Informations administratives1





télécharger 154.47 Kb.
titreInformations administratives1
page2/4
date de publication09.02.2017
taille154.47 Kb.
typeDocumentos
d.20-bal.com > loi > Documentos
1   2   3   4

Informations relatives à la procédure d’audit6


Les informations suivantes sont nécessaires pour identifier la procédure d’audit de conformité qui fait l’objet de la demande de délivrance de label et délimiter son périmètre.

Désignation de la procédure d’audit

     

Présentation de la procédure d’audit

     

Satisfaction des exigences du référentiel7


L’évaluation des procédures d’audit de conformité de traitements sera faite au regard des tableaux suivants. Elle pourra être complétée via des échanges entre les évaluateurs et le demandeur.
    1. Référentiel d’évaluation de la méthode des audits de conformité de traitements


Exigences

Moyens mis en œuvre (500 caractères maximum)

Éléments de justification 8 (100 caractères maximum)

Exigences relatives aux principes à respecter

  1. Le requérant a mis en place une démarche visant à s’assurer de la conformité à la loi Informatique et Libertés de l’ensemble des traitements qu’il met en œuvre pour l’ensemble de ses activités, dont l’audit.




     

     

  1. La procédure d’audit comprend l’engagement que les auditeurs respectent les principes de déontologie, de présentation impartiale des résultats, de conscience professionnelle, d’indépendance et d’approche systématique.

     

     

Exigences relatives à tous les auditeurs

  1. La procédure d’audit permet d’assurer que les auditeurs ont une expérience professionnelle de cinq ans au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs ont suivi une formation à la méthodologie d’audit (principes, procédures et techniques d’audit, documents relatifs à l’audit, lois, réglementations et autres exigences applicables pertinentes pour la discipline…) de vingt heures au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs ont participé à deux audits au minimum, depuis leur déclenchement jusqu’à leur clôture, dans les deux dernières années.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs ont vingt jours d'expérience d'audit au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs continuent à se perfectionner professionnellement.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs sont évalués selon des critères et des méthodes définies dans le cadre de chaque audit et que les auditeurs qui ne satisfont pas à ces critères complètent leur formation ou leur expérience.




     

     

Exigences relatives aux responsables d’équipe d’audit

  1. La procédure d’audit permet d’assurer que les responsables d’équipe d’audit ont participé à trois audits au minimum, depuis leur déclenchement jusqu’à leur clôture, dans les deux dernières années.

     

     

  1. La procédure d’audit permet d’assurer que les responsables d’équipe d’audit ont quinze jours d'expérience d'audit au minimum en tant que responsable d'équipe d'audit.

     

     

Exigences relatives aux auditeurs « juridiques »

  1. La procédure d’audit permet d’assurer que les auditeurs « juridiques » ont obtenu un diplôme de master 1 ou équivalent dans le secteur du droit au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs « juridiques » ont une expérience de deux ans au minimum dans le domaine « Informatique et libertés » (ex : conseil, contentieux, accomplissement de formalités préalables…).




     

     

Exigences relatives aux auditeurs « techniques »

  1. La procédure d’audit permet d’assurer que les auditeurs « techniques » ont obtenu un diplôme de master 1 ou équivalent dans le domaine de l’informatique ou des systèmes d’information au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs « techniques » ont suivi une formation sur les référentiels utiles au management de la sécurité des systèmes d’information (réglementation, normes, méthodes, bonnes pratiques, gestion des risques…) de deux jours au minimum.

     

     

  1. La procédure d’audit permet de s’assurer que les auditeurs « techniques » ont suivi une formation dans le domaine Informatique et Libertés.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs « techniques » ont suivi une formation d’audit de sécurité technique (intrusion, investigation, détection de vulnérabilités techniques…) de deux jours au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs « techniques » ont une expérience de trois ans au minimum dans le domaine de la sécurité des systèmes d’information.



     

     

Exigences relatives à la préparation des audits

  1. La procédure d’audit permet d’assurer que les responsabilités de chacun, les objectifs, le champ, les critères et le déroulement de l’audit sont définis avec le commanditaire en tenant compte des éventuels audits préalablement réalisés.

     

     

  1. La procédure d’audit permet d’assurer que la faisabilité de l’audit est étudiée et que les actions nécessaires sont prises en fonction de cette étude.

     

     

  1. La procédure d’audit permet d’assurer que l’équipe d’audit est constituée en fonction des compétences « juridiques » et « techniques » nécessaires pour atteindre les objectifs de l’audit et dans le respect des principes relatifs aux auditeurs.

     

     

  1. La procédure d’audit prévoit l’insertion d’une clause particulière dans le contrat établi entre le prestataire et le commanditaire de l’audit, afin de garantir la confidentialité des données à caractère personnel qui pourraient, le cas échéant, être portées à la connaissance du prestataire dans le cadre de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que la documentation examinée par l’auditeur est consultée dans les locaux de l’audité ou est anonymisée si elle est consultée hors des locaux de l’audité. Ce principe est inscrit dans la clause de confidentialité établie entre le prestataire et le commanditaire de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que la documentation examinée par l’auditeur est adéquate pour réaliser l’audit et que le commanditaire de l’audit en est informé si ce n’est pas le cas. Pour qu’elle soit adéquate, elle comprend notamment les critères et les conclusions des éventuels audits préalablement réalisés, ainsi que les politiques internes relatives à la protection des données à caractère personnel, dans le champ de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que les instruments de recueil d’informations qui seront employés par l’équipe d’audit (questionnaires, guides d’entretien, logiciel d’analyse…) sont pertinents au regard des vérifications prévues et qu’ils sont éprouvés (des tests préliminaires ont été réalisés, des utilisations antérieures ont démontré leur justesse…).

     

     

  1. 9La procédure d’audit permet d’assurer que les échantillonnages réalisés (personnes interrogées, vérifications effectuées, données contrôlées…) sont suffisamment représentatifs.

     

     

  1. La procédure d’audit permet d’assurer que le plan d’audit, la manière dont les actions d’audit seront menées et les circuits de communication sont validés avec les responsables des activités du champ de l’audit et leurs questions traitées.

     

     

  1. La procédure d’audit permet d’assurer que le responsable de l’équipe d’audit élabore un plan d’audit validé par le commanditaire de l’audit. Ce plan d’audit contient notamment les objectifs de l’audit, les critères d’audit, les documents de référence, le champ d’audit, les dates, lieux, horaires et durée d’audit sur site, les rôles et responsabilités, ainsi que la mise à disposition des ressources appropriées et éventuellement les objections de l’audité. Les critères d’audit tiennent compte des audits préalablement réalisés et des politiques internes relatives à la protection des données à caractère personnel.

     

     

  1. La procédure d’audit permet d’assurer que l’accès et l’utilisation de données à caractère personnel nécessitant une habilitation particulière est réservé aux personnes dûment habilitées à le faire et ce, dans le respect de la loi et de la réglementation. Ce principe est inscrit dans le contrat établi entre le prestataire et le commanditaire de l’audit.

     

     

  1. La procédure d’audit permet de vérifier que seules les personnes disposant d’une habilitation particulière ont effectivement accès aux données et peuvent les utiliser.

     

     

  1. La procédure d’audit permet d’assurer que l’audité et, si nécessaire, le commanditaire de l’audit, est informé de l’avancement et de toute difficulté rencontrée de manière régulière.

     

     

  1. La procédure d’audit permet d’assurer que les preuves d’audit sont constituées à partir d’une vérification « juridique » et « technique » des informations recueillies et consignées.

     

     

  1. La procédure d’audit permet d’assurer que les données à caractère personnel collectées en tant que preuve sont, soit anonymisées, soit uniquement consultables au sein des locaux de l’audité tout en étant conservées de manière à assurer leur confidentialité. Ce principe est inscrit dans la clause de confidentialité établie entre le prestataire et le commanditaire de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que les constats d’audit sont élaborés en évaluant la conformité des preuves d’audit par rapport aux critères d’audit.

     

     

  1. La procédure d’audit permet d’assurer que l’équipe d’audit prépare les conclusions d’audit sur la base des constats d’audit.

     

     

  1. La procédure d’audit permet d’assurer que les preuves, les constats et les conclusions d’audit sont présentés à l’audité afin de vérifier sa compréhension et de faire reconnaître les preuves comme exactes, et que toute divergence d’opinion subsistant à l’issue de la discussion est consignée.

     

     

  1. La procédure d’audit permet d’assurer que le rapport d’audit fournit un enregistrement complet, concis, précis et clair de l’audit (contenant au minimum : date du rapport d’audit, objectifs de l’audit, champ d’audit, commanditaire de l’audit, équipe d’audit, dates et lieux des activités d’audit sur site, critères d’audit, constats d’audit et conclusions d’audit), est émis dans les délais convenus à moins qu’une nouvelle date d’émission ne soit fixée, est approuvé selon la procédure retenue et est diffusé aux destinataires identifiés par le commanditaire de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que les documents relatifs à l’audit (documentation fournie, plan d’audit, preuves d’audit, rapport d’audit…) sont conservés de manière à préserver leur confidentialité ou détruits de manière définitive et sécurisée s’ils ne sont plus utiles à l’issue de l’audit.

     

     


1   2   3   4

similaire:

Informations administratives1 iconInformations administratives1

Informations administratives1 iconInformations administratives1

Informations administratives1 iconInformations administratives1

Informations administratives1 iconIl est arrete et convenu ce qui suit
«confidentiel», étant précisé que la Partie destinataire considérera pendant ce délai de trente (30) jours les informations ainsi...

Informations administratives1 iconRésumé de l’étude
«informatique et libertés» du 6 janvier 1978, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent....

Informations administratives1 iconCadre juridique et acteurs du controle externe
«Les établissements de santé privés ne participant pas au service public hospitalier sont tenus de fournir aux organismes d'assurance...

Informations administratives1 iconRapport au Président de la République relatif à l’ordonnance n° 2005-650...
«data gouv fr» par la mission «Etalab» et l’application des dispositions régissant le droit de réutilisation des informations publiques...

Informations administratives1 iconInformations légales

Informations administratives1 iconInformations legales

Informations administratives1 iconInformations institutionnelles






Tous droits réservés. Copyright © 2016
contacts
d.20-bal.com