sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

ISO 17799 - Chapitre 4 - Sécurité liée au personnel

L'homme est souvent le maillon fragile

La norme ISO 17799 ne se réduit pas à une norme technique, elle met beaucoup l’accent sur la culture sécurité de l’entreprise et notamment celle liée à son personnel.

Procédure de recrutement, contrat d’embauche, formation à la sécurité

Dans ce chapitre sont abordés la sécurité les différent thème de la sécurité lors :

  • de la sélection du personnel et son recrutement initial, les contrôles à effectuer :
    • vérification des diplômes,
    • présentation et vérification de références professionnelles et personnelles (NDLR : ce qui est très courant dans tous les pays anglo-saxons, mais pas forcément accepté en France) .
  • du changement de poste et notamment les évolutions donnant accès à des données sensibles :
    • examen périodique du comportement du collaborateur et de son style de vie,
    • revue de la description du poste en intégrant les critères de sécurité
  • de l’établissement du contrat de travail en intégrant des clauses de confidentialité, de droit et de responsabilité des employés, de protection des droits d’auteurs .

En outre est abordé le thème de la formation des utilisateurs aux principes de sécurité, aux procédures sécurité en vigueur, aux modalités d’accès aux applications (connexions et déconnexion aux applicatifs), la politique de mots de passe ...

spacer

Signalement des incidents de sécurité, dysfonctionnements.

Dans cette partie on insiste pour que ce soit l’ensemble des employés et fournisseurs de l’organisme qui participe au signalement des incidents de sécurité.

personnel

Ils devront être mis au courant des procédures pour signaler les différents types d'incident (infraction, menace, faiblesse ou défaut de fonctionnement de sécurité) qui pourraient avoir un impact sur la sécurité des actifs de l’organisme. Il convient d’exiger d’eux qu’ils rapportent les incidents observés ou suspectés aussi rapidement que possible au point de contact indiqué.

Ces incidents peuvent également être des failles de sécurité (soupçonnées ou avérées), des défauts de fonctionnement de logiciel, de virus, de canulars ….

Processus disciplinaire

Il est préconisé qu’une processus disciplinaire officiel (claire et compatible avec la législation en vigueur) soit affichée pour que cela dissuade les éventuels employés peu disposés à respecter les consignes de sécurité.

pix1 pix2 pix3 pix4