Académique Documents
Professionnel Documents
Culture Documents
n
bo i
io
fin
é
is
é
at
is
rd
al
dé
ér
tr
??
rm
ai
nd
on
M
Fo
Po
N
0 0,3 0,7 1 0
DS1: Définition et gestion des niveaux de service
Avez-vous défini des conventions formelles de niveau de service (intégrant la disponibilité, le sérieux, les performances, la capacité de croissance, les niveaux
de supports fournis aux utilisateurs, la sécurité, etc.) ?
Avez-vous mis en place des procédures permettant d'établir, de coordiner, maintenir et de communiquer aux services la manière et les respnsabilités liées à la
performance des relations ?
Avez-vous une personne chargée de gérer le niveau de service (contrôle et reporting) ? Si oui, que fait-il ?
Faites-vous une remise en question régulière de votre niveau de service avec des tierces parties (autre service) ? Comment procédez-vous ?
Faites-vous une liste de ce qui ne va pas afin d'améliorer vote niveau de service ?
Comment faites vous pour améliorer votre niveau de service (programme d'amélioration) ?
Avez-vous une procédures précisant qu'il doit y avoir un contrat formel avec des services tiers qui est défini et validé avant le début de travail avec ce service ?
Vous assurez-vous de la qualification des tierce parties avant de les sélectionner (pour la mise en place d'un progiciel par exemple) afin de s'assurer de leur
capacité de vous délivrer le service requis ?
Définissez-vous des procédures organisationnelles spécifiques afin de s'assurer que le contrat entre vos fournisseurs et vous-même est basé sur les niveau de
processus souhaité, la sécurité et le contrôle ?
Vous assurez-vous de gérer les risques liés aux fournisseurs en terme de légalité et d'escroquerie ?
Est-ce que les agréments de sécurité sont identifiés et explicitement énoncé et validé, et incluant les responsabilités ?
Est-ce que les agréments de sécurité sont identifiés et explicitement énoncé et validé, et incluant les responsabilités ?
Faites-vous le contrôle des délivrables fournis par les tierces parties afin de vérifié la cohésion avec le contrat qui a été établi ?
Est-ce que l'administrateur de la sécurité du SI s'assure que la sécurité soit toujours active et a des indications sur des violations de sécurité imminente ?
Avez-vous une classification des données en terme de sensibilité par une classification formelle et explicite du propriétaire des données ?
Existe-t-il des critères pour gérer les échanges d'information avec l'extérieur à lafois dans des domaines de sécurité mais aussi d'un point de vue législatif ?
Y a-t-il des contrôles permettant de vérifier que l'identification et les droits d'accès des utilisateurs sont conformes aux règles établies ?
Est-ce que l'activité de violation de sécurité est enregistrée, éditée, analysée et échelonnée (gravité) pour identifier et résoudre les incidents dus à des activités
défendues ?
Avez-vous établi des responsabilités et des procédures afin de s'assurer que les réponses à des incidents de sécurité soient appropriées, efficaces et rapides ?
Testez-vous périodiquement la sécurité de votre système ?
Comment vouv assurez-vous que les pratiques de contrôles vérifient l'authenticité des instructions électroniques ou des transactions ?
Lors de transactions, vérifiez-vous l'authenticité des transactions et établissez-vous la validité de l'utilisateur (cryptographie) ?
Lors de transactions, mettez-vous en place des mécanismes qui empêchent la répudiation de la part de l'expéditeur ou du receveur ?
Avez-vous des chemin fiabilisés pour permettre aux transaction sensibles d'être acheminées ?
Est-ce que vos logiciels et votre matériel informatique est protégé contre des altérations pour maintenir l'intégrité et contre la révélationdes clés secrètes ?
Avez-vous défini et développé des procédures et des protocoles utilisés pour la génération, le changement, la révocation, la destruction, la distribution, la
certification, le stockage, l'entrée, l'utilisation et l'archivage de clés de cryptographie ?
Avez-vous mis enplace des mesures préventives afin de combattre des logiciels mal intentionnés comme des virus ou des chevaux de Troie ?
Possédez-vous des Firewalls adéquates ?
Protégez-vous l'intégrité de méchanismes physiques utilisés pour l'authentification ou le stockage d'informations financières ou sensibles de manière générale ?
DS6: Identifier et allouer les coûts
Est-ce que les articles inculpables sont identifiables, mesurables et prévisibles par les utilisateurs ?
Avez-vous des procédures qui vous donne des informations sur les coûts de distribution des informations des services ainsi que les coûts de l'efficacité de cette
distribution ?
Analysez-vous et écrivez-vous les variances entre les prévisions et les coûts actuels ?
Evaluez-vous périodiquement les résultats obtenus par vos procédures de gestion des coûts (mise à jour des méthodes de calcul) ?
Avez-vous défini et utilisez-vous des procédures d'affichage et de retours de frais permettant l'usage correct des ressources informatiques ?
Est-ce que les enregistrements des configurations reflètent le status actuel de tous les objets de configuration, y-compris l'historique des changements ?
Avez-vous un moyen de vérifier l'existence et la consistence des enregistrements de la configuration du SI ?
Avez-vous développé une politique visant à restreindre l'utilisation de logiciel personnel et sans licences (avec un antivirus par exemple) ?
Vérifiez-vous de manière périodique les licences des logiciels et du matériel informatique ?
Existe-t-il une librairie ou une zone de stockage des fichiers pour tous les objets des logiciels valides et dans des phases appropriées de cycle de vie du
produits ?
Des procédures ont-elles été mises en place afin de s'assurer que les composants critiques du SI ont été identifiés et sont maintenus ?
Utilisez-vous une librairie de gestion des logiciels ?
Vous êtes -vous assuré que des mesures suffisantes ont été mises en place et sont maintenues pour se protéger contre les facteurs environnementaux ?
Estimez-vous régulièrement le besoin d'être fourni de manière ininterrompue en énergie et possédez-vous des moyens pour sécuriser les applications critiques
du SI contre des fluctuations ou des coupures en énergie ?