Bonnes pratiques de rédaction d’une politique de sécurité

Il a été précédemment posé la définition suivante : la politique de sécurité des systèmes d’information consiste en un ensemble de règles définies pour atteindre et maintenir un certain niveau de sécurité.

Il convient donc en premier lieu de définir le niveau de sécurité requis, afin de spécifier les mesures de sécurité nécessaires pour atteindre ce niveau. C’est le sens des volets contextuel et analyse de risques de la gouvernance : des objectifs stratégiques ont été définis, déclinés en objectifs de sécurité qu’il convient d’atteindre. Cela définit le niveau cible, dans le respect des contraintes que constituent les exigences réglementaires et contractuelles.

Ce point mérite sans doute quelques explications. Le niveau de sécurité cible est le fait de trois composantes :

  • Les exigences réglementaires en premier lieu, qui s’imposent à l’organisation et définissent un niveau de sécurité minimum : des mesures sont obligatoires pour traiter de données personnelles, pour héberger des données de santé, pour opérer des systèmes d’importance vitale… Il n’est pas possible de s’y soustraire, ni légalement...

Pour consulter la suite, découvrez le livre suivant :
couv_DPSECISO.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Bonnes pratiques de définition d’une politique de gouvernance
Suivant
Points clés d’une politique de sécurité : les pratiques ISO 27002