COBIT: Acquisition

n
bo i

io
fin

é
is
é

at
is
rd

al
dé

ér
tr

??
rm

ai

nd
on

M
Fo

Po
N
0 0,3 0,7 1 0
AI1: Identification des solutions automatisées
Vérifiez-vous que les exigences du métier, satisfaites par les systèmes existants ?
Vérifiez-vous que les exigences fonctionnelle et opérationnelle de la solution sont spécifiées, incluant les performances, la sécurité, la compatibilité, les
sauvegardes et la législation?

Etudiez-vous pour l'analyse d'alternatives des leviers d'action qui satisferont les exigences du métier établies pour proposer un système nouveau ou modifié ?
Prenez-vous en compte l'acquisition, le développement et la maintenance des SI dans le contexte de la planification des SI à long et court terme ?
Fournissez-vous une évaluation des exigences et des spécifications pour un appel d'offre ?
Faites vous une étude de la faisabilité technologique de chaque alternative afin de satisfaire les exigences du métier pour le développement d'un projet de
système d'information nouveau ou modifié ?
Faites vous une étude des coûts de chaque alternative pour le développement d'un projet de développement, d'implémentation, et de modification d'un système
d'information nouveau ou modifié ?
Faites-vous attention au modèle des données tant que la faisabilité des solutions est en étude ?
Faites vous une analyse et des documentations des menaces de sécurité, des vulnérabilités, des impacts et des contrôles de sauvegarde interne afin de
réduire ou d'éliminer les risques identifiés ?
Avez-vous un moyen de garantir que les coûts liés à la sécurité sont moins importants que les bénéfices que vous pouvez en tirer ?
A quel moment d'un projet intégrez-vous la couche des exigences de sécurité ?
Faites-vous recours à des méchanismes adéquates pour que des pistes d'audits soient disponibles ou peuvent être développés pour la solution identifiée et
choisie ? (ex : protection des données )
Vous assurez-vous lors des projets de développement, d'implémentation et de changement que les aspects ergonomiques des outils ?
Avez-vous défini des démarches afin d'identifier les systèmes logiciels potentiels qui satisferont les exigences opérationnelles ?
Avez-vous développé une approche d'acquisition centralisée descrivant un ensemble de procédures et de standards à suivre dans l'acquisition de technologies
de l'information relatives au matériel, logiciels et services ?
Est-ce quel'acquisition de produits logiciels suit la politique d'acquisition ?
Lorsque vous achetez un logiciel sous licence à une entreprise tierce, exigez-vous aux fournisseurs d'avoir des procédures pour valider, protéger et maintenir
l'intégrité des droits du produit ?
Avant le paiement d'un produit logiciel fini, testez vous et demandez-vous des modifications en accords avec les standards développés pour votre SI ?
Fournissez-vous à vos fournisseurs de logiciel un plan d'aménagement en accord avec celui-ci définissant des procédures d'aménagement (pour saligner avec
le reste du SI) et les critères ?
Fournissez-vous à vos fournisseurs de logiciel un plan d'acceptation pour des technologies spécifiques en accord avec celui-ci définissant des procédures
d'acceptation et les critères ?

AI2: Acquisition et maintenance des applications informatiques

Mettez-vous en place des techniques et des procédures appropriées impliquant des liaisons avec les utilisateurs des systèmes afin de vérifier les exigences des
utilisateurs avec les specifications de conception pour chaque projet de développemen ?
Vous assurez-vous qu'en cas de changement majeur des systèmes existants le processus de développement est le même qu'en cas de développement de
nouveaux systèmes ? (Analyse de l'existant, spécification, conception, réalisation)
Faites-vous vérifier et valider par les utilisateurs des systèmes nouveaux mis en place et leur direction les spécifications de conceptions ?
Définissez-vous et documentez-vous pour les utilisateurs les formats de fichier créés par des projets de développement ou de modification de SI ?
Préparer-vous des spécifications détaillées des programmes pour chaque projet de développement ou de modification de votre SI ?
Spécifiez-vous les mécanismes adéquates pour la collection et l'entrée de données pour chaque projet de modification ou de développement du SI ?
Spécifiez-vous les mécanismes adéquates pour la définition et la documentation des exigences d'entrée (champs obligatoires par ex) pour chaque projet de
modification ou de développement du SI ?
Vous assurez-vous que toutes les interfaces sont spécifiées, conçues et documentées ?
Comment faites-vous pour développer des interfaces utilisateurs facile d'utilisation et les documentez-vous ?
Spécifiez-vous les mécanismes adéquates pour la définition et la documentation des exigences de traitement (vitesse, sécurité) pour chaque projet de
développement ou de modification du SI ?
Spécifiez-vous les mécanismes adéquates pour la définition et la documentation des exigences de sortie (base de données, imprimante)) pour chaque projet de
modification ou de développement du SI ?
Spécifiez-vous les mécanismes adéquates pour assurer les contrôle internes(d'afficacité, d'exactitude, d'autorisation des entrées, des traîtements) et les
exigences de sécurité pour chaque projet de modification ou de développement du SI ?
Vous assurez-vous que la disponibilité (des données) est considérée dans le processus de conception comme la première cible à atteindre ? (en termes de
temps ou d'accès)
Mettez-vous en place quand cela est possible des procédures contenant des prestations qui vérifient de manière routinière les performances du logiciel afin
d'aider à assurer l'intégrité des données et qui pourrait permettre une restauration ?
Des tests de l'application, de l'intégration, du système, de chargement et de travail en stress sont-ils menés selon un plan de test défini avant de faire approuver
un nouveau logiciel par l'utilisateur ?
Réalisez-vous des manuels de support dans chacun des projets de développement ou de modification du SI ?
Vous assurez-vous que la conception du système est réévaluée lorque des désaccords logique ou techniques apparaîssent durant le développement ou la
maintenance du système ?

AI3: Aquisition et maintenance de l'infrastructure technologique

Vos critères de sélection de matériel ou de logiciel sont-ils basés sur des spécifications fonctionnelle ?
Faites-vous de la maintenance préventive régulièrement du matériel informatique afin de réduire la fréquence et la gravité des éches de preformance ?
Vous assurez-vous que les charactéristicques des logiciels à installer ne vont pas nuire à la sécurité des données et des programmes qui sont stockés sur le SI
?
Avez-vous mis en place des procédures d'installation lorsqu'il y a de nouveaux logiciels à installer ?
Avez-vous mis en place des procédures de maintenance des logiciels ?
Avez-vous mis en place des procédures de gestion des changement des logiciels afin de les maîtriser (si il y a une mise à jour par exemple) ?
Avez-vous mis en place une politique et des techniques pour évaluer l'utilisation, et le contrôle des systèmes ?

AI4: Développement et maintenance des procédures

Vous assurez-vous que la définition des exigences opérationnelles et des niveaux de service soient faits à temps ?

Fournissez-vous et rafraîchissez-vous un manuel de procédures utilisateur dans chaque projet de développement, d'implémentation ou de modification du SI ?
Fournissez-vous et tenez-vous à jour un manuel opératoire dans chaque projet de développement, d'implémentation ou de modification du SI ?
Vous assure-vous que des outils d'entraînement adéquates sont développés dans chaque projet de développement, d'implémentation ou de modification du SI
?

AI5: Installation et certification des systèmes

Faites-vous des séances de formation pour les services utilitsateurs en accord avec un plan de formation lors de projets de déveveloppement, d'implémentation
ou de modification du SI ?
Etablissez-vous un optimisation des performances des logiciels d'application pour prévoir les ressources requises pour un fontionnement nouveau et significatif
du logiciel changé ?
Préparez-vous un plan d'implémentation, pour mesurer le progrès, contenant la préparation des adresses des sites, les installations et les acquisitions
d'équipement, les formations d'utilisateur et l'installation des changements opératoire du logiciel ?
Définissez-vous un plan de migration des éléments de l'ancien système au nouveau dans chaque projet de développement, d'implémentation ou de modification
?
Définissez-vous un plan de migration des données de l'ancien système au nouveau dans chaque projet de développement, d'implémentation ou de modification
et définissant les méthodes de collecte et de vérification ?
Préparez-vous des stratégies et des plans de test validé par le fournisseur du système et la direction ?

Vous assurez-vous que les changements sont testés en accord avec l'estimation sur l'impact et les ressources dans un environnement de test séparé ?
Y a-t-il des procédures en place pour s'assurer que les tests parallèles ou pilotes sont en place en accord avec un plan pré-établi et que les criètes pour
terminer le processus de test sont spécifiés à l'avance ?
Fournissez-vous une évaluation formelle et une approbation des résultats des tests par les départements utilisateurs considérée comme une partie de la
validation finale ou une assurance qualité du SI nouveau ou modifié ?
Avez-vous mis en place une procédure permettant de vous assurer que le responsable du service utilisateur accèptent les résultats et le niveau de sécurité du
système, malgré les risques résiduels identifiés ?
Vous assurez-vous que les utilisateurs valident le fonctionnement comme étant un produit complet et sous des conditions similaires à l'environnement de
l'application ?
Avez-vous défini des procédures formelles pour contrôler la remise du produit depuis sont développement jusqu'aux tests des opérations ?
Demandez-vous une revue des exigneces opérationnelles du SI (Capacité par ex) pour évaluer quand les besoins des utilisateurs sont rencontrés par le
système ?
Faites vous des mesures post-implémentoires permettant de tester quand le système délivre les bénéfices souhaités de la manière la plus efficiente ?

AI6: Gestion des changements

Vous assurez-vous que toutes les requêtes de changements, la maintenance système et la maintenance fournisseur sont standardisées et sont sujettes de
changer formellement les procédures de gestion en cours ?
Existe-t-il une procédure afin de s'assurer que toutes les requêtes de changement évaluées d'une manière structurée sur tous les impacts possibles sur le
système opérant et ses fonctionnalités ?
Vous assurez-vous que la gestion du changement , le contrôle des logiciels et la distribution sont correctement intégrés avec une configuration conpréhensible
de la gestion du système ?
Etablissez-vous des paramètres définissant les changement d'urgence et les procédures pour contrôler ces changement quand ils courcircuitent le processus
normal d'évaluations techniques, opérationnelles et de gestion pour prioriser la mise en oeuvre ?
Le processus de changement prend-il en compte la mise à jour des documentations et des procédures lorsque les changements du systèmes sont mis en place
?
Vous assurez-vous que le personnel de maintenance a les compétences requises et que leur travail est correctement contrôlé (avec également l'autorisation
des droits d'accès) ?
Vous assurez-vous que la diffusion du logiciel est assuré par des procédures formelles ?
Etablissez-vous des procédures internes spécifiques de contrôle afin de vous assurer de la distribution des éléments du logiciel correct à la bonne place, avec
intégrité et d'une manière rapide ?