Élaborer le concept de sécurité des informations (réalisation)
But
Le concept de sécurité des informations (réalisation) crée les conditions pour garantir la confidentialité, l'intégrité, la disponibilité et la traçabilité des informations (y compris les données personnelles) gérées dans un système informatique. Dans le cas de systèmes d'armement avec composantes informatiques, il contribue à la disponibilité et au fonctionnement conforme du système.
Idée de base
Si l'analyse des besoins de protection révèle un besoin accru de protection, un concept de sécurité de l'information (synonyme: concept de sécurité de l'information et de protection des données ou concept SIPD) doit être créé en plus de la protection de base. Il décrit les mesures de protection et montre la mise en æuvre ainsi que les risques résiduels attendus après la mise en æuvre.
Spécifique à HERMES
Le concept de sécurité des informations définitif (réalisation) est développé sur la base du concept de sécurité des informations provisoire (évaluation) conformément aux prescriptions de l'organisation permanente. Il est coordonné avec les organes de prescription et de contrôle de gestion et, le cas échéant, vérifié par ces derniers. La mise en æuvre des mesures de sécurité de l'information est examinée et l'impact sur les risques est analysé. Le responsable compétent de l'organisation permanente décide du traitement des risques, vérifie si les risques résiduels sont acceptables et décide de l'approbation du concept. Tous les risques sont transférés à l'utilisateur qui supporte les risques résiduels avant la fin de la phase Réalisation.
Activités
-
Élaborer le concept de sécurité des informations (réalisation) en tant que version définitive selon les prescriptions de l'organisation permanente
-
Évaluer la couverture des exigences en matière de sécurité et combler d'éventuelles lacunes
-
S'assurer de la mise en æuvre des mesures de sécurité de l'information définies
-
Analyser, décrire et traiter les risques
-
Coordonner le concept avec les organes de prescription et de contrôle de gestion(facultatif)
-
Le responsable de l'organisation permanente approuve ou rejette le concept de sécurité des informations (réalisation)
-
Reprendre la description technique dans la documentation d'exploitation du prestataire
Résultats
Relations
| Module | Tâche | Responsabilité tâche | Résultat | Participants à la production du résultat |
|---|---|---|---|---|
| Sécurité intégrale système/matériel/informatique | Élaborer le concept de sécurité des informations (réalisation) | Responsable SIPD | Concept de sécurité des informations (réalisation) | Architecte informatique, Gestionnaire du cycle de vie, Locataire immobilier |