Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10

Documents pareils
ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie /06/2008

Politique d'utilisation des dispositifs mobiles

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Securité de l information :

Politique de sécurité de l information

Accès réseau Banque-Carrefour par l Internet Version /06/2005

Recommandations en matière d'effacement de supports d'information électronique.

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Politique de gestion documentaire

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Politique de gestion des risques

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

curité des TI : Comment accroître votre niveau de curité

Gestion des incidents

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

La classification des actifs informationnels au Mouvement Desjardins

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO la norme de la sécurité de l'information

LIGNE DIRECTRICE SUR LA CONFORMITÉ

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Services de conciliation en assurance Cadre de collaboration et de surveillance. Approuvé par le CCRRA en juin 2015

I partie : diagnostic et proposition de solutions

Management de la sécurité des technologies de l information

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

D ITIL à D ISO 20000, une démarche complémentaire

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Cette charte devra être lue et signée par l ensemble des utilisateurs du matériel informatique de l EPL.

POLITIQUE DE GESTION LA GESTION DES DOCUMENTS ET DES ARCHIVES

L évolution du modèle de la sécurité des applications

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

L impact d un incident de sécurité pour le citoyen et l entreprise

Politique concernant la sécurité de l information. Version 1.1

Prestations d audit et de conseil 2015

PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_ CSI

Gestion de la sécurité de l information par la haute direction

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

1. La sécurité applicative

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

RECUEIL POLITIQUE DES

La politique de sécurité

Stratégie nationale en matière de cyber sécurité

Panorama général des normes et outils d audit. François VERGEZ AFAI

Systèmes et réseaux d information et de communication

Politique sur l accès aux documents et sur la protection des renseignements personnels

Norme ISA 510, Audit initial Soldes d ouverture

Politique numéro 42 POLITIQUE DE GESTION DOCUMENTAIRE

Explication des normes minimales de sécurité. Bavo Van den Heuvel Cellule Sécurité SPP Intégration sociale 12 janvier 2005 v1.4

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

Agenda numérique - Partie V. Juillet 2015

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

L analyse de risques avec MEHARI

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

Les principes de la sécurité

Politique de sécurité des actifs informationnels

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Gestion des cyber-risques

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Gestion des Incidents SSI

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Malveillances Téléphoniques

LA CONTINUITÉ DES AFFAIRES

LE CONTRÔLE INTERNE GUIDE DE PROCÉDURES

Aperçu des 37 principes directeurs

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

TABLE DES MATIERES SECTION 1 CONTROLE INTERNE ET AUDIT INTERNE, POLITIQUE DE PREVENTION ET COMPLIANCE

Montrer que la gestion des risques en sécurité de l information est liée au métier

Université de Lausanne

FLEGT Note d Information

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Sécurité informatique : règles et pratiques

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Standard de contrôle de sécurité WLA

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Rogers octroie au Client une licence pour chacune des vitrines des Services Shopify de Rogers que le Client a commandées.

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

RADIONOMY SA 55K Boulevard International 1070 Bruxelles Belgique. II. Autorisation d'accès anonyme et acceptation de notre politique de vie privée

données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

Transcription:

ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10 Release Status Date Written by Approved by FR_1.1 Révision 24/03/2015 Alain Houbaille Remarque : Ce document intègre les remarques d un groupe de travail auquel ont participé madame Glorieux (FAMIFED) et messieurs Bochart (BCSS), Houbaille (BCSS), Costrop (Smals), Perot (ONSS), De Vuyst (BCSS), Petit (FMP), Quewet (SPP SP), Symons (ONEm), Van Cutsem (ONSS APL), Vandergoten (INAMI). P 1

Table des matières 1 INTRODUCTION... 3 2 POLITIQUE DE SÉCURITÉ DE L'INFORMATION... 4 2.1 CONTEXTE... 4 2.2 OBJECTIFS DE LA POLITIQUE... 4 2.3 RESPECT DE LA POLITIQUE... 4 2.4 PORTÉE... 5 2.5 PRINCIPES DIRECTEURS... 5 2.6 RÔLES ET MISSIONS... 6 2.7 ENTRÉE EN VIGUEUR, ÉVALUATION ET MODIFICATION... 8 2.8 RÉFÉRENCES... 8 3 ANNEXE A: HARMONISATION DES FONCTIONS DE SÉCURITÉ DE L INFORMATION... 9 P 2

1 Introduction L'information est une ressource qui, à l'instar d'autres moyens de production importants, représente une valeur considérable devant être protégée de manière appropriée. La gestion de la sécurité de l'information sert à mettre en place les mesures nécessaires à contrer une multitude de menaces spécifiques. Les organisations, leurs systèmes d information et réseaux sont de plus en plus confrontés à un nombre croissant de risques divers issus de sources multiples. Songeons par exemple aux virus informatiques, au piratage, au déni de service, à la fraude, mais également à la perte, au vol (p.ex. d un ordinateur portable), à la divulgation de données confidentielles, au risque d incendie, etc Le maintien et l amélioration de la sécurité de l information peut s avérer d une importance fondamentale pour assurer la continuité du fonctionnement de l organisation, le respect de la loi et également l image de l organisation. De manière générale, la sécurité de l'information se caractérise par la garantie de la confidentialité, de l'intégrité et de la disponibilité de l'information. Concrètement, la gestion de la sécurité de l'information propose des moyens permettant de réfuter des informations falsifiées et de rendre impossible la réfutation d informations légitimes. Dans le domaine de la sécurité sociale, la sécurité de l'information se définit comme étant la stratégie, les règles, les procédures et les moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information. (Cfr. Arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l organisation d un intégrateur de services fédéral). P 3

2 Politique de sécurité de l'information 2.1 Contexte L'informatisation des organisations de sécurité sociale et leur collaboration accrue donnent lieu à des améliorations considérables sur le plan de l'efficacité et de l efficience, mais entraînent en même temps de nouveaux risques. Les différentes organisations de sécurité sociale ne sont plus des entités isolées qui traitent des informations, mais elles font partie d'un groupe cohérent. Les liens de collaboration accrus augmentent considérablement le risque et l'ampleur des dommages collatéraux ; c'est pourquoi la stratégie en matière de sécurité de l'information et de protection de la vie privée est fixée dans une politique commune. 2.2 Objectifs de la politique La politique de sécurité de l information vise à assurer le respect de la législation en vigueur à l égard des traitements et des échanges d informations. Les objectifs suivants sont visés: 1. le respect de la vie privée et des obligations légales se rapportant au traitement des données à caractère personnelle et sociale, 2. la conformité aux normes minimales fixées par le comité sectoriel de sécurité sociale et de la santé dans le cadre du traitement des données précitées, 3. l inventaire des ressources et leur sécurisation conforme à la classification des données, 4. la mise en œuvre d un processus de gestion de risques selon une méthode documentée pour l ensemble des processus critiques, 5. la disponibilité, l intégrité et la confidentialité des informations, 6. une amélioration continue de la sécurité de l information, 7. l intégration des exigences sécuritaires requises dans une convention lorsque l on fait appel à des sous-traitants ou à des fournisseurs. Cette politique sera traduite en normes et en directives afin de préciser les obligations qui en découlent. 2.3 Respect de la politique Le responsable de la gestion journalière est responsable de l application de la présente politique. La direction de l organisation insiste sur l importance de la sécurité de l information au sein de l institution et l obligation de tous les membres de l organisation de se conformer aux exigences de la présente politique. P 4

Par conséquent, l organisation exige de toute personne, qui utilise ses actifs 1 (e.g. système d information) ou qui a/ aura accès à son information, de se conformer aux dispositions de la présente politique ainsi qu aux directives, procédures et standards qui s y rattachent. 2.4 Portée La présente politique s applique : à l ensemble du personnel de l organisation tant interne qu externe et ce y compris le personnel mis à disposition, et tant à durée déterminée qu'indéterminée (ex. consultants, fournisseurs,...). à toute personne physique ou morale qui utilise ou accède, pour le compte de l organisation ou non, à des informations confidentielles ou non, à l ensemble des actifs ainsi qu à leur utilisation au sein de l'organisation tels que les banques de données électroniques, les informations quel que soit le médium de support, les réseaux, les systèmes d informations, les logiciels ou les centres de traitement. à l ensemble des activités de traitement. 2.5 Principes directeurs Chaque organisation de la sécurité sociale doit assurer la sécurité de ses informations conformément aux principes directeurs ci-dessous afin de garantir la réalisation de sa mission. I. Au sein de la sécurité sociale, les normes minimales basées sur les normes de la série ISO 27000 de l organisation internationale de normalisation font partie du cadre de gestion pour la mise en place de la politique de sécurité de l information de l organisation. Ces normes édictent les objectifs minimaux (à atteindre) en matière de sécurité de l information. II. III. IV. Il est également nécessaire de tenir compte des besoins spécifiques, des exigences en matière de sécurité, de la taille et de la structure de l organisation. Au sein des organisations de sécurité sociale, les mesures de gestion sont par exemple complétées par des mesures spécifiques pertinentes dans le domaine de la sécurité sociale et de la protection de la vie privée. Compte tenu de la complexité et des coûts associés à l élaboration de ces principes directeurs, l organisation met en place un cadre de gestion de la sécurité de l information basé sur l identification et l évaluation périodique des risques qui menacent la disponibilité, l intégrité et la confidentialité de l information afin d en réduire la portée et de les maintenir à un niveau jugé acceptable pour l organisation. Le cadre pour la détermination, la mise en œuvre, l exécution, le contrôle, l évaluation, le maintien et l amélioration d un système de gestion documenté en matière de sécurité de l information est donné par la norme ISO27001. 1 Un actif est tout élément ayant de la valeur pour l organisme et nécessitant, par conséquent, une protection (norme ISO 27005 8.2.1.2) P 5

V. Les mesures de protection, de prévention, de détection, d assurance et de correction doivent permettre d assurer la confidentialité, l intégrité et la disponibilité des actifs de même la continuité des activités. VI. VII. VIII. IX. Les mesures de sécurité doivent être proportionnelles à la valeur de l information à protéger. Elles sont établies en fonction des risques et de leurs impacts et visent à : assurer la disponibilité de l information de l organisation de façon à ce qu elle soit accessible en temps voulu et de la manière requise par une personne autorisée; assurer l intégrité de l information de manière à ce qu elle ne soit pas détruite ou altérée de quelque façon, sans autorisation, et que le support de cette information lui procure la stabilité et la pérennité voulue; limiter l accès à l'information aux seules personnes autorisées à en prendre connaissance, assurant ainsi une stricte confidentialité; permettre de confirmer l identité d une personne ou l identification d un document ou d un dispositif; se prémunir contre le refus par une personne de reconnaître sa responsabilité à l égard d un document ou d un autre objet. L efficacité de la sécurité de l information exige l attribution claire des responsabilités à tous les niveaux de l organisation et la mise en place d un processus de gestion interne de la sécurité permettant la vérification, la validation, le suivi et le rapportage. Le processus de gestion de la sécurité de l information doit être soutenu par la direction comme moteur principal visant à assurer son efficacité. La gestion de la sécurité doit être intégrée et appliquée tout au long du processus menant à l acquisition, au développement, à l utilisation, au remplacement ou à la destruction d un actif. X. Les pratiques et les solutions retenues en matière de sécurité de l information doivent être réévaluées périodiquement, afin de tenir compte des changements juridiques, organisationnels et technologiques, ainsi que de l évolution des menaces et des risques. XI. XII. Le niveau de la sécurité de l information doit être maintenu à un niveau acceptable; celui-ci peut être mesuré selon un modèle de référence destiné à appréhender, évaluer et améliorer des processus, tel que le C(apability) M(aturity) M(odel) Les contrats établis entre l organisme et des tiers doivent contenir des dispositions écrites garantissant le respect, par toutes les parties, des exigences en matière de sécurité, y compris la protection de la vie privée. 2.6 Rôles et missions Les principaux rôles nécessaires pour assurer une bonne gestion de la sécurité de l information sont : 2.6.1 Le conseiller en sécurité de l information (CSI) Le conseiller en sécurité de l'information a une mission d'avis, de stimulation, de documentation et de contrôle en matière de sécurité de l'information (cf. Arrêté royal du 12 août 1993). P 6

Sous l autorité directe du responsable de la gestion journalière, le CSI stimule et coordonne la sécurité de l information au sein de l organisation. Il doit donc harmoniser l action des divers acteurs dans l élaboration, la mise en place, le suivi et l évaluation de la sécurité de l information (voir annexe A : harmonisation des fonctions de sécurité de l information). Le CSI veille à l élaboration et à l application de la politique de sécurité de l information. Dans cette perspective, il collabore avec tous les responsables et en particulier, avec le responsable du service des technologies de l information. Plus précisément, le CSI : élabore et propose la politique de sécurité de l information ; pilote le comité 2 sur la sécurité de l information ; coordonne, avec les services visés, la mise en œuvre de la politique de sécurité de l information et en suit l évolution ; identifie les propriétaires d actifs dans leurs domaines respectifs ; s informe des besoins en matière de sécurité de l information, propose des solutions et coordonne la mise en place de ces solutions ; sensibilise les collaborateurs à la sécurité de l information ; est impliqué dans le processus de gestion du plan de continuité de l organisation (élaboration, mise en œuvre et suivi).; assure le suivi et/ou la coordination des grands projets de sécurité de l information; gère les aspects relatifs à l escalade des incidents de sécurité de l information et procède à des évaluations de la situation en matière de sécurité de l information ; suit la mise en œuvre de toute recommandation découlant d une vérification ou d un audit ; rend compte de l état d avancement des dossiers de sécurité de l information ; transmet périodiquement au responsable de la gestion journalière un rapport sur la maturité de la politique de sécurité de l information ; produit annuellement les bilans et les rapports relatifs à la sécurité de l information appartenant à l organisation. 2.6.2 Le responsable de la gestion journalière Le responsable de la gestion journalière est le responsable de la sécurité de l information au sein de l organisation. Il s'assure que les valeurs et les orientations en matière de sécurité de l information cadrent avec les objectifs stratégiques de l organisation mais également soient partagées par l ensemble des responsables de service et du personnel de l organisation. À cette fin, il : s assure de l application de la politique dans l organisation; apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et l application de la présente politique; 2 Référence : norme minimale 6.1.2 Plateforme de décision P 7

s assure de la mise en place de la structure organisationnelle et des moyens humains nécessaires à une bonne gestion de la sécurité de l information; reçoit périodiquement un rapport du conseiller en sécurité de l information sur l application de la politique. 2.6.3 Les collaborateurs Chaque collaborateur est tenu de respecter les directives et procédures en vigueur en matière de sécurité de l'information qui découlent de la présente politique et d informer le CSI de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs. À cet effet, il : prend connaissance, s informe et adhère à la politique de sécurité de l information et aux règles spécifiques à sa fonction; utilise les actifs en se limitant aux fins pour lesquelles ils sont destinés et dans le cadre des accès qui lui sont autorisés; se conforme aux consignes et directives établies dans le respect des dispositions de la présente politique.. 2.7 Entrée en vigueur, évaluation et modification La présente politique entre en vigueur à la date de son approbation par le comité de direction de l organisation. La politique est évaluée périodiquement afin de tenir compte des nouveaux besoins, des nouvelles pratiques et technologies, des nouvelles menaces et risques encourus. Toute modification à la présente politique doit être approuvée par le comité de direction de l organisation. 2.8 Références Les références utilisées sont: - les normes minimales 2015 de la BCSS - les normes ISO 27001, ISO 27002:2013 et ISO 27005 - «Harmonisation des fonctions de sécurité de l information» proposition du comité BELNIS P 8

3 Annexe A: Harmonisation des fonctions de sécurité de l information 3 - assignation des enjeux de sécurité aux rôles (proposition informative) 3 Source: groupe de travail BELNIS. P 9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back