Profilerr
  • Profilerr
  • Politique de sécurité de l'information

Politique de sécurité de l'information

La politique de sécurité de l'information établit un cadre pour la protection de l'information, facilite la prise de décision en matière de gestion de la sécurité et définit des objectifs qui établissent, promeuvent et garantissent les meilleurs moyens de contrôler la sécurité de l'information. La politique couvre toutes les informations et tous les systèmes d'information, y compris les informations et les systèmes d'information utilisés, gérés ou exploités par l'entreprise sur ce site web. La politique de sécurité de l'information vise à protéger la confidentialité, l'intégrité et la disponibilité des données, à classifier et à traiter les informations et à lutter contre les violations de cette politique.

La politique de sécurité de l'information fournit un ensemble complet de mesures de sécurité qui doivent être appliquées uniformément sur l'ensemble de notre site web afin de garantir un environnement sécurisé pour son fonctionnement.

BUT

La gestion de la sécurité de l'information est la sélection raisonnable et la mise en œuvre efficace de contrôles appropriés pour protéger les actifs d'information critiques d'une organisation. Les processus de contrôle et de gestion, combinés à la surveillance ultérieure de leur pertinence et de leur efficacité, sont les deux principaux éléments d'un programme de sécurité de l'information.  Les trois objectifs de la sécurité de l'information sont les suivants

  • Cconfidentialité : protéger les informations confidentielles contre la divulgation à des personnes ou des systèmes non autorisés ;
  • Intégrité : protéger l'exactitude, l'exhaustivité et l'actualité des informations ;
  • Disponibilité : garantir que les informations et les services vitaux sont disponibles pour les utilisateurs autorisés lorsqu'ils en ont besoin.

CHAMP D'APPLICATION

Cette politique s'applique à tous les employés, sous-traitants, partenaires, stagiaires et apprentis travaillant pour notre entreprise. Les prestataires de services tiers qui fournissent des services d'hébergement ou dont les données sont stockées en dehors des locaux de l'entreprise doivent également se conformer à cette politique.

La présente politique de sécurité de l'information s'applique aux informations stockées, transmises et traitées au sein de notre entreprise, ainsi qu'aux données de l'entreprise qui sont externalisées.

OBJECTIF

L'objectif de la politique de sécurité de l'information est de fournir à notre entreprise une approche de la gestion des risques liés à l'information et des lignes directrices pour la protection des actifs informationnels pour tous les départements, ainsi que pour ceux avec lesquels nous avons conclu des contrats de service.

CLASSIFICATION DU PATRIMOINE INFORMATIONNEL

Les actifs informationnels de l'entreprise sont répartis en quatre catégories : public, interne, confidentiel et restreint. Tous les actifs informationnels importants doivent avoir un propriétaire désigné qui est chargé d'établir des procédures d'authentification et d'autorisation adaptées à ces catégories, et de le signaler :

  1. Les informations publiques peuvent généralement être fournies ou diffusées au grand public. Il s'agit d'informations qui ne nécessitent pas de protection et qui, si elles sont utilisées comme prévu, n'auront que peu ou pas d'effets négatifs sur les activités, les actifs ou la réputation de l'entreprise, ou sur les obligations de l'entreprise en matière de confidentialité de l'information.
  2. Les informations confidentielles sont destinées à un usage interne uniquement, ne sont accessibles qu'aux employés qui en ont besoin pour accomplir les tâches de l'entreprise (les informations confidentielles comprennent les informations protégées par les lois gouvernementales ou les obligations contractuelles de l'entreprise) et requièrent confidentialité et sécurité.
  3. Les informations restreintes doivent être conservées dans la plus stricte confidentialité et dont l'accès est subordonné au besoin de savoir. Il s'agit par exemple d'informations touchant à l'intérêt national et/ou à la sécurité nationale.

Tous les employés doivent être conscients de leurs responsabilités légales et professionnelles en cas d'utilisation, de transfert ou de divulgation inappropriés d'informations à une autre partie. Tout tiers recevant des informations confidentielles ou à diffusion restreinte doit être autorisé à le faire, et la personne ou son organisation doit mettre en œuvre des mesures de sécurité de l'information pour garantir la confidentialité et l'intégrité des données.

Les informations confidentielles doivent être protégées afin d'empêcher tout accès non autorisé ou toute divulgation.

Les informations à diffusion restreinte sont les plus sensibles et présentent le plus grand risque pour l'entreprise, l'État et les individus si des personnes non autorisées y accèdent ou en prennent connaissance. Par conséquent, les employés de l'entreprise qui travaillent avec des informations classifiées ou utilisent des systèmes qui stockent, transmettent ou manipulent des informations classifiées sont tenus de préserver à tout moment la confidentialité, l'intégrité et la disponibilité de ces informations/données.

GESTION DE LA SÉCURITÉ DE L'INFORMATION

La gestion de la sécurité de l'information comprend la gouvernance, les structures organisationnelles et les processus qui protègent l'information et atténuent les menaces croissantes qui pèsent sur la sécurité de l'information.

Les résultats essentiels de la gestion de la sécurité de l'information sont les suivants :

  • L’alignement de la sécurité de l'information sur la stratégie de l'entreprise afin de soutenir les objectifs organisationnels
  • La gestion et l'atténuation des risques et la réduction des impacts potentiels sur les ressources d'information à un niveau acceptable
  • La gestion des performances en matière de sécurité de l'information en mesurant, en contrôlant et en rendant compte des paramètres de gestion de la sécurité de l'information afin de s'assurer que les objectifs de l'organisation sont atteints.
  • L’optimisation des investissements en matière de sécurité de l'information pour soutenir les objectifs de l'organisation. Il est important de prendre en compte les besoins de l'organisation et les avantages de la gestion de la sécurité de l'information.

RESPONSABILITÉ

Le service marketing est responsable du contenu du site web et doit s'assurer qu'il est conforme aux exigences légales et politiques.

Le service informatique est responsable de la sécurité, de la fonctionnalité et de l'infrastructure du site web. Les administrateurs du système surveillent le fonctionnement de notre site web pour s'assurer qu'il est réactif et résolvent les problèmes qui se posent.

INFORMATION ET COMMUNICATION

Il est important que tous les aspects de la sécurité de l'information, y compris la confidentialité, le respect de la vie privée et les procédures relatives à l'accès aux systèmes, soient inclus dans les procédures formelles d'initiation et régulièrement communiqués au personnel en place.

Au début de leur emploi, les membres du personnel doivent être informés qu'ils ne doivent pas divulguer les informations auxquelles ils peuvent avoir accès dans le cadre de leurs fonctions. Les employés doivent également être informés qu'ils ne doivent pas essayer d'accéder à des données qui ne sont pas nécessaires à l'exécution de leurs tâches normales.