Sommaire Introduction Les politiques de sécurité

Slides:



Advertisements
Présentations similaires
@fricajuris Consulting1 FORUM SOUS-REGIONAL POUR LA PROMOTION DE LA PLANIFICATION FAMILIALE A TRAVERS LE PLAIDOYER ET LES REFORMES LEGISLATIVES CONAKRY,
Advertisements

Surveiller la Réglementation Manager l’organisation Auditer
Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.
Politique et management de la sécurité
La charte d'usage des TIC : une obligation pour les EPLE
CPNN Classification 29 juin 2011
La Gestion de la Configuration
des Structures de Santé
Manuel Qualité, Structure et Contenus – optionnel
LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½
Pôle 3 - Gestion administrative interne
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
Activités de Biologie médicale Certification des établissements de santé et accréditation des LBM Nom de l’intervenant : Dominique FERREOL.
Année 1 : Etat des lieux / Analyse contextuelle
Analyse du système d’information
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
D ISO 9000 Étapes pour l’implantation d’un système qualité dans une organisation.
Présentation des missions des systèmes dinformation Améliorer de manière permanente la qualité de service auprès des utilisateurs en étant garant de :
La revue de projet.
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Journée Technique Régionale PSSI
Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne
Altaïr Conseil Maîtriser l'information stratégique Sécurisé
La composante humaine du système d'information (Réfs : chap 8.1 p 231)
Sésame Conseils Bon sens et compétences
Guide de gestion environnementale dans l’entreprise industrielle
Cahier des charges des Connaissances nécessaires au salarié d’une entreprise de travaux agricoles et ruraux en matière de Qualité-Sécurité et Environnement.
LES EXPERIMENTATIONS DANS L ’ACADEMIE DE LYON
Référent et management
Place de l’audit dans la démarche qualité en hygiène hospitalière
La Gestion de Projet.
Pôle 3 - Gestion administrative interne
Présentation de la norme AFNOR NFX
Certification OHSAS Version 2007
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
Le management de l'IVVQ Processus techniques IVVQ
LE PLAN QUALITE Utilité du plan qualité :
La norme ISO ISO TOULOUSE Maj: 22 octobre 2012
9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or.
UN FOURNISSEUR CERTIFIÉ ISO 9001: 2000: ÇA RAPPORTE!
LA QUALITE LOGICIELLE La solution ¼ h Plan du cours Introduction ¼ h
HOPITAL PUBLIC - INTERMEDICA 2002
PRESENTATION SYSTEME QUALITE IM Projet
Organigramme projeté au 1er janvier 2009 :
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
Rôle des CI dans la démarche qualité
Hygiène Sécurité Conditions de Travail AVSC Nord de France
ISO 9001:2000 DOCUMENTATION DU SYSTEME QUALITE
MODULE DE FORMATION À LA QUALITÉ
Offre de service Sécurité des systèmes d’information
Sites Pilotes Généralisation
ISO 9001:2000 IDENTIFICATION et DOCUMENTATION DES PROCESSUS
Principes et définitions
P.E.P.S. Projet d’Elaboration du Pilotage des Services
LE PLAN QUALITE Prévision du déroulement du projet (standards)
Présentation du référentiel ITIL v3
MAITRISE de la QUALITE des PROJETS
Système de Management Intégré
1 LA DEMARCHE QUALITE ET SON EVALUATION Professeur César AKPO Faculté des Sciences de la Santé COTONOU 2005.
ISO 9001:2000 Interprétation (Introduction et Para 1-4)
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
FORMATION SUR LA NORME ISO VERSION 2015
3 Performance SI et stratégie
Projet formation en conduite de changement
COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.
CONTENU DE L ’ISO Définition métrologie.
1 / Pour personnaliser les références : Affichage / En-tête et pied de page Personnaliser la zone Pied de page, Faire appliquer partout 1 CULTURE QUALITE.
Transcription de la présentation:

Sommaire Introduction Les politiques de sécurité Sommaire de politique Groupe puis Métier Quelques conseils pratiques A chacun sa politique La classification des actifs La promotion de la politique Conclusion

Les rôles des entités sécurité Mesure de l'atteinte de ces objectifs (contrôle permanent) Vérification de l'atteinte de ces objectifs (contrôle périodique) Actions pour atteindre ces objectifs (projets, administration…) Définition des objectifs de chaque métier (politique, indicateurs,, livrables…) Amélioration continue (stratégie de maîtrise du risque opérationnel, organisation…) Définition de la politique générale de sécurité

Les politiques de sécurité Cadre général de sécurité du groupe : Sécurité de l'information Continuité des opérations Sécurité des biens et des personnes Périmètre à définir selon la norme ISO 27001 Sécurité d’un métier (activité, entité…) Politique sécurité de l’entité, conformément Au cadre réglementaire A l’appétence au risque de l’entité (stratégie RO) Au cadre de la politique Groupe Entités informatiques de sécurité opérationnelle Mise en œuvre de la sécurité au quotidien Règles opérationnelles applicables Cadre de contrôle permanent La sous-traitance, dont l’offshore Administration des secrets et des accès , projets techniques Contrôle / pilotage de la sécurité de production

Un référentiel d’une politique Groupe

Un sommaire de politique métier (1/2) Préambule . 1. Périmètre d’application . 2. Exigences de sécurité. 3. Principes directeurs . 3.1. Classification des ressources. 3.2. Approche raisonnée de la sécurité des SI. 3.3. Organisation claire et opérante de la sécurité des SI. 34 Maîtrise des accès aux SI . 3.5. Garantie de la continuité des activités. 3.6. Intégration de la sécurité dans les projets SI et maintien du niveau de sécurité dans les applications . 3.7. Capacité de réaction à incident . 3.8. Sensibilisation et formation à la sécurité des SI. 3.9. Pilotage de la sécurité des SI. 4. Responsabilités . 4.1. Responsabilités au sein des activités du Métier AAA. 4.2. Responsabilités dans le cadre des activités liées aux systèmes d’information. 4.3. Responsabilités des acteurs de la Filière SSI du Métier AAA . 4.4. Dispositifs de contrôle . 4.5. Instances de pilotage. 4.6. Articulation avec les principes de responsabilité définis par le Groupe.

Un sommaire de politique métier (2/2) 5. Obligations liées aux SI . 5.1. Cadre législatif et réglementaire. 5.2. Comportements et règles de conduite. 5.3. Contrats de prestations, d’hébergement et conventions de service. 6. Métrique de sécurité des SI du Métier AAA . 6.1. Échelle d’évaluation d’impact . 6.2. Grille de niveaux de sécurité . 7. Mise en oeuvre de la Politique générale de sécurité des SI . 7.1. Déclinaison opérationnelle de la PGSSI-AAA . 7.2. Évolution et diffusion de la PGSSI-AAA . 7.3. Suivi et contrôle de la PGSSI-AAA. ANNEXE 1 : Échelle d’évaluation d’impacts. ANNEXE 2 : Grille de niveaux de sécurité. ANNEXE 3 : Structure du cadre de référence de la sécurité des SI. ANNEXE 4 : Glossaire. ANNEXE 5 : Signatures des validateurs.

Quelques conseils pratiques (1/2) Une politique, pour quoi faire ? Se poser dès le départ la question de l’objectif de la production d’une politique : raison, lectorat, texte cadre ou règles précises… Périmètre d’application et responsabilité Bien préciser à qui la politique s’adresse : population, activité, entité juridique, implantation géographique… Qui est responsable de quoi Qui décide, qui fait, qui porte le risque, qui contrôle… ? Est-ce réaliste et applicable ? Une politique est opposable Le régulateur la lit et demande « est-ce appliqué, si oui comment, prouvez-le ? »

Quelques conseils pratiques (2/2) Est-ce vérifiable ? Procédures et outils de contrôle La vérification technique est souvent nécessaire – mais pas indispensable, la sanction disciplinaire (RH) peut être appliquée même en l’absence d’outil technique de prévention / détection / contrôle Maintenir à jour le corpus documentaire Versions, références… Style simple et claire Indicatif présent, verbes directs, voix active - Éviter le conditionnel, le futur… Éviter les adjectifs et les adverbes Par exemple : très compatibles, exhaustivement, très sécurisé, parfaitement documenté, inventaire exhaustif, Éviter les anglicismes (quand possible) et disposer d’un glossaire Par exemple : encryption (chifffrement), software…

A chacun sa politique Les utilisateurs (la grande masse) : instructions claires, pratiques, applicables, dans leur langue (au sens large…) La politique de sécurité du groupe ne les concerne pas… Les manuels de sensibilisation, les guides pratiques (sur leurs outils et comportements) leur sont n nécessaires Les acteurs informatiques Les architectes. La maîtrise d’ouvrage La maîtrise d’oeuvre et la production informatique La Direction générale (stratégie, aversion au risque, conformité…) Les organes de contrôle (permanent et périodique) – base de leurs contrôles et vérifications La conformité, le risque opérationnel… Lien avec leur politique, leurs contrôles….

Classification des actifs La classification des actifs est à la base de toute politique de sécurité Les classes d’actifs information : procédures, informations actives ou archivées, logiciel : applicatifs, systèmes, outils de développement, etc. Actif physique : matériel informatique, de communication, supports, Actif service : services de production, d'infrastructure, applicatifs métiers, etc. Les catégories. Disponibilité, intégrité, confidentialité, preuve / trace

Validation, diffusion, promotion… Validation de chaque document Relu et validé par les responsables sécurité des entités Nombre raisonnable de relecteurs et autorité en cas de longues discussions… Utiliser des spécialistes pour certains types de sujets Sensibilisation : Direction de la communication Règle de comportement : DRH Règles opposables : Affaires juridiques et Inspection générale… Prévoir la diffusion dès le départ Supports : intranet, papier, messagerie… Et surtout faire connaître les politiques Communiquez, communiquez, communiquez…

Conclusion Une politique est nécessaire mais pas suffisante. Elle doit être traduite en règles applicables, en contrôles à exercer. La politique doit surtout être connue et appliquée. Son degré d’application doit être mesuré – c’est le critère de réussite de la démarche, avec la complétude et la pertinence du jeu complet