Chaque entreprise ou organisme doit se doter d’une politique de sécurité de l’information afin de protéger ses biens. Il s’agit également d’une question de crédibilité face à ses clients, fournisseurs et actionnaires.
En obligeant les employés à respecter des procédures de sécurité, l’entreprise dicte une ligne de conduite en matière de sécurité de l’information.
Il existe des règles de base à suivre pour mettre en place une politique de sécurité :
Formuler une politique de sécurité de l’information, c’est faire partager à l’ensemble de l’entreprise ou de l’organisme des principes d’organisation et de comportement.
En cela ceci est très semblable à la définition d’une politique de qualité.
Dans le cas d’une entreprise ayant des entités différentes, l’objectif n’est pas d’imposer à l’ensemble d’un groupe un système unique et monolithique mais plutôt de partager un ensemble de principes de pilotage, de bonne pratiques et de contrôles qui découlent de la Politique de Sécurité de l’Information.
Ceci permet d’homogénéiser la culture d’une entreprise dans le domaine de la sécurité de l’information, de garantir la cohérence des actions en dépit :
Une fois la politique écrite et diffusée à tous les employés, un programme de sensibilisation à la sécurité doit donc être mis sur pied à l’intention de tout le personnel et non seulement des personnes affectées à la technologie de l’information.
L’entreprise doit par la suite s’assurer que sa politique est respectée par la mise en place de contrôles et d’un suivi.