Un artéfact est un résultat d'élément créé en sortie d'un processus ou d'un projet. Un artéfact peut être un document, un enregistrement, un rapport, un outil utilisé pour planifier, organiser, mettre en œuvre, surveiller et contrôler les activités liées au SGSI. C'est une preuve que l'activité à bien eu lieux.
Vous affirmez avoir acheté le livre, alors où est la facture?
Comme l'auditeur doit confirmer que l'organisation est bien en maîtrise de ses procédures et mesures de sécurité, les artéfacts démontrent à l'auditeur que c'est le cas.
Types d'artéfacts
Documents de politique
Les documents de politique définissent les règles et les principes de sécurité pour l'organisation.
Procédures et processus documentés
Les procédures et les processus documentés sont des artéfacts qui décrivent les étapes et les responsabilités pour la mise en œuvre des contrôles de sécurité.
Registres et journaux
Les registres et les journaux d'évènements sont des artéfacts qui permettent de suivre et de surveiller les activités de sécurité de l'organisation.
Minutes de réunion
Les minutes de réunion servent de preuve que les questions de sécurité de l'information sont régulièrement abordées et discutées au sein de l'organisation.
Plans et rapports
Des exemples de planification et les rapports des activités sont des artéfacts qui démontrent également le suivi des activités de sécurité de l'organisation.
Artéfacts manuel ou automatique?
Artéfacts manuels sont créés par des individus à l'aide de processus non automatisés, qui peuvent inclure la rédaction, le dessin, un courriel, etc.
Artéfacts automatisés sont générés par des machines, des logiciels ou des systèmes automatisés, sans intervention humaine directe. Les artéfacts automatisés sont généralement plus adaptés et appréciés en raison de leur efficacité et de leur précision.
Souvenez-vous — Les artéfacts doivent être crédible, le plus fiable possible puisque vous devez démontrer votre gestion devant une personne qui vous évalue.