Organisation de la sécurité

Ce thème a pour objectif la gestion de la sécurité de l’information au sein de l’entreprise et assurer la sécurité de l’information et des moyens de traitement de l’information de l’entreprise vis-à-vis des tiers.

6.1 Organisation interne

6.1.1 Engagement de la direction vis à vis de la SSI

On cherche à savoir :

Si la direction apporte un soutien actif quant à la mise en application des mesures de sécurité
Si  les acteurs de la SSI sont désignés et connus par la direction

6.1.2 Coordination de la sécurité

On cherche à savoir :

Si un recensement des rôles en matière de SSI existe
Si l’attribution de ces rôles est pertinente

6.1.3 Attribution des responsabilités en matière de sécurité de l’information

On cherche à savoir :

Si les responsabilités au sein des processus de sécurité spécifiques sont clairement identifiées et définies

6.1.4 Système d’autorisation concernant les moyens de traitement de l’information

On cherche à savoir :

Si un processus de gestion des autorisations est défini et appliqué pour tout nouveau moyen de traitement de l’information

6.1.5 Engagement de confidentialité

On cherche à savoir :

Si les besoins, de confidentialités et/ou de non divulgation de l’entreprise pour la sécurité de l’information, sont clairement définis
Si ces besoins sont appuyés juridiquement

6.1.6 Relations avec les autorités

On cherche à savoir :

S’il existe des procédures définissant quand et par l’intermédiaire de qui contacter les autorités concernées en cas d’incident de sécurité, et comment le déclarer

6.1.7 Relations avec des groupes de spécialistes

On cherche à savoir :

Si des contacts sont établis avec des groupes spécialisés ou association de professionnels de la SSI

6.1.8 Revue indépendante de la sécurité de l’information

On cherche à savoir :

Si l’approche gestion de la sécurité de l’entreprise et son application fait régulièrement l’objet d’audit indépendant

6.2 Tiers

6.2.1 Identifications des risques provenant des tiers

On cherche à savoir :

Si les risques, sur l’information et les processus de traitement de l’information, qu’implique la participation d’un tiers sont clairement identifiés
Si les moyens contrôle appropriés sont mis en place avant d’en fournir l’accès

6.2.2 La sécurité et les clients

On cherche à savoir :

Si tous les prérequis de sécurité identifiés sont remplis avant d’accorder à un client l’accès aux biens et informations de l’entreprise

6.2.3 La sécurité dans les accords conclu avec des tiers

On cherche à savoir :

Si lors d’accord avec un tiers incluant l’accès, le traitement, la communication et la gestion d’informations de l’entreprise, la conformité vis à vis des exigences de sécurité est validée
Si lors d’accord avec un tiers incluant l’introduction de produits ou de service concernant le traitement d’information de l’entreprise, la conformité vis à vis des exigences de sécurité est validée

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


8 − = deux

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>