WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire


par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy
6.2.1.5 Classification des informations par valeur et niveau de sensibilité

Concernant la classification des données, la norme ISO 27002 explique que l'information devrait être classée et étiquetée selon un système généralement admis, assurant ainsi un niveau de protection approprié. Comme nous l'avons spécifiée dans le développement du thème 3 de la norme ISO 27002, la classification des information doit être accompagnée de procédures formelles et être exécutée en tenant compte des besoins liés à l'exploitation, de la sensibilité des informations, des restrictions éventuelles et du degré d'impact des évènements nuisibles à leur exploitation. De plus, les actifs technologiques liés à la sécurité de l'information, doivent avoir un propriétaire désigné qui se charge de leur gestion et de l'inventaire régulier. Un actif inactif peut être source de motivation à la fraude ou à des violations des règles de sécurité établies par la banque.

Aucune méthode particulière de classification n'est définie étant donné la diversité des secteurs économiques et l'interprétation variante d'une information d'une entreprise à une autre. Cependant, notre recommandation, c'est que la banque garde en mémoire que, quel que soit la méthode de classification adoptée, elle doit tenir compte du degré de sensibilité et de criticité et du niveau de partage de ses informations. Les informations doivent être classées et foncièrement protégées pour éviter que celles jugées sensibles et confidentielles soient diffusées en interne comme à l'extérieur aux personnes non autorisées accidentellement ou volontairement.

Dans le cas de la banque qui gère des comptes et dossiers personnels de clients divers et qui est tenue par des exigences légales, négliger le classement des informations peut entrainer non seulement des pertes financières mais aussi peut porter atteinte à son image, sa réputation et sa crédibilité.

Pour protéger et classer une information, il faut la connaître et identifier son niveau de sensibilité et de criticité et sa valeur. Il faut pour cela :

ü lister les données et leur localisation dans les processus et activités ;

ü formaliser une échelle de classification et des règles d'utilisation (à travers une politique de classification et protection des informations) ;

ü qualifier la sensibilité des données au regard des impacts liés à un incident de sécurité ;

ü sensibiliser les utilisateurs à ces impacts et à la nécessité d'appliquer les règles de classification.

Cette démarche suit le modèle PDCA qui oriente l'entreprise de la planification au suivi des actions mis en oeuvre pour atteindre les objectifs. Nous précisions que la banque doit veiller à la loyauté de ses employés dans leur engagement au respect de la discrétion et la confidentialité quant aux informations.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy