sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Politique de sécurité de l'information

 

La nécessité de rédiger une Politique de Sécurité

D'abord, rédiger un document décrivant la Politique Générale de Sécurité de l'information de l'entreprise ou organisme est nécessaire.

C'est le signe tangible que l'entreprise que l'entreprise engage un travail sur l'analyse de ses actifs d'information, des risques encourus et sur la mise en oeuvre de mesures de sécurité.

Mais dans tous les cas il doit absolument être lisible et compréhensible par des utilisateurs et l'écrire dans un langage métier (versus un langage informatique) est indispensable.

 

Comment rédiger une Politique de Sécurité de l'Information ?

Le document décrivant la Politique Générale de sécurité doit se faire avec le support de la Direction Générale (ce qui n'est pas toujours évident) car il s'agit de présenter :

  • les enjeux de l'entreprise vis à vis des systèmes d'information (disponibilité du SI, données confidentielles ou sensibles, risque d'atteinte de l'image de marque, ...)

  • les menaces existantes (liés au métier, à la réglementation ...) et les risques induits ..

  • les principales mesures de sécurité prises (sensibilisation et formation, mesures organisationnelles et techniques, continuité d'activité ...)

Ce document fait de quelques pages à une vingtaine de pages (quand les enjeux sont importants) : il ne faut pas oublier qu'il doit être lu et compris par le management de l'entreprise !

De ce document en est déduit la charte de sécurité (ou charte d'utilisation du S.I.) qui rappelle les droits et devoirs de chaque salarié et des sanctions encourues en cas de non respect.

  spacer  

Rédiger les procédures ou politiques de sécurité

A l'issue d'un travail d'analyse des risques et du choix des mesures de sécurité, il est indispensable de rédiger les procédures de sécurité (appelées également les politiques de sécurité).

Pour ce faire et afin d'en optimiser la charge de rédaction, nous nous appuiyons sur des politiques existantes (notamment basées sur ISO/IEC 17799).

La documentation doit être accessible aisément : l'existence d'un Intranet ou d'une solution de gestion documentaire facilitera grandement la tâche.

Les 4 niveaux de documents à produire sont :

  • Un document décrivant la politique générale de sécurité,
  • Des procédures générales,
  • Des fiches d'instruction détaillées ou des formulaires,
  • Des enregistrements permettant de vérifier la mise en oeuvre des contrôles, actions correctrices, gestion des non conformités.

Mais attention, il est très important de ne pas retomber dans le travers des premières démarches de la qualité et de produire du papier qui ne sera ni lu, ni appliqué (si ce n'est lors d'un audit).

Nous contacter
        Nous contacter :

pix1 pix2 pix3 pix4