Questionnaire audit SI (partie 3)

Nous utilisons des cookies pour faire fonctionner ce site et pour le suivi d'audience.
Vous avez la possibilité de refuser les cookies ou de les paramétrer par finalité.
Un autre message de la plateforme de gestion du consentement de Google Adsense vous demandera vos choix relatifs à l'usage de vos données personnelles via les cookies pour la publicité.
Nous vous remercions d'accepter les cookies, qui permettent à ce site de fonctionner.

FR EN

Créer votre questionnaire : en ligne, facile et gratuit

Vos questionnaires

Créer
Répondre
Résultats
Gérer
Compte pro

Modèles de questionnaires

Organiser une soirée ou sortie
Envoyer un quiz
Enquête de satisfaction client
Etude de marché / Sondage
Bilan de compétences / Evaluation

Enquête de satisfaction employés
Enquête de satisfaction utilisateurs

Signaler un contenu inapproprié - Mentions légales - CGU - CGV - Plan du site - FAQ - Nous contacter

Questionnaire audit SI (partie 3)

Merci d'entrer votre NOM et PRENOM

11. Contrôle des accès

Les règles établies correspondent-elles à "tout est interdit sauf" plutôt que "tout est permis sauf" ?

Les droits sont-ils supprimés après le départ d'un utilisateur ?

Les droits sont-ils ajustés après le changement de poste d'un utilisateur ?

Existe-t-il un contrôle périodique des identifiants utilisateurs redondants et des comptes inactifs et le cas échéant leur suppression a-t-elle lieu ?

Existe-t-il une procédure pour s'assurer de la non-réaffectation des codes d'identification ?

S'assure-t-on que les privilèges soient attribués sur la base du "besoin minimum" de l'utilisateur par rapport à la fonction qu'il remplisse (principe de moindre privilège) ?

Un examen régulier des droits d'accès utilisateur est-il effectué ?

La déconnexion d'un utilisateur à son profil est-elle automatique suite à une période d'inactivité ?

Les flux sont-ils contrôlés (firewall) ?

Un cloisonnement des réseaux est-il mis en place ?

Le nombre de tentatives de connexion/identification est-il limité ?

Les tentatives infructueuses font-elles l'objet d'un enregistrement ?

Existe-t-il une limitation des jours et horaires de connexion ?

Les évènements sont-ils consignés dans des journaux (qui, quoi, quand, d'où) ?

Ces journaux d'évènements sont-ils revus régulièrement ?

Des alertes sur incident (violation, utilisation anormale des ressources, tentative infructueuse, notification du pare-feu, etc.) sont-elles configurées ?

Existe-t-il une procédure et une politique de sécurité spécifique pour l'accès et l'utilisation des ordinateurs portables ?

Les ordinateurs portables disposent-ils tous d'un antivirus ?

Des moyens de sensibilisation du personnel sont-ils mis en place en ce qui concerne le télétravail ?

Existe-t-il une procédure claire pour signaler dans les meilleurs délais les évènements liés à la sécurité informatique, par les voies hiérarchiques appropriées ?

12. Sécurité physique et environnementale

Des moyens de sécurité physique ont-ils été mis en place pour protéger les locaux (ex : badge, caméra,alarme, gardien, etc.), si oui lesquels (à inscrire dans "commentaire") ?

Existe-t-il une documentation liée à la sécurité physique et environnemental ?

Est-il possible de faire sortir le matériel informatique des différents sites de la ville sans autorisation ?

Les zones de livraison et de chargement sont-ils sécurisées pour éviter l'accès non-autorisé aux installations ?

L'emplacement du matériel est-il déterminé de manière à réduire les risques liés aux menaces et dangers environnementaux ainsi que les possibilités d'accès non autorisé ?

Le matériel est-il protéger contre les coupures de courant et autres perturbations dues à une défaillance des services généraux (électricité ou climatisation par exemple) ?

L'autorisation de la direction est-elle obligatoire pour l'utilisation de matériels de traitement et de stockage de l'information hors des locaux de l'organisation ?

S'assure-t-on que les équipements soient dépourvus d'informations importantes pour la sécurité de l'organisme avant leur mise au rebut ou leur réutilisation ?

Les utilisateurs sont-ils sensibilisés aux exigences et aux procédures de sécurité destinées à protéger les matériels laissés sans surveillance ?

Les incidents et les défaillances font-ils l'objet de rapports ?

La DSI dispose-t-elle de matériel de rechange en nombre suffisant pour faire face aux incidents ?