Articles

Article 3 AUTONOME (Arrêté du 25 mars 2010 portant désignation des autorités qualifiées pour la sécurité des systèmes d'information dans les services d'administration centrale, les services déconcentrés, les organismes et établissements sous tutelle du ministre du travail, de la solidarité et de la fonction publique, de la ministre de la santé et des sports et du ministre de la jeunesse et des solidarités actives)

Article 3 AUTONOME (Arrêté du 25 mars 2010 portant désignation des autorités qualifiées pour la sécurité des systèmes d'information dans les services d'administration centrale, les services déconcentrés, les organismes et établissements sous tutelle du ministre du travail, de la solidarité et de la fonction publique, de la ministre de la santé et des sports et du ministre de la jeunesse et des solidarités actives)


L'autorité qualifiée pour la sécurité des systèmes d'information (AQSSI) est la personne responsable, pour sa structure, de la sécurité des systèmes d'information. Sa responsabilité ne peut être déléguée. L'autorité qualifiée pour la sécurité des systèmes d'information s'assure, à ce titre, de l'application des instructions ministérielles données en cette matière, sous l'autorité du haut fonctionnaire de défense et de sécurité.
Dans ce cadre, en liaison avec le fonctionnaire de sécurité des systèmes d'information (FSSI), elle est chargée :
― de désigner l'autorité d'appui la représentant au sein des différentes instances traitant de la sécurité des systèmes d'information ;
― de disposer d'une analyse des risques encourus par les systèmes d'information de sa structure et de la mettre régulièrement à jour ;
― de décliner la politique ministérielle de sécurité des systèmes d'information adaptée aux spécificités de sa structure et d'en fixer les objectifs ;
― de s'assurer que les dispositions réglementaires et contractuelles sur la sécurité des systèmes d'information sont appliquées ;
― d'élaborer les directives internes et de désigner les responsables de la sécurité des systèmes d'information chargés des diverses tâches liées à la sécurité des systèmes d'information ;
― d'organiser la sensibilisation et la formation du personnel aux questions de sécurité ;
― de veiller à l'application des procédures prescrites, y compris par les entreprises contractantes, pour la protection et le contrôle des personnels, en particulier concernant les droits d'accès, l'habilitation et le respect de la vie privée ;
― de s'assurer que les contrôles internes de sécurité sont régulièrement effectués ;
― de s'assurer que tout système d'information, avant sa mise en service, a fait l'objet d'une homologation tant pour les produits que les installations ;
― d'apporter sa contribution aux plans de lutte interministériels contre le cyberterrorisme, en prenant notamment en compte les avis ou alertes émis par le centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) et en rendant compte immédiatement aux autorités de tout incident et de tout phénomène suspect pouvant affecter la sécurité des systèmes d'information avec, si besoin, un régime d'astreinte approprié.