Gouvernance de la sécurité de l’information

 

Couverture GTAG 15

Le GTAG 15 rappelle que la collecte, la gestion, l’interprétation et la conservation

des données sont des composants critiques pour le bon fonctionnement d’une l’organisation et le développement d’avantages concurrentiels. Les risques liés à la sécurité des systèmes d’information ont en effet des conséquences essentielles pour l’organisation en termes d’image, de non-conformité ou de compétitivité.

Ce GTAG explicite, la responsabilité de tous les acteurs, de la direction générale aux utilisateurs, sans oublier bien entendu le rôle des auditeurs internes.

Les RAI pourront s’appuyer sur les techniques et bonnes pratiques exposées pour intégrer les problématiques de la gouvernance de la sécurité de SI dans leurs activités. Pour ce faire, les RAI devront notamment :

  • prendre en compte l’organisation de la gouvernance de la sécurité des systèmes d’information,
  • comprendre les enjeux (risques liés à la sécurité des systèmes d’information, valeur ajoutée apportée par une maîtrise des flux d’informations, d’indicateurs clefs.)
  • identifier les modes de communication
  • évaluer l’intégration de la gouvernance de la sécurité du SI dans l’organisation
  • identifier les influences externes (réglementations, normes, référentiels…)

 

Commentaires de l’IFACI

Le GTAG bien que très pédagogique dans la présentation des éléments fondamentaux de la sécurité des SI est loin d’être suffisant. L’auditeur interne devra se référer à d’autres documents pour une opérationnalisation de ces principes.
 

En savoir plus

 

Sommaire

Executive Summary

Introduction

What is Information Security Governance?

What is Effective Information Security Governance?

What is Efficient Information Security Governance?

Why Should the CAE Be Concerned About Information Security Governance?

1. The Internal Audit Activity’s Role in Information Security Governance

The Internal Audit Activity’s Responsibilities Related to Information Security Governance

Auditor Background and Experience Level

Audits of Information Security Governance

2. Auditing Information Security Governance

Auditing Information Security Governance – Planning

Auditing Information Security Governance – Testing

Auditing Information Security Governance – Analyzing

Conclusion/Summary

Appendix – Sample Audit Questions/Topics

References

Authors and Reviewers

Télécharger le GTAG en anglais