Auto-évaluation du niveau de maturité de la sécurité du système d'information
Le service d’Auto-Evaluation du niveau de maturité de la sécurité du système d’information permet de mesurer l’état actuel de la gestion de la sécurité du système d’information, d’évaluer sa maturité par rapport aux bonnes pratiques de la norme ISO 27002 et propose des recommandations adaptées à la réalité de l'organisme en fonction des réponses au questionnaire.
- On vous pose souvent la question « Est-ce que votre système d’information dispose des mesures de sécurité nécessaires pour faire face aux menaces de cybersécurité ? »
- Vous avez besoin de justifier des investissements dans les projets de sécurité des systèmes d’information ?
- Vous avez besoin d’évaluer le niveau de sécurité du système d’information actuel avant d’amorcer un projet de conformité par rapport aux standards e aux normes de bonnes pratiques ?
Le service d’Auto-Evaluation du niveau de maturité de la sécurité du système d’information permet de mesurer l’état actuel de la gestion de la sécurité du système d’information, d’évaluer sa maturité par rapport aux bonnes pratiques de la norme ISO 27002 et propose des recommandations adaptées à la réalité de l'organisme en fonction des réponses au questionnaire.
En outre, l'outil d'auto-évaluation est un outil pratique qui permet d'amorcer le projet de mise en place de Système de Management de la Sécurité de l'Information selon la norme ISO 27001 à travers une étude "GAP ANALYSIS".
Le service « Auto-Evaluation du niveau de maturité de la sécurité du système d’information » est utilisé par un représentant de l’organisme souvent le Responsable de la Sécurité des Systèmes d’Information RSSI.
Toutefois, le RSSI peut faire appel aux structures spécialisées de son organisme pour répondre à des questions spécifiques du questionnaire (exemple : Responsable des ressources humaines sur les questions qui concernent le recrutement, le responsable de sécurité physique sur les contrôles de sécurité sur le bâtiment et le data-center, le responsable juridique sur le cadre réglementaire applicable sur l’organisme en relation avec la sécurité de l’information, etc).
- Le représentant de l’organisme désirant faire une auto-évaluation de la sécurité de son système d’information envoie une demande par email à audit@ansi.tn en fournissant les informations relatives à son organisme.
- Les services de l’ANSI répondent à la requête par la création d’un compte utilisateur et envoient les paramètres d’accès par mail au concerné.
- Le représentant de l’organisme se connecte à travers son comte utilisateur, et crée un nouveau projet d’évaluation.
- Le représentant de l’organisme répond aux questions répertoriées par domaine (Chapitres de la norme ISO 27002).
- Une fois le représentant de l’organisme répond à l’ensemble des questions du questionnaire, il valide ses réponses. Il est toutefois possible de réaliser l’évaluation sur plusieurs fois.
L’état de maturité de l’organisme est désormais disponible sous forme de notes et de graphiques mais il est aussi possible de :
- Consulter le progrès effectué par rapport à l’évaluation précédente;
- Voir le niveau de maturité lorsque son organisme aura réalisé les actions de sécurité programmé pour le court terme (Situation à court terme) ou lorsque son organisme aura réalisé les actions de sécurité programmé pour le court terme et le moyen terme (Situation à moyen terme);
- Se comparer par rapport à d’autres organismes du même secteur d’activité, de la même catégorie ou de la même classe de criticité.