|
Samedi, 20 Juin 2009 18:37 |
|
Le cycle vertueux de la Qualité dans Self-Expert.
Illustration d'un cycle PDCA du référentiel ISO27002 exploité dans le logiciel SE
|
Nous prenons ici l'exemple du domaine des contrôles d'accès logiques (gestion des codes utilisateurs, des mots de passe, etc.).
Pour illustrer le cycle du PDCA (voir le Glossaire), nous allons mettre en parallèle le schéma de la roue de Deming, avec chacune des phases d'une action particulière ( l'exemple ci-dessous).
Cette mise en oeuvre, son suivi et sa documentation dans Self-Expert, seront graduels et traduits dans les 4 phases du PDCA.
|
|
Cela se traduit, dans Self-Expert, par la présence d'un dossier " Contrôles d'accès logiques" dans le tableau de bord.
L'arborescence est constituée depuis l'année précédente. Nous prenons donc,ici, le cours d'une roue de Deming qui a déjà tourné.
|
|
Les mesures de sécurité sont rangées dans des fiches, elles-mêmes rangées dans des domaines (dossiers), et au cas échéant dans des sous-domaines.
L'arborescence présentée ici a été simplifiée par le responsable. Des sous-dossiers (sous-domaines) ont été rendus invisibles le temps de la démonstration.
|
|
A ce stade, nous en sommes au "Plan" du PDCA.
|
|
Nous allons maintenant nous pencher sur une mesure particulière présente dans l'arborescence du tableau de bord Self-Expert.
|
|
Les efforts des équipes techniques se sont donc portés sur la mise en oeuvre des dispositifs de contrôles d'accès logiques.
L'adjoint au DSI, responsable de la sécurité des informations, a établi des procédures pour organiser le bon usage de ces dispositifs.
|
|
C'est le responsable de la sécurité qui a effectué lui-même certains contrôles en se référant aux points de conformité de Self-Expert.
|
|
Nous sommes, ici, dans la phase de vérification des mesures prises. |
|
|
Le Point de conformité libellé :
"Il existe un contrôle syntaxique du mot de passe d'accès au réseau"
n'est pas en place dans l'organisation (non conforme-Indicateur rouge ci-contre).
|
Il est établi que ce point de conformité fait partie du Plan d'action 2010. Sa résolution doit être immédiate.
|
|
|
Il s'agissait ici d'un paramètrage qui n'avait pas été considéré. La correction est vite effectuée. Mais une autre correction est faite :
La description de la norme qui avait été reprise ici, n'est pas assez détaillée pour définir le niveau de conformité de la politique de gestion des mots de passe de l'organisation.
Le responsable de la sécurité va rédiger, avec l'équipe technique, une meilleure description des conditions de contrôle de ce point.
La politique est maintenant définie dans ses moindre détails concernant le domaine.
|
|
La nouvelle description du Point de conformité comprend 2 aspects :
- la modalité des prochains contrôles, à destination de l'opérateur compétent
(un superviseur système ou réseaux).
- la précision que des docs de référence à ce point y sont jointes et consultables.
Et que la validité de leur mise à jour conditionne la conformité du point.
Dorénavant, ce point répond parfaitement aux conditions d'un audit rigoureux.
Nous verrons, ci-après, la condition de traçabilité de ce point de conformité.
|
| A ce stade, nous avons achevé "Act" du PDCA. |
 |
|
|
|
|
Une vérification de la mesure de notre exemple a confirmé que le travail avait été correctement effectué. Le point passe au vert (indicateur "conforme à la politique").
La politique de gestion des mots de passe est mise en oeuvre et appliquée.
D'autres plans d'action Sécurité vont pouvoir être établis.
Nous voyons ci-dessous ce que peut constater un auditeur dans le cadre d'un contrôle de certification.
|
|
|
|
A la consultation du Point de conformité, l'auditeur ou le responsable de la sécurité verra :
- que c'est Paul Durand (superviseur Réseaux) qui a documenté cette mesure, le 14 mars,
- que la mesure a été validée "conforme" par le responsable Jean Dupont, le 15 mars.
Ces informations se retrouveront également dans les rapports Pdf générés par Self-Expert.
|
 |
|
|
|
|
