Conclusion générale
Nous avons essayé le long de cet audit d'être le
plus objectif possible dans nos analyses, malgré la difficulté de
juger notre propre activité.
L'audit interne est une occasion précieuse dont il faut
profiter, car nous avons pu dégager à travers cet audit nos
propres insuffisances. Ce ci nous incite à préparer un plan
d'action qui va tenir compte de toutes les recommandations mentionnées
dans ce rapport d'audit.
Par conséquent, nous estimons que l'audit interne
deviendra une coutume de l'office qui sera planifié tous les 6 mois,
afin d'actualiser et de réviser la situation de la
sécurité au niveau de l'Office.
En fin de cette mission, nous proposons la panification d'une
autre étude visant à mettre en oeuvre un système d'analyse
et de gestion des risques (RIAMS) qui couvre tous les sites et toutes les
activités même d'ordre secondaire, ce représentera une
généralisation du RIAMS mis en oeuvre durant cette mission, ce
permettra certainement d'améliorer la situation et d'apporter la
finalisation necessaire à ce RIAMS, permettant ainsi de calculer le
niveau de risque, d'évaluer l'évolution de la situation et
d'offrir un tableau de bord métrique pour le décideur, afin de
bien cibler les investissements en matière de sécurité et
rendre le système de management de sécurité d'information
plus efficace.
Rapport d'audit de la sécurité Informatique
de l'ONT 105/125
Bibliographie
[1] ISO 19011:2002 (F), lignes directrices pour
l'audit des systèmes de
management de la qualité et/ou de management
environnemental, Octobre 2002.
[2] ISO/IEC 17799:2000, Information
technology, Code of practice for information security management.
[3] BS 7799-2:2002, Information security
management systems, Specification with guidance for use.
[4] Microsoft official course 2113A, Conception
de la sécurité pour les réseaux Microsoft.
[5] C. LLORENS, L. LIVIER, Tableau de bord de
la sécurité réseau.
[6] XICom Rapport de Synthèse d'audit
2003 pour ONT
[7] XICom Rapport de Solution proposée
2003
[8] XICom Rapport Détaillé
d'audit 2003 pour ONT
[9] S. M. Bellovin et W. R. Cheswick :
Firewalls et Sécurité Internet, Edition
Addison-Wesley.
Rapport d'audit de la sécurité Informatique
de l'ONT 106/125
Questionnaire
Nom auditeur : Rahmoune Mohamed Ali
Date de l'Audit : 12-01-2006
Questions
Chap.1 : Politique de Sécurité
Questions
Réponse
1,1 Politique de sécurité
|
|
« La Direction a-t-elle publié la politique de
sécurité de
|
|
|
1
|
1 -
|
l'information de l'établissement ? »
|
OUI/NON
|
|
|
« Existe-t-il un responsable nommément
désigné de la mise en
|
|
|
1
|
1 -
|
oeuvre et du suivi de la politique de sécurité ?
»
|
OUI/NON
|
|
Chap.2 : Management de la
Sécurité
|
organisation de la securité
|
2 1 -
|
« La politique de sécurité de l'information
fournit-elle les lignes directrices sur l'attribution des rôles et des
responsabilités concernant la sécurité de l'information et
du système d'information dans l'établissement (niveau
décisionnel, de
|
OUI/NON
Rapport d'audit de la sécurité Informatique
de l'ONT 107/125
|
|
pilotage, opérationnel) ? »
|
|
|
2
|
1 -
|
« Existe-t-il un Comité de sécurité du
système d'information »
|
OUI/NON
|
|
2
|
1 -
|
« Existe-t-il un RSSI dans l'établissement, avec une
fiche de poste, ainsi qu'une délégation formelle mentionnant ses
attributions et ses moyens d'action. »
|
OUI/NON
|
|
2
|
1 -
|
« Existe-t-il un Comité opérationnel de
sécurité du système d'information, chargé
d'assister le RSSI dans le pilotage et la coordination des actions de
sécurité, ou dans les petites structures, la direction a-t-elle
indiqué que l'action du RSSI doit être appuyée et
réalisée avec le concours des responsables opérationnels ?
»
|
OUI/NON
|
|
2
|
1 -
|
« Le RSSI, son correspondant sécurité, ou le
Comité opérationnel de sécurité du système
d'information, est-il saisi d'une demande d'avis lors de l'introduction de
nouvelles configurations ou applications dans le système d'information ?
»
|
OUI/NON
|
|
2
|
1 -
|
« L'établissement adhère-t-il a un CERT?
»
|
OUI/NON
|
|
2
|
1 -
|
« L'établissement a-t-il déjà fait
procéder à un examen de la qualité de l'application de la
politique de sécurité, mené par un expert
indépendant ? »
|
OUI/NON
|
strategie de mise en oeuvre
|
|
|
OUI/NON
|
|
|
« L'établissement a-t-il procédé
à l'auto-évaluation de son niveau
|
|
|
2
|
2 -
|
de sécurité
|
|
|
2
|
2 -
|
« L'établissement a-t-il formalisé et
budgétisé son plan d'actions
|
OUI/NON
|
Rapport d'audit de la sécurité Informatique
de l'ONT 108/125
sécurité pluriannuel ?»
OUI/NON
|
2 2 -
|
« L'établissement procède-t-il
régulièrement à une évaluation des risques, et
a-t-il procédé à leur évaluation en terme d'impact
sur l'hôpital ?»
|
sensibilisation
OUI/NON
|
2 3 -
|
« L'établissement a-t-il sensibilisé le
personnel aux enjeux de la sécurité (confidentialité des
données informatisées, lutte antivirale, Internet et
messagerie,...) et l'a-t-il informé de sa responsabilité en
matière de respect des consignes de sécurité ?»
|
securité des interventions par des tiers
externes
|
2
|
4 -
|
« L'établissement a-t-il identifié les risques
liés aux types d'accès possibles pour les tiers externes
(physique, logique depuis l'extérieur, logique depuis
l'intérieur) ?»
|
OUI/NON
|
|
2
|
4 -
|
« L'établissement procède-t-il
systématiquement à une analyse des risques lors de l'ouverture de
son SI (relation avec les médecins de ville, participation des
réseaux de santé, relation électronique avec les
patients,...) »
|
OUI/NON
|
|
2
|
4 -
|
« L'établissement a-t-il intégré aux
contrats de tiers externes (sous-traitance) ses exigences en matière de
sécurité de l'information ?»
|
OUI/NON
|
|
2
|
4 -
|
« L'établissement a-t-il procédé
à la mise en place des mesures de contrôle d'accès
adaptées avant d'ouvrir l'accès au SI à des tiers externes
? »
|
OUI/NON
|
Chap.3 : Inventaire et Classification des
Ressources
inventaire des rssources
Rapport d'audit de la sécurité Informatique
de l'ONT 109/125
|
|
« L'inventaire des ressources des systèmes
d'information de
|
OUI/NON
|
|
3
|
1 -
|
l'établissement est... »
|
|
|
3
|
1 -
|
« Le responsable de chaque ressource inventoriée
est... »
|
OUI/NON
|
classification des ressources
|
|
« Une grille de classification des ressources est-elle
définie dans
|
OUI/NON
|
|
3
|
2 -
|
|
|
|
|
l'établissement ? »
|
|
|
|
« La classification des ressources a t-elle
été effectué, et est-elle
|
OUI/NON
|
|
3
|
2 -
|
périodiquement actualisée ? »
|
|
Chap.4 : Sécurité et Ressources
humaines
Rapport d'audit de la sécurité Informatique
de l'ONT 110/125
securité dans la definition des postes et des
ressources
|
|
« Toutes les « fiches de poste » contiennent-elle
des détails sur les
|
OUI/NON
|
|
4
|
1 -
|
rôles et responsabilités des acteurs en
matière de sécurité ? »
|
|
|
|
« Le personnel est-il informé de ses droits et
devoirs en matière
|
OUI/NON
|
|
4
|
1 -
|
de Sécurité du système d'information ?
»
|
|
|
|
« L'établissement rappelle-t-il au personnel
(permanent ou non ;
|
OUI/NON
|
|
4
|
1 -
|
aussi bien à l'entrée qu'à la sortie) ses
devoirs et responsabilités concernant l'utilisation des systèmes
d'information,
|
|
formation du personnel à la securité de
l'Information
|
4 2 -
|
« La formation et l'éducation à la
Sécurité des Systèmes d'Information SI de
l'établissement (exigences et utilisation des outils de
sécurité) sont... »
|
|
|
OUI/NON
reactions aux incidents de securité et aux defauts
de fonctionnement
4 3 - « L'établissement a t-il
établit et communiqué un processus de
|
OUI/NON
|
|
|
gestion des incidents de sécurité ? »
|
|
|
4
|
3 -
|
« L'établissement a t-il établit et
communiqué un processus
d'alerte sur les failles de sécurité,
avérées ou soupçonnées ? »
|
OUI/NON
|
|
4
|
3 -
|
« L'établissement a t-il mis en place un
système de suivi des incidents à des fins de qualification et
d'amélioration ? »
|
OUI/NON
|
Chap.5 : Sécurité physique et
Sécurité de l'environnement
Rapport d'audit de la sécurité Informatique
de l'ONT 111/125
etablissement et protectiond'un perimetre de
securité
|
5 1 -
|
« L'établissement a-t-il établi un
périmètre de sécurité dans l'établissement
et déterminé clairement des zones de sécurité en
fonction de la sensibilité des informations et des infrastructures ?
|
|
|
|
|
»
OUI/NON
protection et securité du materiel
5
|
2 -
|
« L'établissement a-t-il mis en place un
contrôle d'accès physique comprenant plusieurs niveaux
d'habilitation selon la sensibilité des zones accédées ?
»
|
OUI/NON
|
|
5
|
2 -
|
« Les configurations et les postes informatiques et
réseaux
sensibles sont-ils secourus en cas de rupture de l'alimentation
électrique normale ? »
|
OUI/NON
|
|
5
|
2 -
|
« Les chemins de câbles, armoires de brassage et
baies, sont-ils protégés contre les accidents physiques, les
erreurs et les malveillances internes et externes ?»
|
OUI/NON
|
Chap.6 : Exploitation informatique et gestion des
réseaux
procedures d'exploitation et
responsabilités
|
6 1 - « Des procédures
d'exploitation des systèmes informatiques en
|
OUI/NON
|
|
|
production sont-elle définies ? »
|
|
|
6
|
1 -
|
« Les modifications apportées aux systèmes
informatiques en exploitation... »
|
OUI/NON
|
|
6
|
1 -
|
« En cas d'anomalie constatée ... »
|
OUI/NON
|
|
6
|
1 -
|
« La lutte contre la fraude fait-elle partie des
préoccupations de l'établissement lors de la définition et
du partage des responsabilités. »
|
OUI/NON
|
|
6
|
1 -
|
« Les principes de séparation des
responsabilités sont... »
|
OUI/NON
|
|
6
|
1 -
|
« Le contrôle du respect des procédures et de
la réglementation... »
|
OUI/NON
|
planification de la capacité et recette pour mise
en exploitation
|
6 2 -
|
« Le responsable de l'exploitation mène-t-il des
actions régulières de planification de la capacité
(capacity planning ) ? »
|
OUI/NON
protection contre les logiciels pernicieux
|
|
« L'organisation de la lutte contre les codes pernicieux
(lutte anti-
|
OUI/NON
|
|
6
|
3 -
|
virale) est-elle formalisée et efficace ? »
|
|
|
|
« Les consignes interdisant l'utilisation de codes
pernicieux et de logiciels acquis illicitement ainsi que l'installation de
logiciels par
|
OUI/NON
|
|
6
|
3 -
|
un personnel non-habilité ont - elles été
portées à l'attention des utilisateurs et sont-elles
respectées »
|
|
|
|
« La configuration des logiciels anti-virus
répond-elle aux
|
OUI/NON
|
|
6
|
3 -
|
exigences de la PSC ? »
|
|
|
|
« Existe-t-il un dispositif de lutte anti-virale pour la
messagerie et
|
OUI/NON
|
|
6
|
3 -
|
les supports amovibles ? »
|
|
Rapport d'audit de la sécurité Informatique
de l'ONT 112/125
6 3 -
« Les processus d'alerte en cas d'infection virale et de
réparation sont-ils formalisés et mis en oeuvre ? »
OUI/NON
Rapport d'audit de la sécurité Informatique
de l'ONT 113/125
|
6 3 -
|
« Les utilisateurs sont-ils sensibilisés à la
lutte contre les codes pernicieux ? »
|
OUI/NON
|
sauvegarde et journaux d'exploitation
|
|
« L'établissement sauvegarde-t-il
régulièrement les systèmes qui
|
OUI/NON
|
|
6
|
4 -
|
lui sont indispensables ? »
|
|
|
|
« Les sauvegardes font-elles l'objet d'une politique
formalisée et appliquée, se traduisant par des procédures
opérationnelles
|
OUI/NON
|
|
6
|
4 -
|
distinguant sauvegardes d'exploitation et sauvegardes de
recours
|
|
|
|
? »
|
|
|
6
|
4 -
|
« Les sauvegardes sont-elles régulièrement
testées ? »
|
OUI/NON
|
|
6
|
4 -
|
« Les sauvegardes de recours... »
|
OUI/NON
|
|
|
« Existe-t-il une journalisation complète,
automatisée et
|
OUI/NON
|
|
6
|
4 -
|
consolidée des activités de l'exploitation ?
»
|
|
|
|
« Les anomalies et les incidents sont-ils consignés
dans un
|
OUI/NON
|
|
6
|
4 -
|
registre, corrigés et signalés ? »
|
|
|
6
|
4 -
|
« Le registre des anomalies est-il
régulièrement contrôlé ? »
|
OUI/NON
|
gestion des reseaux
|
6 5 -
|
« Les réseaux font-ils l'objet de mesures de
sécurité spécifiques ? »
|
OUI/NON
manipulation et securité des supports
|
6 6 - « La sortie de supports
informatiques amovibles contenant des
|
OUI/NON
|
|
|
informations sensibles de l'établissement ... »
|
|
|
6
|
6 -
|
« L'établissement dispose-t-il de procédures
de destruction des supports informatiques contenant des informations sensibles,
et s'assure-t-il de leur respect par le personnel interne et externe ?»
|
OUI/NON
|
|
6
|
6 -
|
« L'établissement a-t-il formalisé et
communiqué au personnel les
consignes relatives au transport et au stockage des documents
écrits sur papier ou sur support informatique ?»
|
OUI/NON
|
echanges d'informations et des logiciels
|
|
L'établissement s'est-il assuré de la mise en
oeuvre de la
|
OUI/NON
|
|
6
|
7 -
|
politique de sécurité du Domaine d'Information de
Santé,
avant ouverture de tout accès ou échanges
d'information ?
|
|
|
|
« L'établissement a-t-il publié une Charte
d'utilisation de la
|
OUI/NON
|
|
6
|
7 -
|
messagerie et d'Internet après consultation des instances
représentatives du personnel ? »
|
|
|
|
« L'établissement s'est-il assuré de sa
conformité au cadre
|
OUI/NON
|
|
6
|
7 -
|
juridique avant de dématérialiser ses relations
avec ses fournisseurs ? »
|
|
|
|
« Avant de rédiger les spécifications de son
site Internet
|
OUI/NON
|
|
6
|
7 -
|
ouvert au public, l'établissement a-t-il
procédé à une analyse des risques ? »
|
|
|
|
« L'établissement a-t-il établi des consignes
de
|
OUI/NON
|
|
6
|
7 -
|
confidentialité de l'information lors des communications
téléphoniques ou lors d'échanges par
télécopie ? »
|
|
Chap.7 : Contrôle d'accès
logique
Rapport d'audit de la sécurité Informatique
de l'ONT 114/125
|
expression des exigences de l'etablissement en matiere de
contrôle d'acces logique
|
|
|
"L'établissement a-t-il défini et publié une
politique d'autorisation précisant :
|
OUI/NON
|
|
7
|
1 -
|
- les exigences de sécurité de
l'établissement ;
|
|
|
|
- les droits d'accès par catégorie de personnel
;
|
|
|
|
- les règles de contrôle d'accès logique
à appliquer ?"
|
|
|
|
« Existe-t-il des identifiants et mots de passe communs
à
|
OUI/NON
|
|
7
|
1 -
|
plusieurs personnes d'un service ou d'une équipe ?
»
|
|
|
|
« Chaque utilisateur possède-t-il un identifiant
unique et un
|
OUI/NON
|
|
7
|
1 -
|
authentifiant unique (mot de passe) pour l'accès au
système
|
|
|
|
d'information ? »
|
|
gestion des acces des utilisateurs
|
|
« L'établissement tient-il à jour un annuaire
des utilisateurs de ses
|
OUI/NON
|
|
7
|
2 -
|
systèmes d'information permettant la vérification
des droits accordés à chacun, ainsi que l'ensemble des droits
accordés? »
|
|
|
|
« Les autorisations accordées aux utilisateurs
font-elles l'objet
|
OUI/NON
|
|
7
|
2 -
|
d'un audit interne
|
|
|
|
« Les règles à respecter en matière de
contrôle d'accès sont-elles
|
OUI/NON
|
|
7
|
2 -
|
contractualisées ? »
|
|
responsabilité des utilisateurs
|
7 3 -
|
« Les bonnes pratiques concernant la protection des mots de
passe (ne pas les partager, choisir un mot de passe solide...) sont-elles
diffusées aux utilisateurs ? »
|
OUI/NON
contrôle d'acces logique au niveau des
reseaux
Rapport d'audit de la sécurité Informatique
de l'ONT 115/125
|
7
|
4 -
|
« Une charte d'utilisation des réseaux est-elle
diffusée aux utilisateurs (document indépendant ou partie d'un
document plus complet) ? »
|
OUI/NON
|
|
7
|
4 -
|
« Le réseau informatique de l'établissement
est-il protégé vis-à- vis de l'extérieur
(création d'une DMZ) ?»
|
OUI/NON
|
|
7
|
4 -
|
« Des mesures ont-elles été prises pour
renforcer l'authentification lors des connexions distantes (utilisation de
modems call-back, de tokens, de techniques cryptographiques, inactivation des
ports de télémaintenance, modification des mots de passe par
défaut...) ? »
|
OUI/NON
|
contrôle d'accees logique au niveau des systemes
d'exploitation
|
|
« L'authentification de l'utilisateur est-elle obligatoire
pour toute
|
OUI/NON
|
|
7
|
5 -
|
connexion à un terminal ou à un PC de
l'établissement ? »
|
|
|
|
Les sessions inactives pendant un certain temps sont-elles
|
OUI/NON
|
|
7
|
5 -
|
fermées, ou un écran de veille verrouille-t-il le
poste avec un mot de passe ? »
|
|
supervision des acces et de l'utilisation des systemes
d'information
OUI/NON
|
7 7 -
|
« Le contrôle d'accès logique fait-il l'objet
d'une traçabilité et d'audits réguliers afin de suivre les
ouvertures et fermetures de sessions et les anomalies de sécurité
(tentatives d'accès refusées...) ? »
|
Chap.8 : Développement et maintenance des
applications et
systèmes
integration de la securité dans les
developpements
Rapport d'audit de la sécurité Informatique
de l'ONT 116/125
|
|
« Les rôles de la maîtrise d'ouvrage et de la
maîtrise d'oeuvre
|
OUI/NON
|
|
8
|
1 -
|
pour la prise en compte de la sécurité dans les
projets et les maintenances sont-ils formalisés, publiés et
respectés ?»
|
|
|
|
« L'intégration de la sécurité dans la
conduite des projets fait-elle
|
OUI/NON
|
|
8
|
1 -
|
l'objet d'une démarche formalisée et
appliquée ? »
|
|
|
|
« Suite à une analyse de risques, MOA et MOE
arrêtent-elles
|
OUI/NON
|
|
8
|
1 -
|
ensemble le choix des mesures à mettre en oeuvre pour
répondre aux exigences de sécurité ?... »
|
|
|
|
« La recette des développements spécifiques
à la sécurité est-elle
|
OUI/NON
|
|
8
|
1 -
|
réalisée selon une procédure
formalisée ? »
|
|
cadre de mise en oeuvre des mecanismes applicatifs et
proceduraux de securité
|
8
|
2 -
|
« L'établissement met-il en place les contrôles
de validité et de qualité des données sensibles à
l'entrée du système d'information (identité du patient par
exemple), et le personnel est-il sensibilisé aux impacts d'erreurs de
saisie ? »
|
OUI/NON
|
|
8
|
2 -
|
« L'établissement met-il en place les contrôles
de validité des données (administratives et médicales) de
sortie à l'issue des traitements et des éditions, avant
communication (envoi postal, fichier, messages,..) en interne et en externe ?
»
|
OUI/NON
|
cadre de mise en oeuvre des mecanismes cryptographique de
securité
|
8 3 -
|
« L'établissement a-t-il rédigé et
diffusé son cadre de référence pour l'utilisation de
mécanismes de cryptographie, dans le souci d'une réponse
proportionnée aux risques ? »
|
OUI/NON
securité des logiciels en exploitation
Rapport d'audit de la sécurité Informatique
de l'ONT 117/125
|
8 4 -
|
« L'établissement a-t-il mis en place des mesures de
prévention de l'altération accidentelle ou frauduleuse des
logiciels opérationnels exploités par le service de production
informatique ou par d'autres services ? »
|
OUI/NON
|
|
8 4 -
|
« L'établissement rend-t-il anonyme les
données des jeux d'essai à caractère personnel,
lorsqu'elles sont issues de bases opérationnelles ? »
|
OUI/NON
sercurité des environement de developpement et
d'assistance
|
8 5 -
|
« L'établissement a-t-il interdit les modifications
internes sur les progiciels utilisés dans l'établissement ?
»
|
OUI/NON
|
Chap.9 : Gestion de la continuité
prise en compte des exigences de disponilbilité de
l'etablissemnet
|
|
« L'établissement a-t-il ouvert un projet de
continuité des
|
OUI/NON
|
|
9
|
1 -
|
activités des métiers qui utilisent l'informatique
et le réseau? A-t-il désigné un pilote pour ce projet ?
»
|
|
|
|
« L'établissement a-t-il mis en place une
organisation de crise en
|
OUI/NON
|
|
9
|
1
|
cas de sinistre grave entraînant l'indisponibilité
de moyens informatiques et réseaux ? »
|
|
|
|
« L'établissement a-t-il déterminé ses
besoins de continuité :
|
OUI/NON
|
|
9
|
1 -
|
Délai Maximum d'Interruption Acceptable (DMIA) et Perte
de
|
|
|
|
Données Maximale Tolérable (PDMT) ? »
|
|
mise en oeuvre d'un plan de continuité
|
9 2 -
|
« L'établissement a-t-il mis en place un plan de
secours informatique, pour mettre à disposition les ressources
informatiques et réseaux des applications dans le DMIA imparti,
|
OUI/NON
Rapport d'audit de la sécurité Informatique
de l'ONT 118/125
en cas d'indisponibilité partielle ou totale des
installations gérées par le service informatique ? »
OUI/NON
|
9 2 -
|
« Les sauvegardes de recours sont-elles stockées de
façon sécurisée et testées
régulièrement dans le cadre d'un exercices de back up par exemple
? »
|
maintien en condition operationnel du plan de
continuité de l'etablissemnt
|
9 3 -
|
« L'établissement procède-t-il à un
test du plan de secours informatique et réseaux au moins une fois par
an, de manière globale ou par parties pertinentes ? »
|
OUI/NON
Chap.10 : Respect de la réglementation externe
et interne
respect de la reglementation externe
|
|
« L'établissement a-t-il identifié la
législation applicable aux
|
OUI/NON
|
|
10
|
1 -
|
systèmes d'information de santé, et a-t-il
formalisé les procédures permettant de s'assurer de son respect ?
»
|
|
|
|
« L'établissement a-t-il formalisé les
procédures permettant de
|
OUI/NON
|
|
10
|
1 -
|
s'assurer du respect de la Loi Informatique et Libertés
|
|
|
|
« L'établissement a-t-il formalisé les
procédures relatives à la
|
OUI/NON
|
|
10
|
1
|
garantie de la confidentialité des données de
santé à caractère personnel ? »
|
|
|
|
« L'établissement a-t-il instauré les
dispositifs de sécurité mis en
|
OUI/NON
|
|
10
|
1
|
oeuvre pour organiser le droit d'accès des patients
à leur dossier médical ? »
|
|
Rapport d'audit de la sécurité Informatique
de l'ONT 119/125
|
|
« L'établissement a-t-il mis en place l'anonymisation
des données directement ou indirectement nominatives lorsqu'il transmet
des
|
OUI/NON
|
|
10
|
1
|
données personnelles de santé à des fins
statistiques (PMSI par exemple) ou d'études
épidémiologiques ? »
|
|
|
|
« L'établissement a-t-il demandé au RSSI un
rapport annuel sur
|
OUI/NON
|
|
10
|
1
|
l'application de la législation relative à
l'informatique et aux systèmes d'information ? »
|
|
|
|
« L'établissement a-t-il chargé le RSSI de
définir et d'évaluer périodiquement les procédures
mises en oeuvre pour le respect de
|
OUI/NON
|
|
10
|
1
|
la législation relative à l'utilisation des moyens
cryptographiques et de la signature électronique ? »
|
|
|
|
« L'établissement a-t-il mis en place les
procédures et moyens
|
OUI/NON
|
|
10
|
1 -
|
permettant de respecter les conditions et les durées
légales de conservation des documents et données
électroniques ? »
|
|
conformité à la reglementation
interne
|
|
« L'établissement s'assure-t-il
régulièrement par des audits
|
OUI/NON
|
|
10
|
2 -
|
internes et externes, que les procédures et
systèmes sont conformes à la politique de sécurité
? »
|
|
|
|
« L'établissement fait-il périodiquement
procéder à des tests pour
|
OUI/NON
|
|
10
|
2 -
|
mesurer la conformité des dispositifs de
sécurité sensibles
|
|
|
|
(paramétrage, conception,...) à la politique de
sécurité ? »
|
|
Rapport d'audit de la sécurité Informatique
de l'ONT 120/125
Annexe 2 : Autres modèles et
échantillons
de documents
Rapport d'audit de la sécurité Informatique
de l'ONT 121/125
Plan d'urgence
Rapport d'audit de la sécurité Informatique
de l'ONT 122/125
Rapport d'audit de la sécurité Informatique
de l'ONT 123/125
Fiche entretient page 1
Fiche entretient page 2
Autheur(s) : MrMaddouri F. & Mr Rahmoune Med Ali / ONT
2005
|
Fiche d'Entretient
|
P-INF-G04/12/2005
|
|
Date :
|
|
Révision :
|
|
Activité :
|
Responsable
|
Delais
|
|
ResponsabeDelais
|
|
|
Mesures actuellement en place
|
|
Probabilité Actuelle
|
Page :
|
2 / 3
|
|
Mesure
|
Docmentée Appliquée Inssuffisance
Occurrences
|
C I D
|
"=moynne de NR
|
|
|
|
|
1
|
Procedure d'ouverture des plis
|
1 2
|
2
|
4
|
16
|
|
|
|
|
|
|
2
|
|
|
|
|
0
|
|
|
|
|
|
|
3
|
|
|
|
|
0
|
|
|
|
|
|
|
4
|
|
|
|
|
0
|
|
|
|
|
|
|
D
|
|
|
|
|
I
|
|
|
|
|
N
|
|
|
|
|
|
|
|
Moyens d'Execution de l'Activité :
|
Eq. Materiel
|
Logiciel
|
Réseau
|
Documentaire
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nbr Utilis.
|
Serveur(s)
|
SGBD
|
Portable(s)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
cout
|
exigence reglementaire
|
impact strategique
|
|
|
|
|
|
2 : Coût Acceptable
|
|
|
|
|
|
|
|
Documents/enregistrements à collecter
:
|
Reçu
|
Le De la part de
|
|
|
|
|
· Politique de Sécurité
· Plan d'urgence
· Manuel de procédures d'exploitation
nor
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Fin De Foche d'Entretient
|
|
|
|
|
Remarques/Reclamations :
Personnes : Moyen :
Méthode :
L'objectif visé a été réation:
Opération concluante.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Action vérifié le : Validation
:
|
|
Annexe 3 : Politique De
Sécurité
|
Rapport d'audit de la sécurité Informatique
de l'ONT 124/125
|
Annexe 4 : Preuves d'audit
|
Rapport d'audit de la sécurité Informatique
de l'ONT 125/125
| 
