Les étapes de la mise en place du système de gestion de la sécurité de l’information sont un processus assez laborieux. Néanmoins, la définition de normes visant à garantir la sécurité de l’information et à mieux protéger l’information est un résultat très important pour cette organisation.
Système de gestion de la sécurité de l'information la façon dont chaque organisation suivra est presque la même.
Portée de l'étude sur la sécurité de l'information
La première chose à faire est de déterminer la portée et les limites de l’étude. Un système peut être installé pour une organisation entière ou pour une partie particulière. Dans tous les cas, les limites du travail doivent être définies de manière complète et précise. La portée devrait être déterminée en fonction de la décision de la direction et des objectifs de sécurité de l'information de l'organisation.
Politique de sécurité de l'information
Cette politique est identifiée par la direction générale. Elle définit les objectifs de l’étude et détermine les risques à prendre en compte, ainsi que la manière de les gérer. La direction doit toujours être derrière la politique de sécurité de l'information.
Méthode d'évaluation des risques
Une méthode d'évaluation des risques doit être identifiée conformément à la politique de sécurité de l'information. En conséquence, les niveaux de risque devraient être déterminés, ainsi que les critères. Les informations qui doivent être protégées en supprimant une carte des risques doivent être déterminées en fonction du degré d’impact et de la probabilité que le risque se produise.
Détermination des risques
Les risques qui menacent l'existence d'informations devraient être déterminés à l'aide de la méthode d'évaluation des risques à déterminer. Dans cette étude, un inventaire des actifs informationnels sera publié. Les actifs d'information à inclure dans le système de gestion de la sécurité des informations seront répertoriés en fonction de leur type et de leur gravité. L’émergence d’une information très secrète peut être très préjudiciable à l’organisation, mais la perte de la même information devient moins préjudiciable.
Evaluation des risques
Les mesures à prendre pour déterminer les risques sont déterminées à cette étape. Avec des contrôles appropriés, le risque peut être éliminé ou réduit à un niveau acceptable. Le risque est évité en éliminant les facteurs de risque.
Approbation de la direction
Une fois le travail de gestion des risques terminé, il est nécessaire d'obtenir l'approbation de la haute direction pour pouvoir commencer à exercer.
Si un risque ne peut pas être complètement éliminé, cela peut être un risque acceptable, selon la décision de la direction.
Système de gestion de la sécurité de l'information ISO 27001Les organisations qui souhaitent avoir le droit de demander des services de conseil peuvent contacter les responsables et employés expérimentés de l’organisme de certification TURCERT.