security standard - World Lottery Association

Transcription

Professionalism
SECURITY STANDARD
RESPONSIBILITY
Sustainability
Guide pour
la certification aux
Standards de
contrôle de sécurité
de la WLA
• Directives de certification pour les membres de la WLA
• Directives d’accréditation pour les auditeurs de certification
• Documents d’audit de certification
Édition avril 2011
Table des matières
Préface
4
Définitions
6
Partie A
Directives de certification pour les membres de la WLA
1. Introduction
8
2. Vue d’ensemble du procédé de certification aux Standards de contrôle
9
de sécurité de la WLA 3. Certification à ISO/ IEC 27001:2005
10
4. Certification aux SCS de la WLA 10
5. Vérificateurs de certification accrédités par le CSGR de la WLA 13
6. Comité de la Sécurité et de la gestion du risque de la WLA 14
7. Membres certifiés aux SCS de la WLA 15
Partie B
Directives d’accréditation pour les auditeurs de certification
1. Lien des auditeurs de certification et des entités de certification
17
2. Comment se qualifier comme auditeur de certification approuvé par le
17
CSGR de la WLA
3. Comment se qualifier comme entité de certification approuvée par la WLA 19
Partie C
Documents d’audit de certification
1. Exigences documentaires pour les audits de certification
20
2. Formulaire de déclaration d’audit de certification
20
3. Formulaire d’évaluation d’audit de certification
23
4. Rapport détaillé de l’audit de certification
29
Bibliographie
30
Guide pour la certification aux Standards de contrôle de sécurité de la WLA – Édition avril 2011
Préface
La World Lottery Association (WLA ) est
une organisation commerciale internationale représentant 142 loteries et 60
fournisseurs de loterie provenant de 90
pays répartis sur les cinq continents
(données en date du mois d’août 2010).
Les loteries membres doivent obtenir une
licence ou une autorisation d’opérations
de loteries et/ou paris sportifs, de la juridiction dans laquelle elles dirigent leurs
opérations.
Le comité de la Sécurité et de la gestion
du risque de la WLA (CSGR ) est formé
de représentants et de spécialistes en sécurité provenant de loteries à travers le
monde. La mission du CSGR de la WLA
est de conseiller la WLA en matière de
sécurité et de gestion du risque. Depuis
plus de dix ans, le CSGR de la WLA a
mis sur pied et maintenu des standards
de sécurité sur mesure et spécialement
conçus pour le monde des loteries, à
savoir, les Standards de contrôle de la
sécurité de la WLA (SCS de la WLA ).
Ces standards ont été développés grâce à
une approche axée sur la coopération et
le consensus et sont strictement mis à la
disposition des membres de la WLA
conformément à ses règlements. Une
liste des membres du CSGR de la WLA
se trouve à la partie A, section 6, page 14.
Les Standards de contrôle de sécurité de
la WLA sont les seuls standards de sécurité reconnus internationalement pour
le secteur des loteries. Conçus à partir
du programme ISO/IEC 27001:2005, un
4
standard international prédominant en
matière de gestion de la sécurité de
l’information, les Standards de contrôle
de sécurité de la WLA comprennent
deux parties. La première partie, (WLA
SCS: 2006 Partie A – Exigences générales
en sécurité) comprend le Standard ISO/
IEC 27001:2005 et 24 contrôles de sécurité supplémentaires. La deuxième partie
(WLA SCS: 2006 Partie B – Contrôles de
sécurité spécifiques aux loteries) énumère 72 contrôles de sécurité supplémentaires spécifiques aux loteries représentant les meilleures pratiques actuellement en vigueur en matière de sécurité.
En ce qui concerne le toto, les Standards
de contrôle de sécurité de la WLA spécifient les exigences minimales pour la gestion efficace dans une organisation de
loterie. La conformité aux exigences des
standards de sécurité de la WLA permet
à une loterie d’assurer l’intégrité, la disponibilité et la confidentialité de l’information essentielle à la sécurité de ses
opérations. Pour plus d’information sur
les Standards de contrôle de sécurité de
la WLA, veuillez vous référer à la documentation pertinente disponible aux
membres sur le site de la WLA à:
www.world-lotteries.org.
La WLA fait des efforts constants pour
apporter son appui aux membres afin
que ceux-ci fassent preuve de standards
élevés d’intégrité en obtenant la certification aux Standards de contrôle de la sécurité de la WLA . Le nouveau processus
de certification aux standards de sécurité
décrit dans ce guide le rend plus accessible à tous les membres grâce à la rationalisation dont il a fait l’objet. Les
principaux facteurs qui personnalisent
le nouveau processus de certification par
rapport au précédent sont:
• Exclusion de la certification ISO/IEC
27001:2005 du processus de certification des SCS de la WLA. Les
membres de la WLA qui désirent
obtenir la certification aux Standards
de contrôle de la WLA peuvent
choisir des auditeurs de l’ISO/IEC
27001:2005 différents des auditeurs
des Standards de contrôle de sécurité de la WLA . Étant donné que les
auditeurs et les consultants du
ISO/IEC 27001:2005 sont facilement
disponibles dans plusieurs régions,
cette exclusion augmente largement
la flexibilité des membres dans le
choix d’auditeurs à travers le monde.
• Ouverture au niveau du processus
d’accréditation des auditeurs pour la
certification des Standards de
contrôle de sécurité de la WLA . Les
auditeurs de certification des SCS
de la WLA peuvent être librement
choisis à partir d’une liste d’auditeurs
de certification accrédités par le
comité de la Sécurité et de la gestion
du risque de la WLA ou les
membres de la WLA peuvent
recommander de nouveaux auditeurs
de certification. Afin d’assurer
de façon continue l’intégrité de la
certification aux Standards de
contrôle de sécurité de la WLA , les
vérificateurs de certification recommandés doivent rencontrer des
exigences strictes minimales avant
qu’on leur accorde l’autorisation de
mener une telle certification.
• Réglementation plus stricte de
la certification aux SCS de la WLA .
Toutes les certifications aux SCS
de la WLA doivent maintenant être
exécutées par un auditeur de
certification accrédité par le comité
de la Sécurité et de la gestion du
risque de la WLA ; l’auditeur peut
être un employé, agent ou soustraitant d’une entité de certification
qui a conclu une entente pour les
services de certification avec la WLA .
De plus, le certificat des Standards
de contrôle de sécurité de la
WLA sont maintenant émis directement par la WLA au lieu d’être
émis par l’auditeur de certification
ou par l’entité de certification.
En émettant ce document et en le rendant disponible aux membres, la WLA
souhaite favoriser une meilleure compréhension de ses standards de contrôle de
la sécurité et du processus de certification. La WLA espère que cela incitera
plus de membres à demander la certification à ses standards, ce qui permettra
ainsi de rehausser le niveau général de
sécurité au sein de la communauté mondiale des loteries.
Ce document est destiné:
• Aux membres de la WLA et aux
membres associés qui désirent
la certification aux SCS: 2006 de
la WLA .
• Aux professionnels qualifiés qui
désirent être reconnus à titre
d’auditeurs de certification des
SCS: 2006 de la WLA .
• Aux auditeurs de certification aux
SCS: 2006 de la WLA qui désirent
entreprendre la certification de
membres de la WLA et de membres
associés qui font une demande
de certification aux SCS: 2006 de
la WLA .
la gestion du risque de la WLA ,
leur candidature à l’accréditation,
leur permettant d’effectuer des audits
de certification pour les SCS de
la WLA .
La suite de ce document est divisée
comme suit:
• Partie A
Directives de certification pour
les membres de la WLA
Cette section détaille le processus de
certification aux SCS de la WLA
et devrait être lue par les membres
de la WLA ainsi que les membres
associés qui sont intéressés à
obtenir la certification aux SCS de
la WLA .
Pour les organisations qui désirent la certification aux SCS: 2006 de la WLA , ce
document:
• Partie B
Directives d’accréditation pour
les auditeurs de certification
• Explique le fonctionnement du
processus de certification et
comment faire une demande de
certification.
Cette section comprend les directives
pour obtenir l’autorisation de
diriger le processus de certification
aux SCS de la WLA et devrait
être lue par les professionnels
qualifiés et les organisations qui
désirent obtenir cette autorisation.
• Aide à la sélection d’une entité
de certification et/ou d’un auditeur
de certification.
Pour les professionnels qualifiés désirant
être reconnus à titre d’auditeurs de certification SCS: 2006 de la WLA , ce document:
• précise comment ils peuvent soumettre, au comité de la Sécurité et de
• Partie C
Documentation d’audit de
certification
Contient la documentation pour les
auditeurs de certification qui
dirigent les certifications aux SCS de
la WLA et devrait être lue par ces
derniers.
5
Définitions
Tout au long de ce document, les termes
et définitions suivants s’appliquent.
blis par la WLA et qui peuvent être modifiés à l’occasion.
1.1 Loteries membres
1.5 Le comité de la Sécurité et de
la gestion du risque de la WLA
Fait référence à une organisation de loterie dûment approuvée à titre de membre
de la WLA conformément aux règlements de celle-ci. Ses opérations portent
sur des jeux de hasard et/ou de chance
tels que le Lotto, Toto, jeux instantanés,
paris sportifs et loteries classiques. Les
membres ont une licence ou ont une autorisation d’une juridiction au sein d’un
État reconnu par les Nations Unies.
Désigne le comité de la Sécurité et de la
gestion du risque de la WLA , un groupe
de professionnels de la sécurité issus de
l’industrie des loteries et nommés par le
comité exécutif de la WLA pour mettre
sur pied et maintenir les Standards de
contrôle de sécurité de la WLA et pour
superviser le processus de sélection des
auditeurs de certification.
1.6 Autorité de certification
1.2 Membres associés
Une personne ou organisation, qui fournit de biens ou services à l’industrie de
la loterie et qui est dûment approuvée
comme membre de la WLA conformément aux règlements de celle-ci. Ces personnes ou organisations ont obtenu l’endossement de leur demande comme
membre associé, par au moins deux
membres en règle de la WLA et ont été
acceptées par le comité exécutif de la
WLA .
1.3 Membre de la WLA
Réfère à une loterie membre et à un
membre associé, tel que défini plus haut,
lorsque le contexte implique les deux de
façon implicite.
1.4 Les Standards de contrôle de
sécurité (SCS) de la WLA
Réfère aux Standards de contrôle de sécurité de la WLA , un ensemble complet
de standards de sécurité spécifiques au
domaine des loteries. Cet ensemble comprend le Standard ISO/IEC 27001:2005
complété par des contrôles de sécurité
généraux et spécifiques aux loteries éta-
6
Fait référence à la WLA .
1.7 Entité de certification
Fait référence à des tiers qui offrent des
services de certification aux membres de
la WLA . L’entité de certification doit
avoir conclu une entente avec la WLA
pour pouvoir offrir le service de certification. Les auditeurs individuels qui agissent comme entrepreneurs indépendants
sont également considérés comme des
entités de certification. Ces individus devront obtenir l’approbation du comité de
la Sécurité et de la gestion du risque de la
WLA à titre d’auditeur à la certification,
en plus de signer une entente avec la
WLA .
1.8 Entente de services de
certification
Désigne une entente non commerciale
entre la WLA et une entité de certification portant sur les services de certification des membres de la WLA à ses Standards de contrôle de sécurité.
1.9 Vérificateur de certification
Désigne les évaluateurs individuels employés par les entités de certification qui
feront l’audit de certification des Standards de contrôle de sécurité de la WLA .
Le comité de Sécurité et de la gestion du
risque de la WLA doit préalablement accréditer l’auditeur de certification.
1.10 Service de pré-évaluation
Désigne un audit simplifié où les principaux éléments du système de contrôle de
sécurité d’un membre de la WLA sont
évalués en rapport aux standards mais
sans une évaluation en profondeur de
l’implantation.
1.11 Processus de certification
Processus d’évaluation et d’estimation
exécuté par un auditeur de certification
accrédité par le CSGR de la WLA afin de
vérifier s’il y a conformité aux Standards
de contrôle de sécurité de la WLA .
1.12 Formulaire de déclaration
d’audit de certification
Document émis par l’entité de certification qui sert à aviser la WLA de l’intention de cette entité d’entreprendre la certification du membre de la WLA.
1.13 Formulaire d’évaluation de
l’audit de certification
Document émis par l’entité de certification décrivant les éléments vérifiés, les
éléments non pertinents ainsi que la recommandation de certification ou de recertification.
1.14 Rapport de l’audit de
certification
Rapport émis par une entité de certification autorisée par la WLA au membre de
la WLA et qui décrit l’évaluation faite et
les résultats obtenus durant le processus
de certification ou de re-certification. Ce
document est la propriété du membre de
la WLA et sera considéré comme strictement confidentiel.
1.15 Certificat
Document qui atteste de la conformité
d’un membre de la WLA aux Standards
de contrôle de sécurité de la WLA en date
de la certification. La certification est valide pour une période de trois ans.
1.16 Certification aux Standards
de contrôle de sécurité de la
WLA
Référence au membre de la WLA qui a
fait l’objet d’un processus d’évaluation et
a été considéré comme étant conforme, à
ce moment, aux exigences des Standards
1.17 Audit annuel
Un audit annuel qui peut être exécuté
par un auditeur de certification accrédité
par le CSGR de la WLA afin d’aider un
membre de la WLA à garder le cap sur la
conformité au cours de la période de
trois ans entre la certification et le renouvellement de cette certification.
Au terme de cet audit, l’auditeur de certification proposera un calendrier pour
les audits annuels. Cependant, la décision de suivre ce calendrier appartient
au membre de la WLA .
1.18 Re-certification
Autre processus complet d’évaluation effectué par un auditeur de certification
accrédité par le CSGR de la WLA pour
un membre certifié de la WLA après l’expiration du terme initial de validité de
trois ans, ainsi que pour les périodes
subséquentes, afin de déterminer si le
membre est conforme aux Standards de
contrôle de sécurité de la WLA .
Certificat des Standards de contrôle de sécurité de la WLA .
7
Partie A Directives de certification pour
les membres de la WLA
1. Introduction
1.1
Historique
La sécurité d’une organisation de loterie
joue un rôle crucial dans le maintien de
la confiance du public dans les jeux de
loterie. Il est donc essentiel qu’une organisation de loterie développe et maintienne un environnement de sécurité
documenté et transparent afin d’avoir et
de maintenir la confiance du public dans
ses opérations.
la WLA sont les seuls reconnus internationalement pour le secteur des loteries.
la WLA se combinent à un ensemble de
base complet portant sur la gestion exhaustive de la sécurité de l’information
qui incluent l’ISO/IED 27001:2005, un
standard international de haut niveau
pour la gestion de la sécurité de l’information, avec des contrôles additionnels
de sécurité spécifiques aux loteries, représentant les meilleures pratiques actuelles. Les Standards de contrôle de sécurité de la WLA sont conçus pour aider
toutes les loteries du monde à obtenir un
niveau de contrôle de sécurité selon les
meilleures pratiques généralement acceptées afin de permettre une fiabilité
accrue de l’intégrité des opérations de
loterie. Les Standards de contrôle de sécurité de la WLA spécifient les pratiques
requises pour une structure efficace de
gestion de la sécurité par laquelle une
loterie peut préserver l’intégrité, la disponibilité et la confidentialité de l’information cruciales à ses opérations de sécurité.
Seule la WLA peut officiellement certifier la conformité des organisations avec
les Standards de contrôle de sécurité de
la WLA . À ce titre, des vérificateurs de
certification accrédités par le comité de
la Sécurité et de la gestion du risque
(CSGR ) de la WLA qui sont des employés, agents ou sous-traitants des entités spécifiques de certification approuvées par la WLA sont autorisés à faire des
audits de certification des membres de la
8
WLA qui désirent certifier leurs opérations face aux Standards de contrôle de
sécurité de la WLA . La certification peut
être obtenue en se conformant aux exigences des Standards de contrôle de sécurité de la WLA au moment de l’évaluation réelle. La certification permet aux
membres de la WLA de confirmer leur
conformité aux Standards de contrôle
de sécurité de la WLA pour une période
continue de trois ans.
1.2 Informations sur ce document
Le processus qui aboutit à la certification
SCS: 2006 de la WLA a beaucoup changé
depuis la version V1.0 des Standards de
contrôle de la WLA . Le processus de certification mis à jour dans les SCS: 2006 de
la WLA :
• Sépare la certification ISO/IEC
27001:2005 de la certification
aux Standards de contrôle de sécurité
de la WLA . La certification
ISO/IEC 27001:2005 peut maintenant être faite de façon entièrement indépendante de la certification
des SCS: 2006 de la WLA .
• Accroît la flexibilité des membres
de la WLA dans le choix des
auditeurs de certification aux
Standards de contrôle de sécurité de
la WLA . Les membres de la WLA
peuvent maintenant choisir leurs
auditeurs de certification, sous
réserve que l’auditeur de certification
rencontre les exigences d’accréditation du comité de la Sécurité et
de la gestion du risque (CSGR ) de
la WLA .
• Pourvoit à une réglementation plus
stricte des certifications aux Standards de contrôle de la WLA . Toutes
les certifications de la WLA doivent
maintenant être effectuées par
un auditeur de certification accrédité
par le CSGR de la WLA ; il doit être
un employé, agent, sous-traitant
d’une entité de certification approuvée par la WLA , c’est-à-dire, une
entité de certification qui a passé une
entente pour des services de certification avec la WLA .
Les règles de certification présentées dans
ce document détaillent les nouvelles politiques et procédures qui devraient être
suivies par:
• Les membres de la WLA recherchant
la certification aux Standards
de contrôle de sécurité de la WLA ;
• Les auditeurs de certification
réalisant les certifications
aux Standards de contrôle de
sécurité de la WLA ;
• Les professionnels qualifiés, à la
recherche de l’accréditation
du comité de la Sécurité et de la
gestion du risque de la WLA
en tant qu’auditeurs de certification.
Les règles de certification détaillées dans
ce document présupposent une bonne
connaissance des Standards de contrôle
de sécurité de la WLA . Pour des informations supplémentaires sur ces standards,
veuillez vous référer à la documentation
portant sur les Standards de contrôle
de sécurité de la WLA . Les membres de
la WLA peuvent obtenir des copies de
la documentation des Standards de
contrôle de sécurité de la WLA à partir
du site Web de la WLA à
1.3 Responsabilités du membre
de la WLA concerné
Un membre de la WLA qui fait l’objet
d’une certification ou re-certification
prend acte:
i. Qu’il accepte les Standards de
contrôle de la WLA , tels que rédigés
au moment de la certification ou
re-certification.
ii. Que la certification ou re-certifi-
cation aux Standards de contrôle de
sécurité:
a)Atteste seulement de l’existence
d’un ensemble de procédures
de sécurité qui, au moment de la
certification, correspond à
l’objectif de gestion des risques
inhérents associés aux opérations
d’une organisation de loterie, et
b)Ne garantit pas de quelque
manière que ce soit les résultats
obtenus dans les affaires dont
il s’occupe.
iii.Qu’il est seulement responsable
du choix des procédures et méthodes
utilisées pour rendre les Standards
de contrôle de la sécurité opérationnels, et que la WLA , l’entité de
certification et le vérificateur
de certification ne sont sous aucune
considération responsables de
réclamations/et dommages en la
matière.
iv.Qu’il est responsable de rendre
toute l’information pertinente
disponible à l’entité de certification
et à l’auditeur de certification
de façon diligente, il doit également
fournir l’aide nécessaire et les
aviser de tout changement dans
l’information qu’il leur a fournie.
v. Qu’il utilisera la certification des
standards de contrôle de sécurité de
la WLA seulement en conformité
avec les exigences de la WLA .
1.4 Historique des mises à jour
Ce document comprend la version V1.0
des Règles de certification aux Standards
2.
Vue d’ensemble du
processus de certification
aux Standards de
contrôle de sécurité de
la WLA
Le processus de certification aux Standards de contrôle de sécurité de la WLA
peut se faire de plusieurs manières, grâce
à sa flexibilité. Dans les grandes lignes,
toutefois, le processus de certification inclut la séquence suivante d’événements:
1. Avant l’audit de certification,
le membre de la WLA se prépare à la
certification. À cet effet, le membre
de la WLA :
a. avise la WLA de son intention
d’obtenir la certification aux
Standards de contrôle de sécurité
de la WLA ;
b.fait une analyse des écarts, si
nécessaire, afin d’identifier toute
anomalie entre les dispositions
de sécurité actuelles et les exigences
de l’ISO/IEC 27001:2005 et des
de la WLA .
➞ Vous trouverez des informations
supplémentaires sur la préparation
à un audit de vérification à
la partie A, section 4.1, page 10.
2. Le membre de la WLA choisit une
entité de certification approuvée
par la WLA offrant les services
de certifications aux Standards de
Une liste des entités de certification
approuvées par la WLA se trouve
à la partie A, section 5, page 13.
supplémentaires sur le choix
d’une entité de certification, à la
partie A, section 4.2, page 10.
3. Le membre de la WLA choisit
un auditeur de certification accrédité
par le CSGR de la WLA qui est
soit un employé, agent ou sous-traitant de l’entité de certification
approuvée par la WLA et choisie
par le membre de la WLA . Une liste
des auditeurs de certification
accrédités par le CSGR de la WLA
se trouve à la partie A, section 5,
page 13.
À l’inverse, le membre de la WLA
peut recommander un professionnel
qualifié pour l’accréditation du
CSGR de la WLA comme auditeur
de certification. Le professionnel
qualifié recommandé par le membre
de la WLA devrait être un employé, un agent ou un sous-traitant
d’une entité de certification
approuvée par la WLA . Il peut faire
l’audit de vérification dès qu’il
reçoit son accréditation du CSGR
de la WLA .
supplémentaires sur le choix
d’un auditeur de certification, à la
partie A, section 4.3, page 11.
4. Réalisation de l’audit de certification.
L’auditeur de certification:
a. Remplit un formulaire de déclara-
tion d’audit avisant la WLA
de son intention de faire un audit
de certification du membre de
la WLA .
b.Réalise l’audit de certification. L’audit
ISO/IEC 27001:2005 est indépendant de l’audit de certification
aux Standards de contrôle de la WLA
et peut être réalisé soit en parallèle,
de façon indépendante, ou préalablement à l’audit de certification aux
de la WLA . Dans tous les cas, le
membre de la WLA doit être certifié
ISO/IEC 27001:2005 afin d’obtenir
supplémentaires sur l’audit ISO/IEC
27001:2005 en tant que composante
de l’audit de certification aux
la WLA à la partie A, section 3,
page 10.
supplémentaires sur la conduite
d’un audit de certification, à la partie
A, section 4.4, page 11.
9
➞
Partie A
➞
5. Une fois l’audit de certification
complété, l’auditeur de certification:
a. Rédige un rapport détaillé d’audit
de certification et le soumet
au membre de la WLA . Le rapport
documente l’audit de certification
et ses résultats et est confidentiel.
b.Remplit un formulaire d’évaluation
d’audit de certification et le soumet à
la WLA . Cette dernière accorde
ou refuse la certification sur la base
du contenu de l’évaluation de l’audit
de certification soumis à la WLA .
supplémentaires sur l’audit de
certification finalisé, à la partie A,
section 4.5, page 12.
6. Lorsque la WLA accorde la certifica-
tion, elle publie les résultats,
et émet un certificat attestant que le
membre de la WLA est certifié
de la WLA .
supplémentaires sur l’émission
d’une certification, à la partie A,
7. Une fois la certification réussie,
des audits annuels pour aider
le membre de la WLA à demeurer en
conformité avec les Standards
de contrôle de sécurité de la WLA
peuvent être réalisés à la
discrétion du membre de la WLA .
supplémentaires sur les audits annuels,
à la partie A, section 4.7, page 12.
8. Le membre de la WLA peut être
certifié à nouveau à l’expiration de la
contrôle de la WLA en répétant le
processus de certification.
supplémentaires sur la re-certification,
à la partie A, section 4.8, page 12.
10
3. Certification
ISO/IEC 27001:2005
Les Standards de contrôle de sécurité
2006 de la WLA différencient la certification ISO/IEC 27001:2005 de la certification aux Standards de contrôle de
sécurité de la WLA . Étant donné que la
certification ISO/IEC 27001:2005 est indépendante de celle des Standards de
contrôle de sécurité de la WLA , plusieurs
cas de certification peuvent se présenter.
Un membre de la WLA peut:
• Être déjà certifié ISO/IEC
27001:2005. Dans un tel cas, la
certification actuelle ISO/IEC
27001:2005 peut être utilisée
pour rencontrer les exigences de la
première partie des Standards
de contrôle de sécurité de la WLA
(SCS: 2006 de la WLA , Partie A,
Exigences générales en sécurité), à
condition que le certificat ISO/IEC
27001:2005 rencontre les exigences de l’étendue des Standards de
• Être sans certification ISO/IEC
27001:2005 et espérer réaliser une
telle certification comme tremplin à
27001:2005 et espérer réaliser
une telle certification en parallèle à la
contrôle de sécurité de la WLA , avec
des auditeurs de certification
différents pour les deux certifications.
27001:2005 et espérer réaliser une
telle certification en parallèle à la
contrôle de sécurité de la WLA , en
utilisant le même auditeur pour
les deux audits.
Dans tous les cas, les audits ISO/IEC
27001:2005 des membres de la WLA
doivent être réalisés par un auditeur
de l’ISO/IEC 27001:2005 accrédité par
une entité de certification reconnue internationalement selon les règles et règlements de l’ISO/IEC 27001:2005. Il n’est
pas nécessaire que l’auditeur ISO/IEC
27001:2005 soit un auditeur de certification accrédité par le CSGR de la WLA .
En principe, la WLA recommande que
les préparations aux Standards de
contrôle de sécurité de la WLA soient
faites en parallèle avec les préparations
d’ISO/IEC 27001:2005. Dans ce cas, on
s’attend à ce que l’auditeur d’ISO/IEC
27001:2005 qui fait l’audit ISO/IEC
27001:2005 soit également accrédité par
le CSGR de la WLA comme auditeur de
certification. Un membre de la WLA doit
être certifié ISO/IEC 27001:2005 afin
d’être certifié aux Standards de contrôle
de sécurité de la WLA .
4. Certification aux
Standards de contrôle de
sécurité de la WLA
4.1 Préparation à la certification
Au début du processus de certification,
un membre de la WLA devrait aviser son
intention d’obtenir la certification aux
Standards de contrôle de sécurité de la
WLA . Il devrait s’adresser soit au bureau
d’affaires de la WLA à Bâle, à un membre
du comité de la Sécurité et de la gestion
du risque de la WLA , ou à un des auditeurs de certification accrédités de la
WLA . Les noms de ces personnes-ressources se trouvent sur le site Web de la
WLA à www.world-lotteries.org.
Un membre de la WLA peut embaucher
des consultants externes offrant des services de pré-évaluation en tout temps
pendant la préparation pour la certification, afin de les aider dans la préparation.
4.1.1 Analyse des écarts
Le membre de la WLA peut effectuer
l’analyse des écarts de sa sécurité et de
son système de gestion du risque avant
l’audit de certification. En étudiant la documentation ISO/IEC 27001:2005 et les
WLA , il peut vérifier et comparer à quel
point son organisation rencontre les
exigences de ces standards. Cette étape
n’est pas obligatoire, mais peut aider
à déterminer si votre organisation est
prête à faire l’objet d’un audit externe.
Le membre de la WLA peut alors mettre
en place un plan d’action afin de corriger tout écart découvert au cours de
l’analyse.
4.2 Choisir une entité de
certification
La WLA a approuvé des entités de certification spécifiques pour fournir les services de certification aux membres de la
WLA désirant la certification de leurs
opérations par rapport aux Standards de
contrôle de sécurité de la WLA . L’entité
de certification choisie est responsable de
superviser l’auditeur de certification qui
réalise l’audit de certification.
Les membres de la WLA qui désirent la
certification peuvent choisir parmi une
gamme d’entités de certification approuvées par la WLA . Ce sont des entités de
certification qui ont signé une entente
avec la WLA . Une liste des entités de certification approuvées par la WLA ainsi
que les auditeurs de certification accrédités par le comité de la Sécurité et de la
gestion du risque de la WLA est disponible à la partie A, section 5, à la page 13
de ce document ainsi que sur le site Web
de la WLA à www.world-lotteries.org.
Seules les entités de certification qui ont
signé une entente pour les services de
certification avec la WLA peuvent être
utilisées pour fins de certification.
4.3 Choisir un auditeur de
certification
Plusieurs options s’offrent aux membres
de la WLA pour le choix d’un auditeur
de certification. Ils peuvent choisir:
• De prendre le même auditeur pour
l’audit ISO/IEC 27001:2005 et
l’audit des Standards de contrôle de
sécurité de la WLA . Dans ce cas,
l’auditeur ISO/IEC 27001:2005 doit
aussi être accrédité par le CSGR
de la WLA pour réaliser les certifications aux Standards de contrôle
de sécurité de la WLA . Cette option
est recommandée si le membre
de la WLA entreprend la certification
ISO/IEC 27001:2005 et les
la WLA en parallèle.
• D’utiliser des auditeurs différents
pour les certifications ISO/IEC
27001:2005 et les Standards
Dans ce cas, l’auditeur de
l’ISO/IEC 27001:2005 n’a pas besoin
d’être accrédité pour réaliser
la certification aux Standards de
contrôle de sécurité de la WLA . Cette
option est appropriée quand le
membre de la WLA est déjà certifié
ISO/IEC 27001:2005, et l’auditeur ISO/IEC 27001:2005 n’est, soit
pas disponible ou pas accrédité
pour réaliser la certification
de la WLA , ou lorsqu’il est plus
efficace pour le membre de passer un
contrat avec un auditeur local
pour la certification ISO/IEC
27001:2005 et de choisir un auditeur
de certification aux Standards
de contrôle de sécurité de la WLA à
partir de la liste internationale des
auditeurs de certification accrédités
par le comité de la Sécurité et
de la gestion du risque de la WLA .
Pour des raisons de cohérence, la WLA
recommande que les loteries qui désirent
la certification gardent le même auditeur
pour l’ISO/IEC 27001:2005, la certification aux Standards de contrôle de sécurité de la WLA et tout audit annuel, que
l’ISO/IEC 27001:2005 et l’audit de certification aux Standards de contrôle de sécurité de la WLA , soient réalisés en parallèle ou non. La WLA réalise que, dans
certains cas, cela ne sera pas possible.
L’autre solution pour un membre de la
WLA qui désire la certification aux Standards de contrôle de sécurité de la WLA
peut être de:
• Proposer que la WLA accrédite
un professionnel qualifié spécifique,
qui n’est pas déjà approuvé par
le CSGR de la WLA , pour réaliser
des audits de certification. Sur la base
de l’accréditation du professionnel
qualifié par le CSGR de la WLA ,
et la signature d’une entente officielle
entre la WLA et l’entité de certification, ces individus peuvent faire
l’audit de certification pour les
la WLA . Cette option est pertinente si le membre de la WLA
préfère un professionnel plutôt qu’un
autre pour agir comme auditeur
de certification ou si, pour une raison
quelconque, il lui est impossible de
trouver un auditeur de certification à
partir de la liste des auditeurs de
certification accrédités par le CSGR
de la WLA .
➞ Des informations supplémentaires
sur la manière dont un professionnel
qualifié peut faire une demande
pour l’accréditation du CSGR de la
WLA se trouvent à la partie B,
section 1, page 17.
Veuillez noter qu’un auditeur de certification peut travailler comme entrepreneur indépendant. Dans ce cas, l’auditeur
de certification agit en même temps
comme auditeur de certification et entité
de certification. Des informations supplémentaires se trouvent à la partie B,
4.4 Le processus de certification
4.4.1 Déclaration de l’audit
Avant que l’audit ne commence réellement, les auditeurs de certification doivent confirmer leur intention de procéder en remplissant un formulaire de
déclaration d’audit de certification et en
le retournant à la WLA . Cette déclara-
11
➞
Partie A
➞ tion informe la WLA du choix de l’entité
de certification, de l’auditeur de certification et de l’étendue proposée de l’audit
de certification.
Un exemple de formulaire de déclaration
de certification se trouve à la partie C, aux
pages 21–22. Le formulaire est disponible de façon électronique sur le site
Web de la WLA à www.world-lotteries.
org. Des explications sur la manière de
remplir le formulaire et de le retourner à
la WLA peuvent aussi être trouvées à la
partie C, section 2, page 20.
4.4.2 L’audit de certification
Le processus de certification débute dès
que le membre de la WLA embauche un
auditeur de certification accrédité par le
CSGR de la WLA , par le biais de l’entité
de certification approuvée par la WLA .
Le processus de certification peut commencer seulement lorsqu’une entente
pour des services de certification existe
entre l’entité de certification et la WLA et
lorsque l’auditeur de certification a été
accrédité par le CSGR de la WLA . L’auditeur de certification évaluera la loterie quant à la conformité à l’ISO/IEC
27001:2005 et aux Standards de contrôle
de sécurité de la WLA . L’audit pour ces
deux standards peut être réalisé en parallèle.
4.4.3 Coûts des services de certification
(frais des auditeurs externes)
Les coûts des services d’auditeurs de certification peuvent varier, selon la situation. Les facteurs déterminant les coûts
incluent la complexité de la loterie, la durée de l’audit de certification et les prix
du marché dans le pays où a lieu l’audit
de certification.
4.5 Résultats de la certification
Une fois l’audit de certification complété, l’auditeur de certification devrait
remplir:
• Un rapport détaillé d’audit
de certification pour le membre de
la WLA .
12
• Un formulaire d’évaluation de
l’audit de certification et le retourner
à la WLA .
4.6 Émission des certificats
aux Standards de contrôle de
La WLA accordera ou refusera la certification sur la base de la recommandation
faite par l’auditeur de certification dans
l’évaluation de l’audit de certification
soumis à la WLA .
Si on accorde la certification à un membre
de la WLA , celle-ci lui émettra et enverra
le certificat officiel aux Standards de
contrôle de sécurité de la WLA , accompagné d’une facture de CHF 1500. Ces
frais couvrent le développement et l’entretien du programme de sécurité et de
gestion du risque de la WLA . Ces frais ne
couvrent pas ceux de l’auditeur de certification qui vous seront envoyés directement par l’entité de certification que
vous avez choisie.
4.5.1 Rapport de l’audit de certification
Le rapport détaillé de l’audit de certification est préparé par l’auditeur de certification pour le membre de la WLA . Le
rapport documente l’audit de certification et ses résultats. Le contenu et le format du rapport sont à la discrétion de
l’auditeur de certification.
Le rapport de l’audit de certification est
la propriété du membre de la WLA et sera
considéré comme strictement confidentiel. Ni la WLA ou toute autre partie, à
l’exception de l’auditeur de certification,
de l’entité de certification et du membre
de la WLA concerné, n’a accès au rapport
d’audit. Voir partie C, section 4, page 29.
4.5.2 Formulaire d’évaluation de l’audit
de certification
Une fois l’audit de certification complété,
l’auditeur de certification devrait remplir un formulaire d’évaluation de l’audit
de certification et le retourner à la
WLA. Un exemple de ce formulaire se
trouve à la partie C, aux pages 24–28. Le
formulaire est disponible de façon électronique à partir du site Web de la WLA
à www.world-lotteries.org. Les instructions pour remplir le formulaire et le retourner à la WLA se trouvent à la partie
C, section 3, page 23.
4.5.3 Résultats de la certification
Le formulaire d’évaluation de l’audit de
certification transmis à la WLA sert de
point de départ à l’émission de la certification aux Standards de contrôle de sécurité de la WLA . La WLA accordera ou
refusera la certification sur la base de la
recommandation faite par l’auditeur de
certification dans le formulaire d’évaluation de l’audit de certification.
Le certificat aux Standards de contrôle
de sécurité de la WLA confirme que le
membre de la WLA est certifié. Le certificat peut inclure les détails suivants:
• La date de l’audit de certification
• La référence à la certification
ISO/IEC 27001:2005
• La durée de la certification en années
• L’étendu de la certification,
incluant toute condition sur la
certification (par exemple,
les contrôles sans objet)
• Le nom de l’entité de certification
qui a réalisé la certification
4.7 Audits annuels
À la fin de l’audit de certification, l’auditeur de certification devrait proposer un
calendrier pour des audits annuels afin
d’aider le membre de la WLA à maintenir sa conformité au cours de la période
de trois ans entre la certification et la recertification. La décision de participer à
des audits annuels est à la discrétion du
membre de la WLA .
Lorsque des audits annuels sont réalisés,
ils devraient se concentrer sur:
• Les changements à l’organisation
depuis l’audit précédent
• La confirmation que la conformité
de la WLA est en règle.
4.8 Re-certification
Un membre de la WLA qui est certifié
aux Standards de contrôle de sécurité de
la WLA peut être re-certifié à l’expiration
de la certification aux Standards de
contrôle de sécurité de la WLA en répétant le processus de certification. Ce processus peut commencer avant l’expiration de la certification aux Standards de
5. Auditeurs de
certification accrédités par
le CSGR de la WLA
La liste à droite donne les entités approuvées pour la certification et les auditeurs
de certification accrédités employés par
elles. Comme leur nombre augmente
sans cesse, la liste est à jour au moment
d’écrire ce texte. Veuillez consulter le site
Web de la WLA à www.world-lotteries.org
pour une mise à jour plus récente.
Entité de certification
Auditeurs de certifications
British Standards Institute (BSI)
Systèmes de gestion
Beech House
Breckland
Linford Wood
Milton Keynes
MK14 6ES
Royaume Uni
Jason Blake
[email protected]
Téléphone +44 845 080 9000
Fax +44 190 822 8180
www.bsigroup.com
Det Norske Veritas Certification AS
(DNV)
Veritasveien 1
N-1322 Høvik
Norvège
Téléphone +47 67 57 9900
Fax +47 67 57 9911
[email protected]
www.dnv.com
Dr. Peter Katona
[email protected]
Agustin Lerma
[email protected]
Shane Nash
[email protected]
Tony Steinegger
[email protected]
Irvine Taylor
[email protected]
Elin Lunde Haaland
Auditeur en chef de certification de DNV
Téléphone +47 90 566 716
[email protected]
Fabrizio Monteleone
[email protected]
Jan Ekberg
[email protected]
Heinz Budde
[email protected]
Balvander Matu
[email protected]
EJ Bauman (Norteamérica)
[email protected]
Ernst & Young CertifyPoint
Euclideslaan 1
3584 BL, Utrecht
Pays-Bas
Gavin Ryan (Australia)
[email protected]
Contacto: Jatin Sehgal
Téléphone +31 88 407 3348
Cellulaire +31 62 908 4825
[email protected]
Fax +31 88 407 3090
EY/Comm 73348
www.ey.com
Stephen Huang (Australia)
[email protected]
Brendan Griffin (Australia)
[email protected]
Ad Buckens (Pays-Bas)
[email protected]
Tom Vreeburg (Pays-Bas)
[email protected]
➞
13
Partie A
➞
Entité de certification
Auditeurs de certifications
KPMG IT Advisory, Netherlands
Postbus Box 74500
1070 DB, Amsterdam
Pays-Bas
Deborah Hofland
[email protected]
Téléphone +31 20 656 7890
Fax +31 20 656 7700
www.kpmg.nl
Schweizerische Vereinigung für
Qualitäts- und Management-Systeme
(SQS)
Bernstrasse 103
3052 Zollikofen
Suisse
Claude Otz
[email protected]
Erwin Peter
[email protected]
Paolo Cannarsa
[email protected]
Jean-Marc Valentin
[email protected]
Werner Pollert
[email protected]
Téléphone +1 506 608 1771
www.tyrne.ca
14
Evangelos Cosmidis
OPAP S.A.
Grèce
[email protected]
Gunnar Ewald
LOTTO Hamburg GmbH
Allemagne
[email protected]
Téléphone +49 89 5791 2500
Fax +49 89 5791 2191
[email protected]
www.tuev-sued.de/management_systeme
Tyrne Enterprises Inc.
16 Islay Drive
Rothesay, New Brunswick, E2E3J2
Canada
Dr. Carlos Bachmaier Johanning
Loterías y Apuestas del Estado/STL
Espagne
[email protected]
Torbjörn Borg
AB Svenska Spel
Suède
[email protected]
Téléphone +41 22 739 9111
Fax +41 22 739 9886
www.sgs.com
TÜV SÜD Management Service GmbH
Ridlerstrasse 65
80339 München
Allemagne
Le comité de la Sécurité et de la gestion
du risque de la WLA est en place depuis
la création de la WLA en 1999. Maintenir
et développer encore plus le comité sont
deux de ses plus importantes zones de
responsabilité. Le comité fait également
des recommandations aux membres sur
les questions concernant la sécurité et fait
régulièrement des séminaires de sécurité
pour la WLA .
Thierry Pujol
President du comité
Française des Jeux
France
[email protected]
Téléphone +41 31 910 3535
Fax +41 31 910 3545
www.sqs.ch
Société Générale de Surveillance SA
(SGS)
1, place des Alpes
1211 Genève 1
Suisse
6. Le comité de la Sécurité
et de la gestion du risque
de la WLA
Greg Doucette
[email protected]
Dong Hong Fang
China Sports Lottery
Chine
[email protected]
Neil Kellar
Camelot Group plc
The National Lottery
Royaume-Uni
[email protected]
Trond Laupstad
Norsk Tipping AS
Norvège
[email protected]
Miguel Angel Valdés Mejía
Lotería Nacional para la
Asistencia Publica
Mexique
[email protected]
7.
Les membres de la WLA
certifiés aux Standards
de contrôle de sécurité de
la WLA
Vous trouverez ci-dessous les membres
de la WLA qui ont été certifiés aux Standards de contrôle de sécurité de la WLA.
La liste est à jour au moment d’écrire ce
texte. Pour des mises à jour plus récentes,
veuillez vous référer au site Web de la
WLA à www.world-lotteries.org.
Pays
Loterie
Allemagne
Bremer Toto Lotto GmbH, Bremen
2010
Deutsche Klassenlotterie, Berlin
2009
Lotterie-Treuhandgesellschaft mbH, Hessen
2010
Lotterie-Treuhandgesellschaft mbH, Thüringen
2007
LOTTO Hamburg, Hamburg
2006
Lotto Rheinland-Pfalz, Rheinland-Pfalz
2003
Lotto-Toto GmbH, Sachsen-Anhalt
2006
NordwestLotto Schleswig-Holstein GmbH & Co. KG,
Schleswig-Holstein
2000
Saarland-Sporttoto GmbH, Saarbrücken
2009
Sächsische-LOTTO GmbH, Saxony
2007
Staatliche Lotterieverwaltung, Bavaria
2008
Staatliche Toto-Lotto GmbH, Baden-Württemberg
2008
Toto-Lotto Niedersachsen GmbH, Hannover
2011
Westdeutsche Lotterie GmbH & Co. OHG, Münster
2010
Jan Seuri
Veikkaus Oy
Finlande
[email protected]
Australie
Lotterywest
2011
Autriche
Österreichische Lotterien GmbH
2004
Belgique
Loterie Nationale
2004
Jan Stewart
Lotterywest
Australie
[email protected]
Canada
Atlantic Lottery
2011
Danemark
Danske Spil A/S
2005
Espagne
Loteria de Catalunya, Barcelona
2010
Loterías y Apuestas del Estado (LAE), Madrid
2008
Organización Nacional de Ciegos Españoles (O.N.C.E.),
Madrid
2006
Estonie
Eesti Loto
2009
Finlande
Veikkaus Oy
2006
France
Française des Jeux (FDJ)
2003
Irlande
An Post National Lottery Company
2006
Islande
Íslensk Getspá
2009
Italie
Lottomatica SpA
2009
Dawid Muller
Gidani (Pty) Ltd
République d’Afrique du Sud
[email protected]
Itamar de Carvalho Pereira
Caixa Econômica Federal
Brésil
[email protected]
Jean-Jacques Riera
Française des Jeux
France
[email protected]
Erich Schuster
Österreichische Lotterien GmbH
Autriche
[email protected]
Edgardo Siccatto
Loteria Nacional S.E.
Argentine
[email protected]
Gale Vessels
Kentucky Lottery Corporation
États-Unis
[email protected]
Année de certification
15
➞
Partie A
➞
Pays
Loterie
Lettonie
VAS Latvijas Loto
2008
Lituanie
UAB Olifeja Inc.
2009
Luxembourg
Loterie Nationale
2004
Mexique
Lotería Nacional para la Asistencia Pública
2010
Pronósticos para la Asistencia Pública
2009
Norvège
Norsk Tipping AS
2008
Pays-Bas
Nederlandse Staatsloterij, Den Haag
2007
Portugal
Santa Casa de Misericórdia de Lisboa
2004
Royaume-Uni
The National Lottery
2009
Suède
AB Svenska Spel
2004
Suisse
Société de La Loterie de la Suisse Romande, Lausanne
2009
Swisslos Interkantonale Landeslotterie, Basel
2009
D’autres organisations certifiées:
Pays
Organisation
Autriche
Scientific Games International GmbH,
European Systems Operations
2011
Espagne
Sistemas Técnicos de Loterías del Estado S.A.
2008
États-Unis
GTECH Corporation
2011
Grèce
Intralot S.A.
2008
Irlande
GTECH Ireland Operations Ltd.
2009
Islande
Betware
2011
16
Partie B Directives d’accréditation pour
les auditeurs de certification
1. Lien des auditeurs de
certification et des entités
du service de certification
La certification des membres de la WLA
peut seulement être faite par les auditeurs de certification accrédités qui sont
des employés, agents, ou sous-traitants
d’une entité de certification approuvée
par la WLA .
Une organisation désirant offrir des services de certification et qui n’est pas déjà
approuvée par la WLA à offrir les services de certification aux Standards de
contrôle de sécurité de la WLA , peut être
approuvée par la WLA à offrir de tels services en concluant une entente pour les
services de certification avec la WLA . Les
organisations cherchant à offrir les services de certification intéressées à être
approuvées par la WLA pour conduire
les certifications devraient lire la partie B,
section 3, à la page 19 pour des informations supplémentaires.
Un membre de la WLA ou une entité
de certification peut recommander un
professionnel qualifié à la WLA en
tant qu’auditeur de certification potentiel pour effectuer les certifications aux
Standards de contrôle de la sécurité de
la WLA , étant entendu qu’il ne doit pas
être déjà accrédité comme auditeur de
certification par le comité de la Sécurité et de la gestion du risque (CSGR ) de
la WLA .
2.
Comment se qualifier
pour devenir un
auditeur de certification
approuvé par
le CSGR de la WLA
Tous les auditeurs de certification aux
Standards de contrôle de la sécurité de la
WLA doivent être accrédités par le CSGR
de la WLA . Un membre de la WLA ou
une entité de certification peut recommander à la WLA un professionnel qualifié, qui n’est pas déjà accrédité par le
CSGR de la WLA , comme auditeur de
certification potentiel pour effectuer les
certifications aux Standards de contrôle
de sécurité de la WLA .
Un professionnel qualifié, qui n’est pas
déjà accrédité par le CSGR de la WLA
comme auditeur de certification potentiel pour effectuer les certifications aux
WLA , devrait d’abord demander au
CSGR de la WLA une accréditation selon la procédure suivante:
1. L’auditeur de certification potentiel
recommandé par un membre de
la WLA ou une entité de certification
devrait contacter la WLA , soumettre
un dossier complet de preuves au
soutien de sa candidature. Ce dossier
est transmis au CSGR de la WLA .
2. Le CSGR de la WLA évalue l’exper-
tise et l’expérience du postulant sur la
base de la documentation soumise.
3. Si tous les critères sont rencontrés,
le postulant reçoit l’accréditation. L’approbation officielle
de l’accréditation est transmise
par le CSGR de la WLA et le
postulant est officiellement avisé.
Noter qu’un auditeur de certification
peut également être une entreprise de
certification. Cette situation peut se présenter, par exemple, lorsque l’auditeur de
certification est un entrepreneur indépendant. Dans ce cas, l’auditeur de certification doit être accrédité avec le CSGR
et doit passer une entente pour les services de certification avec la WLA . Pour
des informations supplémentaires sur
cette question, voir partie B, section 3.1,
à la page 19.
2.1 Preuves requises
Un auditeur de certification recommandé (“le postulant”) cherchant l’accréditation du CSGR de la WLA pour faire les
audits de certification aux Standards de
contrôle de sécurité de la WLA doit répondre aux critères suivants:
• être activement impliqué dans
le domaine des systèmes d’information;
• être soit un auditeur en chef certifié
ISO/IEC 27001:2005 ou un
auditeur des TI , tels que certifiés par
une entité de certification reconnue
internationalement;
17
➞
Parte B
Directives d’accrédiation pour les auditeurs de certification
➞ • posséder une expérience d’une
durée raisonnable dans le domaine
des loteries;
• détenir un des titres professionnels
suivants:
– Auditeur certifié en systèmes
d’information
– Gestionnaire certifié en systèmes
d’information
– Professionnel en sécurité certifié
en systèmes d’information
– Auditeur interne certifié
• les certifications doivent être en
vigueur et valides pour une
période suffisante pour couvrir le
processus de certification.
Afin d’évaluer si le postulant rencontre
les critères précédents, et pour assurer la
meilleure qualité de la vérification et de
la valeur de la certification aux Standards
de contrôle de sécurité de la WLA , les
documents suivants devraient être soumis à la WLA :
• Une lettre d’introduction du membre
de la WLA ou de l’entité de certification qui recommande le postulant.
La lettre d’introduction devrait
contenir une description concise des
qualifications, des aptitudes et
de l’expérience du postulant et une
évaluation de sa capacité à faire
le travail requis par l’audit de
certification.
auditeur TI par une autorité de
certification acceptée mondialement.
Les exemples d’autorités de certification acceptées mondialement
incluent ISACA , CIA et SANS .
Toutes les certifications devraient
être récentes et valides pour une
période suffisante afin de couvrir le
prochain audit de certification.
• Les preuves que le postulant a
exercé des fonctions de sécurité pour
l’industrie des loteries pour
une période d’au moins une année.
18
Expérience de travail
Cette partie devrait fournir les détails
pour chaque poste occupé par le postulant,
• le nom de la compagnie, organisation
ou institution pour qui il a travaillé
En plus des exigences ci-dessus, le postulant doit être un employé, agent ou soustraitant d’une entité de certification qui a
passé une entente pour des services de
certification avec la WLA .
• un résumé des réalisations principales du postulant pendant l’emploi
À la place des demandes de preuves énumérées ci-dessus, le CSGR de la WLA ,
sur une base de cas par cas, accepte
d’autres preuves des capacités du postulant à réaliser les certifications aux Standards de contrôle de qualité de la WLA .
2.1.1 Format du curriculum vitae
Le CV du postulant devrait inclure les
rubriques et l’information suivantes:
Cette section devrait contenir des informations personnelles du postulant:
• nom
• adresse
• Preuve que le postulant est certifié
en règle en tant qu’auditeur en chef
ISO/IEC 27001:2005 ou comme
Cette section devrait résumer l’expérience du postulant dans la conduite des
vérifications SI et de sécurité TI au cours
des cinq dernières années. Joindre des
feuilles séparées donnant des détails et
documents supplémentaires, si nécessaire.
• Références écrites d’au moins
trois clients à qui le postulant a
fourni des services pertinents
à la certification de sécurité
de l’information ou à un audit TI .
Données personnelles
• Le CV complet du postulant. Le
format et le contenu du CV du
postulant devrait suivre la présentation recommandée ci-dessous.
Expérience professionnelle
• les dates d’emploi
• les raisons de la cessation d’emploi
Liste des clients
Cette section devrait contenir une liste
détaillée des clients du postulant au cours
des cinq dernières années. Il devrait donner la liste des consultations complétées
avec succès des audits SI et des services de
sécurité SI, en commençant par le plus
récent jusqu’au plus ancien. L’information suivante sur chaque client doit être
fournie:
• client/institution
• date (A/M/J)
• pays
• adresse postale et courriel de la
personne ressource chez le client
• numéro de téléphone – cellulaire
• nom des résultats détaillés du
consultant, du projet et des résultats
• courriel
• montant du contrat
Formation académique
Cette section devrait résumer les qualifications de formation. Les copies certifiées des diplômes académiques et les
certifications professionnelles devraient
être jointes au CV .
Langues parlées
Cette section devrait indiquer les langues
comprises par le postulant et pour
chaque langue, son niveau de maîtrise à
l’oral et à l’écrit.
Informations supplémentaires
Cette section devrait décrire toute information additionnelle pertinente à la demande du postulant.
2.1.2 Instructions pour la soumission
des documents pertinents
On devrait faire parvenir la documentation complète des documents pertinents
à Paul Peinado au bureau d’affaires de la
WLA à Bâle, de préférence en format
électronique en utilisant ce qui suit:
courriel: [email protected]
Fax: +41 61 284 1350
Si les postulants ont besoin d’envoyer des
documents format papier, ils peuvent les
envoyer à l’adresse suivante:
La World Lottery Association
À l’attention de Paul Peinado
Lange Gasse 20
Boîte postale
CH-4002 Bâle
Suisse
Dans les deux cas, les documents seront
envoyés au CSGR de la WLA pour évaluation finale et approbation. La WLA se
réserve le droit de rejeter rapidement les
postulants sur la base de dossiers incomplets ou de preuves manquantes. Le bu-
reau d’affaires de Bâle communiquera la
décision du comité à l’intérieur des trois
semaines de réception des documents du
postulant.
2.1.3 Évaluation des auditeurs de
certification recommandés
À la réception du dossier du postulant, le
CSGR de la WLA passe en revue les références du postulant afin d’établir s’il devrait être approuvé pour réaliser les audits des Standards de contrôle de sécurité
de la WLA . La décision d’accepter ou de
rejeter un auditeur de certification recommandé est basée sur une évaluation
des preuves soumises à la WLA par rapport aux critères énoncés à la partie B,
section 2.1, à la page 17.
Suite à l’accréditation d’un auditeur de
certification, son nom est ajouté à la liste
des auditeurs de la certification accrédités du CSGR de la WLA et la liste mise à
jour est publiée sur le site Web de la WLA
à www.world-lotteries.org.
Si la demande d’accréditation est rejetée,
le postulant est avisé et les raisons de
l’échec d’approbation sont données. Si
les raisons du refus sont minimes (par
exemple, le statut de l’auditeur de certification expire bientôt), le postulant sera
avisé de corriger la situation et de soumettre à nouveau son dossier dans les
plus brefs délais.
définit les responsabilités, les obligations
et les limites de l’entité en tant qu’auditeur de certification pour le processus
des Standards de contrôle de sécurité de
la WLA .
En signant l’entente pour les services de
certification, l’entité de certification assure la WLA que les auditeurs de certification individuels qui sont à son emploi
et qui font l’audit de certification aux
WLA obtiendront l’approbation préalable du comité de la Sécurité et de la
gestion du risque de la WLA pour faire
l’audit de certification aux Standards de
3.1 Auditeurs de certification
comme entités de certification
Un auditeur de certification peut travailler comme entrepreneur indépendant. Dans ce cas, l’auditeur de certification est à la fois auditeur de certification
et entité de certification. Dans ce cas, on
demande qu’il passe une entente pour les
services de certification en plus d’être accrédité par le CSGR de la WLA comme
auditeur de certification.
3. Se qualifier comme
une entité de certification
approuvée par la WLA
Une entité offrant les services de certification est approuvée comme une entité
de certification en signant une entente
non commerciale pour des services de
certification avec la WLA . Cette entente
19
Partie C Documents d’audit de
certification
1. Documents requis pour les
audits de certification
Les auditeurs de certification accrédités
par le CSGR de la WLA qui font l’audit
de certification d’un membre de la WLA
doivent préparer les documents suivants
et les soumettre aux parties concernées:
1. Déclaration de l’audit de
certification
Avant de commencer l’audit de
certification, l’auditeur de certification devrait aviser la WLA de
son intention de conduire un audit
de certification en soumettant un
formulaire de déclaration d’audit de
certification et en le retournant
à la WLA . Un exemple de ce formulaire se trouve aux pages 21–22.
Le formulaire est disponible électroniquement sur le site Web de
la WLA à www.world-lotteries.org.
2. Évaluation de l’audit de
certification
Une fois l’audit de certification
complété, l’auditeur de certification
devrait aviser la WLA que l’audit
de certification est terminé en
remplissant un formulaire d’évaluation d’audit de certification et
en le retournant à la WLA . On peut
trouver un exemple du formulaire
aux pages 24 à 28. Le formulaire
20
est disponible sur le site de la WLA à
3. Rapport détaillé de l’audit de
certification
Une fois l’audit de certification
complété, l’auditeur de certification
devrait remplir un rapport détaillé
d’audit de certification et le soumettre à l’entité de certification et au
membre de la WLA . Voir partie C,
section 4, page 29.
Dans tous les cas, la responsabilité de
soumettre les documents complétés
d’audit de certification aux parties
concernées relèvent de l’auditeur de certification et de l’entité de certification qui
ont effectué la certification.
2. Formulaire de déclaration
Marche à suivre pour remplir la déclaration d’audit de certification.
Avant de commencer le processus d’audit
de certification, remplir la déclaration
d’audit de certification comme suit:
1. Inscrire la date.
2. Inscrire le nom du membre de
la WLA qui fait l’objet d’un audit de
certification.
3. Remplir les numéros 1, 2 et 3 de la
déclaration.
Item 3: l’étendue devrait inclure
l’étendue de l’audit de certification
selon ce qui sera inscrit sur le
certificat des Standards de contrôle
de sécurité de la WLA . On devrait
aussi indiquer la référence de
l’émetteur du certificat ISO/IEC
27001:2005 si cela a déjà été obtenu
et montrer l’étendue du certificat
d’ISO/IEC 27001:2005.
La déclaration de l’audit de certification
complétée devrait être envoyée à Paul
Peinado au bureau d’affaires de la WLA
à Bâle, sous forme électronique de préférence, en utilisant les ressources ci-dessous:
courriel: [email protected]
Fax: +41 61 284 1350
Si les auditeurs de certification ont besoin de faire suivre les documents papier,
ils pourront les envoyer à l’adresse suivante:
Lange Gasse 20
Boîte postale
CH- 4002 Bâle
Suisse
CONFIDE N T I E L
1/2
SCS de la WLA:2006
Déclaration de l’audit de certification
Avis d’un audit de certification en cours
Date
S’applique au membre de la WLA
1. Détails du contrat de l’auditeur de certification et de l’entité de certification
Auditeur de certification
(Prénom, Nom)
Nom de l’entité de certification
Adresse de l’entité de certification
Téléphone bureau (incl. code du pays)
Cellulaire (optionnel, incl. code du pays)
Courriel
2. Membre de la WLA qui sera audité
Nom du membre de la WLA
Adresse
Nom de la personne ressource
Téléphone bureau (incl. code du pays)
Cellulaire (optionnel, incl. code du pays)
Courriel
21
CONFIDEN T I E L
2/2
SCS de la WLA:2006
Déclaration de l’audit de certification
3. Champs d’application
Énumérer les champs
d’application qui seront
inscrits sur le certificat.
Référent et émetteur du
certificat ISO/IEC 27001:2005
s’il a déjà été obtenu
et champs d’application du
certificat.
22
Partie C
3. Formulaire d’évaluation
Instructions pour remplir le
formulaire
À l’achèvement de l’audit de certification, remplir le formulaire d’évaluation
de l’audit de certification comme suit:
1. Cocher la case “confirmation de
l’audit ISO/IEC 27001:2005
complété” pour confirmer que
l’audit ISO/IEC 27001:2005
a été complété.
2. Cocher la case “confirmation de
l’audit des Standards de contrôle de
sécurité de la WLA complété”
pour confirmer que l’audit des
Standards de contrôle de sécurité a
été complété.
3. Inscrire la date et le nom du
membre de la WLA à qui s’applique
la certification.
4. Remplir les numéros 1 à 4 du
formulaire d’évaluation comme suit:
• À l’item 1:
Contrôles de sécurité généraux
des Standards de contrôle de
Indiquer quels contrôles de base de la
WLA ont été vérifiés.
• À l’item 2:
Contrôles de sécurité spécifiques
à la loterie aux SCS de la WLA
Indiquer quels contrôles de sécurité
spécifiques à la loterie ont été
vérifiés et lesquels n’étaient pas
pertinents. Les exigences non
pertinentes devraient être détaillées.
Par exemple, si les paris sur Internet ne font pas partie des opérations
du membre de la WLA, l’exigence
n’est pas pertinente et devrait
être notée comme tel.
• À l’item 3:
Recommandation de l’auditeur
de certification
Indiquer si vous recommandez que la
certification soit accordée ou non.
5. Signer et inscrire la date sur le
formulaire d’évaluation. Dans les
cases, inscrire:
• Le nom de l’auditeur de certification,
en lettres majuscules
• Le lieu de l’audit de certification
• Le nom de l’entité de certification,
en lettres majuscules
• La localisation de l’entité de certification
Le formulaire d’évaluation complété devrait être envoyé à Paul Peinado au bureau d’affaires de la WLA à Bâle, sous
forme électronique de préférence, en utilisant les ressources ci-dessous:
Courriel: [email protected]
Fax: +41 61 284 1350
Si les auditeurs de certification ont besoin de faire suivre les documents papier,
ils pourront les envoyer à l’adresse suivante:
• À l’item 4:
Suivi annuel des audits
Inscrire les dates du suivi annuel des
audits, s’il y a lieu. L’auditeur de
certification, l’entité de certification
et le membre de la WLA doivent
tous s’entendre sur les dates.
Lange Gasse 20
Boîte postale
CH- 4002 Bâle
Suisse
23
CONFIDEN T I E L
1/5
SCS de la WLA:2006
Évaluation de l’audit de certification
Nom du membre de la WLA audité
Date
Confirmation de l’audit ISO/IEC 27001:2005 complété
Confirmation de l’audit SCS de la WLA :2006 complété
Nom du contrôle
Nom du contrôle
G1
Organisation de la sécurité
G5
Contrôle d’accès
G1.1
Répartition des responsabilités de sécurité
G5.1
Gestion de l’accès à distance des
utilisateurs
G1.1.1 Forum de sécurité
G5.1.1 Accès à distance des utilisateurs aux
systèmes de jeu
G1.1.2 Fonction sécurité
G1.1.3 Rapport de la fonction sécurité
G5.1.2 Fonctions de l’accès à distance des utilisateurs
G1.1.4 Position de la fonction sécurité
G5.1.3 Enregistrement de l’accès à distance
des utilisateurs
G1.1.5 Responsabilité de la fonction sécurité
G2
Sécurité des ressources humaines
G2.1
Mise en place d’un code de conduite
G5.1.4 Rapport sur l’accès à distance des utilisateurs
G2.1.1 Code de conduite
G6
Entretien des systèmes
d’information
G2.1.2 Conformité et action disciplinaire
G6.1
Contrôles cryptographiques
G2.1.3 Conflit d’intérêt
G6.1.1 Contrôles cryptographiques pour les données
sur les portables
G2.1.4 Politique sur frais ou cadeaux
G2.2
G6.1.2 Contrôles cryptographiques pour les réseaux
Conscientisation, enseignement et
formation en sécurité de l’information
G6.1.3 Contrôles cryptographiques pour l’entreposage
G2.2.1 Formation sur la conscientisation
G6.1.4 Contrôles cryptographiques pour les chiffres
de validation
G3
Sécurité physique et sécurité de
l’environnement
G6.1.5 Contrôles cryptographiques pour les transferts
G3.1
Zones sécurisés
G6.2
Tests des systèmes
G6.2.1 Test de la méthodologie des politiques
et données
G3.1.1 Contrôles des entrées physiques
G4
Gestion des opérations
G4.1
Protection contre la précarité de la sécurité
G4.1.1 Contrôle contre la précarité de la sécurité
sur les systèmes importants pour les opérateurs
de yeux
24
Vérifié
Vérifié
1. Contrôle généraux de sécurité (WLA SCS:2006 Partie A – Exigences générales en sécurité)
G7
Gestion de la poursuite des affaires
G7.1
Traitement de la presse et disponibilité
G7.1.1 Traitement de la presse et du personnel
G7.1.2 Actionnaire ou approbation du conseil d’admin.
CONFIDE N T I E L
2/5
SCS de la WLA:2006
L1
Billets instantanés
L1.1
Design du jeu instantané
L1.1.1
Procédures documentées du billet
instantané
L1.1.2
Approbation du design du jeu
L1.1.3
Sélection des fournisseurs
L1.1.4
Exigences en sécurité
L1.1.5
Contrôle de la qualité
L1.1.6
Politique sur les audits et les tests de labo
L1.2
Impression des billets instantanés
L1.2.1 Exigences pour l’impression des billets
instantanés
L1.5
Sécurité des détaillants –
billets instantanés
L1.5.1 Réception des billets instantanés par
les détaillants
L1.5.2 Confirmation de la réception
L1.5.3 Instructions pour les détaillants
L1.5.4 Formation sécurité pour les détaillants
L1.6
Clôture des jeux instantanés
L1.6.1 Procédures de clôture des jeux
L1.6.2 Informations aux détaillants
L1.6.3 Balance du stock de billets
L1.6.4 Vérification de l’audit des stocks
L1.2.2 Assurance qualité de l’impression
L1.6.5 Entités autorisées
L1.2.3 Validation encryptée des numéros
L1.6.6 Destruction des billets
L1.2.4 Dossiers des gagnants et validation
encryptée
L2
Tirage des loteries
L2.1
Gestion des tirages
L1.2.5 Vérification des billets
L1.2.6 Test d’acceptation de données
L1.3
Envoi des billets instantanés
L1.3.1 Manifeste d’envoi
L1.3.2 Méthode de transport
L1.3.3 Conteneurs scellés de transport
L1.4
Entreposage et distribution des
billets instantanés
Sans
objet
Nom du contrôle
Vérifié
Sans
objet
Nom du contrôle
Vérifié
2. Contrôles de sécurité spécifiques au domaine des loteries – SCS de la WLA
(SCS de la WLA:2006 Partie B – contrôles de sécurité spécifiques au domaine des loteries)
L2.1.1 Tirages
L2.1.2 Instructions pour les tirages
L2.1.3 Membres de l’équipe des tirages
L2.1.4 Tâches de l’équipe des tirages
L2.1.5 Équipe de réserve des tirages
L2.1.6 Horaire des tirages
L2.1.7 Observateurs des tirages
L1.4.1 Audits des installations d’entreposage
L2.2
L1.4.2 Vérification du transport des billets
L2.2.1 Procédures des tirages
L1.4.3 Procédures de vérification des billets
L2.2.2 Directives des tirages, étape par étape
L1.4.4 Résultat de la vérification des billets
L2.2.3 Lieu des tirages
L1.4.5 Système de contrôle des billets instantanés
L2.2.4 Présence aux tirages et responsabilités
Tenue des tirages
➞
25
CONFIDEN T I E L
3/5
SCS de la WLA:2006
L2.2.5 Supervision des tirages
L4.2
L2.2.6 Sécurité des opérations de tirage
L4.2.1 Numéro de référence unique du billet
L2.2.7 Tirage d’urgence
L4.2.2 Procédure pour la protection des sommes
des prix non réclamés
L2.3
Équipement physique des tirages
et bouliers
L2.3.1 Procédure d’inspection
L2.3.2 Inspection régulière et entretien
Prix non réclamés
L4.2.3 Période du taux de retour et audit
L4.2.4 Règles des paiements des prix
et enquêtes
L2.3.3 Bouliers compatibles
L4.2.5 Contrôle d’accès sur l’information
des prix non réclamés
L2.3.4 Remplacement de l’équipement
des tirages
L4.2.6 Rapport sur les accès
L2.3.5 Manutention, entreposage et
déplacement de l’équipement des tirages
et des bouliers
L3
Sécurité des détaillants
L3.1
Embauche et installations
L3.1.1 Contrat avec le détaillant
L3.2
Opérations du détaillant
L3.2.1 Sécurité du détaillant
L3.3
Sécurité du terminal de jeu
L3.3.1 Sécurité des transactions
L3.3.2 Test de sécurité du terminal
L3.3.3 Sécurité du terminal libre-service
L4.2.7 Procédé du cheminement hiérarchique
L4.2.8 Audits de l’accès à l’information
L4.2.9 Pistes d’audits
L5
Personnel des ventes et
services aux consommateurs
L5.1
Personnel qui travaille à l’extérieur
des bureaux de l’entreprise
L5.1.1 Personnel qui travaille à l’extérieur des
bureaux de l’entreprise
L5.2
Zones de services aux consommateurs
L5.2.1 Personnel qui travaille dans des endroits
sensibles avec accès au public
L6
Systèmes de jeu sur Internet
Ventes de jeux sur Internet
L4
Protection des prix en argent
L6.1
L4.1
Validation et paiement des prix
L6.1.1 Architecture des systèmes
L4.1.1 Validité de l’information sur les gains
L6.1.2 Attaques actives et passives
L4.1.2 Procédés de validation
L6.1.3 Séparation du réseau
L4.1.3 Taux de retour
L6.1.4 Session d’information
26
Sans
objet
Nom du contrôle
Vérifié
Sans
objet
Nom du contrôle
Vérifié
➞ (suite de la page 2/5)
CONFIDE N T I E L
4/5
SCS de la WLA:2006
3. Recommandation de l’auditeur de certification
Après avoir complété l’audit,
le vérificateur devrait
résumer et documenter les
résultats de l’audit et
fournir une recommandation
sur la certification à la WLA.
27
CONFIDEN T I E L
5/5
SCS de la WLA:2006
4. Suivi des audits annuels
Les dates suivantes ont été
choisies pour le suivi des audits
annuels, en attendant la
certification.
Premier audit annuel, Date
Deuxième audit annuel, Date
L’auditeur de certification, accrédité par le comité de la Sécurité et
de la gestion du risque de la WLA, atteste que tous les contrôles des
Standards de contrôle de sécurité de la WLA ont été vérifiés en
détails et correctement.
Signature de l’auditeur de certification
Date
Nom de l’auditeur de certification
Lieu
Nom de l’entité de certification
Lieu
28
Partie C
4. Rapport détaillé de
l’audit de certification
Une fois l’audit de certification terminé,
l’auditeur de certification devrait remplir
un rapport détaillé de l’audit de certification pour le membre de la WLA . Le
contenu et le format du rapport sont laissés à la discrétion de l’auditeur de certification.
Le rapport d’audit de certification est
strictement confidentiel et devrait être
transmis seulement à l’entité de certifi-
cation et au membre de la WLA qui a
fait l’objet d’une certification. Ni la WLA
ni aucune autre partie autre que l’auditeur de certification, l’entité de certification et le membre de la WLA concerné ne devrait avoir accès au rapport
d’audit.
29
Bibliographie
Les documents suivants ont été consultés
dans la préparation de ce document.
ISO/IEC 27001:2005
Information technology–
Security techniques–
Information security
management systems–
Requirements
International Organization
for Standardization, Genève, Suisse
www.iso.org
(accès 27 juillet 2010)
ISO/IEC 27002:2005
Information technology–
Security techniques –
Code of practice for information
security management
International Organization
for Standardization, Genève, Suisse
www.iso.org
Multi-State Lottery Association
Rules
Amended December 8–9, 2009
Multi-State Lottery Association,
Iowa, États-Unis
30
NIST Special Publication 800-30
Risk Management Guide for
Information Technology
National Institute of Standards
and Technology,
Maryland, États-Unis, 2010
csrc.nist.gov
Revision 1
Guide for Applying the Risk Management
Framework to Federal Information
Systems: A Security Life Cycle Approach
and Technology,
csrc.nist.gov
(Second Public Draft)
Managing Risk from Information
Systems: An Organizational Perspective
and Technology,
csrc.nist.gov
Revision 3
Recommended Security Controls
for Federal Information Systems and
Organizations
and Technology,
csrc.nist.gov
The Standard of
Good Practice for Information
Security
Information Security Forum, Londres,
Royaume-Uni, 2007
www.isfsecuritystandard.com
WLA SCS:2003:
WLA Security Control Standards
World Lottery Association
Bâle, Suisse
WLA SCS:2006:
WLA Security Control Standard
Version 1.0, mise à jour du
26 juin 2009
World Lottery Association
Bâle, Suisse
Pour obtenir des
informations supplémentaires,
veuillez contacter:
Att. Paul Peinado
Lange Gasse 20
Boîte postale
CH-4002 Bâle
Suisse
[email protected]
Président du comité de la Sécurité
et de la gestion du risque
Thierry Pujol
Française des Jeux
126, rue Gallieni
92643 Boulogne-Billancourt Cedex
France
[email protected]

security standard - World Lottery Association

Transcription

Documents pareils

Fiche métier Auditeur

WLA Submission Guide 2016_FR.indd

Cadre du jeu responsable Guide de soumission

Directives de certification au Standard de contrôle de sécurité de la

inspecteur general du holding d`amenagement al omrane

Master Management des Systèmes d`Information

RGIS®, le leader mondial en solution d`inventaire recrute 1000

consulter le CV - La Bourse de compétences du CJEC