Naviguer dans le Processus de Préparation à l'Audit CAN/DGSI 104
​
La norme CAN/DGSI 104 définit les exigences en matière de cybersécurité pour les organisations au Canada. L'atteinte et le maintien de la conformité à cette norme nécessitent un programme de sécurité robuste et bien documenté. Ce module d'apprentissage vous guide à travers les étapes essentielles du processus de préparation à l'audit CAN/DGSI 104, en vous donnant un aperçu de ce que les auditeurs attendent et de la manière de naviguer avec succès dans chaque étape.
​
1. Élaboration des Politiques :
-
Fondation : La pierre angulaire de votre parcours de conformité réside dans l'élaboration de politiques de sécurité complètes et bien définies. Ces politiques doivent aborder tous les contrôles décrits dans la norme CAN/DGSI 104.
-
Orientation et Interprétation : Bien que les modèles puissent être utiles, ils doivent être utilisés comme guide. Utilisez l'orientation et l'interprétation fournies par le logiciel 123 Audit Prep pour vous assurer que toute votre documentation est correctement préparée. Cela vous aidera à adapter vos politiques à vos besoins commerciaux spécifiques et à votre profil de risque.
-
Concentration sur les Preuves : N'oubliez pas que les politiques seules ne suffisent pas. Vous devez recueillir des preuves démontrant que ces politiques sont mises en œuvre et fonctionnent efficacement au sein de votre organisation.
2. Collecte des Preuves :
-
Identifier les Contrôles Critiques : Examinez attentivement chaque contrôle de la norme CAN/DGSI 104 et déterminez les preuves nécessaires pour démontrer la conformité. Cela peut inclure :
-
Procédures documentées : Instructions étape par étape pour l'exécution des tâches de sécurité.
-
Configurations du système : Captures d'écran, journaux et rapports qui démontrent les paramètres et configurations de sécurité.
-
Plans de réponse aux incidents : Documentation du plan de votre organisation pour la gestion des incidents de sécurité.
-
Dossiers de formation : Preuve que les employés ont reçu une formation sur la sensibilisation à la sécurité et les meilleures pratiques.
-
Analyses de vulnérabilité : Rapports d'évaluations de sécurité et de tests de pénétration.
-
-
Tenir des Registres : Assurez-vous que toutes les preuves sont correctement documentées, organisées et facilement accessibles pour l'examen de l'audit.
3. Déclenchement du Processus d'Audit :
-
Contacter Votre Auditeur : Une fois que vous avez élaboré vos politiques et recueilli suffisamment de preuves, contactez votre organisme d'audit choisi.
-
Lancer l'Audit de l'Étape 1 : La première étape consiste à soumettre toutes vos politiques et preuves justificatives à l'auditeur pour examen.
4. Audit de l'Étape 2 :
-
Évaluation sur Site : C'est le cœur du processus d'audit. L'auditeur effectuera un examen approfondi de vos politiques, procédures et preuves.
-
Session Interactive : Attendez-vous à une session interactive où l'auditeur posera des questions, examinera vos systèmes et vous demandera de démontrer des fonctionnalités spécifiques.
-
Constatations de l'Audit : À la fin de l'audit, l'auditeur vous fournira ses constatations, qui peuvent inclure :
-
Observations : Domaines d'amélioration qui ne nécessitent pas d'action immédiate.
-
Non-conformités Mineures : Problèmes qui doivent être résolus dans un délai spécifié (généralement dans les 12 mois).
-
Non-conformités Majeures : Problèmes critiques qui nécessitent une attention immédiate et peuvent interrompre le processus d'audit jusqu'à ce qu'ils soient résolus.
-
5. Plan d'Action Corrective :
-
Résoudre les Non-conformités : Élaborez un plan d'action corrective complet pour résoudre toutes les non-conformités mineures identifiées.
-
Soumettre et Examiner : Soumettez votre plan d'action corrective à l'auditeur pour examen et approbation.
6. Certification et Maintenance Continue :
-
Délivrance du Certificat : Une fois l'audit terminé avec succès et votre plan d'action corrective approuvé, vous recevrez un certificat CAN/DGSI 104.
-
Audits Annuels : Pour maintenir la certification, vous subirez des audits de surveillance annuels pour assurer la conformité continue à la norme.
Ce que Vous Pouvez Attendre des Auditeurs :
-
Minutie : Les auditeurs examineront méticuleusement vos politiques, procédures et preuves pour s'assurer qu'elles répondent aux exigences de la norme CAN/DGSI 104.
-
Objectivité : Les auditeurs maintiendront une approche objective et impartiale tout au long du processus d'audit.
-
Orientation : Bien qu'ils évalueront votre conformité, les auditeurs peuvent également fournir des conseils et des recommandations précieux pour améliorer votre posture de sécurité.
Points Clés à Retenir :
-
Le processus d'audit CAN/DGSI 104 nécessite une approche proactive et bien planifiée.
-
Des politiques solides, une collecte de preuves complètes et un engagement envers l'amélioration continue sont essentiels pour une conformité réussie.
-
En suivant diligemment ces étapes et en maintenant une posture de sécurité solide, vous pouvez naviguer avec succès dans le processus d'audit CAN/DGSI 104 et obtenir et maintenir la certification.
---
​
Avertissement : Ce module d'apprentissage fournit des informations générales et ne doit pas être considéré comme un avis juridique ou professionnel. Veuillez consulter vos conseillers en sécurité 123 Cyber pour obtenir des conseils spécifiques relatifs à la norme CAN/DGSI 104 et au processus d'audit.
​
Cette série de formations est basée sur la NORME NATIONALE DU CANADA CAN/DGSI 104, Contrôles de cybersécurité de base pour les petites et moyennes organisations (généralement moins de 500 employés), les contrôles du Centre canadien pour la cybersécurité et le National Institute of Standards and Technology (NIST).
​
Ce tutoriel est un guide des meilleures pratiques, mais nous vous encourageons à consulter la politique de mots de passe de votre entreprise pour vous assurer que vous suivez les procédures de votre organisation.
​
---
​
Si vous souhaitez devenir conforme à la norme CAN/DGSI 104 ou si vous souhaitez rejoindre notre programme d'affiliation :