Politique générale

La politique de programme est utilisée pour créer le programme de sécurité de l'information d'une organisation.

Les politiques de programme fixent l'orientation stratégique de la sécurité et attribuent des ressources pour sa mise en œuvre au sein de l'organisation.

Un responsable de la direction—généralement le CISO—édicte la politique de programme pour établir ou restructurer le programme de sécurité de l'information de l'organisation. Cette politique de haut niveau définit l'objectif du programme et sa portée au sein de l'organisation, traite les questions de conformité et attribue la responsabilité à l'organisation de sécurité de l'information pour la mise en œuvre directe du programme ainsi que d'autres responsabilités connexes.

(Source : NIST SP 800-12)