WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

ANNEXES

ANNEXE No 1 : ORGANIGRAMME DE ECOBANK COTE D'IVOIRE

GROUPE ETI

Conseil d'administration

Groupe Audit

Comité d'audit

Direction Générale

Direction de l'Audit Interne

Direction de Contrôle Interne

Direction des Operations et Technologie

Direction Informatique

Autres Directions

Responsable Sécurité de l'Information

Rattachement administratif

Rattachement fonctionnel 

Rend compte

ANNEXE No2 : QUESTIONNAIRE DE PRISE DE CONNAISSANCE DU SMSI

Cochez oui ou non aux questions suivantes et apportez des explications à celles qui en requièrent.

Thème n°1: Engagement et soutien de la haute direction

1) Comment la haute direction s'implique-t-elle dans la gestion de la sécurité de l'information ? ..............................................................................................................................................................................................................................

2) Quelles sont les actions déjà menées ? ..............................................................................................................................................................................................................................

3) Etablit-elle un mandat pour des auditeurs SI spécialisés ou transmet-elle le pouvoir de surveillance à l'audit interne ? ..........................................................................

Thème n°2: Politique et procédures

4) Existe-t-il une politique de sécurité de l'information au sein de la banque ? Oui Non

5) La politique de sécurité est-elle approuvée par la haute direction ? Oui Non

6) Est-elle régulièrement mise à jour ? Oui Non

7) Existe-t-il des manuels de procédures régissant la sécurité de l'information ? Oui Non

8) Ces procédures sont-elles constamment mises à jour ? Oui Non

9) Ces manuels concernent quel(s) aspect(s) de la sécurité de l'information ? .....................................................................................................................

10) La politique et les procédures sont-elles mise en oeuvre ? Oui Non

11) Qui est le garant de l'exécution de la politique et des procédures de sécurité de l'information ? ............................................................................................................................................................................................................................

Thème n°3: Organisation

12) Existe-t-il un comité de gestion de la sécurité de l'information ? Oui Non

13) De qui se compose-t-il ? ..............................................................................................................................................................................................................................

14) Est-ce que le comité a une implication forte et assure la promotion de la sécurité de l'information par des moyens adéquats ? Oui Non

15) Si oui, quels sont ces moyens ?

..............................................................................................................................................................................................................................

16) Au sein du comité, qui est le garant principal du maintien de la sécurité de l'information ? .........................................................................................................................

17) Le garant de la sécurité de l'information a-t-il des objectifs clairs et mesurables ? Oui Non

18) Quels sont ces objectifs?

..................................................................................................................

19) Le dispositif de contrôle interne est-il aligné aux objectifs de sécurité de l'information définis par la banque ? Oui Non

20) L'audit interne est-il impliqué dans le bon fonctionnement du système de sécurité de l'information ? Oui Non

21) Est-ce que la mise en application de la politique de sécurité de l'information est auditée de façon indépendante ? Oui Non

22) Comment est gérée la sécurité de l'information d'avec l'extérieur ? ..........................................................................................................................................................................................................................................

Thème n°4: Sensibilisation à la sécurité et éducation

23) Les différents corps de métier de la banque sont-ils sensibilisés sur l'importance de la sécurité de l'information ? Oui Non

24) Par quels moyens le sont-ils ?

..........................................................................................................................................................................................................................................

25) Connaissent-ils les dispositifs de sécurité et leur importance ? Oui Non

26) Le personnel a-t-il connaissance des procédures et politique de sécurité de l'information ?

Oui Non

27) A-t-il connaissance des risques liés à la sécurité de l'information? Oui Non

28) Le personnel met-il en oeuvre les procédures ? Oui Non

29) Définir un taux approximatif d'erreurs sur 3ans : ...................................

30) Quels sont les apports du personnel en matière de sécurité de l'information ? ..........................................................................................................................................................................................................................................

31) Les contrats de travail ou de stage contiennent ils des clauses de confidentialité ? Oui Non

32) Est-ce que la banque vérifie et contrôle la véracité des références et la moralité des employés permanents et temporaires ? Oui Non

33) En cas de violation de la politique de sécurité de la banque et de non-respect des procédures de sécurité de l'information, est-il prévu des sanctions disciplinaires ? Oui Non

Thème n°5: Contrôle et conformité

34) Existe-t-il des périmètres de sécurité pour protéger les zones où se situent les moyens de traitement de l'information ? Oui Non

35) Est-ce que ces zones de sécurité sont protégées par des moyens de contrôle d'entrée et de sortie permettant d'assurer que seuls le personnel et les visiteurs autorisés peuvent y accéder ? Oui Non

36) Les contrôles permanents sont-ils effectués pour s'assurer du maintien de la sécurité des informations ? Oui Non

37) Qui garantit ces contrôles? ....................................................................................

38) Existe-t-il des contrôles permettant d'établir ou de maintenir la sécurité des réseaux ?

Oui Non

39) Les medias informatiques amovibles tels que les clés USB, les disquettes, les CD, les bandes etc. font-ils l'objet d'un contrôle particulier ? Oui Non

40) Est-ce que la gestion des privilèges fait l'objet de contrôles particuliers ? Oui Non

41) Est-ce que seuls les utilisateurs dument autorisés peuvent accéder aux services en réseaux ? Oui Non

42) Est-ce que les accès sont dument authentifiés ? Oui Non

43) Combien de temps faut-il pour retirer ou supprimer l'accès d'un employé temporaire ou non après son mandat de travail ?

..........................................................................................................

44) Tous les ordinateurs de la banque sont-ils connectés à un système commun de réseau facilement contrôlable par le responsable TI ? Oui Non

45) Existe-t-il des tests pour protéger et contrôler les données ? Oui Non

46) Si oui, lesquels?

..........................................................................................................................................................................................................................................

47) Existe-t-il des techniques de cryptographie pour protéger l'information ? Oui Non

48) Les informations sont-elles convenablement conservées et classées ? comment et par quels moyens ? ...........................................................................................................................................................................................................................

49) Existe-t-il des procédures pour surveiller l'utilisation du système ? Oui Non

50) Est-ce que toutes les exigences statutaires, règlementaires et contractuelles dont relèvent les systèmes d'information, sont explicitement définies et documentées ? Oui Non

51) Est-ce que le système de sécurité de l'information et les systèmes d'information sont contrôlés régulièrement pour vérifier leur conformité avec la politique et les normes de sécurité ? Oui Non

52) Est-ce que les directions engagent des actions pour s'assurer que toutes les procédures de sécurité, dans leur périmètre de responsabilité, sont correctement suivies ? Oui Non

53) Est-ce que toutes les entités de la banque sont sujettes à des revues régulières par l'audit interne ? Oui Non

Thème n°6: Gestion et intervention face à l'incident

54) Existe-t-il des procédures de gestion des incidents ? Oui Non

55) Est-ce que les incidents de sécurité sont signalés en temps réel et à travers de bons canaux dès leur survenance ? Oui Non

56) Existe-t-il des procédures pour signaler les dysfonctionnements des programmes et sont-elles suivies ? Oui Non

57) Existe-t-il des plans de relance des activités après la survenance d'un incident majeur ? Oui Non

58) Ces plans sont-ils régulièrement mis à jour ? Oui Non

59) Le personnel est-il sensibilisé sur la gestion des incidents ? Oui Non

ANNEXE No3: QUESTIONNAIRE D'EVALUATION / DIRECTION D'AUDIT INTERNE

Cochez oui ou non aux questions suivantes et apportez des explications à celles qui en requièrent.

Nom et Prénoms :

Poste :

1) Etes-vous à ECOBANK CI depuis plus de 3 ans ? Oui Non

2) Connaissez-vous la norme ISO 17799 ? Oui Non

3) Si oui, de quoi parle-t-elle ? ..........................................................................

4) Pour vous, qu'est-ce qu'une information ?

............................................................................................................

5) Qu'entendez-vous par « sécurité de l'information » ?

........................................................................................................................................................................................................................

6) Quels sont les objectifs de la banque en matière de sécurité de l'information ? ........................................................................................................................................................................................................................

7) Existe-il une politique de sécurité de l'information ou de sécurité des systèmes d'informations au sein de la banque ? Oui Non

8) Existe-il un document formel à ce sujet ? Oui Non

9) Est-ce que la politique de sécurité est régulièrement révisée ? Oui Non

10) Cette politique a-t-elle subit des changements depuis sa parution ? Oui Non

11) Qui est charge du maintien et du respect des procédures et politiques de sécurité de l'information au sein de la banque ? ................................................................

12) Avez-vous déjà effectue des missions d'audit de la sécurité de l'information ? Oui Non

13) L'audit de la sécurité de l'information fait-il partir de votre planning annuel de missions ? Oui Non

14) Combien de temps mettez-vous entre 2 missions d'audit de la sécurité de l'information ? ..............................

15) Avez-vous une méthodologie d'audit de la sécurité de l'information ?

Oui Non

16) Les étapes de votre méthodologie d'audit de la sécurité de l'information comprennent elles ?

L'audit organisationnel l'audit physique l'audit organisationnel et physique l'audit technique l'audit organisationnel et technique l'audit technique et physique

17) Est-ce que les audits sont planifies et réalisés en s'entourant de la sécurité nécessaire pour protéger le fonctionnement des systèmes opérationnelles ? Oui Non

18) Avez-vous décelez des faiblesses qui ont suscité une quelconque révision ou mise à jour de la politique de sécurité? Oui Non

19) Les systèmes d'information de la banque sont-ils contrôlés régulièrement afin de vérifier leur conformité avec la politique et les normes de sécurité? Oui Non

20) Est-il évident de trouver des pistes d'audit adéquates pour mener à bien les missions d'audit de la sécurité de l'information ? Oui Non

21) Avez-vous des connaissances et compétences en matière de technologies de l'information ? Oui Non

22) Donnez-moi un outil d'audit de base de données ? ...............................................

23) Quels outils utilisez-vous lors d'un audit de sécurité de l'information ? ............................................................................................................

24) Existe-t-il des logiciels d'audit relatif à la sécurité de l'information au sein de la banque ?

Oui Non

25) Si oui, ces logiciels génèrent ils des rapports réguliers sur les évènements afférents à la sécurité de l'information ? Oui Non

26) Ces rapports sont-ils protégés? Oui Non

27) Vos recommandations sont-ils toujours suivis ? Oui Non

28) Vos recommandations sont-ils promptement et clairement suivis ? Oui Non

29) La direction engage-t-elle des actions pour assurer le suivi des procédures de sécurité et les recommandations d'audit ? Oui Non

30) Existe-il un comité d'audit au sein de la banque? Oui Non

31) A qui rendez-vous directement des comptes lors de vos missions d'audit ?

Directeur General

Conseil d'administration / comité d'audit

Commission bancaire

32) Sur une échelle de 1 à 10, combien noterez-vous le système de gestion de la sécurité de l'information de Ecobank CI ? ....................

33) En quelques mots, que vérifiez-vous lors d'une mission d'audit de la sécurité de l'information ? ....................................................................................................................................................................................................................................................................................................................................

34) Selon vous, quel est l'apport de l'audit interne au maintien et à l'amélioration continue de la sécurité de l'information ?

................................................................................................................................................................................................................................................................................................................................................................................................................................................

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Le doute est le commencement de la sagesse"   Aristote