Evaluation Gouvernance de la Sécurité de l'information



Documents pareils
ISO la norme de la sécurité de l'information

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

La gestion du personnel

État Réalisé En cours Planifié

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

dans un contexte d infogérance J-François MAHE Gie GIPS

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Description de l entreprise DG

Panorama général des normes et outils d audit. François VERGEZ AFAI

Sécurité des Postes Clients

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

LA CONTINUITÉ DES AFFAIRES

RESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien

Menaces et sécurité préventive

La haute disponibilité de la CHAINE DE

Gestion des Incidents SSI

Autodiagnostic des Organismes de formation du Languedoc-Roussillon

Questionnaire de vérification pour l implantation de la norme ISO dans une entreprise

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

L analyse de risques avec MEHARI

Migration vers le Libre

Business et contrôle d'accès Web

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

La politique de sécurité

Les risques HERVE SCHAUER HSC

Spécifications de l'offre Surveillance d'infrastructure à distance

Projet d'infrastructure Cloud

Bibliographie. Gestion des risques

Questionnaire aux entreprises

La sécurité des systèmes d information

Cette charte devra être lue et signée par l ensemble des utilisateurs du matériel informatique de l EPL.

Créer un tableau de bord SSI

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Sécurité informatique : règles et pratiques

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Sage 50 Comptabilité. Solutions logicielles en nuage, sur place et hybrides : Qu'est-ce qui convient le mieux à votre petite entreprise?

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

Fiche de l'awt La sécurité informatique

Programme Informatique de la Faculté de biologie et de médecine (Charte informatique)

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Comment protéger ses systèmes d'information légalement et à moindre coût?

L'AUDIT DES SYSTEMES D'INFORMATION

Général. C. La présente proposition doit être signée et datée par un responsable de votre entreprise, de même que chaque feuille annexe.

ISO/CEI 27001:2005 ISMS -Information Security Management System

Symantec Control Compliance Suite 8.6

Solutions McAfee pour la sécurité des serveurs

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Politique de sécurité de l actif informationnel

La sécurité informatique

SITES E COMMERCE : Formulaire à compléter

Le rôle Serveur NPS et Protection d accès réseau

Mise à jour des compétences d'administrateur Exchange Server 2003 ou 2007 vers Exchange Server 2010

Achat de matériel informatique (PC, Portables, Serveurs) Aspects développement durable. Matinfo3 CNRS

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

La sécurité IT - Une précaution vitale pour votre entreprise

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

FICHE TECHNIQUE : SANTE ET SECURTE AU TRAVAIL

Les principes de la sécurité

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

QUESTIONNAIRE DE PRE-AUDIT. Rubrique n 1 : Présentation de l entreprise

Mobilité et sécurité

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Le contrat SID-Services

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

HES SO Fribourg. Directives d utilisation. des équipements informatiques

terra CLOUD Description des prestations SaaS Backup

Le pilotage d'un parc informatique par le TCO

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Prestataire Informatique

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

3 - Sélection des fournisseurs Marche courante Conditionnement Transport Livraison... 5

Dossier d'étude technique

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

1. GOUVERNANCE IT (INFORMATIQUE ET TÉLÉCOMS)

MICROSOFT ONENOTE ET TOSHIBA ÉTUDE DE CAS DE SOLUTION CLIENT

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

La protection de la vie privée et les appareils mobiles

Outil 5 : Exemple de guide d évaluation des auditeurs internes

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Audit interne. Audit interne

XTRADE TRADING CFD EN LIGNE. XTRADE - XFR Financial Ltd. CIF 108/10 1

Symantec Backup Exec.cloud

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Guide DinkeyWeb. DinkeyWeb solutions d authentification et de contrôle d accès WEB

Transcription:

CLUSIS Association suisse de sécurité des systèmes d'information Case postale 9 1000 Lausanne 26 Evaluation Gouvernance de la Sécurité de l'information Organisation: Date: Lieu: Interlocuteur(s): Consultant: Sections sélectionnées: Section 1 - Dépendance aux systèmes d'information Section 2 - Gestion du risque Section 3 - Ressources humaines Section 4 - Processus Section 5 - Technologie Score : Ce questionnaire d évaluation de la Gouvernance de la sécurité des systèmes d'information a été développé par le groupe de travail security-task-force de www.educase.com et traduit de l anglais par mes soins. Son but est de permettre une évaluation rapide du niveau de gestion de la sécurité des systèmes d'information au sein d une organisation, et ceci par rapport à sa dépendance de l informatique dans le cadre de son métier. Après avoir répondu au mieux possible aux questions des 5 sections, il faut reporter les totaux de chaque section sur la dernière page, ce qui permet de déterminer le score final d après un classement sur 3 niveaux : faible, à améliorer et bon. Le document original en anglais peut-être téléchargé depuis le lien suivant : http://www.educause.edu/ir/library/pdf/sec0421.pdf Claude Maury 17.11.2008 Page 1/11

Section 1 - Dépendance aux systèmes d'information Très Basse = 0; Basse = 1; Moyenne = 2; Haute = 3; Très Haute = 4 1 Chiffre d'affaires de votre compagnie: < 10 millions - Réponse = 0 10 à 100 millions - Réponse = 1 100 millions à 1 milliard - Réponse = 2 1 milliard à 10 milliards - Réponse = 3 > 10 milliards - Réponse = 4 2 Nombre employé(e)s: < 500 personnes - Réponse = 0 500 à 1'000 personnes - Réponse = 1 1'000 à 5'000 personnes - Réponse = 2 5'000 à 20'000 personnes - Réponse =3 > 20'000 personnes - Réponse = 4 3 Dépendez-vous des systèmes d'informations pour offrir vos produits ou vos services à vos clients? 4 Quelle est la valeur de votre capital intellectuel stocké ou transmis sous forme électronique? 5 Quel est l'impact sur votre business d'une interruption majeure de votre système d'information? 6 Quelle est la fréquence d'extensions, d'acquisitions, de fusions, d'ouvertures de nouveaux marchés, etc.? 7 Quel est l'impact d'une coupure majeure d'internet sur votre business? 8 Dépendez-vous d'autres filiales de votre organisation pour réaliser votre chiffre d'affaires? 9 Avez-vous des plans pour une extension multisite de votre organisation, des fonctions business outsourcées, etc..) 10 Quel est l'impact sur votre infrastructure critique de business en cas de compromission de votre système d'information? 11 Les parties prenantes de votre business sont-elles sensibilisées à la protection des informations? 12 Les parties prenantes de votre business sont-elles sensibilisées à la sécurité des informations? 13 Dépendez-vous de lois nationales ou internationales telles que LPD, Sarbannes Oxley, Bâle 2, etc.? 17.11.2008 Traduction française Claude Maury Page 2/11

Section 1 - Dépendance aux systèmes d'information Très Basse = 0; Basse = 1; Moyenne = 2; Haute = 3; Très Haute = 4 14 Quel serait l'impact d'un incident informatique sur votre réputation? 15 Est-ce que votre traitement de l'information dépend de tiers (outsourcing, gestion de servces, etc.)? 16 Est-ce que votre organisation a un dép. de recherche faisant de vous une cible potentielle d'espionnage ou d'attaque? Score Dépendance aux systèmes d'information 17.11.2008 Traduction française Claude Maury Page 3/11

Section 2 - Gestion du risque Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 1 Avez-vous une politique de sécurité pour votre organisation? 2 Avez-vous conduit une analyse de risque pour identifier les objectifs clés de votre business devant être encadré par un programme SSI? 3 Avez-vous identifié les objectifs clés du business qui doivent être supporté par un programme SSI? 4 Avez-vous identifié les menaces et les vulnérabilités associées aux fonctions et aux biens critiques de votre business? 5 Le coût engendré par la perte d'un bien ou d'une fonction a-t-il été évalué? 6 7 Avez-vous un processus SSI permettant de mesurer les risques et de spécifier les actions et priorités à mettre en œuvre pour couvrir les risques identifiés? Avez-vous une stratégie SSI permettant de réduire les risques à un niveau acceptable avec un minimum de perturbation sur le business? 8 Est-ce que votre stratégie SSI est revue et mise à jour périodiquement ou lors d'un changement significatif de votre business? 9 Avez-vous un processus de veille législative permettant de déterminer l'impact et l'applicabilité de tout changement sur votre business? Score Gestion du risque 17.11.2008 Traduction française Claude.Maury page 4/11

Section 3 - Ressources humaines Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 1 Est-ce qu'il y a dans votre organisation une personne responsable de la sécurité de l'information? 2 Les personnes du groupe SSI ont-elles les qualifications et l'expérience requises? 3 La personne responsable de la SSI a-t-elle l'autorité requise pour gérer et assurer la conformité au programme SSI? 4 La personne responsable de la SI a-t-elle les ressources nécessaires pour gérer et assurer la conformité au programme SSI? 5 Les responsabilités sont-elles clairement définies pour tous les processus de SSI: architecture, conformité, processus et audits? 6 Est-ce qu'il y a un responsable (interne ou externe à la SSI) des plans de continuité des activitées en cas de désastre? 7 Avez-vous un plan de formation continue pour les membres de l'équipe SSI? 8 Est-ce qu'il y a une personne chargée de la coordination SSI avec les secteurs du business et de la production de l'organisation? 9 Les dép. RH, légal, communication et formation sont-ils impliqués dans les développements des directives SSI? 10 Des rapports concernant la conformité et l'efficacité des mesures SSI sontils publiés régulièrement pour la direction? 11 Les cadres supérieurs de l'entreprise sont-ils responsable de l'approbation du programme et des directives SSI? 12 13 Les cadres de l'entreprise sont-ils rendus responsables de l'application par le personnel des mesures SSI? Avez-vous des programmes de sensibilisation SSI pour tout le personnel interne et externe concernant les directives SSI et leurs responsabilités envers la SSI? Score Ressources humaines 17.11.2008 Traduction française Claude Maury Pages 5/11

Section 4 - Processus Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 1 Avez-vous une architecture SSI basée sur les résultats d'une analyse de risques et d'une stratégie SSI? 2 Cette architecture SSI est-elle remise à jour périodiquement pour prendre en compte les nouveaux besoins stratégiques ou les nouvelles menaces? 3 Les systèmes existants sont-ils revus lorsqu'il y a un changement dans l'architecture SSI? 4 Le personnel SSI est-il impliqué pour estimer les impacts SSI lors de l'évaluation et de l'introduction d'un nouveau système? 5 Existe-t-il une procédure pour traiter un nouveau système non conforme à l'architecture et aux standards SSI? 6 Avez-vous une procédure de classification de l'information et des biens permettant d'appliquer un niveau approprié de sécurité? 7 Existe-t-il une CMDB (Configuration Management DataBase) pour tous les systèmes et applications informatiques? 8 Existe-t-il une directive et des procédures pour tester et appliquer toutes les corrections concernant des vulnérabilités à un système? 9 Les directives SSI sont -elles compréhensibles et facilement accessibles à toutes les personnes de l'organisation? 10 Existe-t-il une méthode de diffusion des directives, standards et procédures SSI? 11 Les conséquences en cas de non-respect des directives et des standards SSI sont-elles communiquées et appliquées? 12 Existe-t-il une procédure permettant de traiter les exceptions aux directives SSI? 13 L'impact sur les ressources et les coûts engendrés par une modification majeure ou une nouvelle directive SSI est-il évalué au préalable? 14 Est-ce que vos directives de sécurité mentionnent les risques identifiés lors de votre analyse de risques? 15 Vos directives SSI sont-elles incluses dans tous vos contrats avec des tiers? 16 La SSI est-elle incluse dans toutes décisions importantes de l'organisation? 17.11.2008 Traduction française Claude Maury Pages 6/11

Section 4 - Processus Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 17 Est-ce qu'une directive SSI (RUA - Règlement des Usages Acceptable) responsabilise individuellement chaque personne de l'organisation? 18 Existe-t-il des directives d'utilisation de l'internet, de la messagerie et des biens informatiques (RUA - Règles des Usages Acceptables)? 19 Existe-t-il une directive concernant la protection des biens informationnels de l'organisation et de la propriété intellectuelle? 20 Existe-t-il une directive concernant la protection de la sphère privée? 21 Existe-t-il une directive concernant la gestion des comptes informatiques? 22 Existe-t-il une directive concernant la gestion des droits d'accès? 23 Existe-t-il une directive concernant la classification, la rétention et la destruction des informations? 24 Existe-t-il une directive concernant le partage des informations en dehors de l'organisation? 25 Existe-t-il une directive concernant la gestion des vulnérabilités (gestion des patches, antivirus, etc.)? 26 Existe-t-il une directive concernant les plans de continuité des activités? 27 Existe-t-il une directive concernant la gestion des incidents de sécurité? 28 Existe-t-il une directive concernant la surveillance et les mesures coercitives? 29 Existe-t-il une directive concernant les procédures de gestion des changements? 30 Existe-t-il une procédure écrite concernant la sécurité physique et les procédures d'évacuation? 31 Existe-t-il une procédure écrite concernant l'annonce d'événements de sécurité affectant des tiers, partenaires, clients, etc.. 32 Existe-t-il une directive concernant le déclenchement d'investigations et la correction de défaillances SSI? 17.11.2008 Traduction française Claude Maury Pages 7/11

Section 4 - Processus Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 33 Existe-t-il une directive concernant le stockage hors site des copies de sauvegarde? 34 Existe-t-il une procédure écrite concernant la destruction de média contenants des informations confidentielles? 35 Existe-t-il mesures et des contrôles physiques (badges électronique, biométrie, etc.) d'accès aux locaux critiques? 36 Existe-t-il des mesures anti-effraction pour les locaux protégés? 37 Les équipements critiques sont-ils protégés des accidents environnementaux (panne électricité, inondations, feu, etc.)? 38 39 40 41 42 43 Avez-vous un inventaire de vos équipements et logiciels utilisés pour appliquer la SSI? Avez-vous un processus de gestion des configurations pour s'assurer que les changements à appliquer sur des systèmes critiques sont nécessaires au business et ont reçu une autorisation? Faites-vous des audits périodiques pour vous assurer que les pratiques, les contrôles et les techniques SSI sont mis en œuvre selon le cahier des charges SSI? Faites-vous pour chaque unité du business des audits externes de la mise en application de votre programme de sécurité? Est-ce que chaque audit périodique évalue l'efficacité de vos directives, procédures et pratiques selon un échantillonnage représentatif de chaque unité business? Est-ce que chaque audit périodique évalue pour chaque unité business leur conformité au cadre SSI (directives, standards et procédures)? 44 Avez-vous un système de mesure et de rapport des performances SSI (tableau de bord)? Score Processus 17.11.2008 Traduction française Claude Maury Pages 8/11

Section 5 - Technologie Non existant = 0; En projet = 1; en cours de mise en oeuvre = 2; 1 Est-ce vos serveurs accessibles depuis internet sont protégé par des niveaux de sécurité (DMZ, firewalls, Netowork IDS, etc.)? 2 Est.ce que des contrôles sont effectués entre les niveaux de sécurité et les niveaux des applications? 3 Est-ce que le réseau, les serveurs et les applications sont périodiquement analysés pour vérifier l'intégrité des configurations? 4 Surveillez-vous en temps réel votre réseau pour détecter toutes tentatives d'intrusion? 5 Avez-vous une procédure de change mgt concernant tous les changement relatifs à la SSI? 6 Vos données confidentielles sont-elles chiffrées et les clés de chiffrement déposées dans un séquestre des clés de chiffrement? 7 Existe-t-il une procédure de gestion pour gérer les accès (comptes, clés de chiffrage, ) de la création à la répudation de l'accès? 8 Est-ce que vos systèmes et applications utilisent des règles de gestions des mots de passe? 9 Utilisez-vous des systèmes d'authentification de haut niveau pour accéder aux biens classés confidentiels? 10 Appliquez-vous des limites de temps aux privilèges d'accès et d'administration? 11 Appliquez-vous des limites de temps (timeout) aux sessions de login et des verrouillages aux erreurs de login? 12 Protégez-vous vos accès WiFi? 13 Vos serveurs DNS et DHCP sont-ils sécurisés? 14 Vos accès réseau depuis l'extérieur sont-ils sécurisés (VPN)? 15 Protégez-vous chaque PC par un antivirus et un firewall pour les PC portables? 16 Vérifiez-vous que les mises à jour des antivirus sont effectuées régulièrement? 17.11.2008 Traduction française Claude Maury Pages 9/11

Section 5 - Technologie Non existant = 0; En projet = 1; en cours de mise en oeuvre = 2; 17 Appliquer vous régulièrement les patches (corrections) de sécurité concernant les serveurs et les PCS? 18 Existe-t-il un point de contact (Service Desk) pour annoncer toutes anomalie ou alarmes concernant la SSI? Score Technologie 17.11.2008 Traduction française Claude Maury Pages 10/11

Classement de dépendance Dépendance aux systèmes d'information Choisir la correspondance de valeur située entre les colonnes Min et Max pour déterminer le classement de votre dépendance aux systèmes d'information Min Max Dépendance 0 8 Très Basse 9 16 Basse 17 32 Moyenne 33 48 Haute 49 64 Très haute Score Gestion du risque Score Ressources Humaines Score Processus Selon votre classement de dépendance aux systèmes d'information, choisir la correspondance de votre score total avec les écarts de valeurs de la colonne «Score total» pour déterminer votre niveau de gouvernance SSI Score Technologie Score total Evaluation globale de la gouvernance SSI Dépendance aux systèmes d'information Très haute Score total 0 199 Faible Gouvernance SSI 200 274 A améliorer 275 336 Bon 0 174 Faible Haute 175 249 A améliorer 250 336 Bon 0 149 Faible Moyenne 150 224 A améliorer 225 336 Bon 0 124 Faible Basse 125 199 A améliorer 200 336 Bon 0 99 Faible Très basse 100 174 A améliorer 175 336 Bon 17.11.2008 Traduction française Claude Maury Pages 11/11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back