Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Résumé du raport and recommendations Introduction It s’agit d’un audit prelimin

Résumé du raport and recommendations Introduction It s’agit d’un audit preliminaire pour la certification ISO27001 de 2 jours sur place, plus une journée de préparation hors site et de rédaction du rapport. J’ai conduit l’audit avec l’aide de Mademoiselle Valerie Karman comme Auditrice adjointe . L'audit a été retardé en raison des protocols Covid -19. L'audit a eu lieu entre le 10 et le 13 Janvier 2021. • La direction des services informatiques de de la mairie de la ville de "Chateaudo" ont été recommandés pour la poursuite de la recertification 27001. • Trois non-conformités mineures ont été identifiées; o Certaines entrées du journal des améliorations ont été fermées; o La documentation ISMS a été mise à jour en tant que "projet" reflétant la nouvelle structure de gestion des services informatiques de de la mairie de la ville de "Chateaudo", au lieu d'être incorrecte mais signee; o La déclaration d'applicabilité des mésures de securité doit etre mise a jour pour aussi refleter les nouvelles measures et lier les mesures de securités aux peliers: confidentialité, intégrité et disponibilité. • Trois possibilités d'amélioration ont été mises en evidence: o Le code PIN du coffre-fort des RH n'avait pas été modifié depuis un an et pouvait être connu des employés ayant quitté l'entreprise; o Le plan de continuité des activités n'a pas été testé depuis un an; o Des clauses spécifiques sur la sécurité des informations devraient être ajoutées aux responsabilités du directeur des resources humaines. Décision La direction des services informatiques de de la mairie de la ville de "Chateaudo" ont été recommandés pour la poursuite de la recertification 27001. Le Comité d'audit est invité à prendre note du rapport et Implications en termes de ressources Aucun Annexes Rapport d'audit ISO27001:2013 - Janvier 2022 Date du document 21 Janvier 2022 Rapport d’audit interne LA DIRECTION DES SERVICES INFORMATIQUES DE DE LA MAIRIE DE LA VILLE DE CHATEAUDO Dates d'évaluation Du 10 au 13 Janvier 2021 Lieu(x) d'évaluation Ville de Chateaudo Auteur du rapport Mohammed El Adama Norme(s) d'évaluation ISO/IEC 27001:2013 7 2 Table des matières Résumé exécutif .................................................................................................................................................... 4 Changements dans l'organisation depuis la dernière évaluation .................................................................................................... 4 Graphiques récapitulatifs du NCR ................................................................................................................................................. 5 Vos prochaines étapes ...................................................................................................................................................... .... 5 Processus de clôture de la RCN ........................................................................................................................................... 5 Objectif, portée et critères de l'évaluation .................................................................................................................. 6 Participants à l'évaluation ............................................................................................................................................ 7 Conclusion de l'évaluation .............................................................................................................................................. 8 Conclusions des évaluations précédentes .......................................................................................................................... 9 Les conclusions de cette évaluation ................................................................................................................................. 12 Réunion d'ouverture / Changements dans le système de gestion : ......................................................................................... 12 Direction générale : leadership et engagement, contexte de l'organisation, objectifs et cibles, et SMSI. l'amélioration des performances. 5, A.5 : ..................................................................................................................... 12 Examiner le rapport précédent, confirmer l'état du SMSI et son champ d'application : ................................................................................ 12 Contexte de l'organisation : questions internes/externes et parties intéressées. 4 : ................................................ 13 Législation et conformité. A.18 : ....................................................................................................................... 13 Gestion des risques, et déclaration d'applicabilité. 6, 8 : ..................................................................................... 14 Gestion des actifs. A.8 :...................................................................................................................................... 15 Politique et procédures ISMS, audits internes, actions correctives. 5, 7, 9,10 : ......................................................... 15 Examen de la gestion et suivi de l'efficacité du SMSI : ......................................................................... 16 Sécurité des ressources humaines / Planification des ressources. 7, A.7 : ....................................................................................... 17 Contrôle d'accès et cryptographie. A.9. A.10 : .......................................................................................................... 18 Sécurité des opérations. A.12 : ................................................................................................................................... 19 Sécurité des communications. A.13 : .......................................................................................................................... 20 Acquisition, développement et maintenance de systèmes. A.14 : ................................................................................. 21 Sensibilisation à la sécurité A.7.2.2 : ................................................................................................................................ 21 Sécurité physique et environnementale A.11 : ............................................................................................................. 24 Continuité des activités A.17 : .................................................................................................................................... 25 Gestion des incidents de sécurité A.16 : .................................................................................................................. 26 Relations avec les fournisseurs A.15 : ................................................................................................................................ 26 Mise à jour du plan triennal et accord sur les dates de la prochaine visite : .......................................................................................... 27 3 Non-conformités mineures (3) découlant de cette évaluation......................................................................................... 28 Objectifs, portée et critères de la prochaine visite ................................................................................................................... 30 Plan de la prochaine visite ........................................................................................................................................................ .. 31 Annexe : Votre structure de certification et votre programme d'évaluation continue ........................................................... 32 Portée de la certification ......................................................................................................................................... .. 32 Lieu(x) évalué(s) ............................................................................................................................................. 32 Programme d'évaluation de la certification .................................................................................................................. 33 Exigences obligatoires - recertification .......................................................................................................... 34 Définitions des résultats : ......................................................................................................................................... 35 Comment contacter BSI .............................................................................................................................................. 36 Notes ................................................................................................................................................... ................ 36 Conformité réglementaire ...................................................................................................................................... .. 37 Résumé exécutif Conformément à la direction stratégique de l'organisation et aux résultats escomptés du système de gestion de la sécurité de l'information, en particulier en ce qui concerne les domaines évalués lors de cette evaluation, il a été identifié que le système de gestion de la securite de l’information de la merie de la ville de Chateaudo a démontré qu'il est conçu pour soutenir la direction stratégique et qu'il fournit les résultats escomptés. Il a été constaté que l'organisation continuait à maintenir et à améliorer les processus de manière efficace, en particulier dans les domaines suivants :  Documentation couvrant tous les aspects des politiques et des exigences en matière de SI avant la date de début du present audit interne;  Éducation et sensibilisation du personnel; et  Prise en compte des SI dans la gestion des projets; Toutefois, il existe d'autres possibilités d'amélioration qui réduiront les risques et contribueront à l'obtention du résultat escompté:  Clôture et évaluation des non-conformités presents. Tous les participants à l'audit sont remerciés pour l'aide qu'ils ont apportée au bon déroulement de l'audit et au respect du calendrier. Changements dans l'organisation depuis la dernière évaluation Les changements suivants concernant la structure de l'organisation et le personnel clé impliqué dans le système de gestion certifié ont été notés :  La direction des service informatiques a été rationalisée de quinze à dix personnes; prenant effet à partir du 13/11/2021. Cela a permis une consolidation des départements d'un point de vue managérial; cependant, il n'y a pas eu de changement significatif dans l'effectif.  Aucun changement par rapport aux activités ou services de la direction auditée couverts par la portée de la certification n'a été identifié.  Il n'y a pas eu de changement dans les documents de référence ou normatifs qui sont liés à la portée de la certification. Graphiques récapitulatifs N o n -c o n fo r m i t és m aj eu r es N o n -c o n fo r m i t és m i n eu r es Ob ser v ati o n s 0 3 3 Vos prochaines étapes Processus de clôture de la NCR Les mesures correctives concernant les non-conformités soulevées lors de la dernière évaluation ont été examinées. Il a été constaté que les actions n'ont pas été efficacement mises en œuvre dans tous les domaines. Ces domaines, identifiés dans les sections suivantes du rapport, feront l'objet d'un examen plus approfondi en vue de leur clôture lors de la prochaine évaluation. 3 non-conformités mineures nécessitant une attention particulière ont été identifiées. Celles- ci, ainsi que d'autres conclusions, sont présentées dans les sections suivantes du rapport. Une non-conformité mineure concerne une seule défaillance identifiée, qui en soi n'indique pas une défaillance dans la capacité du système de management à maîtriser efficacement les processus pour lesquels il a été conçu. Il est nécessaire d'étudier la cause sous-jacente de tout problème pour déterminer l'action corrective. La mise en œuvre effective de l'action proposée sera examinée lors de la prochaine évaluation. Veuillez vous référer à la section Conclusion et recommandation de l'évaluation pour connaître la soumission requise et le calendrier défini. Objectif, portée et critères de l'évaluation L'objectif de l'évaluation était de procéder à une réévaluation de la certification existante pour s'assurer que les éléments de la portée d'enregistrement proposée et les exigences de la norme de gestion sont effectivement pris en compte par le système de gestion de l'organisme. Le champ d'application de l'évaluation est le système de management documenté en relation avec les exigences de la norme ISO27001 et le plan d'évaluation défini fourni en termes de lieux et de zones du système et de l'organisation à évaluer. Les critères d'évaluation sont ISO27001:2013 en relation avec la documentation du système de gestion du Health and Care Professions Council. Participants à l'évaluation Nom Position Réunion d'ouverture Réunion de clôture Interviewé (processus) Jhon Lavergne Directeur des services informatiques X X X Albert Suerte RSI X X X Michelle Leclerc Directeur des resources informatiques X Anne Salome Responsable du support informatique X Samuel Edgar Analyste principal du soutien aux services X Ahmed Rabiee Ingénieur en infrastructure X Leena Adam Chef de projet senior X Carole Saleh Responsable des finances X Leah Saltee Directuer des achats X Anne Adam Responsable de l'infrastructure informatique X Conclusion de l'évaluation et recommandation Les objectifs de l'audit ont été atteints et la portée du certificat reste appropriée. L'équipe d'audit conclut, sur la base des résultats de cet audit, que l'organisation respecte les normes et les critères d'audit identifiés dans le rapport d'audit et que le système de gestion continue à atteindre les résultats escomptés. L’organization est donc declaree prete pour l’audit du certification planifie pour Fevrier 2022. 9 Conclusions des évaluations précédentes Référence NCMN/10/2020 uploads/Management/ resume-du-raport-and-recommendations 1 .pdf