Article 1 - Le secrétaire général est désigné « autorité qualifiée pour la sécurité des systèmes d'information » au sein de l'administration centrale des ministères de l'Éducation nationale et de l'Enseignement supérieur et de la Recherche.
Article 2 - L'autorité qualifiée est chargée de :
- définir une politique de sécurité des systèmes d'information en cohérence avec le schéma directeur des systèmes d'information du ministère ;
- faire élaborer une cartographie des informations et ressources vitales aux missions de l'administration centrale et une analyse de risques permettant d'apprécier l'impact en cas d'atteinte aux systèmes vitaux ;
- définir et mettre en place une organisation fonctionnelle de la sécurité des systèmes d'information ainsi qu'une chaîne d'alerte et de traitement d'incidents prenant en compte les aspects techniques, juridiques et de communication et l'organisation de la logistique d'une cellule ministérielle de crise ;
- s'assurer que les dispositions ministérielles et réglementaires sur la sécurité des systèmes d'information sont appliquées dans les différentes structures de l'administration centrale, conformément aux recommandations du haut fonctionnaire de défense et de sécurité (H.F.D.S.) ;
- sensibiliser et prévoir la formation du personnel aux questions de sécurité.
Article 3 - L'autorité qualifiée pour la sécurité des systèmes d'information peut se faire assister par un ou plusieurs responsables de la sécurité des systèmes d'information (R.S.S.I.) chargés notamment de participer à l'élaboration des référentiels de sécurité, à leur mise en ouvre et à leur suivi, et à l'animation de la sécurité des systèmes d'information.
Article 4 - Le présent arrêté sera publié au Bulletin officiel du ministère de l'Éducation nationale et au Bulletin officiel du ministère de l'Enseignement supérieur et de la Recherche.
Fait à Paris, le 6 avril 2009