Audit de conformité aux référentiels règlementaires

RGS, ISO 27001, ISO 27002, AFNOR Z74-400...

Les audits de conformité consistent à évaluer la conformité des pratiques vis-à-vis des référentiels de sécurité du client, des référentiels règlementaires ou des pratiques généralement observées dans les organisations similaires, et à proposer des plans d’actions permettant de mettre progressivement en adéquation pratiques et référentiels, en couvrant l’ensemble du périmètre de l’audit (architecture, moyens, organisation, procédures, …).


Selon le champ d’audit ou le besoin formulé par le client, nos auditeurs prennent en compte les référentiels de sécurité promus par le client, les contraintes règlementaires, les procédures, les codes de conduite, les règles organisationnelles et techniques, les référentiels normatifs ISO-2700x (normes dédiées à la sécurité de l'information) dans leurs versions les plus récentes ou les  référentiels sectoriels (par exemple le RGS, PCIDSS, ou ITIL pour un service d’exploitation au sein d'une DSI) comme base d’analyse.

Sur la base des exigences formalisées au sein de ces documents, et/ou sur la base du référentiel Fidens consolidé à partir de notre expérience des organisations similaires,  nos auditeurs proposent le plan d’audit et les points à contrôler lors de l’audit.

 

Quelques référentiels

Suite ISO-2700x

  • ISO 27001 - Systèmes de management de la sécurité de l'information — Exigences
  • ISO 27002 - Code de bonne pratique pour la gestion de la sécurité de l'information
  • ISO 27003 - Guide d’implémentation d’un SMSI
  • ISO 27004 - Information security management measurements
  • ISO 27005 - Information security risk management
  • ISO 27006 - Requirements for bodies providing audit and certification of ISMS

 

Informations sensibles non classifiées de défense

  • RGS (FEROS types, guide d’exigences types)
  • II 921
  • Référentiels UE et OTAN

 

Informations sensibles classifiées de défense

  • II 920
  • Référentiel OTAN
  • Politique de sécurité sectorielle

 

Evaluation de système

  • ISO 15408 - Critères Communs

 

Signature qualifiée et archivage électronique

  • AFNOR NF Z 74400
  • ETSI TR 102 437
  • AFNOR NF Z42-013

 

Référentiels sectoriels propres à FIDENS

  • Bonnes pratiques de sécurité constatées dans les collectivités locales
  • Bonnes pratiques de sécurité des centres serveurs
  • Bonnes pratiques de sécurité secteur bancaire
  • Bonnes pratiques de sécurité grands groupes