COBIT: Distribution et support

n
bo i

io
fin

é
is
é

at
is
rd

al
dé

ér
tr

??
rm

ai

nd
on

M
Fo

Po
N
0 0,3 0,7 1 0
DS1: Définition et gestion des niveaux de service
Avez-vous défini des conventions formelles de niveau de service (intégrant la disponibilité, le sérieux, les performances, la capacité de croissance, les niveaux
de supports fournis aux utilisateurs, la sécurité, etc.) ?
Avez-vous mis en place des procédures permettant d'établir, de coordiner, maintenir et de communiquer aux services la manière et les respnsabilités liées à la
performance des relations ?
Avez-vous une personne chargée de gérer le niveau de service (contrôle et reporting) ? Si oui, que fait-il ?
Faites-vous une remise en question régulière de votre niveau de service avec des tierces parties (autre service) ? Comment procédez-vous ?
Faites-vous une liste de ce qui ne va pas afin d'améliorer vote niveau de service ?
Comment faites vous pour améliorer votre niveau de service (programme d'amélioration) ?

DS2: Gestion des services tiers

Vous assurer-vous que tous les services tiers "fournisseurs" sont clairement identifiés et que les interfaces organisationnelles et techniques avec ces
fournisseurs sont documentées ?
Avez-vous établi des relations d'ordre (hiérarchie) avec vos fournisseurs et avec vos clients ?

Avez-vous une procédures précisant qu'il doit y avoir un contrat formel avec des services tiers qui est défini et validé avant le début de travail avec ce service ?
Vous assurez-vous de la qualification des tierce parties avant de les sélectionner (pour la mise en place d'un progiciel par exemple) afin de s'assurer de leur
capacité de vous délivrer le service requis ?
Définissez-vous des procédures organisationnelles spécifiques afin de s'assurer que le contrat entre vos fournisseurs et vous-même est basé sur les niveau de
processus souhaité, la sécurité et le contrôle ?
Vous assurez-vous de gérer les risques liés aux fournisseurs en terme de légalité et d'escroquerie ?
Est-ce que les agréments de sécurité sont identifiés et explicitement énoncé et validé, et incluant les responsabilités ?
Est-ce que les agréments de sécurité sont identifiés et explicitement énoncé et validé, et incluant les responsabilités ?
Faites-vous le contrôle des délivrables fournis par les tierces parties afin de vérifié la cohésion avec le contrat qui a été établi ?

DS3: Gestion des performances et des capacités

Est-ce que les attentes des services sont identifiés en ce qui concerne la disponibilité et les performances du Service Informatique ?
Existe-t-il une planification des disponibilités permettant de surveiller et de contrôler la disponibilité du service Informatique ?
Les performances des ressources du service Informatique sont-elles régulièrement surveillées ?
Possédez-vous des outils de modélisation pour avoir un modèle du système (service Informatique) actuel qui a été calibré et ajusté en fonction de la charge de
travail actuelle et des niveaux de travail recommandés ?
Avez-vous la capacité de prévoir, par le biais de systèmes en place, les problèmes qu'il faut corriger avant que ceux-ci n'apparaîssent ?
Est-ce que des contrôles sont mis en place afin de s'assurer que les prévisions de charge de travail sont préparées pour identifier les tendances (réalité par
rapport à la planif) et fournir les informations nécessaires pour la planification des capacités
Y a-t-il une planification pour le contrôle(examen) des performances et des capacités afin de s'assurer de la justification des coûts et pour fournir les
performance en terme qualitatif et quantitatif requises ?
Définisssez-vous des méchanismes de tolérance aux fautes, des tâches prioritaires et des méchanismes d'allocation équitable de ressource afin d'anticiper
l'indisponibilité des ressources ?
Comment vous assurez-vous de l'acquisition à temps des capacités requises de vos ressources ?

DS4: Assurer la continuité du service (plan de secours)

Avez-vous établi quelquechose qui défini les rôles, les responsabilités, la méthodologie de gestion des risques à adopter, les règles et les structures pour
documenter le plan de secour ?
Le plan de secours du SI est-il aligné avec celui de l'entreprise ?
Avez-vous un guide d'utilisation du plan de secours ?
Existe-t-il des procédures critiques permettant d'assurer la sécurité des tout le personnel affecté ?
Avez-vous un moyen de revenir en arrière si vous avez rencontré un incident grave dans votre SI ? (recharger une image par exemple)
Avez-vous des procédures pour sauvegarder et reconstruire tout ou partie du SI ?
Avez-vous des informations critiques sur les équipes de continuité, le personnel affecté, les clients, les fournisseurs, les autorités publiques et les médias ?
Avez-vous établi des procédures et des guides afin de minimiser les exigences de continuité en terme de personnel, de logiciel, de matériel hardware,
d'équipements, de formulaire, de fournitures ?
Avez-vous des procédures de contrôle de changement afin de s'assurer de la mise à jour du plan de secours ?
Afin d'avoir un plan de secours efficace, avez-vous des procédures de tests de ce plan ?
Réalisez-vous des entrainement régulier en suivant les procédures définies afin de lutter efficacement contre des incidents ou des désastres ?
Comment avez-vous distribué votre plan de secours ? (personnes autorisées, etc.)
La méthodologie de secours utilisée assure-t-elle que les utilisateurs peuvent suivrent procédures permettant de restaurer les services du SI après un désastre
ou un événement ?
Le plan de secours identifie-t-il les progammes critiques, les services tiers, les systèmes opérants, le personnel, les fichiers de données ce qui permettrait
d'intervenir en cas de problèmes ?
Le plan de secours incorpore-t-il une identification des alternatives en terme de sites de récupération et de matériel ?
Y a-t-il un site de stockage des médias, documentation at autres ressources du SI pour permettre de mettre en place un plan de secours ?
Quand il y a eu un succès d'une restauration suite à un désastre, établissez-vous des procédures pour estimer l'adéquation du plan et permettre sa mise à jour
?

DS5: Assurer la sécurité du système (confidentialité et intégrité)

Avez-vous un plan de sécurité du SI ?
Est-ce que ce plan est mis à jour pour refléter la configuration du SI ?
Avez-vous estimé l'impact de requêtes de changement sur la sécurité du SI ?
Surveillez-vous la mise en place du plan de sécurité du SI ?
Est-ce que les procédures de sécurité du SI sont-elles alignées avec les autre politiques et procédures ?
Mettez-vous des restriction d'accès et d'utilisation aux ordinateurs reliés au Système d'information ?(identification, mécanismes d'autorisation, liaison des
utilisateurs , règles d'accès)
Est-ce que les procédures d'accès aux données dans un environnement en ligne (de type Internet) est-il en accord avec la politique sécurité et y a-t-il un
contrôle de la sécurité sur la vue, l'ajout, le changement ou la suppression de données ?
Avez-vous établi des procédures afin de s'assurer que les actions relatives au requêtage, à l'établissement, à l'issue, à la suspension et à la fermeture de
comptes utilisateurs soient faites à temps ?
Avez-vous établi un processus de revue et de mise à jour des droits d'accès périodiquement ?
Est-ce que les utilisateurs sont informés de manière à leur permettre de superviser les activités normales ou être alertés par une activité indésirée sur leur
compte ?

Est-ce que l'administrateur de la sécurité du SI s'assure que la sécurité soit toujours active et a des indications sur des violations de sécurité imminente ?
Avez-vous une classification des données en terme de sensibilité par une classification formelle et explicite du propriétaire des données ?

Existe-t-il des critères pour gérer les échanges d'information avec l'extérieur à lafois dans des domaines de sécurité mais aussi d'un point de vue législatif ?
Y a-t-il des contrôles permettant de vérifier que l'identification et les droits d'accès des utilisateurs sont conformes aux règles établies ?
Est-ce que l'activité de violation de sécurité est enregistrée, éditée, analysée et échelonnée (gravité) pour identifier et résoudre les incidents dus à des activités
défendues ?

Avez-vous établi des responsabilités et des procédures afin de s'assurer que les réponses à des incidents de sécurité soient appropriées, efficaces et rapides ?
Testez-vous périodiquement la sécurité de votre système ?
Comment vouv assurez-vous que les pratiques de contrôles vérifient l'authenticité des instructions électroniques ou des transactions ?
Lors de transactions, vérifiez-vous l'authenticité des transactions et établissez-vous la validité de l'utilisateur (cryptographie) ?
Lors de transactions, mettez-vous en place des mécanismes qui empêchent la répudiation de la part de l'expéditeur ou du receveur ?
Avez-vous des chemin fiabilisés pour permettre aux transaction sensibles d'être acheminées ?

Est-ce que vos logiciels et votre matériel informatique est protégé contre des altérations pour maintenir l'intégrité et contre la révélationdes clés secrètes ?
Avez-vous défini et développé des procédures et des protocoles utilisés pour la génération, le changement, la révocation, la destruction, la distribution, la
certification, le stockage, l'entrée, l'utilisation et l'archivage de clés de cryptographie ?
Avez-vous mis enplace des mesures préventives afin de combattre des logiciels mal intentionnés comme des virus ou des chevaux de Troie ?
Possédez-vous des Firewalls adéquates ?

Protégez-vous l'intégrité de méchanismes physiques utilisés pour l'authentification ou le stockage d'informations financières ou sensibles de manière générale ?
DS6: Identifier et allouer les coûts
Est-ce que les articles inculpables sont identifiables, mesurables et prévisibles par les utilisateurs ?
Avez-vous des procédures qui vous donne des informations sur les coûts de distribution des informations des services ainsi que les coûts de l'efficacité de cette
distribution ?
Analysez-vous et écrivez-vous les variances entre les prévisions et les coûts actuels ?
Evaluez-vous périodiquement les résultats obtenus par vos procédures de gestion des coûts (mise à jour des méthodes de calcul) ?
Avez-vous défini et utilisez-vous des procédures d'affichage et de retours de frais permettant l'usage correct des ressources informatiques ?

DS7: Eduquer et former les utilisateurs

Utilisez-vous un moyen d'identifier et de commenter les besoins en formation de tout le personnel utilisant les services du SI ?
A la suite de l'identification de ces besoins, organisez-vous des rendez-vous avec des formateurs et des périodes de formation ?
Formez-vous le personnel concerné pour chaque mise à jour du SI ?
Est-ce que la conduite d'un point de vue éthique fait partie de la formation sur des fonction du SI ?

DS8: Assister et conseiller les clients

Avez-vous établi un support utilisateur prenant intégrant un guide d'aide ?
Est-ce qu'une démarche est en place pour permettre aux clients de répondre à leurs questions dans le guide d'aide ?
Pour les questions auxquelles le guide d'aide ne peut pas répondre, une démarche a-t-elle été mise en place pour permettre d'acheminer ces questions par le
biais du SI aux personnes les plus compétentes pour répondre ?
Une démarche a-t-elle été mise en place pour surveiller les temps de réponse aux questions des clients ?
Un rapport a-t-il été mis en place afin de recenser les questions des clients, les résolutions des leur problèmes, les temps de réponse et l'identification des
problèmes ?

DS9: Gestion de la configuration

Avez-vous mis en place une démarche permettant de vérifier les objets autorisés et les configurations identifiables de ces objets sont les seuls qui sont
enregistrés dans l'inventaire sur l'acquisition ?
Existe-t-il des démarches permettant de traquer les changements de configuration ?
Est-ce que la connexion et le contrôle font partie intégrante du système d'enregistrement de la configuration ?
Existe-t-il une ligne directrice de la configuration des objets du SI ?

Est-ce que les enregistrements des configurations reflètent le status actuel de tous les objets de configuration, y-compris l'historique des changements ?
Avez-vous un moyen de vérifier l'existence et la consistence des enregistrements de la configuration du SI ?
Avez-vous développé une politique visant à restreindre l'utilisation de logiciel personnel et sans licences (avec un antivirus par exemple) ?
Vérifiez-vous de manière périodique les licences des logiciels et du matériel informatique ?
Existe-t-il une librairie ou une zone de stockage des fichiers pour tous les objets des logiciels valides et dans des phases appropriées de cycle de vie du
produits ?
Des procédures ont-elles été mises en place afin de s'assurer que les composants critiques du SI ont été identifiés et sont maintenus ?
Utilisez-vous une librairie de gestion des logiciels ?

DS10: Gestion des problèmes et des incidents

Un système de gestion des problèmes a-t-il été défini et mis en place pour permettre que tous les événements opérationnels qui ne font pas partis des
opérations standards (comme incidents, problèmes, les erreurs), soient enregistrés, analysés et résolus ?
Avez-vous défini et mis en place des procédures sur la définition des problèmes par paliers permettant de s'assurer que les problèmes identifiés sont résolus de
manière la plus efficiente possible et dans un délai respectable ?
Avez-vous mis en place des moyens d'audits pour un suivi adéquat permettant un traçage des problèmes depuis l'incident jusqu'à la cause ?
Est-ce que les autorisations d'accès temporaire sont documentés sur les formulaires standards, maintenus, communiqués au personnes chargées de la
sécurité et automatiquement éliminées après la période qui a été déterminée ?
Avez-vous établi, documenté et approuvé des priorités sur des traîtements d'urgence ?

DS11: Gestion des données

Avez-vous établi une démarche de préparation des données à envoyer aux services utilisateurs (formulaires pour aider à assurer que les erreurs et les
omissions soient minimisées) ?
Avez-vous mis en place un procédure de manipulation d'erreurs durant la phase de création des données pour s'assurer que les erreurs et les irrégularités sont
détéctées, reportées et corrigées ?
Vérifiez-vous que les documents sources sont correctement préparés par des personnes autorisées (avec l'accord de l'autorité) ?
Vérifiez-vous que tous les documents source autorisés sont complets, exacts et transmis d'une manière opportune ?
Avez-vous mis en place une démarche permettant de vérifier que les documents sources originaux sont conservés ou sont reproductibles pour faciliter la
réparation ou la reconstruction des données ?
Etablissez-vous une procédure permettant de s'assurer que les entrées de données sont réalisées seulement par le personnel autorisé ?
Est-ce que l'exactidude, la validité et la complétude des transactions de données entrées afin d'être transmises sont vérifiées ?
Avez-vous des procédures permettant de corriger les données qui ont été mal rentrées ?
Une procédure a-t-elle été établie lors de la transmission de données afin de s'assurer que la séparation des fonction est maintenue (au sens maintenance) et
que les performances du processus sont régulièrement vérifiées ?
Avez-vous établi une procédure afin de s'assurer que la validation, l'authentification et l'édition des données transmises sont performants, le plus proche
possible de l'original ?
Avez-vous défini une procédure de manipulation d'erreurs de données envoyées qui permet aux transactions erronées d'être identifiées sans interruption de la
transmission d'autres transactions valides ?
Avez-vous défini une procédure de manipulation et de rétention des données de sortie d'une application du SI ?
Avez-vous défini une procédure de distribution des données de sortie du SI ?
Avez-vous défini une procédure assurant que les données de sorties sont quotidiennement maintenues grâce à un contrôle ?
Faites-vous des audits afin de faciliter le traçage des transaction transmises et la reconstruction des données corrompues ?
Avez-vous défini une procédure assurant que l'exactitude des rapports sur les données de sorties est visée par le fournisseur et l'utilisateur ?
Avez-vous défini une procédure assurant que la sécurité des rapports sur les données de sortie est maintenu pour les distributions en attente ainsi que pour les
données de sortie déjà distribuées aux utilisateurs ?
Vous assurez-vous que les protections adéquates contre les accès défendus, les modification et les mauvaises adresses pour les informations sensibles sont
mises en place lors de la transmission et du transport ?
Avez-vous défini une procédure pour empêcher l'accès aux informations sensibles et aux logiciels depuis des ordinateurs, des disques et d'autres équipements
quand elles sont mises au rebut ou transférées pour une autre utilisation ?
Avez-vous défini une procédure pour le stockage des données qui prend en compte les exigences en terme de recherche (temps), les coûts d'efficacité et la
politique de sécurité ?
Avez-vous défini les périodes de rétention et les temps de stockage pour les documents, les données, les programmes, les rapports(reports), les messages
entrants et sortants ainsi que les données utilisées pour l'encryptage et l'authentification ?
Avez-vous défini une procédure assurant que le contenu des librairies média contenant les données sont inventoriées systématiquement afin de maintenir
l'intégrité des média stockés dans la librairie ?
Avez-vous établi des procédures ainsi qu'un responsable de gardiennage pour protéger les contenus des librairies de médias ?
Avez-vous défini votre stratégie pour les back-ups et les restaurations qui incluent les exigences de l'entreprise?
Des procédures ont-elles été mises en place afin de s'assurer que les back-ups sont fait en accord avec la qtratégie définie et que l'utilisation des back-ups est
régulièrement vérifiée ?
Est-ce que la procédure sur les back-ups inclut le stockage des fichiers de données, des logiciels et des documents liés ?
Est-ce que les back-ups sont stockés de manière sécurisée et est-ce que les lieux de stockages sont régulièrement révisés d'un point de vue sécurité d'accéder
physiquement ou sécurité des fichiers de données, etc. ?
Avez-vous défini une politique et des procédures pour vous assurer que l'archivage est en légalité et conforme aux exigences et qu'il est proprement
sauvegarder et disponible ?
Avez-vous implémenté des procédures ou des protocoles à être utilisés pour s'assurer de l'intégrité, la confidentialité et la non diffusion des messages sensibles
sur Internet ou tout autre connexion publique ?
Vérifiez-vous l'authentification et l'intégrité des information données à l'extérieur avant de mener une action potentiellement critique ?
Avez-vous défini des procédures et des pratiques pour assurer l'intégrité et l'authenticité des transaction électroniques sensibles et critiques ?
Comment vous assurez-vous de l'intégrité et de l'exactitude des données récupérées sur des fichiers ou d'autres médias.

DS12: Gestion des équipements

Avez-vous établi des mesures appropriées pour la sécurité physique et les contrpoles d'accès en conformité avec la politique générale de sécurité ?
Est-ce que ces mesures affectent également les montages utilisés pour connecter les éléments du SI, les services support (comme alimentation électrique), le
backup des médias et autre éléments requis pour le fonctionnement du SI ?
Vous assurez-vous qu'un profile bas est en place et qu'il y a une limitation d'identification physique du site des opérations du SI ?
Y a-t-il une procédure en place afin de s'assurer que les individus ne faisant pas partis des membres du SI sont escortés par un membre du SI quand ils doivent
entrer dans les locaux informatiques ?
Des pratiques sur la santé et la sécurité ont-elles été mises en place et sont-elles maintenues conformément à la législation ?

Vous êtes -vous assuré que des mesures suffisantes ont été mises en place et sont maintenues pour se protéger contre les facteurs environnementaux ?
Estimez-vous régulièrement le besoin d'être fourni de manière ininterrompue en énergie et possédez-vous des moyens pour sécuriser les applications critiques
du SI contre des fluctuations ou des coupures en énergie ?

DS13: Gestion des opérations

Avez-vous établi et documenté des procédures standards pour les opérations (à réaliser) de l'ensemble du SI ?
Vous êtes -vous assuré que le personnel opérant est familier et sûr avec le pricessus de démarrage et les autres tâches en étant documenté, périodiquement
testé et formé si besoin ?
Vous assurez-vous que la planification des travaux, des processus et des tâches est organisé dans la séquence la plus efficiente.
Y a-t-il des procédures en place pour identifier, examiner et approuver les départs depuis les planifications des travaux standards ?
Est-ce que les procédures requièrent des traîtements continus durant les changements d'équipes opérantes en fournissant pour le transfert d'activitél les mises
à jours des status et des rapports sur les responsabilités actuelles ?
Garantissez-vous que l'information chronologique suffisante est stockée dans les opérations de connexion pour permettre la reconstruction, l'examination des
séquences temporelles du traîtement et les autres activités autour ou supportant le traîtement ?
Avez-vous établi des sauvegardes physiques appropriées sur des formulaires spéciaux comme des instruments négociables ou sur des dispositifs de données
de sorties sensibles ?
Pour les opérations à distance, des procédures spécifiques assurent-elles que la connection et la déconnexion des liens aux sites à distance sont définient et
implémentées ?