Bonjour à tous,
Je suis actuellement en stage et l'on me demande de définir les différentes étapes d'un audit de sécurité du SI dans son intégralité pour préparer un appel d'offre.
Ca fait quelques temps que je suis dessus, je pense avoir identifié la plupart des impératifs liés à EBIOS (le choix de la méthode est définitif) à force de potasser les documentations fournies par l'ANSSI.
Il me reste cependant un soucis majeur, une composante que je n'arrive pas à comprendre : où s'arrêtent mes responsabilités (celles de la société) et ou commencent celles de l'auditeur ?
Concrètement, est-ce à moi de définir le périmètre de l'audit ou bien est-ce de la responsabilité du prestataire d'audit ?
Si vous avez, quelques conseils supplémentaires à apporter sur la répartition des tâches, je suis tout à fait preneur, la plupart des informations que je trouve sont relatives à un audit interne.
D'avance merci. Craig.
Partager