– Les établissements assujettis mettent en œuvre un processus de gestion du risque informatique. Celui-ci est encadré par une politique de gestion du risque informatique validée par l’organe exécutif et approuvée par l’organe délibérant. Cette politique s’inscrit dans le cadre de l’appétence ou la tolérance pour les risques informatiques de l’établissement et sur les principaux objectifs de gestion de ces risques poursuivis ainsi que les seuils de tolérance qui y sont appliqués.
La politique de gestion du risque informatique intègre les éléments suivants :
– l’évaluation des risques, qui comprend l’identification et l’analyse des risques, afin de comprendre les risques auxquels l’établissement est confronté ;
– le traitement des risques, par la mise en œuvre de mesures d’atténuation des risques qui protègent la confidentialité, l’intégrité et la disponibilité des actifs informatiques et informationnels ; et
– la surveillance, l’examen et le rapport des risques, permettant aux services,opérationnels chargés des travaux informatiques et de sécurité, et à la fonction de gestion des risques d’identifier et de communiquer rapidement les changements dans les risques
