|
« L’organisation » atteste, par le biais de son directeur, que la sécurité des informations et des technologies des informations est vitale à son fonctionnement, voire à sa survie. En effet, la disponibilité de certaines données ou de certains outils, la non-divulgation de certaines informations à des tiers ou l’impossibilité de modifier certaines données sont essentielles pour « l’organisation ».
Par conséquent, la direction met en œuvre la politique de sécurité à respecter au sein de « l’organisation ». La direction s’engage ainsi à soutenir toutes les actions qui s’inscrivent dans ce cadre et à mettre à disposition les moyens nécessaires à leur réalisation, dans la mesure des possibilités financières.
Tous les employés doivent également soutenir cette démarche en :
- connaissant le contenu des politiques qui sont applicables à leurs activités,
- appliquant les politiques dans leurs activités,
- se tenant informés des évolutions qui pourraient lui être soumises,
- informant leurs collègues et contacts externes des règles qui leur sont applicables,
- vérifiant dans leurs activités quotidiennes l’adéquation des procédures de sécurité et en proposant les améliorations adaptées.
|
|
|
Si la politique de sécurité comprend des informations confidentielles, il convient d’envisager la création d’une version allégée qui serait publique, alors que la version complète resterait dans les mains de la direction et des intervenants spécifiques.
|
Afin que les politiques et procédures de sécurité applicables soient connues de tous, elles sont affichées dans les parties communes des locaux et sont diffusées par la direction.
|
|
|
La politique de sécurité doit toujours être tenue à jour et couvrir les besoins réels de "l'organisation". Elle doit, comme tous les autres documents stratégiques, être soumis à un processus d'adaptation et d'amélioration continu.
|
La politiques de sécurité doit être révisée annuellement par la direction, ensemble avec les personnes directement impliquées dans la gestion de la sécurité. La responsabilité de cette révision incombe à la direction. Cette révision vise à vérifier que le contenu de la politique est toujours en adéquation avec les exigences de « l’organisation » en matière de sécurité des informations.
Il convient notamment de :
- vérifier que les procédures décrites sont effectivement appliquées ;
- faire le point sur les événements de sécurité qui ont eu lieu auparavant (analyse des audits, traces des événements, des incidents) : mesures correctives ;
- vérifier que les changements qui ont eu lieu au sein de « l’organisation », qu’ils soient techniques ou organisationnels, ne nécessitent pas d’adaptation des politiques;
- organiser la mise en place des modifications qui apparaissent comme nécessaires,
- communiquer les résultats de la révision au personnel.
Ensemble des chapitres
|
