Définitions de la sécurité informatique
Eléments pour une définition théorique
« Security is a process, not a product », Bruce Schneier, Crypto-Gram Newsletter, May 15, 2000.
La sécurité informatique est trop souvent encore vue uniquement comme un ensemble de mesures opérationnelles de sécurité appliqué aux systèmes informatiques. En fait, il faut la voir comme un ensemble de mesures organisationnelles prises au niveau de la direction générale d'une organisation (entreprise, école, etc.) pour gérér le risque informatique, d'une façon formalisée. Cela est très proche de la gestion de la qualité.
Le but ultime est d'atteindre le niveau de confidentialité, de disponibilité, et d'intégrité des données, requis par la direction générale, qui est ultimement responsable, dans le cadre du budget qu'elle a alloué. Ce but doit être ré-évalué constamment par des analyses de risques et la proposition de contre-mesures.
La sécurité informatique est un processus de management, qui est formalisé, par différentes méthodes, par exemple IS0-27001 et ISO-27002, ITIL, COBIT, BSI-Grundschutz, etc.
Il existe aussi des certifications pour les personnes, par exemple CISSP.