L’importance de la méthodologie avec PCI-DSS
Plusieurs contrôles de la norme PCI-DSS nécessitent une méthodologie.
La plupart existent et sont disponible via une simple recherche sur
internet. Mais en petite ou moyenne entreprise, l’application de la
méthodologie (document volumineux, cout, complexité) peut sembler
fastidieuse, surtout pour le processus de gestion du risque et
continuité des affaires.
6.3.a Obtain and examine written software development processes
11.3.1 Network-layer penetration tests
11.3.2 Application-layer penetration tests
12.1.2 Includes an annual process that identifies threats, and
vulnerabilities, and results in a formal risk assessment.
12.9.1 … Business recovery and continuity procedures …
Laurent Desaulniers a apporté le point qu’une bonne approche serait
de documenter la méthodologie, sans nécessairement devoir en appliquer
une existante à la lettre.
L’important, c’est de trouver une méthodologie qui s’applique bien à
votre entreprise, avec le budget permis. Prenez le temps de vous
documenter sur internet, et trouver ce qui vous semble le mieux.
Par la suite, l’important est de documenter la méthodologie, et vous
assurer pendant le processus, que votre rapport et votre méthodologie
soient en ligne. Les auditeurs ont beaucoup d’expérience et pourront
voir immédiatement si c’est un beau papier pour simplement réussir
l’audit ou bien un document bien en force et suivi dans l’entreprise.
Autre points importants, s’assurer que le processus est validé par le
management, qu’ils ont participé au processus, et que la personne qui
vous remplace en votre absence soit choisi et connue, et au courant de
la méthodologie.
La méthodologie appuie le fait qu’en votre absence de l’entreprise,
les processus sont toujours en place et connus par votre remplaçant.
Notez que durant un audit, vous serez plusieurs fois questionnés à
savoir qui met en force un contrôle lors de l’absence du responsable.
Afin de guider vos recherches, utiliser ces mots clés dans un moteur
de recherche afin de trouver des exemple de rapports. Ce qui s’avère
toujours très intéressant, c’est les différentes façon utilisées dans
ces rapports pour calculer les risques. A vous de choisir ce qui
s’applique le mieux à votre entreprise.
filetype:xls risk assessment report sample
