Objectif

L'objectif est d'établir une politique de sécurité de l'information conforme à l'orientation stratégique d'Ucuzabilet et de définir les principes de base de la sécurité de l'information.

Champ d'application

Le champ d'application de la Politique de Sécurité de l'Information est l'organisation et les valeurs de l'information définies dans le document "Champ d'application et délimitations".

Responsabilités

Cadres Supérieurs

Ils sont chargés de veiller à ce que la Politique de Sécurité de l'Information réponde aux besoins de l'organisation, de fournir le soutien et la supervision nécessaires à sa mise en œuvre, de réviser la politique au moins une fois par an ou dans les cas qui peuvent nécessiter des changements dans la politique de l'entreprise. Cette tâche est assurée par le Représentant du SGSI, qui représente la direction générale et est approuvé par le Directeur Général.

Représentant du SMSI

L'autorité / la personne qui assume la responsabilité vis-à-vis de la direction générale à chaque étape, depuis la mise en place du Système de Management de la Sécurité de l'Information jusqu'à son fonctionnement et sa gestion.  

L'équipe SMSI

L'équipe du SMSI désignée par la direction générale du TB est chargée de veiller à ce que la Politique de Sécurité de l'Information réponde aux besoins de l'organisation, de fournir le soutien et la supervision nécessaires à sa mise en œuvre, et de réviser la politique au moins une fois par an ou dans les cas qui peuvent nécessiter des changements dans la politique de l'entreprise.

L'Ensemble du Personnel

Sont responsables du respect des exigences de la Politique de Sécurité de l'Information dans le cadre de leur domaine de compétence.

Définitions

• SMSI: Système de Management de la Sécurité de l'Information

• L’équipe SMSI: L'équipe du SMSI est l'organisation qui représente la direction, assume la responsabilité de la maintenance du SMSI et en assure la supervision.

• Auditeur Interne du SMSI: Un auditeur interne est une personne indépendante de la mise en œuvre et du fonctionnement du SMSI, qui possède l'expérience, la formation et les certifications nécessaires pour réaliser l'audit en question et qui l'effectue. L'auditeur interne peut être un employé de l'organisme ou peut être recruté à l'extérieur de l'organisme.

Support de Gestion

• La direction générale soutient le SMSI par le biais des activités menées sous l'égide de l'équipe de coordination du SMSI, des nominations du représentant du SMSI et de l'auditeur interne du SMSI, des budgets d'investissement, de dépenses et de formation du SMSI, ainsi que des activités de révision de la gestion.

• La direction générale prend l'initiative d'atteindre les objectifs du SMSI en respectant et en encourageant le respect des politiques et des procédures de celui-ci.

• La direction générale souligne l'importance de la gestion des risques liés à la sécurité de l'information pour la réputation de l'organisation et la continuité de ses activités en mettant en œuvre des activités managériales et des politiques d'entreprise.

• Elle évalue les risques et révise la Politique de Sécurité de l'Information au moins une fois par an afin d'assurer la continuité et la durabilité du système.

Politique de Sécurité de l'Information

• Déterminer les critères de tolérance des risques et les risques, élaborer et mettre en œuvre des contrôles.

• Assurer la mise en œuvre du système de management de la sécurité de l'information afin d'identifier les risques liés à la perte de confidentialité, d'intégrité et d'accessibilité des informations dans le cadre de ce système, et d'identifier les responsables des risques.

• Définir le cadre d'évaluation des effets de la confidentialité, de l'intégrité et de l'accessibilité de l'information dans le cadre du système de management de la sécurité de l'information.

• Contrôler en permanence les risques en examinant les attentes technologiques dans le contexte de l'étendue des services fournis.

• Garantir les exigences en matière de sécurité de l'information découlant des réglementations nationales ou sectorielles auxquelles elle est soumise, satisfaire aux exigences de la législation légale et pertinente, respecter les obligations découlant des accords et les responsabilités de l'entreprise à l'égard des parties prenantes internes et externes.

• Minimiser l'impact des menaces à la sécurité de l'information sur la continuité des services et contribuer à leur continuité

• Avoir les compétences nécessaires pour intervenir rapidement en cas d'incident de sécurité de l'information et pour en minimiser l'impact.

• Maintenir et améliorer le niveau de sécurité de l'information au fil du temps grâce à une infrastructure de contrôle rentable.

• Améliorer la réputation de l'institution, la protéger des effets négatifs liés à la sécurité de l'information.

• Sensibiliser l'entreprise aux informations présentant différents niveaux de sensibilité en termes de confidentialité dans le cadre de la sécurité de l'information d'Ucuzabilet, déterminer et mettre en œuvre les contrôles logiques, physiques et administratifs qu'il est recommandé d'appliquer aux informations présentant différents niveaux de sensibilité ; définir les règles de détention et de destruction des données sur les supports de stockage portables.

La Direction Générale d'Ucuzabilet s'engage à réaliser, réviser et améliorer continuellement les pratiques liées à la Sécurité de l'Information.