Pour obtenir le score maximal à une question, les critères suivants doivent être respectés :
Sélectionnez TOUTES les options/cases disponibles (à l’exception de la première, qui correspond à « Je ne sais pas » ou « Non applicable »). Même si vous pensez qu’une option ne s’applique pas à votre entreprise, sélectionnez-la tout de même en précisant pourquoi vous pensez qu’elle n’est pas pertinente.
Une option non sélectionnée se traduit automatiquement par un score nul.
Importez ou fournissez des liens vers les procédures et politiques formalisées. Vous pouvez fournir une version partielle ou expurgée d’une politique plutôt que la version complète. Il convient toutefois de noter qu’une table des matières seule n’est pas pertinente, dans la mesure où l’on trouve de nombreux modèles facilement téléchargeables sur Internet. Il en va de même pour les déclarations ou explications informelles, qui, même si elles sont pertinentes, n’obtiennent que des scores partiels.
La plupart des options appellent une preuve d’engagement (une politique, par exemple) et une preuve de mise en œuvre (comme un rapport d’audit, la capture d’écran d’un antivirus, une extraction de journal, etc.) pour que la réponse soit validée.
En d’autres termes, le document joint doit permettre de prouver non seulement qu’une mesure de sécurité est en place (politique formalisée), mais également, et cela est tout aussi important, qu’il existe un suivi et un contrôle de cette mesure.
Par exemple, pour une politique de mots de passe, il ne suffit pas de disposer d’une politique formalisée à laquelle tous les employés ont accès, un contrôle approprié doit également être en place. Joindre une capture d’écran du message d’erreur qui s’affiche lorsqu’un utilisateur saisit un mot de passe faible permet ainsi de prouver qu’il existe un contrôle de l’application de cette mesure. Les noms d’utilisateur et autres données sensibles peuvent et doivent évidemment être masqués.
Le principe de notation est détaillé dans le tableau ci-dessous :