📄️ Comprendre les politiques de sécurité de l'information
La politique de sécurité de l'information est définie dans le NIST SP 800-12 Rev 1. comme « un ensemble de directives, de règlements, de règles et de pratiques qui prescrit comment une organisation gère, protège et distribue l'information. En prenant ces décisions, les gestionnaires sont confrontés à des choix difficiles concernant l'allocation des ressources, les objectifs concurrents et la stratégie organisationnelle, qui sont tous liés à la protection des ressources techniques et informationnelles ainsi qu'à l'orientation du comportement des employés. Les gestionnaires à tous les niveaux prennent des décisions pouvant affecter la politique, avec le champ d'application de celle-ci variant selon l'étendue de l'autorité du gestionnaire. »
📄️ Politique générale
La politique de programme est utilisée pour créer le programme de sécurité de l'information d'une organisation.
📄️ Politique spécifique à un domaine
Selon les directives de la politique de sécurité de l'information, des politiques spécifiques aux problèmes sont élaborées pour aborder les domaines de pertinence et de préoccupation actuelles pour une organisation.
📄️ Politique spécifique à un système
Les politiques de programme et les politiques spécifiques à un problème sont des politiques larges et de haut niveau rédigées pour englober l'ensemble de l'organisation, tandis que les politiques spécifiques à un système fournissent des informations et des directives sur les actions autorisées sur un système particulier.