L’audit de la sécurité des systèmes d’information en Tunisie est régi par la loi n°5-2004 du 3 février 2004, organisé par le décret N°2004-1250 du 25 Mai 2004 et l’arrêté du ministre des technologies de la communication et de l'économie numérique et du ministre du développement, de l’investissement et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité informatique. Le décret cité identifie les organismes soumis à l’obligation de l’audit, ainsi que les étapes clés de la mission d’audit et les livrables à fournir à l’organisme audité à la fin de la mission.
L'obligation de l’audit concerne :
- Les systèmes informatiques et les réseaux relevant des organismes publics,
- Les opérateurs de réseaux publics et FSI’s,
- Les entreprises dont les réseaux sont interconnectés à travers des réseaux externes,
- Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients.
Les seules personnes habilitées à effectuer ces missions d'audit sont les auditeurs certifiés par l'Agence Nationale de la Sécurité Informatique et ce, conformément à l’arrêté du ministre des technologies de la communication et de l'économie numérique et du ministre du développement, de l’investissement et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité informatique.
La circulaire n°24 du 05 novembre 2020 relative au renforcement des mesures de sécurité des systèmes d'information dans les établissements publics stipule entre autre la création d'un Comité de pilotage et d'une Cellule opérationnelle de sécurité ainsi que la nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI. En plus il présente l'ensemble des mesures à respecter, par ces établissements, pour la sécurité des sites web et des services en ligne.