Politique de sécurité du système d'information
Un article de Wikipédia, l'encyclopédie libre.
La politique de sécurité des systèmes d'information (PSSI) est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, état, unions d'états …) en matière de sécurité des systèmes d'information (SSI).
Sommaire |
[modifier] Dépendance et dissociation
La politique de sécurité des systèmes d'information est intrisèquement liée à la sécurité de l'information.
Aussi, un système d'information n'étant pas limité au système informatique, une politique de sécurité des systèmes d'information ne se limite pas à la sécurité informatique.
[modifier] Description
La PSSI constitue le principal document de référence en matière de SSI de l'organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les moyens accordés pour y parvenir.
La démarche de réalisation de cette politique est basée sur une analyse des risques en matière de sécurité des systèmes d'information.
Après validation par les différents acteurs de la sécurité de l'information de l'organisme, la PSSI doit être diffusée à l'ensemble des acteurs du système d'information (utilisateurs, exploitants, sous-traitants, prestataires …). Elle constitue alors un véritable outil de communication sur l'organisation et les responsabilités SSI, les risques SSI et les moyens disponibles pour s'en prémunir.
[modifier] Domaines couverts
Une PSSI couvre généralement ces différents domaines de la sécurité :
- Principes organisationnels
- Politique de sécurité
- Organisation de la sécurité
- Gestion des risques SSI
- Sécurité et cycle de vie
- Assurance et certification
- Principes de mise en œuvre
- Aspects humains
- Planification de la continuité des activités
- Gestion des incidents
- Sensibilisation et formation
- Exploitation
- Aspects physiques et environnementaux
- Principes techniques
- Identification / authentification
- Contrôle d'accès logique
- Journalisation
- Infrastructures de gestion des clés cryptographiques
- Signaux compromettants
[modifier] Déclinaisons
D'une PSSI globale et généraliste, il est possible de décliner des politiques de sécurité techniques par métier, activités ou systèmes. Elle servira également de base de cohérence entre ces politiques et entre toutes les études de sécurité.
Ainsi, on peut retrouver comme différents types de politique de sécurité liés à la sécurité de l'information :
- Politique de sécurité informatique
- Politique de sécurité du réseau informatique
- Politique de sécurité système
[modifier] Annexes
[modifier] Voir aussi
- Sécurité de l'information
- Sécurité des systèmes d'information
- Politique de sécurité
- Responsable de la sécurité des systèmes d'information