法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·Droit français / LawPlayer, à partir des données DILA (Légifrance)

Texte réglementaire

Arrêté du 13 décembre 2016

Numéro
Date du texte
13 décembre 2016
Articles
6
Article 1

Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI) pour les systèmes dont ils ont directement la charge les titulaires des fonctions suivantes :

- les directeurs d'administration centrale ;

- les directeurs des directions régionales et départementales de la jeunesse, des sports et de la cohésion sociale ;

- les directeurs des directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi ;

- les directeurs des agences sanitaires nationales et des agences régionales de santé ;

- les directeurs des autres établissements publics et des organismes placés sous la tutelle des ministres.

Article 2

L'autorité qualifiée pour la sécurité des systèmes d'information (AQSSI) est la personne responsable, pour sa structure, de la sécurité des systèmes d'information. C'est l'autorité juridiquement responsable, sa responsabilité ne peut être déléguée.

Elle s'assure, à ce titre, de l'application des instructions ministérielles données en cette matière, sous l'autorité du haut fonctionnaire de défense et de sécurité. Dans ce cadre, en liaison avec le fonctionnaire de sécurité des systèmes d'information (FSSI) du service du haut fonctionnaire de défense et de sécurité (SHFDS), elle est chargée :

- de désigner l'autorité d'appui la représentant au sein des différentes instances traitant de la sécurité des systèmes d'information ;

- de désigner les responsables ou les correspondants de sécurité des systèmes d'information chargés des diverses tâches liées à la sécurité des systèmes d'information ;

- de veiller à l'application des dispositions réglementaires et contractuelles par les différents niveaux de responsabilité, en particulier concernant les droits d'accès, l'habilitation et le respect de la vie privée ;

- de disposer de la cartographie de l'ensemble de ses systèmes d'information dont elle a directement la charge ;

- de disposer des analyses des risques encourus, à jour, par les systèmes d'information dont elle à la charge ;

- de désigner les autorités d'homologation des systèmes relevant de sa responsabilité ;

- de s'assurer que tout système d'information qu'elle emploie, avant sa mise en service, a fait l'objet d'une homologation tant pour les produits que les installations ;

- de s'assurer que les contrôles internes de sécurité sont régulièrement effectués ;

- d'organiser la sensibilisation et la formation du personnel aux questions de sécurité ;

- de contribuer à la cybersécurité, notamment en rendant compte immédiatement au FSSI de tout incident et de tout phénomène suspect pouvant affecter la sécurité des systèmes d'information dont elle a la responsabilité.

Article 3

En matière d'homologation, pour les systèmes dont elle assure le financement, l'autorité qualifiée pour la sécurité des systèmes d'information (AQSSI) est autorité d'homologation. Elle peut désigner un représentant de l'autorité administrative en qualité d'autorité d'homologation qui est chargé de s'engager sur l'acceptabilité de la sécurité pour l'autorité administrative.

La décision d'homologation est un acte formel par lequel l'autorité d'homologation :

- prend connaissance et accepte les risques résiduels ;

- valide la mise en exploitation du système ;

- engage la responsabilité de l'AQSSI en matière de cybersécurité.

Cette décision est prise par l'autorité d'emploi ou toute autorité subordonnée désignée ayant reçu délégation de signature ce domaine, la responsabilité de l'AQSSI n'étant pas déléguée.

Article 4

Dans le cas des applications métier, l'autorité d'homologation est de fait l'autorité d'emploi du système.

La responsabilité de la sécurité d'un système dont le financement est partagé entre des organismes relevant de plusieurs autorités qualifiées différentes incombe à l'une d'entre elles agissant en tant qu'autorité qualifiée pour ce système. Lorsque l'identification de cette autorité ne peut pas être déterminée de manière évidente, sa désignation relève d'une décision prise par le haut fonctionnaire de défense et de sécurité.

L'autorité qualifiée responsable est garante de la cohérence de la politique de sécurité et de la coordination des mesures à mettre en œuvre conformément à un protocole d'accord visé par les organismes concernés. Elle désigne un responsable de la sécurité des systèmes d'information (RSSI) dont la compétence s'étend à l'ensemble du système. Celui-ci prépare les commissions d'homologation qui réunissent les représentants des autorités qualifiées concernées.

Article 5

Concernant particulièrement l'ensemble des systèmes socles ou d'infrastructure mis en œuvre par la direction des systèmes d'information au profit des administrations centrales, des services déconcentrés et des établissements publics, l'autorité qualifiée pour la sécurité des systèmes d'information (AQSSI) désignée est la directrice des systèmes d'information des ministères chargés des affaires sociales.

Article 7

Le secrétaire général des ministères chargés des affaires sociales, haut fonctionnaire de défense et de sécurité, est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

6 articles en vigueur

Citer ce texte

du Arrêté du 13 décembre 2016 (Légifrance). Consulté via LawPlayer, https://lawplayer.com/fr/act/LEGITEXT000033628958

Contient des informations publiques issues de la base LEGI, mise à disposition par la Direction de l’information légale et administrative (DILA) sous Licence Ouverte 2.0 (Etalab). Source : legifrance.gouv.fr.

FR-LicenceOuverte-2.0

本頁資料來源:Légifrance (DILA)·整理提供:法律人 LawPlayer· lawplayer.com