Responsable de la sécurité des systèmes d’information
Le responsable de la sécurité des systèmes d’information (RSSI, ou CISO en anglais) d’une organisation (entreprise, association ou institution) y est responsable du maintien du niveau de sécurité du système d’information.
Rôles
Le RSSI est chargé notamment des choix et des actions concernant :
- la sensibilisation des utilisateurs aux problèmes de sécurité.
- la sécurité des réseaux.
- la sécurité des systèmes.
- la sécurité des télécommunications.
- la sécurité des applications.
- la sécurité physique.
- la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur).
- la stratégie de sauvegarde des données.
- la mise en place d’un plan de continuité d’activité « disaster recovery ».
Position
Si le RSSI est quelquefois rattaché à la Direction des systèmes informatiques (DSI), il est fréquemment rattaché à la Direction générale de l’entreprise, compte-tenu des enjeux et des risques (notamment juridiques) portés par le Système d’information.
Méthodes
Le RSSI dispose de standards pour effectuer son travail :
- depuis ~1985, TCSEC
- depuis ~1990, ITSEC
- vers 1995, BS 7799
- depuis 1996, COBIT
- en 1996 et 1998, ISO/CEI 15408 (dite “critères communs”) V1 et V2, respectivement.
- depuis décembre 2000 : ISO/CEI 17799
- depuis octobre 2005 : ISO/CEI 27001
|