La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sommaire Introduction Les politiques de sécurité

Publié parJeannette Gross Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Sommaire Introduction Les politiques de sécurité"— Transcription de la présentation:

1 Sommaire Introduction Les politiques de sécurité
Sommaire de politique Groupe puis Métier Quelques conseils pratiques A chacun sa politique La classification des actifs La promotion de la politique Conclusion

2 Les rôles des entités sécurité
Mesure de l'atteinte de ces objectifs (contrôle permanent) Vérification de l'atteinte de ces objectifs (contrôle périodique) Actions pour atteindre ces objectifs (projets, administration…) Définition des objectifs de chaque métier (politique, indicateurs,, livrables…) Amélioration continue (stratégie de maîtrise du risque opérationnel, organisation…) Définition de la politique générale de sécurité

3 Les politiques de sécurité
Cadre général de sécurité du groupe : Sécurité de l'information Continuité des opérations Sécurité des biens et des personnes Périmètre à définir selon la norme ISO 27001 Sécurité d’un métier (activité, entité…) Politique sécurité de l’entité, conformément Au cadre réglementaire A l’appétence au risque de l’entité (stratégie RO) Au cadre de la politique Groupe Entités informatiques de sécurité opérationnelle Mise en œuvre de la sécurité au quotidien Règles opérationnelles applicables Cadre de contrôle permanent La sous-traitance, dont l’offshore Administration des secrets et des accès , projets techniques Contrôle / pilotage de la sécurité de production

4 Un référentiel d’une politique Groupe

5 Un sommaire de politique métier (1/2)
Préambule . 1. Périmètre d’application . 2. Exigences de sécurité. 3. Principes directeurs . 3.1. Classification des ressources. 3.2. Approche raisonnée de la sécurité des SI. 3.3. Organisation claire et opérante de la sécurité des SI. 34 Maîtrise des accès aux SI . 3.5. Garantie de la continuité des activités. 3.6. Intégration de la sécurité dans les projets SI et maintien du niveau de sécurité dans les applications . 3.7. Capacité de réaction à incident . 3.8. Sensibilisation et formation à la sécurité des SI. 3.9. Pilotage de la sécurité des SI. 4. Responsabilités . 4.1. Responsabilités au sein des activités du Métier AAA. 4.2. Responsabilités dans le cadre des activités liées aux systèmes d’information. 4.3. Responsabilités des acteurs de la Filière SSI du Métier AAA . 4.4. Dispositifs de contrôle . 4.5. Instances de pilotage. 4.6. Articulation avec les principes de responsabilité définis par le Groupe.

6 Un sommaire de politique métier (2/2)
5. Obligations liées aux SI . 5.1. Cadre législatif et réglementaire. 5.2. Comportements et règles de conduite. 5.3. Contrats de prestations, d’hébergement et conventions de service. 6. Métrique de sécurité des SI du Métier AAA . 6.1. Échelle d’évaluation d’impact . 6.2. Grille de niveaux de sécurité . 7. Mise en oeuvre de la Politique générale de sécurité des SI . 7.1. Déclinaison opérationnelle de la PGSSI-AAA . 7.2. Évolution et diffusion de la PGSSI-AAA . 7.3. Suivi et contrôle de la PGSSI-AAA. ANNEXE 1 : Échelle d’évaluation d’impacts. ANNEXE 2 : Grille de niveaux de sécurité. ANNEXE 3 : Structure du cadre de référence de la sécurité des SI. ANNEXE 4 : Glossaire. ANNEXE 5 : Signatures des validateurs.

7 Quelques conseils pratiques (1/2)
Une politique, pour quoi faire ? Se poser dès le départ la question de l’objectif de la production d’une politique : raison, lectorat, texte cadre ou règles précises… Périmètre d’application et responsabilité Bien préciser à qui la politique s’adresse : population, activité, entité juridique, implantation géographique… Qui est responsable de quoi Qui décide, qui fait, qui porte le risque, qui contrôle… ? Est-ce réaliste et applicable ? Une politique est opposable Le régulateur la lit et demande « est-ce appliqué, si oui comment, prouvez-le ? »

8 Quelques conseils pratiques (2/2)
Est-ce vérifiable ? Procédures et outils de contrôle La vérification technique est souvent nécessaire – mais pas indispensable, la sanction disciplinaire (RH) peut être appliquée même en l’absence d’outil technique de prévention / détection / contrôle Maintenir à jour le corpus documentaire Versions, références… Style simple et claire Indicatif présent, verbes directs, voix active - Éviter le conditionnel, le futur… Éviter les adjectifs et les adverbes Par exemple : très compatibles, exhaustivement, très sécurisé, parfaitement documenté, inventaire exhaustif, Éviter les anglicismes (quand possible) et disposer d’un glossaire Par exemple : encryption (chifffrement), software…

9 A chacun sa politique Les utilisateurs (la grande masse) : instructions claires, pratiques, applicables, dans leur langue (au sens large…) La politique de sécurité du groupe ne les concerne pas… Les manuels de sensibilisation, les guides pratiques (sur leurs outils et comportements) leur sont n nécessaires Les acteurs informatiques Les architectes. La maîtrise d’ouvrage La maîtrise d’oeuvre et la production informatique La Direction générale (stratégie, aversion au risque, conformité…) Les organes de contrôle (permanent et périodique) – base de leurs contrôles et vérifications La conformité, le risque opérationnel… Lien avec leur politique, leurs contrôles….

10 Classification des actifs
La classification des actifs est à la base de toute politique de sécurité Les classes d’actifs information : procédures, informations actives ou archivées, logiciel : applicatifs, systèmes, outils de développement, etc. Actif physique : matériel informatique, de communication, supports, Actif service : services de production, d'infrastructure, applicatifs métiers, etc. Les catégories. Disponibilité, intégrité, confidentialité, preuve / trace

11 Validation, diffusion, promotion…
Validation de chaque document Relu et validé par les responsables sécurité des entités Nombre raisonnable de relecteurs et autorité en cas de longues discussions… Utiliser des spécialistes pour certains types de sujets Sensibilisation : Direction de la communication Règle de comportement : DRH Règles opposables : Affaires juridiques et Inspection générale… Prévoir la diffusion dès le départ Supports : intranet, papier, messagerie… Et surtout faire connaître les politiques Communiquez, communiquez, communiquez…

12 Conclusion Une politique est nécessaire mais pas suffisante. Elle doit être traduite en règles applicables, en contrôles à exercer. La politique doit surtout être connue et appliquée. Son degré d’application doit être mesuré – c’est le critère de réussite de la démarche, avec la complétude et la pertinence du jeu complet

Télécharger ppt "Sommaire Introduction Les politiques de sécurité"

Présentations similaires

@fricajuris Consulting1 FORUM SOUS-REGIONAL POUR LA PROMOTION DE LA PLANIFICATION FAMILIALE A TRAVERS LE PLAIDOYER ET LES REFORMES LEGISLATIVES CONAKRY,

@fricajuris Consulting1 FORUM SOUS-REGIONAL POUR LA PROMOTION DE LA PLANIFICATION FAMILIALE A TRAVERS LE PLAIDOYER ET LES REFORMES LEGISLATIVES CONAKRY,
Surveiller la Réglementation Manager l’organisation Auditer

Surveiller la Réglementation Manager l’organisation Auditer
Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.

Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.
Politique et management de la sécurité

Politique et management de la sécurité
La charte d'usage des TIC : une obligation pour les EPLE

La charte d'usage des TIC : une obligation pour les EPLE
CPNN Classification 29 juin 2011

CPNN Classification 29 juin 2011
La Gestion de la Configuration

La Gestion de la Configuration
des Structures de Santé

des Structures de Santé
Manuel Qualité, Structure et Contenus – optionnel

Manuel Qualité, Structure et Contenus – optionnel
LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½

LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½
Pôle 3 - Gestion administrative interne

Pôle 3 - Gestion administrative interne
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité

CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
LES BONNES PRATIQUES Présentation du 31 Mars 2005

LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité

La politique de Sécurité
Activités de Biologie médicale Certification des établissements de santé et accréditation des LBM Nom de l’intervenant : Dominique FERREOL.

Activités de Biologie médicale Certification des établissements de santé et accréditation des LBM Nom de l’intervenant : Dominique FERREOL.
Année 1 : Etat des lieux / Analyse contextuelle

Année 1 : Etat des lieux / Analyse contextuelle
Analyse du système d’information

Analyse du système d’information
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité

L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
D ISO 9000 Étapes pour l’implantation d’un système qualité dans une organisation.

D ISO 9000 Étapes pour l’implantation d’un système qualité dans une organisation.
Présentation des missions des systèmes dinformation Améliorer de manière permanente la qualité de service auprès des utilisateurs en étant garant de :

Présentation des missions des systèmes dinformation Améliorer de manière permanente la qualité de service auprès des utilisateurs en étant garant de :

Présentations similaires

Annonces Google