Mis au point par le Forum des Compétences de la Sécurité des Systèmes d'Information, « ERSI » (Evaluation des Risques des Systèmes d'Information) est un outil qui permet d'évaluer la maîtrise des dispositifs de sécurité d'un système d'information.
Il donne une vue d'ensemble du dispositif mis en place, ainsi que la manière dont il est maîtrisé.
Il est conçu pour être utilisé sous forme d'auto-évaluation par les responsables d'une activité. Toutefois, il peut servir de guide à un service d'audit.
Défini par des Responsables de Sécurité Informatique du monde bancaire, il est adapté à l'analyse des systèmes informatique de gestion. Néanmoins, la modification ou l'ajout de questions qu'autorise la version actuelle lui permet de s'adapter à des environnements divers.
Il continue d'évoluer tant au niveau des questions que dans son ergonomie selon les besoins qu'expriment ses concepteurs-utilisateurs.
[...] Il est capable d'en mettre en œuvre toutes les fonctionnalités. C'est lui qui a en charge tous les travaux préparatoires : ventilation, distribution, fabrication et envoi des questionnaires. L'administrateur local est un relais entre le superviseur et le répondeur. Il peut, comme le superviseur, comparer et consolider des questionnaires et obtenir des restitutions graphiques. Le répondeur ne peut que répondre à un questionnaire et obtenir les restitutions graphiques correspondantes Les modes de mise en œuvre ERSI est conçu pour être mis en œuvre sous forme d'auto-évaluation. [...]
[...] Conçu par ses utilisateurs, ERSI évolue à mesure que de nouveaux besoins apparaissent. Le groupe Audit et Contrôle Interne du Forum des Compétences développe de nouveaux référentiels comportant des questions de niveau général en nombre limité complétées par des questions de niveau plus fines, mais en plus grand nombre. Dix domaines d'analyse sont ainsi en cours de développement. Deux orientations se dessinent aujourd'hui : une version aux fonctionnalités similaires, mais plus ergonomiques et compatibles avec les suites bureautiques du marché ; un concept nouveau de contrôle et d'audit permanent basé sur une application de type intranet. [...]
[...] Il est conçu pour être utilisé sous forme d'auto-évaluation par les responsables d'une activité. Toutefois, il peut servir de guide à un service d'audit. Défini par des Responsables de Sécurité Informatique du monde bancaire, il est adapté à l'analyse des systèmes informatiques de gestion. Néanmoins, la modification ou l'ajout de questions qu'autorise la version actuelle lui permet de s'adapter à des environnements divers. Il continue d'évoluer tant au niveau des questions que dans son ergonomie selon les besoins qu'expriment ses concepteurs-utilisateurs. [...]
[...] Sinon, deux solutions s'offrent à l'acquéreur du produit : retoucher un des référentiels proposés ; ou en confectionner un de toutes pièces La préparation du référentiel Elle est constituée de deux phases : la ventilation et la distribution. - La ventilation Elle consiste à structurer l'ensemble des questions en thèmes et facteurs. C'est au cours de cette étape que thèmes et facteurs seront nommé, que les thèmes seront ordonnés et les facteurs répartis dans les thèmes. Ensuite, les questions seront, à leur tour, réparties dans les facteurs. [...]
[...] C'est également au cours de cette étape que seront définis des attributs que pourront prendre les questionnaires pour les distinguer les uns des autres (années, villes par exemple) La fabrication des questionnaires Phase suivante du travail de préparation, elle consiste à sélectionner un ou plusieurs blocs de questions et des attributs pour constituer et particulariser un questionnaire. Il est possible de fabriquer autant de questionnaires que nécessaire Réponses à un questionnaire Les questionnaires ainsi constitués peuvent être envoyés aux responsables chargés d'y répondre. Les questions sont présentées successivement. Chacun occupe un écran sur lequel apparaissent le thème, le facteur, le titre de la question et son libellé, les cinq propositions de réponses. La réponse à une question n'est pas obligatoire. Il est possible de sauter une ou plusieurs questions et d'y revenir ultérieurement. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture