Académique Documents
Professionnel Documents
Culture Documents
Définition (d’une façon systématique et non au besoin ou au cas par cas, ou d’une
façon ad hoc) d’un plan informatique à LT. Plan structuré et formalisé (standard), mis à
P01 : DEFINIR UN PLAN
Transformation des plans à long terme en plan à court terme (objectifs claires et
STRATEGIQUE
-Définir un cadre général de classification des données (assigner à chaque donnée une
place dans l’architecture informatique
-Formation du personnel DSI pour la bonne conception de l’architecture informatique
- Formation du personnel de l’entreprise pour accéder facilement à l’architecture
informatique
-Niveau de sécurité par classe de données
-Formation du personnel chargé de l’administration des bases de données
-Fonction SI doit élaborer un plan d’infrastructure technologique conforme au plan à
L’ORIENTATI
ON
EMENT / ITI
L’INVESTISS
1
-Le management doit s’assurer que les politiques de l’entreprise sont clairement
ET LES ORIENTATIONS
CONNAITRE LES BUTS communiquées à tous les niveaux, comprises et acceptées par tous
DU MANAGEMENT
-Le management doit surveiller les délais et le degré de mise en œuvre de sa politique
PO6 : FAIRE
-Le management doit s’assurer que le personnel reçoive une formation permanente
HUMAINES
pour maintenir leur connaissance, leur savoir faire, leur compétence à la sécurité
informatique.
Ces plans de formation doivent être très souvent ou constamment révisés.
-Le management doit prévoir un plan de remplacement pour tous les postes clés
-Le management doit mettre en place une évaluation des performances des employés.
L’entreprise doit se conformer aux lois sur le travail, sur la sécurité informatique,
MER AUX
EXIGENC
CONFOR
PO8: SE
qualité ….
Le management doit :
- développer et assurer la mis à jour régulière d’un plan général de qualité basé sur le
PO11: GERER LA
- utiliser des indicateurs pour mesurer les résultats des activités afin d’évaluer si les
objectifs/qualité ont été atteints
-Le plan de qualité doit promouvoir une philosophie de l’amélioration continu et
répondre aux questions fondamentales (quoi ? qui ? comment ?).
- S’assurer que ce plan de qualité soit complet et actualisé.
2
Domaine 2 : ACQUISITION ET MISE EN PLACE
La méthodologie de cycle de vie de développement des systèmes doit permettre de
définir clairement quels sont les besoins de l’entreprise déjà satisfaits par le système
AMP1 : TROUVER DES
existant ainsi que ceux auxquels doit répondre le nouveau système ou la modification
INFORMATIQUES
du système.
SOLUTIONS
Développer une stratégie d’acquisition de logiciel définissant s’il peut être acquis dans
le commerce, développé en interne, réalisé par sous-traitance, évolution de logiciel
existant ou la combinaison de ces différentes solutions.
La méthodologie doit comprendre un examen de faisabilité technologique, une analyse
des coûts et des bénéfices, une analyse documentée des menaces de sécurité,
vulnérabilités et impacts potentiels, une analyse des risques.
La méthodologie de cycle de vie de développement doit garantir que des techniques et
AMP 2: ACQUERIR DES
APPLICATIONS ET EN
des procédures appropriées, impliquant une étroite collaboration avec les utilisateurs
MAINTENANCE
La FSI doit s’assurer que les paramétrages du logiciel système à installer ne mettent pas
LA MAINTENANCE
INFRASTRUCTURE
3
Former le personnel des services utilisateurs concernés et de l’équipe d’exploitation.
AMP 5: INSTALLER LES SYSTEMES ET LES Evaluer la performance des logiciels d’application afin de prévoir quelles ressources
VALIDER seront nécessaires pour l’exploitation des nouveaux systèmes.
Vérifier qu’il existe une méthodologie pour établir les priorités des demandes de
CHANGEME
GERER LES
NTS
Vérifier que les utilisateurs sont satisfaits des retours sur leurs demandes de
modification (en termes de temps de réponse et de coût)
Vérifier la qualité de la formation (durée, documentation, évaluation)
niveaux de
service
les rôles et les responsabilités des tierces parties sont clairement définis, approuvés et
tiers
Vérifier/s’assurer que les tableaux de bord sur la performance remis aux utilisateurs
concernent l’utilisation, la disponibilité ainsi que la capacité, la planification de la
charge de travail et les tendances d’évolution
S’assurer que les services informatiques sont conformes aux besoins, et s’assurer que
Assurer
continu
service
un
4
Existence d’une politique de sécurité (PSSI) formalisée, documentée, communiquée,
évaluée et constamment mise à jour
Désigner un responsable de la sécurité des systèmes d’information compétent
La sécurité informatique en ligne avec les besoins de l’entreprise.
L’accès logique aux ressources des TI et à leur utilisation doit être limité par la mise
en œuvre de mécanisme d’identification, d’authentification et d’autorisation
adéquats, assortis de règles d’accès.
Le management doit établir des procédures pour s’assurer que les actions relevant de
l’interrogation, de l’ouverture, de la modification et de la fermeture des comptes
DS5- Assurer la sécurité des systèmes
Les écarts entre coû ts prévus et réels doivent être analysés de manière adéquate et
surveillés.
Le management des TI doit définir et utiliser des procédures d’imputation et de
refacturation des coû ts aux utilisateurs.
S’assure que les utilisateurs font une utilisation efficace des TI et sont conscients des
DS7 : former
utilisateurs
utilisateurs
DS8 :
les
Identifier tous les composants TI, éviter les modifications non autorisées, vérifier
configura
gérer la
tion
changements.
5
Le management des TI doit mettre en œuvre un système de gestion des problèmes
problèmes et
les incidents
DS10 : gérer afin de s’assurer que tous les évènements d’exploitation non standards (incidents,
les problèmes, erreurs) sont enregistrés, analysés et résolus. Les modifications d’urgence
des programmes testées, approuvées et rapportées.
Des comptes rendus d’incidents doivent être établis en cas de problème.
Ce système doit fournir des pistes d’audit adéquates.
S’assurer que les données demeurent complètes, exactes et valides au cours de leur
DONNEES
LES
de manière organisée.
Le management des TI doit établir et documenter des procédures d’exploitation
standards. Un planning des activités de support enregistré et clarifié doit être mis en
place.
Toutes les solutions et plateformes TI en place doivent être exploitées selon ces
procédures qui doivent être revues pour vérifier leur efficacité et leur respect.
6
Domaine4 : SURVEILLANCE
S1 : surveiller les Le management doit s’assurer de la définition d’indicateurs de performance
pertinents pour évaluer les processus informatiques et les processus de contrô le
interne.
processus
Mettre en place un audit interne permettant d’évaluer la réalité et la mise en œuvre des
processus informatiques
Un audit indépendant ou une auto-évaluation doivent fournir régulièrement une
assurance sur l’efficacité de la sécurité et du contrôle interne.
Obtenir une certification externe (iso 9000, ITIL, CMMI) est nécessaire pour assurer
certification par
S3 : obtenir une
La DG doit établir un plan pour garantir que des audits réguliers et indépendants
sont en vigueur concernant l’efficacité, l’efficience et l’économie des procédures de
indépendant
S4 : disposer
d’un audit