Qu’implique l’article 5.2 ?
La haute direction doit faire toute une série de choses autour de cette politique pour lui donner vie – pas seulement avoir la politique prête à être partagée dans le cadre d’une réponse à un appel d’offres ! Dans un passé récent, lorsqu'un client demandait à un fournisseur potentiel une copie de sa politique de sécurité de l'information, ce document pouvait dire des choses agréables et floues sur la gestion de la sécurité de l'information, la gestion des risques et l'assurance de l'information pour répondre à un exercice de case à cocher par un responsable des achats. au service des achats. Ce n’est plus (généralement) le cas. Les acheteurs intelligents ne voudront pas seulement voir une politique de sécurité, ils voudront peut-être qu'elle soit étayée par des preuves de l'efficacité de la politique dans la pratique – aidés bien sûr par un organisme indépendant de certification de la sécurité de l'information comme l'UKAS qui la soutient, et un SMSI sensé derrière.
Certaines des autres choses que la haute direction doit faire autour de cette clause au-delà de l'établissement de la politique elle-même comprennent :
- S'assurer qu'il est pertinent par rapport à l'objectif de l'organisation (donc pas seulement en copier un de Google ;)
- Clarifier les objectifs de sécurité de l'information (abordés plus en détail au point 6.2) ou au moins en fixer les conditions – astuce, cela devrait inclure les aspects pertinents et mesurables de la protection de la confidentialité, de l'intégrité et de la disponibilité autour des actifs informationnels identifiés au point 4.1 et détenus conformément à A8.1. .XNUMX
- Un engagement à satisfaire aux exigences applicables des besoins de sécurité de l'information de l'organisation (c'est-à-dire celles couvertes par les exigences de base de la norme ISO 27001 et les contrôles de l'Annexe A)
- Assurer son amélioration continue – un SMSI est à vie, et avec des audits de surveillance chaque année qui seront évidents à voir (ou non)
- Le partager et le communiquer avec l'organisation et les parties intéressées selon les besoins
Comment ISMS.online vous aide
ISMS.online fournit toutes les preuves derrière la politique de sécurité de l'information qui fonctionne dans la pratique, et comprend un modèle de politique comme documentation que les organisations peuvent également facilement adopter et adapter.
Réservez une démo de la plateforme pour la voir en action.
Réservez une démo de la plateformeSimplifiez-vous les choses avec ISMS.online
La plateforme ISMS.online permet à la haute direction d'établir facilement une politique de sécurité de l'information cohérente avec l'objectif et le contexte de l'organisation.
Votre SMSI comprendra une politique de sécurité des informations prédéfinie qui pourra facilement être adaptée à votre organisation. Cette politique sert de cadre pour revoir les objectifs et comprend des engagements pour satisfaire à toutes les exigences applicables et améliorer continuellement le système de gestion. Cette politique peut facilement être partagée avec les parties intéressées et soumise à des appels d'offres ou à d'autres communications externes.
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.