Vous êtes le responsable de la sécurité au sein d’un important éditeur de logiciels. Une récente évaluation des risques a révélé que des informations sensibles de votre entreprise (codes sources, données clients, …) sont stockées et traitées sans aucune classification. En tant que responsable, vous devez initier une stratégie pour classer ces informations afin d’assurer leur protection.

Dans ce contexte, quelle serait la première étape la plus appropriée dans la mise en œuvre d’une stratégie de classification des informations ?

[A] Recenser et identifier tous les actifs matériels utilisés pour stocker ou traiter les données sensibles
[B] Élaborer une politique de classification des données définissant des niveaux de classification et des contrôles associés
[C] Former les employés à identifier et classer les informations qu’ils traitent
[D] Mettre en place des étiquettes (logiques ou physiques) sur tous les supports contenant des informations sensibles

reponse


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE