Beruflich Dokumente
Kultur Dokumente
Description
Processus
1. Les instances de gouvernance qui pilotent ce
processus sont-elles comptentes pour pouvoir
orienter les SI y concourant ?
2. Existe-t-il une cohrence entre les outils
informatiques et les processus quils servent ?
3. La scurit physique et logique des donnes,
informations, applications et infrastructures estelle en cohrence avec lanalyse des risques de
ce processus ?
4. Existe-t-il un dispositif de contrle interne
destin matriser ce processus ? Est-il
pertinent ? Les outils informatiques y
contribuent-ils de manire efficace et efficiente ?
5. L'organisation du traitement des donnes
prvoit-elle une sparation adquate des
fonctions ?
Logiciels et applications informatiques
OUI
NON
N/A
Pour chaque application informatique,
existe-t-il une documentation
utilisateur, un dossier d'exploitation, et un
dossier de maintenance ? Ces
documentations sont-elles rgulirement
mises jour en cas de changement de
versements et sont-elles conserves en lieu
sr ?
Exigences lgales
22. Lentreprise dispose-t-elle de tous les droits
daccs relatifs chaque logiciel ?
23. Les prescriptions et les exigences lgales
concernant les logiciels sont-elles respectes ?
Axe 4 : Donnes
Les donnes, surtout lorsquelles sont suffisamment importantes pour susciter un
audit, sont parmi les actifs les plus prcieux dune organisation. La qualit des
donnes est gnralement indispensable au bon droulement des processus. Elle
porte souvent un enjeu financier (rfrences fournisseurs, lments de calcul de
la paie, etc.), parfois vital (sagissant par exemple des dossiers mdicaux
informatiss).
La qualit de la donne est duale : elle est interne , sagissant par exemple de
lexactitude de la donne, mais aussi externe , notamment les mtadonnes
sy rapportant. En effet, la catgorisation dune donne (identification de
donnes comme tant sensibles, telle des coordonnes bancaires ou des
critures comptables, des donnes personnelles, ou relevant du secret industriel,
mdical, de la dfense nationale, etc. devant ce titre tre protges), qui
conditionne le rgime qui lui est applicable (droits daccs et de modification),
peut tre aussi importante que la donne elle-mme.
Description
L'accs aux locaux abritant le matriel informatique (serveurs et autres) est-il
limit
aux seuls administrateurs du systme informatique ?
La procdure de scurit logique des donnes est-elle formalise,
connue et applique par tous les acteurs concerns de l'organisation ?
Dcrire succinctement les grandes lignes de cette procdure ?
Cette procdure de scurit logique des donnes permet-elle de couvrir les
trois objectifs suivants
-L'intgrit des donnes,
-La confidentialit, consistant assurer que seules les
personnes autorises ont accs aux ressources,
-La disponibilit, permettant de maintenir le bon
fonctionnement du systme informatique
Si cette procdure n'est pas formalise, essayer de dgager au vu des
entretiens avec le responsables informatique les modalits de gestion de la
scurit des donnes informatiques.
Est-il tabli une liste des risques et menaces relatives la gestion des
donnes, encourus par l'organisation ?
Est-il tabli une matrice des solutions et actions entreprendre pour
contrer ces risques et menaces ?
Les procdures dautorisation aux ressources dont Internet sont-elles
limites et contrles ?
Des sessions de formation et de sensibilisation sont-elles organises au profit
personnel dans ce cadre ?
Comment est gre la protection des donnes ?
Est-il formalise une procdure dIdentification / Authentification pour
protger les donnes contre des accs frauduleux ou malveillants aux
ordinateurs de lorganisation
Est-il formalise une procdure de Sauvegarde / Restauration pour
conserver les donnes sensibles en scurit afin de les restaurer en
cas de sinistre (erreur humaine, incendie, virus, etc.) procdure de
contrle des accs, procdures de sauvegarde et de restauration des
donnes ?
Le systme de stockage et de sauvegarde des donnes est-il volutif ?
Politique de sauvegarde
OUI
NON
N/A
d'ordinateur, logiciel)
Une documentation adquate et scurise / back-up
des donnes et des programmes
Les copies de sauvegarde et la documentation du
systme sont-elles conserves dans un endroit sr?
le transport de fichiers est-il sous protection physique
adequate.
les fichiers de sauvegarde sont-ils tests
priodiquement
Au moins trois gnrations de fichiers de bandes
importantes sont-elles retenues?
Des copies de toutes les transactions de mise jour
sont-elles gardes ?
Description
Oui
Non
N/A