Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ccub:gestion_des_informations_documentees [2024/09/02 06:37] – - Imported by DokuWiki Advanced Plugin cardynal
+++ ccub:gestion_des_informations_documentees [Date inconnue] (Version actuelle) – supprimée - modification externe (Date inconnue) 127.0.0.1
@@ Ligne 1: / Ligne 1: @@
-====== Gestion des informations documentées ======
-===== Référentiel documentaire =====
-Le système documentaire propre au SMSI du CCUB comporte:
-  * Le présent site
-  * La configuration et les journaux de l'outil de gestion des infrastructures et des déploiements XCAT
-  * L'outil de gestion des tickets pour la gestion des demandes de service et des incidents(en attente de la solution logicielle, les incidents sont consignés dans le SMSI à la rubrique [[enregistrements:suivi_des_incidents|Suivi des incidents de sécurité]]. Une action a été programmée pour trouver un outil de ticketing adapté aux besoins du Centre de Calcul. Voir [[enregistrements:act230601|act230601]]
-En dehors des partages d'information explicitement permis par les outils, la diffusion de tout document ou extraction de données en dehors du CCUB est soumise à l'approbation préalable écrite d'un membre du COPIL SMSI.
-===== Structure du site documentaire =====
-Le présent site est organisé pour faciliter et expliciter les chaînages entre:
-  * Les référentiels normatifs (ISO 27001 et son annexe A, référentiel HDS, PSSIE)
-  * Les procédures propres au fonctionnement du SMSI
-  * Les procédures opérationnelles pour le fonctionnement du CCUB
-  * Les modes opératoires à l'appui de ces procédures
-  * L'analyse et le traitement des risques
-  * La planification et l'exécution des actions
-  * Les enregistrements d'exécution des procédures
-==== Les référentiels normatifs ====
-Les exigences propres à [[exigences 27001|l'ISO 27001]] et au [[exigences HDS|référentiel HDS]] sont récapitulées dans des pages dédiées, et complétées d'un paragraphe explicatif comportant des liens vers les preuves de respect de ces exigences.
-Pour l'annexe A, une page est dédiée à chacune des mesures de l'annexe, détaillant les attentes typiques de mise en œuvre de la mesure, le statut de la mesure (effective, programmée ou non retenue), la mise en œuvre effective et les preuves à l'appui. La [[dda|déclaration d'applicabilité]] est générée automatiquement à partir de ces pages. Celles-ci n'ont qu'un rôle de référencement et ne doivent pas contenir d'instructions qui ne seraient pas reprises dans une procédure du SMSI et/ou une procédure opérationnelle.
-==== Les procédures propres au fonctionnement du SMSI ====
-Les procédures propres au fonctionnement du SMSI sont référencées dans la page [[Politique de sécurité]]. Elle comportent une [[déclaration de politique de sécurité]], qui en est la partie communicable aux parties prenantes, et des procédures à usage interne.
-Ces procédures sont destinées à l'équipe de pilotage du SMSI. Elles sont toutefois consultables par l'ensemble des personnels ayant accès au site.
-==== Les procédures opérationnelles ====
-Les [[procédures opérationnelles]] concernent le fonctionnement du CCUB, que ce soit dans ses aspects organisationnels (RH, relations usagers et fournisseurs) ou techniques.
-Elles définissent des rôles, des responsabilités et des processus, mais ne fixent pas le détail des actions, qui est reporté aux modes opératoires.
-==== Les politiques thématiques =====
-A des fins d’accessibilité et d'intelligibilité les politiques thématiques sont incluses en tête des procédures correspondantes dans un chapitre `Politique ...` qui en précise les objectifs fondés notamment sur les attendus des mesures de sécurité.
-Les politiques thématiques à documenter sont :
-  * Classification de l'information
-  * [[ccub:gestion_des_actifs_sensibles|Gestion des actifs]]
-  * [[ccub:gestion_des_incidents|Gestion des incidents]]
-  * [[ccub:procedure_de_gestion_des_vulnerabilites|Gestion des vulnérabilités]]
-  * Contrôle d'accès
-  * Sécurité physique et environnementale
-  * Sécurité des réseaux
-  * [[ccub:procedure_de_sauvegarde|Sauvegarde]]
-  * Transfert des informations
-  * Configuration et gestion des terminaux des utilisateurs
-  * Cryptographie et gestion des clés
-  * Développement sécurisé
-==== Les modes opératoires ====
-Les [[enregistrements:modes opératoires]] sont des guides pratiques saisis directement par les intervenants, sans validation préalable par le COPIL SMSI, et permettant de consigner le détail des opérations pour une action ou une procédure.
-==== L'analyse et le traitement des risques ====
-L'analyse et le traitement des risques s'appuient sur trois modèles des pages:
-  * Les pages de risque décrivent un événement redouté, sa gravité, sa décision de traitement, et le lient à l'ensemble des scénarios pouvant mener à l'occurrence de l'événement redouté.
-  * Les pages de scénario décrivent un scénario pouvant amener à l'occurrence d'un ou plusieurs événements redoutés, ses vraisemblances actuelle (en l'état courant des mesures de mitigation) et future (en l'état à venir des mesures de mitigation), ainsi que l'ensemble des mesures pertinentes parmi celles de l'annexe A.
-  * Les pages de mesure décrivent la mise en œuvre d'une mesure de sécurité de l'annexe A, comme expliqué ci-dessus au chapitre des référentiels normatifs, ainsi que son état (effective, programmée ou non retenue), sa justification et ses preuves.
-Plusieurs synthèses sont générées automatiquement à partir de ces pages:
-  * La [[liste des risques]], la [[liste des scénarios]] et la [[liste des mesures]],
-  * Le [[tableau des risques]],
-  * Le [[plan de traitement]] des risques,
-  * La [[DDA|déclaration d'applicabilité]],
-  * Les [[niveaux courants de risques]], avec des indicateurs synthétiques selon divers modes de calcul.
-==== La planification et l'exécution des actions ====
-La planification et le suivi d'exécution des actions s'appuient sur deux modèles de pages:
-  * Les événements, qui représentent le fait déclencheur de l'action.
-  * Les actions, auxquelles sont assignées un pilote, une échéance, un avancement, etc.
-A partir de ces pages sont générés automatiquement:
-  * Le [[enregistrements:suivi des événements]], classés par type d'événement
-  * Le [[enregistrements:suivi des actions]], triées par échéance
-==== Les enregistrements d'exécution des procédures ====
-Ces enregistrements sont définis et référencés spécifiquement par chaque procédure.
-===== Validation et diffusion des politiques =====
-Les politiques générales et thématiques sont mises à disposition via le présent site :
-  * [[ccub:politique_de_securite|Politique de Sécurité]]
-  * [[ccub:procedures_operationnelles|Procédures opérationnelles]]
-Seuls les membres du COPIL SMSI ont un droit d'écriture sur ces pages.
-Une page modifiée passe en état brouillon, et n'est visible que des membres du COPIL SMSI jusqu'à ce qu'elle soit approuvée. Les utilisateurs en lecture seule voient la dernière version approuvée.
-Les publications sont datées et les écarts entre versions tracés grâce à la gestion d'historique du Wiki. Toutes les versions publiées antérieures sont conservées.
-Le présent site, xCAT, l'outil de ticketing, l'outil de supervision sont sauvegardés quotidiennement conformément à la [[ccub:procedure_de_sauvegarde|procédure de sauvegarde]].