SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow Management SSI arrow Politique de sécurité
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Politique de sécurité Convertir en PDF Version imprimable Suggérer par mail
04-11-2005
ll s'agit ici d'évoquer le Document décrivant la Politique de sécurité de l'entreprise :

 Définition :  Celle de la commission Européenne :
Ensemble de lois, réglements et pratiques qui régissent la façon de gérer, protéger, diffuser les biens, en particulier les informations sensibles au sein de l'organisation.
Source catalogue des critères d'évaluation de la sécurité des sytèmes d'information , ITSEC, Commission Européenne, Juin 1991

 Image
"La politique de sécurité est quelque chose de vivant, elle vit au rythme de l'entreprise, au rythme des partenariats, des filiales… Au moindre événement, il faut mener une réflexion adaptée pour réajuster le système" précise le RSSI du Groupe Accor Serge Saghroune.
Objectifs:
C'est un cadre général permettant de sensibiliser et de responsabiliser le personnel (ou les partenaires) de l'entreprise sur les enjeux liés aux divers aspects de la sécurité de l'information et du système d'information.
Il doit faciliter la compréhension de cette politique et permettre l'adhésion et la coopération active des acteurs de l'entreprise pour assurer la confiance dans le capital informationnel qu'ils gèrent.
Il doit fournir des références règlementaires et légales  claires (LCEN, CNIL 2, Loi Godfrain, LSF, Propriété intellectuelle) et des consignes et procédures cohérentes.
Il doit faciliter l'usage au quotidien du système d'information dans un contexte de confiance et de vigilance.
Les procédures de contrôle et d'audit doivent être clairement définies sur la base de la transparence, de la discussion collective obligatoire avec les organes représentatifs du personnel et de la proportionnalité de mesures pouvant être prise en cas d'infraction en respect de l'article L121-8 du code du travail.
Enfin elle doit préciser de façon non équivoque la position de la Direction quant à l'utilisation à titre privé et personnel des ressources mises à disposition du personnels, notamment les moyens Internet et Mail.
Politique ou Charte ? :
Peu importe pourvu que l'une ou/et  l'autre existe(nt).
Une PME doit se doter à minima d'une Charte, un grand groupe développera plusieurs niveaux dans sa politique (voir plus loin structurer sa politique de sécurité)  et éventuellement plusieurs chartes (par site ou établissements par exemple).
La Politique aura plutôt un caractère de référentiel comportant la loi et ses décrets d'application,
La Charte aura plutôt un caractère "utilitaire" et "juridique" et s'apparentera plutôt a des rappels à la loi.
Qui doit faire quoi ? :
Le RSSI doit élaborer la politique de sécurité et la ou les chartes,
Le comité sécurité a la responsabilité de les approuver,
Les DSI doivent avoir la responsabilité du développement de la politique.
Exemple de structure documentaire proposée par SSi-Conseil :

Polsec : structure documentaire


Dernière mise à jour : ( 03-01-2008 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.