir un cadre de gestion; •préciser les rôles, responsabilités et qualifications des gestionnaires, utilisateurs, contractuels, fournisseurs de services et détenteurs des ressources informationnelles; •assurer la protection de vos ressources informationnelles; •assurer la protection de vos ressources informationnelles; •mettre en place des mécanismes de sécurité pour assurer la sécurisation de l'accès des tiers aux informations et ressources de votre organisation. •Objectif(s): Clarifier les rôles et responsabilités des acteurs en sécurité de l'information. ISO 27000 Organisation de la Sécurité de l’Information (§ 6) CONTROLES ISO 27000 6.1 Organisation interne 6.1.1 Engagement de la Direction vis-à-vis de la sécurité de l’information 6.1.2 Coordination de la sécurité de l’information 6.1.3 Attribution des responsabilités en matière de sécurité de l’information 6.1.4 Système d’autorisation concernant les moyens de traitement de l’information 6.1.5 Engagements de confidentialité 6.1.5 Engagements de confidentialité 6.1.6 Relations avec les autorités 6.1.7 Relations avec des groupes de spécialistes 6.1.8 Revue indépendante de la sécurité de l’information 6.2 Tiers 6.2.1 Identification des risques provenant des tiers 6.2.2 La sécurité et les clients 6.2.3 La sécurité dans les accords conclus avec des tiers ISO 27000 Organisation de la Sécurité de l’Information (§ 6) Questionnaire 6.1 Organisation interne Est-ce que les gestionnaires de l’organisation offrent un support actif à la sécurité de l’information (assignation de tâches, définir des responsabilités, etc.) ? Est-ce que l’organisation a un comité impliquant un représentant, de tous les départements, responsable d’assurer la sécurité des informations ? les départements, responsable d’assurer la sécurité des informations ? Est-ce que les responsabilités de la sécurité de l’information sont clairement définies ? Est-ce qu’il y a une entente de confidentialité en rapport avec les besoins de l’organisation et est-elle régulièrement révisée ? Est-ce que l’organisation collabore avec les différentes organisations ? Est-ce que l’organisation est auditée de façon indépendante ? 6.2 Tiers Est-ce que les politiques de l’organisation sont respectées par les organisations externes mandatées des systèmes de l’information? ISO 27000 Gestion des Biens (§ 7) Un inventaire de tous les biens, qu’ils soient physiques ou logiques, est établi et maintenu à jour, et il leur sera attribué un propriétaire. Le propriétaire est en charge de la mise en place de Standards de Sécurité et responsable de leur conformité. de leur conformité. Objectif(s): - Classifier et évaluer les biens de l’organisme; - S’assurer que tous les biens ont un propriétaire responsable de leur protection. ISO 27000 Gestion des Biens (§ 7) CONTROLES ISO 27000 7.1 Responsabilités relatives aux biens 7.1.1 Inventaire des biens 7.1.2 Propriété des biens 7.1.3 Utilisation correcte des biens 7.2 Classification des informations 7.2 Classification des informations 7.2.1 Lignes directrices pour la classification 7.2.2 Marquage et manipulation de l’information ISO 27000 Gestion des Biens (§ 7) Questionnaire 7.1 Responsabilités relatives aux biens Existe-t-il un inventaire de tous les actifs importants ? Est-il maintenu à jour ? Existe-t-il des règles d’utilisation des ressources ? 7.2 Classification des informations 7.2 Classification des informations Est-ce que les composantes des systèmes d’information sont classifiées ? Existe-t-il des procédures de traitement de l’information en fonction de la classification (création, diffusion, stockage, destruction, etc.) ? ISO 27000 Sécurité liée aux Ressources Humaines (§ 8) L’organisation met en place les mesures et les contrôles appropriés pour s’assurer qu’elle n’emploie que des employés, contractants et consultants dont l’attitude et le profil sont compatibles avec l’importance que l’organisation attache à la sécurité de ses employés et de ses biens. La sensibilisation et la formations techniques nécessaires doivent être pourvus. techniques nécessaires doivent être pourvus. Objectif(s): -Minimiser les risques d’erreurs humaines, de vol, de fraude ou d’utilisation inadéquate des installations; -Minimiser les dommages dus à des incidents liés à la Sécurité, contrôler et apprendre suite à de tels incidents. ISO 27000 Sécurité liée aux Ressources Humaines (§ 8) CONTROLES ISO 27000 8.1 Avant le recrutement 8.1.1 Rôles et responsabilités 8.1.2 Sélection 8.1.3 Conditions d’embauche 8.2 Pendant la durée du contrat 8.2.1 Responsabilités de la direction 8.2.1 Responsabilités de la direction 8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information 8.2.3 Processus disciplinaire 8.3 Fin ou modification de contrat 8.3.1 Responsabilités en fin de contrat 8.3.2 Restitution des biens 8.3.3 Retrait des droits d’accès ISO 27000 Sécurité liée aux Ressources Humaines (§ 8) Questionnaire 8.1 Avant le recrutement Est-ce qu’il existe une entente de confidentialité et une entente de sécurité de l’information pour les employés ? 8.2 Pendant la durée du contrat Est-ce que les politiques de sécurité de l’organisation sont enseignées aux Est-ce que les politiques de sécurité de l’organisation sont enseignées aux employés de l’organisation afin de les encourager ? Est-ce qu’il y a des uploads/Management/ audit-de-la-securite-des-systemes-d-x27-information-pdf 1 .pdf