Les politiques de sécurité peuvent sembler être un véritable casse-tête. Une multitude de documents formels à ranger dans un dossier que personne n'utilisera jamais vraiment, sauf peut-être votre auditeur en sécurité de l'information ou quelqu'un des RH une fois par an. Elles existent juste pour cocher une case sur une liste de tâches de conformité sans fin et d'exigences de sécurité.

Mais c'est loin d'être la vérité.

Les politiques sont la manière dont vous expliquez exactement ce que vous faites pour sécuriser les données - à vos employés, fournisseurs, partenaires, clients et auditeurs. Elles sont une partie essentielle de votre programme de sécurité et la colonne vertébrale de votre système de gestion de la sécurité de l'information (SGSI).

De bonnes politiques apportent clarté et cohérence à vos opérations commerciales. Elles aident votre équipe à comprendre son rôle dans la gestion des risques de sécurité de l'information et le maintien de la conformité. Et elles permettent de garantir que vos mesures de sécurité pour protéger les actifs d'information sensibles contre les vulnérabilités sont efficaces et efficientes.

Bien que l'ISO 27001 exige que les organisations définissent toute une série de politiques (plus de deux douzaines, en fait), l'une des politiques clés pour l'ISO 27001 est la politique de sécurité de l'information.

Continuez à lire pour plus d'informations et les meilleures pratiques pour rédiger votre politique de sécurité de l'information ISO 27001, ainsi qu'un modèle de politique de sécurité de l'information ISO 27001 prêt à l'emploi.

Qu'est-ce qu'une politique de sécurité de l'information SGSI?

Considérez votre politique de sécurité de l'information comme un aperçu de la manière dont votre entreprise aborde la sécurité des données.

Une politique de sécurité de l'information ISO 27001 établit des normes pour l'utilisation acceptable des systèmes et technologies d'information de l'organisation, des réseaux et bases de données aux applications logicielles. Et elle définit des règles et des processus pour protéger la confidentialité, l'intégrité et la disponibilité des données (souvent abrégées en CIA).

Confidentialité : Protéger les informations confidentielles en limitant leur accès, stockage et utilisation

Votre politique de sécurité de l'information doit expliquer comment vous contrôlez l'accès à l'information et comment vous prévenez les violations et fuites de données.

Intégrité : Vérifier que les systèmes de l'entreprise fonctionnent comme prévu

Lors de la rédaction de votre politique de sécurité de l'information, vous devez penser à la façon dont vous établissez des processus de contrôle des modifications, empêchez les utilisateurs non autorisés de modifier les informations, évitez les erreurs humaines et assurez-vous que la technologie est correctement configurée pour éviter les erreurs.

Disponibilité : S'assurer que les employés et les clients peuvent compter sur vos systèmes pour accomplir leur travail

Votre politique de sécurité de l'information doit discuter de la manière dont vous assurez la disponibilité des données, y compris comment vous prenez en compte les catastrophes naturelles et l'érosion du stockage, comment vous protégez l'intégrité des domaines, etc.

Exigences de l'ISO 27001 : Clause A.5.1

Annexe A La Clause 5 stipule qu'une organisation doit disposer d'un ensemble de politiques de sécurité de l'information approuvées par la direction et communiquées aux employés et aux utilisateurs tiers.

Les politiques doivent être guidées par les besoins commerciaux et par toute réglementation ou exigence légale applicable affectant l'organisation, telles que la HIPAA et le RGPD. Les politiques constituent également une partie importante de la formation et de la sensibilisation des employés à la sécurité décrites dans l'Annexe A.7.2.2 de la norme de sécurité de l'information.

Toutes ces politiques sont résumées dans une politique générale de sécurité de l'information de haut niveau, qui décrit l'approche globale de l'organisation en matière de sécurité de l'information et de gestion des actifs. Selon la norme ISO 27001, cette politique doit :

• Être adaptée à l'organisation
• Démontrer l'engagement de la direction envers le SMSI ISO 27001
• Définir comment les objectifs de sécurité de l'information sont proposés, revus et approuvés
• Être communiquée aux employés, aux parties prenantes et à d'autres parties intéressées, telles que les fournisseurs et les partenaires commerciaux
• Avoir un propriétaire défini qui est responsable de la mise à jour de la politique
• Être revue régulièrement (au moins annuellement), ou lorsque des changements significatifs surviennent, tels que des modifications des contrôles de sécurité de l'information, des technologies, de la législation ou des processus commerciaux/gestionnaires

Que doit comporter une politique de sécurité de l'information ISO 27001 ?

Souvent, les gens pensent que leur politique de sécurité de l'information doit inclure chaque détail des pratiques de cybersécurité et de protection des données de leur organisation. Mais ce n'est pas le cas. La politique de sécurité de l'information vise à atteindre trois objectifs :

1. Forcer la direction à réfléchir attentivement à ses objectifs en matière de sécurité de l'information et des TI.
2. Formaliser l'engagement de la direction envers l'amélioration continue du SMSI.
3. Fournir un aperçu général du SMSI afin que la direction comprenne comment il fonctionne sans avoir à suivre les détails minutieux de chaque évaluation de risque de la sécurité de l'information, du contrôle d'accès ou de l'audit interne. Ils savent ce que le SMSI est conçu pour faire, comment il fonctionne et qui en est responsable.

Voici ce que couvre une politique de sécurité de l'information ISO 27001 :

• Objectif : Définir les objectifs de sécurité de l'information de l'organisation et les objectifs du SMSI.
• Exigences : Lister toute exigence légale, contractuelle ou réglementaire applicable
• Rôles et Responsabilités : Spécifier qui est responsable de la mise en œuvre, du maintien et de la surveillance des performances du SMSI.
• Communication : Préciser à qui la politique doit être communiquée, en interne ou avec des entrepreneurs et des fournisseurs tiers (le cas échéant)
• Support: Définissez les ressources et les politiques supplémentaires qui soutiendront la sécurité de l'information.

Conseils pour rédiger une politique de sécurité de l'information selon les auditeurs ISO 27001

Notre équipe d'auditeurs expérimentés et de spécialistes de la conformité a partagé ses conseils essentiels et ses meilleures pratiques pour rédiger une politique de sécurité de l'information conforme aux exigences ISO 27001.

• Assignez un responsable chargé de maintenir la politique de sécurité de l'information à jour et de s'assurer qu'elle est examinée au moins une fois par an.
• Les changements correctifs et les mises à jour doivent être enregistrés et approuvés après examen par la direction générale.

Télécharger : Modèle de politique de sécurité de l'information ISO 27001

Vous ne savez toujours pas quoi inclure dans votre politique de sécurité de l'information ? Utilisez notre modèle comme base pour créer rapidement le vôtre.

Créez rapidement des politiques ISO 27001 avec Secureframe

La politique de sécurité de l'information n'est que la partie émergée de l'iceberg pour la norme ISO 27001, qui comporte 25 politiques de base. Avec Secureframe, vous pouvez gagner beaucoup de temps et d'efforts grâce à notre bibliothèque de politiques. Obtenez plus de 40 modèles de politiques rédigés par des experts en conformité et vérifiés par des dizaines d'auditeurs, prêts à être personnalisés pour votre entreprise.

Demander une démonstration pour en savoir plus sur la façon dont notre plateforme d'automatisation de la conformité peut simplifier la certification ISO 27001.