ISO 17799 - Chapitre 3 - Classification et contrôle des actifs

Définir un propriétaire pour chaque actif principal

La norme ISO 17799 préconise que soit identifié un propriétaire pour chaque actif principal (exemple : données client, données achat, ...) de façon à s'assurer qu’un niveau de protection appropriée de cet actif soit mis en oeuvre.

Ce propriétaire d’information sera responsable de la mise en œuvre des contrôles appropriés et même si la réalisation des contrôles peut être déléguée, la responsabilité finale vis à vis de cet actif devra demeurer chez le propriétaire désigné.

Inventaire des actifs : Le processus de réalisation de l’inventaire des actifs est un aspect important de la gestion des risques. Un organisme doit pouvoir identifier ses actifs, ainsi que leur valeur et importance relatives.

Classification des actifs

Après ce travail d’inventaire, l'information devra être classifiée pour indiquer le besoin, les priorités et le degré de protection requis. L'information ayant des degrés variables de sensibilité et de criticité, quelques données peuvent exiger des mesures de traitements spécifiques.

Pour chaque classe d’information (confidentielle, restreinte, …), des procédures devront être définies pour couvrir les types suivants d'activité de manipulation de l'information :

• la copie;
• le stockage;
• la transmission par la poste, fax, et courrier électronique;
• la transmission par l’oral, y compris le téléphone portable, messagerie vocale, répondeurs/enregistreurs;
• la destruction.

ISO 17799 considère qu’un système de classification avec des étiquettes physiques est généralement approprié pour les actifs matériels. Cela devient plus compliqué pour toutes les données stockées sous forme électronique qui nécessitent des applications spéciales.