Formalisation des actions

Petit retour à la norme : lorsqu’elle planifie la façon d’atteindre ses objectifs de sécurité de l’information, l’organisation doit déterminer ce qui sera fait, les ressources nécessaires, le responsable, les échéances et la façon dont les résultats sont évalués. Il est également demandé que les objectifs soient mesurables (si possible).

La formalisation des actions se doit de prendre en compte ces exigences.

Le plan d’action est riche d’une quantité d’éléments. Il est vivant : certaines actions sont closes, d’autres sont en cours ou en devenir. Certaines actions ont un caractère récurrent, d’autres encore vont venir s’ajouter au plan, au titre de l’amélioration continue par exemple. La notion de calendrier est donc essentielle.

Autre facteur prépondérant, ces actions incombent à différents acteurs dans l’organisation. La direction informatique au premier chef, puisque bon nombre d’actions intéressent la sécurité logique, les pratiques de développement, d’administration, d’exploitation… Mais également la direction logistique pour les éléments de sécurité physique, le responsable de la gouvernance, le responsable de la sécurité, les ressources humaines, le juridique, les achats, etc. La définition...

Pour consulter la suite, découvrez le livre suivant :
couv_DPSECISO.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Objectifs et causalités des actions
Suivant
Un énoncé clair et précis de l’action attendue