Une politique de sécurité de l’information est :
- un ensemble de documents indiquant les directives, procédures, ligne de conduite, règles organisationnelles et techniques à suivre relativement à la sécurité de l’information et à sa gestion.
- Elle permet de définir, réaliser, entretenir et améliorer la sécurité de l’information au sein de votre entreprise.
- Elle vous permet aussi de protéger les infrastructures et actifs critiques de votre entreprise.
- Elle peut se traduire par un ou plusieurs documents mais doit fixer un cadre général en identifiant au moins un modèle de fonctionnement et des orientations de sécurité pour les domaines liées à la sécurité physique et la sécurité logique.
Pour rédiger une politique de sécurité des systèmes d’information adaptée à une société:
SMART SKILLS conseil dans un premier temps de réaliser une analyse de risques ou à minima un audit organisationnel. Cette approche permet de comprendre le contexte de l’organisme et de balayer l’ensemble des mesures et pratiques de sécurité à réglementer.
Le déroulement classique est ensuite une prise d’information du contexte (documents de politique et procédures existantes), des entretiens pour définir le besoin, les attentes et les orientations fixées par la Direction Générale. Sur la base d’un référencement des mesures et pratiques de sécurité en place, une proposition d’une première version de la PSSI est soumise par SMART SKILLS. Elle se suit par une phase d’échange avec les responsables du système d’information ou un référent sécurité pour ajuster le document avant validation par la Direction Générale.
L’objectif: étant que la PSSI soit réellement applicable et appropriée aux besoins. Les domaines de la sécurité de l’information peuvent être énoncés à partir de différents référentiels tels que ceux de la PSSI (Politique de Sécurité des Systèmes d’Information) ou de la norme ISO 27002:2013