SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Principes généraux de management de la sécurité Convertir en PDF Version imprimable Suggérer par mail
04-11-2005
Le management de la sécurité de l'information doit impliquer tous les niveaux de l'entreprise.
L'organisation générale doit être clairement impulsée par la  Direction Générale et suivie comme un des axes stratégiques de l'entreprise.
Les choix tactiques doivent impliquer les Directions Fonctionnelles, l'arbitrage revenant à la Direction Générale.
L'orchestration et la mise en œuvre Opérationnelle doit être sous contrôle du RSSI.
C'est à lui que revient la tâche de mise en place d'un Système de Management de la Sécurité Informatique : SMSI, Outil indispensable au management de la SSI.

La séparation des missions doit être clairement établie entre :
  • Conception : en Principe le RSSI est Maître d'Ouvrage du SMSI
  • Réalisation : en principe l'Informatique est Maître d'œuvre
  • Contrôle :  réalisé par la cellule Audit de l'entreprise ou externe.
Une forte complémentarité doit-être introduite par la DG entre Risk Managers et RSSI.

La communication doit elle aussi être différentiée par niveau, par exemple une Politique de Sécurité, pour être lisible, doit elle aussi respecter une organistion en niveaux (voir schéma ci-desous)  :
  • Stratégique :
    Les grandes orientations de la Politique Sécurité et sa Valeur pour l'Entreprise, les clients, les actionnaires, le personnel et les partenaires...
  • Tactique :
    L'organisation, qui fait quoi, les priorités et les choix, ...
  • Opérationnel :
    Le détail des mesures partagées et approuvées par tous, les outils de planification et de reporting associés, des indicateurs et une communication transparente.
Enfin, il convient de rappeler que le système de management de la sécurité est basé sur une approche de gestion des risques, que ceux-ci évoluent en permanence et que son objectif est de continuellement :
  • Vérifier,
  • Maintenir,
  • Améliorer.
Ce qui impose des revues d'évaluation régulières aux trois niveaux : Stratégique, Tactique et Opérationnel.
Image

Ressources : Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition
ISACA - 2006 PDF de 500K
Dernière mise à jour : ( 18-03-2009 )
< Précédent
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.