Impliquez la direction

La direction de l'organisation est responsable de la sécurité des informations et doit établir les objectifs et les ambitions de l'organisation.

La stratégie et le soutien de la direction peuvent être déclinés comme suit :

  1. Implication de la direction
  2. Développer une stratégie de sécurité de l'information alignée sur la stratégie de l'organisation afin qu'elle soutienne les objectifs de l'organisation, en respectant pleinement les dispositions légales et réglementaires
  3. Identifier les actifs
  4. Gérer les risques pour définir les priorités et mettre en place des mesures
  5. Gérer les ressources allouées à la sécurité de l'information et aux infrastructures de manière efficace et efficiente, y compris la désignation des responsabilités en matière de sécurité de l'information
  6. Mettre en place des mesures techniques et organisationnelles
  7. Définir un plan à long terme pour la formation et la sensibilisation régulières de toutes les parties prenantes internes et externes, et de l'organisation
  8. Intégrer une culture de la sécurité et de l'analyse des risques pour chaque projet (par exemple : développement d'applications, nouvelle infrastructure ou architecture) dès le départ ("security by design")
  9. Disposer d'un plan pour gérer les incidents et les crises de sécurité majeurs/graves
  10. Avoir un plan pour la continuité des activités
  11. Mesurer la performance des actions (points précédents) mises en œuvre mais aussi l'évolution des menaces et des vulnérabilités à intervalles réguliers pour s'assurer que les objectifs sont atteints