ITIL - Gestion de la sécurité de l'information

Information Security Management (ISM)garantit la confidentialité, l'authenticité, la non-répudiation, l'intégrité et la disponibilité des données de l'organisation et des services informatiques. Il garantit également une utilisation raisonnable des ressources d'information de l'organisation et une gestion appropriée des risques de sécurité de l'information.

Information Security Manager is the process owner of this process.

La sécurité de l'information est considérée comme respectée lorsque -

  • Les informations sont observées ou divulguées uniquement sur les personnes autorisées

  • Les informations sont complètes, exactes et protégées contre tout accès non autorisé (intégrité)

  • Les informations sont disponibles et utilisables en cas de besoin, et les systèmes fournissant les informations résistent aux attaques et récupèrent ou préviennent les pannes (disponibilité)

  • Les transactions commerciales ainsi que les échanges d'informations entre entreprises ou avec des partenaires peuvent être fiables (authenticité et non-répudiation)

Politique de sécurité ISM

Il est nécessaire pour que les politiques de sécurité ISM couvrent tous les domaines de la sécurité, soient appropriées, répondent aux besoins des entreprises et doivent inclure les politiques présentées dans le diagramme suivant -

Cadre ISM

Processus ISM

Le diagramme suivant montre l'ensemble du processus de gestion de la sécurité de l'information (ISM) -

Éléments clés du cadre ISM

Le cadre ISM comprend les éléments clés suivants -

Contrôle

L'objectif de Control element est de -

  • Établir une structure organisationnelle pour préparer, approuver et mettre en œuvre la politique de sécurité de l'information

  • Attribuer les responsabilités

  • Établir et contrôler la documentation

Plan

Le but de cet élément est de concevoir et de recommander les mesures de sécurité appropriées, sur la base d'une compréhension des exigences de l'organisation.

Mettre en place

Cet élément clé garantit que des procédures, des outils et des contrôles appropriés sont en place pour étayer la politique de sécurité.

Évaluation

L'objectif de l'élément d'évaluation est de -

  • Effectuer des audits réguliers de la sécurité technique des systèmes informatiques

  • Superviser et vérifier le respect de la politique de sécurité et des exigences de sécurité dans les SLA et les OLA

Maintenir

L'objectif de l'élément Maintain est de -

  • Améliorer les accords de sécurité comme spécifié, par exemple, dans les SLA et les OLA

  • Améliorer la mise en œuvre des mesures et contrôles de sécurité

Préventif

Cet élément clé garantit la prévention des incidents de sécurité. Des mesures telles que le contrôle des droits d'accès, l'autorisation, l'identification, l'authentification et le contrôle d'accès sont nécessaires pour que ces mesures de sécurité préventives soient efficaces.

Réductrice

Il s'agit de minimiser les éventuels dommages pouvant survenir.

Détective

Il est important de détecter tout incident de sécurité le plus tôt possible.

Répressif

Cette mesure est utilisée pour contrer toute répétition d'incident de sécurité.

Correctif

Cette mesure garantit que les dommages sont réparés dans la mesure du possible.