Articles

Article AUTONOME (Arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale)

Article AUTONOME (Arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale)



Article 86
Autorités qualifiées et agents de sécurité
1. L'autorité qualifiée en sécurité
des systèmes d'information (AQSSI)


Les autorités qualifiées sont responsables de la sécurité des systèmes d'information au niveau d'un service, d'une direction d'un ministère, au niveau d'un organisme ou d'un établissement relevant d'un ministère.
Les autorités qualifiées sont désignées par le ministre pour le département et les organismes dont il a la charge. Leur responsabilité ne peut être déléguée.
En liaison avec le HFDS et le FSSI du département ministériel dont elle relève, l'autorité qualifiée est notamment chargée :
― de définir, à partir des objectifs de sécurité qu'il fixe, ou, pour les systèmes traitant d'informations classifiées, des objectifs de sécurité fixés par la présente instruction, une politique de sécurité des systèmes d'information adaptée à son service, sa direction, son établissement ou son organisme ;
― de s'assurer que les dispositions réglementaires et, le cas échéant, contractuelles sur la sécurité des systèmes d'information sont appliquées ;
― de faire appliquer les consignes et les directives internes ;
― de s'assurer que des contrôles internes de sécurité sont régulièrement effectués ;
― d'organiser la sensibilisation la formation du personnel aux questions de sécurité, en particulier en matière de systèmes d'information ;
― de s'assurer de la mise en œuvre des procédures réglementaires prescrites pour l'homologation des systèmes, pour l'agrément des dispositifs de sécurité et pour la gestion des articles contrôlés de la sécurité des systèmes d'information (ACSSI) (136) ;
― de désigner les autorités d'homologation des systèmes relevant de sa responsabilité.
Dans le cas d'un organisme qui ne relève pas d'un ministre, notamment un organisme privé, il appartient au responsable de cet organisme de désigner, en son sein, une personne ayant la fonction d'autorité qualifiée au sens du présent article.


2. L'agent, le responsable ou l'officier de sécurité
des systèmes d'information (ASSI, RSSI, OSSI)


Les autorités qualifiées peuvent se faire assister par un ou plusieurs agents, responsables ou officiers de sécurité des systèmes d'information (ASSI, RSSI, OSSI) (137). Elles précisent, lors de leur désignation, le périmètre de leurs attributions et leur dépendance hiérarchique. Ce périmètre peut être un service, une direction ou un organisme, dans sa totalité, un ou plusieurs systèmes d'information, ou un établissement.
Ces agents assurent principalement les fonctions opérationnelles de la sécurité des systèmes d'information. Ils peuvent être notamment chargés :
― d'être les contacts privilégiés des utilisateurs du système pour les questions de sécurité ;
― d'assurer la formation et la sensibilisation des responsables, des informaticiens et des usagers en matière de sécurité des systèmes d'information ;
― de tenir à jour la liste des personnels ayant accès aux systèmes d'information ;
― de faire surveiller en permanence les activités des personnes extérieures appelées à effectuer des interventions sur les systèmes d'information ;
― de s'assurer de l'application, par les personnels d'exploitation et les utilisateurs, des règles de sécurité prescrites ;
― d'assurer leur sensibilisation aux mesures de sécurité et de les informer de toutes modification des conditions d'emploi du système ;
― de veiller à la mise en œuvre des mesures de protection prescrites, d'établir des consignes particulières et de contrôler leur application ;
― d'assurer la gestion, la comptabilité et le suivi des ACSSI dans leur périmètre de responsabilité, et d'en assurer périodiquement l'inventaire ;
― d'établir les consignes de sécurité relatives à la conservation, au stockage et à la destruction des ACSSI ;
― de vérifier périodiquement l'installation et le bon fonctionnement des dispositifs de sécurité ;
― de veiller au respect des procédures opérationnelles de sécurité propres au système d'information ;
― de surveiller les opérations de maintenance ;
― de rendre compte de toute anomalie constatée ou de tout incident de sécurité.

(136) Article 91 de la présente instruction. (137) Désignés sous l'appellation d'ASSI dans la suite de l'instruction.