Quelle est la principale raison de conserver les revues et les approbations de la direction concernant les évaluations de sécurité ?

[A] Protéger l’organisation contre d’éventuelles poursuites judiciaires

[B] Répondre aux exigences de gouvernance, de conformité et d’audit

[C] Respecter la règlementation qui impose de les conserver pendant 10 ans

[D] Démontrer l’implication de la direction dans les décisions de sécurité

reponse linkedin

CBK6 Q17 LINK

 

Proposition [A] : Bien que cette documentation puisse aider dans certaines situations juridiques, ce n’est pas la principale raison pour les conserver.

Proposition [B] : Les organisations doivent démontrer qu’elles respectent les cadres réglementaires, les normes de conformité et les bonnes pratiques de gestion des risques. Les audits internes et externes nécessitent souvent une traçabilité des décisions prises par la direction en matière de cybersécurité. Conserver ces documents permet de prouver que les évaluations de sécurité ont été examinées, validées et prises en compte dans la gestion des risques de l’entreprise.

Proposition [C] : Il n’existe pas de règle universelle imposant une durée de conservation fixe de 10 ans pour ces documents. La durée dépend des réglementations applicables (RGPD, NIST, ISO 27001, etc.) et des politiques internes de l’organisation.

Proposition [D] : Même si l’implication de la direction est un facteur important, la principale raison de conserver les revues et approbations reste la conformité aux exigences de gouvernance et d’audit. Et puis à bien y réfléchir, quand on dit « démontrer l’implication de la direction… », OK mais démontrer à qui ? à un régulateur ? à un auditeur ? On voit bien encore une fois que c’est un moyen de répondre à une exigence de conformité ou d’audit.

La bonne réponse est la proposition [B]

tip

Pour en savoir plus sur la gouvernance de la cyberséccurité nous vous recommandons de suivre le modules n°3 de notre formation CISSP en distanciel de VERISAFE.

Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE