Politique de gestion de l’information

Politique de gestion de l’information

Il est essentiel de mobiliser l’ensemble des employés sur l’importance qu’est l’actif information pour votre organisation.  La démarche synthèse (simplifiées visant les PME) présentée dans cet article vise à faciliter l’élaboration d’une politique de gestion/sécurité de l’information.  La politique ne vient jamais seule : elle doit être communiqué à tous les intervenants visés à l’aide d’un plan de communication.  Elle représente l’engagement officiel de la haute direction à soutenir la prise en charge des exigences de sécurité de l’information et à mettre de l’avant les moyens nécessaires à leur réalisation.

La démarche consiste à :

A) Étudier le contexte de l’organisation : La mission de l’organisation et les risques auquels elle est exposée, le cadre légal et réglementaire de l’organisation, les normes et standard de son industrie.

B) Rédaction de la politique : Le CIO sur demande est la personne toute désignée pour rédiger ou gérer la rédaction de la politique.  Une politique de gestion de l’information devrait contenir les sections suivantes :

  1. Définitions
  2. Contexte et Portée
  3. Énoncé
    • aspects stratégiques de l’actif information
    • responsabilité
    • propriété de l’information
    • archivage
    • papier vs numérique
  4. Sanctions
  5. Application

 

C) Validation et approbation : La validation de la politique de gestion/sécurité de l’information nécessite la contribution des gestionnaires de l’organisation (et du conseil d’administration s’il y a lieu).  Votre CIO sur demande s’assurera de cette validation.

D) Communication:  Un plan de communication est rédigé et devra être suivi.  la politique est diffusée, auprès de l’ensemble du personnel de l’organisation, en utilisant les moyens appropriés dont :

  • le site Web (intranet ou extranet);
  • les trousses de sensibilisation à la sécurité de l’information;
  • les bannières publicitaires sur le site intranet ou extranet;
  • les articles dans les journaux internes;
  • etc

 

E) Évaluation et révisions : La politique de gestion /sécurité de l’information est régulièrement évaluée, notamment en ce qui a trait à la pertinence de ses énoncés à l’égard des nouveaux enjeux de sécurité de l’information.