Aller au contenu

Soutenir les audits avec VIVA#

Les audits sont les rapports nécessaires pour une éventuelle certification selon l'ISO 27001 basée sur l'IT-Grundschutz. Les audits peuvent être créés et gérés avec l'extension VIVA. En plus des audits, VIVA propose d'autres rapports qui servent à l'assurance qualité continue.

Créer des audits#

Une fois que toutes les informations ont été rassemblées et documentées dans VIVA, les audits peuvent être créés. Ils sont basés sur le réseau d'informations sélectionné et le type de certification recherché (certification initiale, audit de surveillance, etc.). En termes de contenu et de format, ils sont basés sur les spécifications établies dans les normes du BSI. Les audits peuvent être trouvés sous l'élément du même nom dans l'arborescence du menu.

Les formats de sortie suivants sont disponibles pour la sélection :

  • PDF
  • HTML (y compris la zone d'en-tête et la feuille de style)
  • HTML-Body (sans la zone d'en-tête et la feuille de style)

Les documents HTML générés contiennent toutes les informations nécessaires pour un traitement ultérieur dans d'autres applications. Ils peuvent être facilement importés dans un traitement de texte et adaptés là-bas à vos propres spécifications (par exemple, au design d'entreprise).

Documents de référence#

Les documents de référence individuels sont discutés ci-dessous.

Document de référence A.0 Lignes directrices en matière de sécurité informatique#

Le premier document de référence contient des informations générales qui peuvent être documentées directement dans l'audit respectif.

Document de référence A.1 Analyse de la structure informatique#

Le deuxième document de référence est alimenté d'une part par les données documentées dans le réseau d'informations sélectionné (voir Création de groupes cibles et Attribution d'objets cibles], et d'autre part par des données supplémentaires qui peuvent être stockées directement dans l'audit respectif.

Document de référence A.1 Analyse de la structure informatique Le deuxième document de référence est alimenté, d'une part, par les données documentées dans le réseau d'informations sélectionné. Le document de référence contient, entre autres, un diagramme de réseau ajusté (voir Norme BSI 100-2, chapitres 4.2.3 et 4.3.5.). Cela peut être référencé textuellement via le champ de formulaire correspondant ou - si le champ est laissé vide - un diagramme généré automatiquement est utilisé pour représenter le plan du réseau. Le diagramme généré contient toutes les informations nécessaires pour un plan de réseau nettoyé et disponibles à travers la documentation actuelle : Cela inclut les groupes cibles individuels, leurs liens de communication entre eux, et les criticités associées. Cela est complété par un code couleur, qui est composé de la configuration du type d'objet :

Document de référence A.2 Identification des exigences de protection#

Ce document de référence ne contient que des données qui ont déjà été documentées au sein du réseau d'information sélectionné. Voir Définition des catégories d'exigences de protection et Définition des exigences de protection.

Document de référence A.3 Modélisation du réseau informatique#

Ce document de référence ne contient que des données qui ont déjà été documentées au sein de la fédération d'informations sélectionnée. Voir Modélisation des réseaux d'information.

Document de référence A.4 Résultat du contrôle de sécurité de base#

Ce document de référence ne contient que des données qui ont déjà été documentées au sein du réseau d'information sélectionné. Voir Mise en œuvre de mesures.

Document de référence A.5 Analyse de sécurité supplémentaire#

Ce document de référence ne contient que des données qui ont déjà été documentées au sein du réseau d'information sélectionné. Voir Réalisation d'une Analyse de Sécurité Supplémentaire.

Document de référence A.6 Analyse des risques#

Ce document de référence compile des informations pour couvrir une analyse des risques selon la norme BSI 100-3. Voir l'analyse des risques selon l'IT-Grundschutz.

Document de référence A.7 Plan de traitement des risques#

Ce document de référence n'est actuellement pas généré.