De quoi parle-t-on?

Lorsqu’on parle de plan, on s’intéresse à trois mondes complémentaires :
* la mise en œuvre de la SSI (quoi) : ensemble des activités de SSI permettant d’atteinte les objectifs et livrables visés (zones de sécurité physique pour la sécurité de l’information, gestion des incidents de sécurité….)
* le management de la SSI (comment on garantit la maîtrise du "quoi") : ensemble des activités et dispositions de management permettant la maîtrise de la SSI (par exemple, organisation liée à la SSI, logiciel de contrôle d’accès, comité de sécurité...)
* le système de management de l'organisme : organisation, processus, infrastructures, procédures, contrôles... permettant d'atteindre la stratégie et les objectifs de l’organisme dans son ensemble.

Le Plan SSI concerne le monde du Système de management de l’organisme et le monde du Management de la SSI. Il décrit comment les dispositions génériques (du système de management de l’organisme et du management de  la SSI) se déclinent à un projet, un produit, un service, un processus, une prestation ou un contrat particulier, appelé « contrat » dans la suite.
Lorsque dans le cadre du « contrat » des dispositions génériques sont applicables en l’état, le plan y fait simplement référence.

Tout ou partie de ce Plan peut être confidentielle et non communiquée au « client » (la partie communicable est habituellement appelée Plan d’Assurance Sécurité de l’information ou PAS).

Plus le système de management de l'organisme, incluant le management de la SSI, est complet (couvrant tout type de produit, service, prestation... de l'organisme, et plus le plan de sécurité de l'information est "standardisable", si ce n'est en totalité, au moins en grande partie.

Contenu du Plan de sécurité de l'information

Le Plan de SSI s’intéresse à se compose de plusieurs parties :
• Présentation du projet-prestation-produit-service… concerné (contexte, objectifs, dates clés & livrables…) issu du document contractuel concerné
• Management de  la SSI pour le  « contrat »
    - Présentation générale des dispositions de maîtrise de l’organisme (points clés du  système de management de l'organisme et de management de la SSI)
    - Organisation mise en place pour le « contrat » concerné  (organigramme responsabilités, autorités, relations, compétences...) et réseau de contributeurs  (partenaires, sous-traitants…)
    - Logique de déroulement du projet (ordonnancement,  jalons, revues, avancement, comités …)
    - Livrables, résultats attendus… et engagements associés (résultats mesurables, pénalités...)
    - Ressources mises en œuvre (coûts, budgets, infrastructures, logiciels, locaux….)
    - Dispositions d’assurance sécurité de l’information (gestion des réclamations/ dysfonctionnement de SSI,  Audit de SSI,  Revues de SSI, Lectures croisées de la documentation...)
    - Autres dispositions de maîtrise spécifiques (risques, documentation, capitalisation, achats...)
    - Modalités d’amélioration (de la SSI, des dispositions de maîtrise générales et spécifiques, satisfaction, dysfonctionnement…)
• Structure hiérarchisée des activités de mise en œuvre de  la SSI (la plus spécifique et adaptée  aux exigences du « contrat »). Par exemple, accueil et formations spécifiques, contrôles-supervision...,  réception des livrables, mesures de sécurité physique/ opérationnelles/ organisationnelle/...
• Matrice de traçabilité (lien entre les exigences du « client » et les éléments de réponse situées dans le plan)