– L’organe délibérant s’assure de la mise en place par l’organe exécutif d’un dispositif de gestion du risque informatique.
A ce titre, l’organe délibérant :
– revoit au moins une fois par an, par délibération spéciale, la stratégie et l’ensemble des politiques significatives concernant la gestion du risque informatique de l’établissement assujetti ;
– veille à la bonne gestion du risque informatique ;
– valide l’appétence ou la tolérance au risque informatique et surveille les indicateurs de risque associés ;
– approuve le schéma directeur des systèmes d’information ou tout autre document en tenant lieu.
Pour mener à bien sa mission de surveillance du risque informatique, l’organe délibérant comprend un ou plusieurs administrateurs disposant d’une compétence ou d’une expérience dans le domaine de la gestion du risque informatique.
Il s’assure de la formation de ses membres dans ce domaine.
L’organe délibérant se fait aider dans cette mission par un comité spécialisé, notamment le comité des risques lorsqu’il en existe un. Il peut également faire appel en tant que de besoin à une expertise extérieure.
## Chapitre 2 : L’organe exécutif
