Dans le cadre de la prestation de service, une analyse générale de l’état de la sécurité de l’information, du domaine réglementaire et juridique dans lequel l’entreprise opère, ainsi que du niveau de développement et de pénétration de l’informatique dans ses activités principales sont réalisées. Les buts et objectifs de la sécurité de l’information sont formulés, les priorités en matière de sécurité de l’information sont déterminées, des principes sont élaborés à suivre dans ce domaine. Sur la base des résultats de cette activité, des documents de trois types sont élaborés :
- La stratégie de sécurité de l’information est un document de haut niveau positionnant la sécurité de l’information comme un élément important de l’activité
- La politique de sécurité de l’information est une déclaration de la direction sur son point de vue sur les mesures prises dans le domaine de la sécurité de l’information. Définit les bases de la gestion de la sécurité de l’information et de la responsabilité dans ce domaine
- Politiques privées – documents qui clarifient les dispositions sur les mesures visant à assurer la sécurité de l’information pour les systèmes et services d’information les plus importants, en fonction de leurs spécificités