Introduction à l'organisation et à la gestion de la sécurité de l'information

La sécurité de l’information est la protection de l’information contre un nombre important de menaces dans le but de garantir la disponibilité, l’intégrité et la confidentialité de celle-ci mais également de garantir la continuité du business avec une minimalisation des risques encourus par celui-ci.

La sécurité de l’information est opérée par l’implémentation d’un ensemble approprié de contrôles incluant des politiques, des processus, des procédures, des structures organisationnelles et des fonctionnalités logiciels et hardwares.  Ces contrôles doivent être définis, mis en place, surveillés, revus et améliorés, si nécessaire, pour donner la garantie à l’entreprise que ses objectifs business et sécurité sont rencontrés.

La politique générale de sécurité de l’information vise à définir le cadre global dans lequel vont opérés les contrôles nécessaires à la sécurité de l’information.

L’organisation de la sécurité de l’information est organisée de façon pyramidale sur trois niveaux distincts :

Explication des 3 niveaux :

1. Le niveau supérieur (niveau 1) définit la politique générale de sécurité de l’information.
2. Le niveau intermédiaire (niveau 2) définit l’ensemble des directives réglementant la sécurité de l’information en fonction des domaines d’application relevants.
3. Le niveau inférieur (niveau 3) définit les procédures, les bonnes pratiques et les normes internes nécessaires pour opérer l’ensemble des contrôles requis par la sécurité de l’information.

L’ensemble des contrôles incluant des politiques, des processus, des procédures, des structures organisationnelles et des fonctionnalités logiciels et hardwares doit être coordonné et intégré pour créer un système cohérent de sécurité.