Page de titre
-
N° de document
-
Titre du audit
-
Client / site
-
Réalisé le
-
Préparé par
-
Position
-
Personnel
Organisation de la sécurité
Organisation et pilotage de la sécurité générale
-
Tous les domaines concernés par la sécurité ont-ils un responsable désigné [sécurité informatique et télécom, sécurité générale de l'environnement de travail (documents, télécopie, téléphone), sécurité physique générale des sites et locaux] ou un interlocuteur privilégié [DRH pour les actions de sensibilisation, la formation, les contrats de travail, la gestion des comptes utilisateurs et des droits d'accès divers, le traitement (punitif) des opérations délictueuses ou illicites et la négligence interne] ?
-
La démarche de sécurité est-elle clairement reconnue et soutenue par la Direction Générale ?
Organisation et pilotage de la sécurité des systèmes d'information
-
Existe-t-il un document décrivant la politique de sécurité des systèmes d'information et, en particulier, les principes d'organisation, de gestion et de pilotage de la sécurité (rôles et responsabilités) ainsi que les principes fondamentaux structurant le management de la sécurité de l'information ?
-
Cette politique de sécurité est-elle revue à intervalles réguliers ou lors de changements significatifs, afin d'assurer le maintien de sa pertinence et de son efficacité ?
-
Établit-on annuellement un plan de sécurité des systèmes d'information regroupant l'ensemble des plans d'action, moyens à mettre en oeuvre, échéancier, budget ?
Devoirs et responsabilités du personnel et du management
-
Les devoirs et responsabilités du personnel quant à l'utilisation, la conservation et l'archivage des informations et à la protection du secret sont-ils précisés dans une note ou document mis à la disposition du management ?
-
Ce document précise-t-il les devoirs et responsabilités du personnel quant à l'utilisation et la protection des moyens d'authentification (mots de passe, clés, tokens, badges, etc.) mis à sa disposition ?
-
Les devoirs et responsabilités du personnel précisent-ils la conduite à tenir lorsque le poste est laissé vacant (fermeture de session, logoff, écran de veille, verrouillage, etc.) ?
-
Les devoirs et responsabilités du personnel quant à l'utilisation et la protection des biens et ressources de l'entreprise sont-ils précisés dans une note ou document mis à la disposition du management ?
-
Ces notes précisent-elles ce qui est toléré et les limites à ne pas dépasser (usage des biens de l'entreprise à des fins personnelles, par exemple) ?
-
Ces notes précisent-elles la conduite à tenir en cas de dépassement ou d'abus ?
Directives générales relatives à la protection de l'information
-
Existe-t-il un document définissant les règles à appliquer en ce qui concerne l'exploitation des ressources informatiques (réseaux, serveurs, etc.), des services de communication électronique et des réseaux sans fil ?
Protection des actifs ayant valeur de preuve
-
A-t-on identifié et répertorié les actifs susceptibles d'être utilisés comme éléments de preuve ?
