Dans un audit Sécurité par Duquesne Group, la norme de bonnes pratiques ISO 27002 est généralement prise comme document de référence. L'intérêt de l'ISO 27002 est que le texte de cette norme donne des recommandations très pratiques et validées par l'expérience des experts internationaux qui l'ont écrite.
Le corpus d'exigences qu'elle présente constitue d'ailleurs une référence externe et neutre ; pour les entreprises cela peut présenter un intérêt car on se situe "au dessus de la mêlée".
Bien sûr il faut l'adapter au contexte et à la maturité du client et c'est justement notre point fort et notre apport.
L'audit que nous pratiquons consiste alors à constater avec des responsables du client son état et sa situation par rapport aux préconisations de la norme.
Nous remettons alors un rapport de situation qui couvre les points de la norme, à savoir :
Le corpus d'exigences qu'elle présente constitue d'ailleurs une référence externe et neutre ; pour les entreprises cela peut présenter un intérêt car on se situe "au dessus de la mêlée".
Bien sûr il faut l'adapter au contexte et à la maturité du client et c'est justement notre point fort et notre apport.
L'audit que nous pratiquons consiste alors à constater avec des responsables du client son état et sa situation par rapport aux préconisations de la norme.
Nous remettons alors un rapport de situation qui couvre les points de la norme, à savoir :
- La politique de sécurité de l'information
- L'organisation de la sécurité de l'information
- La gestion des biens
- La sécurité liée aux ressources humaines
- La sécurité physique et environnementale
- La sécurité de la gestion de l'exploitation et des télécoms
- Contrôle d'accès
- Acquisition, développement et maintenance du SI
- Gestion des incidents de sécurité
- Gestion du Plan de continuité
- Gestion de la conformité
Sur ces onze points déclinés en une dizaine de sous thèmes chacun, nous produisons une synthèse mettant en avant les écarts principaux.
Le client peut alors décider de la suite à donner et nous pouvons l'accompagner dans des plans d'action.
- L'organisation de la sécurité de l'information
- La gestion des biens
- La sécurité liée aux ressources humaines
- La sécurité physique et environnementale
- La sécurité de la gestion de l'exploitation et des télécoms
- Contrôle d'accès
- Acquisition, développement et maintenance du SI
- Gestion des incidents de sécurité
- Gestion du Plan de continuité
- Gestion de la conformité
Sur ces onze points déclinés en une dizaine de sous thèmes chacun, nous produisons une synthèse mettant en avant les écarts principaux.
Le client peut alors décider de la suite à donner et nous pouvons l'accompagner dans des plans d'action.