Table des matières:
Vidéo: Ecos del Desgarro 2025
Les politiques, normes, procédures et directives de sécurité sont toutes différentes les unes des autres, mais elles interagissent aussi de manières. Il est important de comprendre ces différences et relations, et de reconnaître les différents types de politiques et leurs applications.
Pour développer et mettre en œuvre avec succès les stratégies, normes, directives et procédures de sécurité de l'information, vous devez vous assurer que vos efforts sont conformes à la mission, aux objectifs et aux objectifs de l'organisation.
Les politiques, les normes, les procédures et les directives fonctionnent ensemble comme les plans d'un programme de sécurité de l'information efficace. Ils
- Établissent la gouvernance.
- Fournissez des conseils et un soutien décisionnel précieux.
- Aide à établir l'autorité légale.
Trop souvent, des solutions de sécurité technique sont mises en œuvre sans ces plans importants. Les résultats sont souvent des contrôles coûteux et inefficaces qui ne sont pas appliqués uniformément et ne supportent pas une stratégie de sécurité globale.
La gouvernance est un terme qui représente collectivement le système de politiques, de normes, de lignes directrices et de procédures qui aident à orienter les opérations et les décisions quotidiennes d'une organisation.
Politiques
Une politique de sécurité constitue la base du programme de sécurité de l'information d'une organisation. RFC 2196, Le Guide de sécurité du site, définit une politique de sécurité comme «un énoncé formel de règles par lequel les personnes qui ont accès à la technologie et aux ressources d'information d'une organisation doivent respecter. "
Haute direction:
- Un énoncé de gestion de haut niveau des objectifs de sécurité d'une organisation, responsabilités organisationnelles et individuelles, éthique et croyances, et exigences générales et contrôles. Réglementation:
- Politiques très détaillées et concises habituellement exigées par les exigences fédérales, étatiques, industrielles ou autres. Avis:
- Pas obligatoire, mais fortement recommandé, souvent avec des pénalités spécifiques ou des conséquences en cas de non-respect. La plupart des politiques entrent dans cette catégorie. Informatif:
- Informe uniquement, sans exigence explicite de conformité. Les normes, procédures et directives sont des éléments de support d'une politique et fournissent des détails spécifiques de mise en œuvre de la politique.
ISO / CEI 27002, Technologies de l'information - Techniques de sécurité - Code d'usages pour la gestion de la sécurité de l'information, est une norme internationale pour la politique de sécurité de l'information.L'ISO / CEI est l'Organisation internationale de normalisation et la Commission électrotechnique internationale. L'ISO / CEI 27002 comprend 12 sections qui chevauchent largement (mais pas complètement) les huit domaines de sécurité (ISC) 2.
Normes (et référentiels)
Les normes
sont des exigences spécifiques et obligatoires qui définissent et soutiennent davantage les politiques de niveau supérieur. Par exemple, une norme peut nécessiter l'utilisation d'une technologie spécifique, telle qu'une exigence minimale pour le chiffrement des données sensibles à l'aide d'AES. Une norme peut aller jusqu'à spécifier la marque exacte, le produit ou le protocole à mettre en œuvre. Les lignes de base
sont similaires et liées aux normes. Une base de référence peut être utile pour identifier une base cohérente pour l'architecture de sécurité d'une organisation, en tenant compte des paramètres spécifiques au système, tels que les différents systèmes d'exploitation. Une fois les lignes de base cohérentes établies, des normes appropriées peuvent être définies dans l'ensemble de l'organisation. Certaines organisations appellent leurs normes de documents de configuration (et d'autres encore les appellent environnements d'exploitation standard) au lieu de lignes de base. C'est une pratique courante et acceptable.
Procédures
Procédures
fournissent des instructions détaillées sur la façon de mettre en œuvre des politiques spécifiques et de répondre aux critères définis dans les normes. Les procédures peuvent inclure des procédures opérationnelles standard (SOP), des livrets d'exécution et des guides de l'utilisateur. Par exemple, une procédure peut être un guide étape par étape pour chiffrer des fichiers sensibles en utilisant un produit de chiffrement logiciel spécifique. Les lignes directrices
Les lignes directrices
sont similaires aux normes, mais elles fonctionnent comme des recommandations plutôt que comme des exigences obligatoires. Par exemple, une directive peut fournir des conseils ou des recommandations pour déterminer la sensibilité d'un fichier et si un chiffrement est requis.
