Rappel des points clés

Ce chapitre est consacré aux deux documents fondateurs de la gouvernance de la sécurité dans une organisation que constituent la politique de gouvernance d’une part, et la politique de sécurité du système d’information d’autre part.

La politique de gouvernance de la sécurité est définie dans la norme ISO 27000 comme les intentions et orientations générales d’un organisme, relatives à la sécurité, telles qu’officiellement formulées par la Direction. Elle s’adresse à la chaîne stratégique, et adresse globalement les réponses apportées par l’organisation aux clauses 4 à 10 de la norme ISO 27001 : objectifs stratégiques et leur déclinaison en objectifs de sécurité, enjeux et contexte, domaine d’application, stratégie de gestion des risques, comitologie, sensibilisation et formation, audit interne, évaluation, communication et amélioration continue.

Ce document définit les engagements de la direction au regard de la gouvernance et, en retour, les engagements des directions impliquées. Afin que ces directions soient en mesure de se prononcer sur la portée des engagements pris, il est conseillé de réaliser au préalable un état des lieux afin d’analyser la maturité de l’organisation au regard des exigences de la norme, de mesurer le reste à...

Pour consulter la suite, découvrez le livre suivant :
couv_DPSECISO.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Du caractère virtuel d’une politique de sécurité
Suivant
Cas pratique : quelques conseils en matière de politique