Impliquez le top management

La direction de l'organisation est responsable de la sécurité de l'information et doit établir les objectifs et ambitions de l'organisation en fonction de la sécurité de l'information.

La stratégie et le soutien de la direction se déclinent en plusieurs axes :

  1. Assurer l’implication des dirigeants : s'assurer qu'ils comprennent les risques et supportent les mesures nécessaires,
  2. Développer une stratégie de la sécurité de l’information alignée avec la stratégie de l’organisation afin qu’elle supporte les objectifs de l’organisation tout en respectant les dispositions légales et règlementaires
  3. Identifier les actifs
  4. Gérer les risques pour définir les priorités et mettre en place les mesures
  5. Gérer les ressources allouées à la sécurité de l’information et aux infrastructures de façon efficace et efficiente et ce inclus la désignation des responsables à la sécurité de l’information
  6. Mettre en place des mesures techniques et organisationnelles
  7. Définir un plan pluriannuel de formations et sensibilisations régulières pour l'ensemble des personnes internes et externes et de l’organisation
  8. Intégrer pour tout projet (par exemple : projet d’architecture, d’infrastructure et de développement d’applications) dès le début une culture de sécurité (« Security by Design ») et une analyse de risques.
  9. Avoir un plan de gestion des incidents de sécurité majeurs/graves et de crises
  10. Avoir un plan de continuité des activités 
  11. Mesurer les performances des actions mises en place et l’évolution des menaces et vulnérabilités à intervalles réguliers afin de s’assurer que les objectifs sont atteints