Chef du service Appui au Développement du Numérique. Attaché, Ingénieur territorial Attaché, Attaché principal, Ingénieur, Ingénieur principal

Transcription

1 FICHE DU POSTE : RSSI-DPD RESPONSABLE SECURITE DES SYSTEMES D INFORMATION ET DELEGUE A LA PROTECTION DES DONNEES DIRECTION / SERVICE : SUPERIEUR HIERARCHIQUE DIRECT : Direction des Usages du Numérique (DUN) / Appui au Développement du Numérique (ADN) Chef du service Appui au Développement du Numérique LOCALISATION DU POSTE : Fort Griffon Besançon CONDITIONS STATUTAIRES CATEGORIE Administrative X Médico-sociale A B C FILIERE : Technique X Sociale X CADRES D EMPLOIS : GRADES : Autre Attaché, Ingénieur territorial Attaché, Attaché principal, Ingénieur, Ingénieur principal QUALIFICATIONS REQUISES Diplôme souhaité et/ou requis : Formations / habilitations obligatoires ou à prévoir : Expérience souhaitée : Ingénieur ou équivalent Bac+5 spécialisée en sécurité informatique et/ou télécoms, sécurité des systèmes informatiques et des réseaux, sécurité, cryptologie et codage de l information... Connaissance particulière de la réglementation "informatique et libertés" et, plus largement, une sensibilisation au droit des technologies de l'information et de la communication. Formation en sécurité des systèmes d information Expérience professionnelle en droit des technologies de l'information ou en droit à la protection des données Expérience de CIL Expérience dans le domaine de la sécurité informatique FINALITES DE L ENTITE Les principales missions de la Direction des Usages du Numérique s articulent autour de 3 domaines d intervention : Pilotage de la stratégie numérique : Pilotage du développement de l aménagement numérique et du développement des usages du numérique Systèmes d information internes : Assistance à maitrise d ouvrage, maitrise d œuvre, assistance technique, développement et maintien en conditions opérationnelles des logiciels, des infrastructures informatiques et téléphoniques Numérique éducatif : Pilotage du développement du numérique éducatif et maintien en conditions opérationnelles des infrastructures informatiques des collèges Direction des ressources humaines 1/5

2 Dans ce cadre, le service Appui au Développement du Numérique (ADN) a pour mission d outiller le pilotage de la stratégie numérique de la direction de la DUN, et de piloter les projets dont la DUN sera maître d ouvrage : Pilotage du SDDAN, du SDUN, de projets tels que le PNE (Plan National pour l Education), l Open Data, la montée en compétence numérique, la mise en place des Assises du numérique, la sécurité des systèmes d information et des données. MISSIONS PRINCIPALES DU POSTE En tant que RSSI, la mission consiste à définir la politique de sécurité du système d information (prévention, protection, défense, résilience/remédiation) et veiller à son application. En tant que DPD, la mission est de veiller au respect des obligations légales de la Loi Informatique et Libertés et du règlement édicté par l union Européenne sur la protection des données à caractère personnel. Le RSSI-DPD assure un rôle de conseil, d assistance, d information, de formation et d alerte, en particulier auprès des directeurs métiers et de la Direction générale. MISSIONS SECONDAIRES DU POSTE ACTIVITES SPECIFIQUES DE L AGENT Pour ce qui concerne l activité de RSSI Définir la politique de sécurité : - Définir les objectifs et les besoins liés aux Systèmes d Information de la collectivité, - Définir et met en place les procédures liées à la sécurité des systèmes d information - Contribuer à l organisation et à la politique de sécurité de la collectivité Analyser les risques - Identifier, analyse et évalue les risques, les menaces et les conséquences (cartographie des risques) ; - Etudier les moyens assurant la sécurité et leur bonne utilisation - Etablit e plan de prévention Sensibiliser et former aux enjeux de la sécurité et de la protection des données : - Informe et sensibilise la direction générale - Forme les directions opérationnelles et métiers - Participe à la réalisation de la charte de sécurité de la collectivité - Assure la promotion de la charte de sécurité informatique auprès de tous les utilisateurs Etudier des moyens et établir des préconisations : définir la stratégie de sécurité vérifier son application Auditer et contrôler - Contrôler et garantir que les équipes appliquent les principes et règles de sécurité du système d information - Auditer la vulnérabilité de la collectivité - Déclenche les cellules de crise en cas de sinistre SI Pour ce qui concerne l activité de DPD Tenir le registre des traitements - Dresser la liste des traitements (registre) faisant l'objet d'une dispense de déclaration du fait de sa désignation ; - Procéder aux formalités préalables pour l'ensemble des traitements qui ne s'en trouvent pas exonérés du fait de sa désignation et en assure le suivi Sensibiliser et former aux enjeux et de la protection des données - Informer et sensibiliser la direction générale et l alerter sur les difficultés rencontrées et l'existence de manquements constatés au regard de la loi Informatique et libertés. - Former les directions opérationnelles et métiers - Sensibiliser le personnel aux enjeux de la protection des données par des actions de communication - Direction des ressources humaines 2/5

3 Contrôler l'application de la Loi Informatique et Libertés - Veiller au respect de la réglementation et contrôler la prise en compte de la dimension Informatique et Libertés dans la mise en œuvre des nouveaux traitements comportant des données à caractère personnel - Émettre à cette occasion toute recommandation, réaliser toute étude nécessaire, valider les clauses correspondantes, apporter son expertise, conseiller dans les choix Gérer des demandes - Communiquer la liste des traitements à toute personne en faisant la demande ; - Recevoir les réclamations et requêtes des personnes concernées par les traitements dans le cadre du droit d'accès, de rectification et d'opposition ; - Instruire les demandes ou les transmet aux services compétents selon leur nature et en assurer le conseil et le suivi; Documentation de l'activité et lien avec la CNIL - Rédiger et présenter au dirigeant de l organisme un Bilan annuel justifiant de ses activités ; - Tenir le bilan à la disposition de la CNIL ; - Assurer le contact de façon privilégiée avec la CNIL ; - Participer et apporter son conseil en cas de contrôle ou d'audit, de la CNIL ou d'autre organisme, portant sur le respect de la réglementation et la protection des données. Définir la politique de protection des données à caractère personnel - Définir le contrôle opérationnel de l'application des normes définies par la loi Informatique et Libertés ; - Définir la mise en place et la rédaction de procédures, notamment pour la déclaration des traitements, la gestion du droit d'accès, la préparation à un contrôle de la CNIL ; Activités communes Veille technologique et prospective : - Effectuer le suivi des évolutions réglementaires et techniques de son domaine, - Veiller sur les évolutions nécessaires pour garantir la sécurité logique et physique du SI dans son ensemble, - Assurer une veille juridique permanente sur les questions liées à la protection des données personnelles ; COMPETENCES SAVOIRS Compétences techniques Bonne connaissance de la stratégie de la collectivité, de son organisation, de ses métiers et des enjeux. Bonne connaissance du système d information global, de l urbanisation et de l architecture du SI et des interfaces en application. Maîtrise des normes et procédures de sécurité, des outils et technologies qui s y rapportent : firewall, antivirus, cryptographie, serveurs d authentification, tests d intrusion, PKI, filtrages d URL... Connaissance des principaux prestataires du marché de la sécurité informatique (éditeurs, sociétés de service...). Bonne connaissance des réseaux et systèmes. Bonne connaissance des outils d évaluation et de maîtrise des risques (ex : EBIOS, Marion, MEHARI...). Connaissance des méthodologies de cadrage des tests de sécurité (ex. : OSSTMM, OWASP...). Bonnes connaissances juridiques en matière de sécurité et de droit informatique. Connaissances de la législation relative à la protection des données, et plus particulièrement des données à caractère personnel. Connaissance des normes ISO et ITIL. Direction des ressources humaines 3/5

4 Maîtrise de l anglais, car 90 % des documents relatifs à la sécurité sont rédigés en anglais. SAVOIR FAIRE SAVOIR - ETRE Capacité à travailler sur de nombreux dossiers en parallèle ; Capacité à mener à bien à la fois des actions à moyen terme (actions de fond et de prévention) et des actions à court terme (correctifs) ; Aisance rédactionnelle ; Maîtrise des outils bureautiques : Word, Excel ou équivalents ; Analyse et synthèse : Identifie les conséquences et les effets des solutions apportées à une situation. Connaissance d un outil de gestion du registre des traitements (RETIL, ) Éthique et force de caractère ; Organisation et coordination : planifie son activité en intégrant les contributions d'autrui ; Sens de l'innovation : assure une veille juridique et technologique, et trouve des solutions nouvelles et opérationnelles ; Force de persuasion : développe efficacement son argumentaire en fonction de ses interlocuteurs ; Communication : prépare et structure sa communication en sélectionnant les informations utiles à l'échange ; Compréhension des autres : favorise l'expression des autres ; Développement des compétences : partage son expertise dans son activité quotidienne ou de façon structurée. Est un référent/expert dans son domaine ; Coopération et esprit d'équipe : suscite et favorise les échanges et les moments de travail en groupe) ; Capacité à suivre et s'adapter aux évolutions législatives et technologiques ; Capacité de synthèse et de recul. INTERLOCUTEURS INTERNES EXTERNES La Direction générale Les autres directions ADF : Assemblée des Départements de France, groupe de travail des DPD ANSII : Agence nationale de sécurité des systèmes d information OZSSI : Observatoire Zonal de la Sécurité des Systèmes d'information de la zone de défense et de sécurité Est. CNIL : Commission nationale Informatique et Liberté AFCDP : Association française des correspondants à la protection des données à caractère personnelles ( L usager : toute personne demandant des informations sur ses propres données nominatives gérées par la collectivité. CONDITIONS D EXERCICE Spécificités horaires Intervention possible en cas de sinistre sécurité des Systèmes d Information Déplacements Déplacements possibles sur tous les sites du département Particularités liées au Sa désignation en tant que DPD est notifiée à la CNIL, dont il est l interlocuteur Direction des ressources humaines 4/5

5 poste privilégié. La CNIL doit être avertie des autres fonctions du DPD et de toute modification affectant la fonction qu il exerce, dans ce cas il ne doit pas exister de conflit d'intérêt entre ses autres fonctions et sa mission de CIL. INDICATEURS Livrables Indicateurs de performance Charte de sécurité informatique Résultat des audits de sécurité internes Résultats des audits imposés par la législation Reporting et tableaux de bord de la sécurité des systèmes d information Registre des traitements Bilan annuel de l activité Bilan à la disposition de la CNIL Nombre d intrusions constatées sur une période donnée Mesure du niveau d appropriation de la politique de sécurité informatique par les utilisateurs Nombre de réclamations déposées sur une période donnée Mesure du niveau d appropriation de la politique de protection des données par les utilisateurs Direction des ressources humaines 5/5