Avoir une Politique de Sécurité des Systèmes d’Information c’est très bien mais ce n’est pas suffisant ;-) Il vous faut ensuite couvrir tout les thèmes sur lesquels vous avez choisi de vous engager. Et pour ça il vous faut des normes et des politiques ciblées et spécialisées, la PSSI est trop générale pour y définir votre norme de nommage par exemple.
Voici un certain nombre de thèmes qui me semblent incontournable :
- La gestion du changement
- La gestion des correctifs
- La sécurité des réseaux et télécommunications
- Les données à caractères personnel
- La supervision
- La journalisation
- La mise au rebut
- La gestion des situations de crise
- La classification et le traitement des informations
Cette liste n’a absolument rien d’exhaustive, et je rajouterai sûrement des thèmes avec le temps.