Aller au contenu principal

Comprendre les politiques de sécurité de l'information

La politique de sécurité de l'information est définie dans le NIST SP 800-12 Rev 1. comme « un ensemble de directives, de règlements, de règles et de pratiques qui prescrit comment une organisation gère, protège et distribue l'information. En prenant ces décisions, les gestionnaires sont confrontés à des choix difficiles concernant l'allocation des ressources, les objectifs concurrents et la stratégie organisationnelle, qui sont tous liés à la protection des ressources techniques et informationnelles ainsi qu'à l'orientation du comportement des employés. Les gestionnaires à tous les niveaux prennent des décisions pouvant affecter la politique, avec le champ d'application de celle-ci variant selon l'étendue de l'autorité du gestionnaire. »

La haute direction joue un rôle crucial dans l'établissement de politiques de sécurité de l'information efficaces. Comme indiqué dans l'ISO 27001, la haute direction doit établir une politique de sécurité de l'information qui :

La haute direction doit établir une politique de sécurité de l'information qui :

  1. Est appropriée aux objectifs de l'organisation ;
  2. Inclut des objectifs de sécurité de l'information ou fournit le cadre pour établir des objectifs de sécurité de l'information ;
  3. Inclut un engagement à satisfaire les exigences applicables relatives à la sécurité de l'information ;
  4. Inclut un engagement à l'amélioration continue du système de gestion de la sécurité de l'information.

Étant donné que la politique est rédigée à un niveau général, les organisations développent également des normes, des lignes directrices et des procédures qui offrent aux utilisateurs, gestionnaires, administrateurs système et autres une approche plus claire pour mettre en œuvre la politique et atteindre les objectifs organisationnels. Les normes et les lignes directrices spécifient les technologies et les méthodologies à utiliser pour sécuriser les systèmes. Les procédures sont des étapes encore plus détaillées à suivre pour accomplir les tâches liées à la sécurité. Les normes, les lignes directrices et les procédures peuvent être diffusées dans toute l'organisation via des manuels, des règlements ou des guides.

CSFaaS vous aide à gérer les politiques et normes.

Les décisions managériales sur les questions de sécurité de l'information varient considérablement. Pour différencier divers types de politique, elles peuvent être catégorisées en trois types de base :

  • Politique de programme,
  • Politique spécifique à une question,
  • Politique spécifique à un système.

(Source : NIST SP 800-12)