4. Mise en œuvre de la politique de protection du secret
   4.1. Elaboration des politiques par les organismes
   4.1.1. Politique de protection du secret

Chaque responsable d'organisme ayant accès au secret de la défense nationale quels que soient son statut et sa forme morale, dispose d'une politique de protection du secret (56) propre à son organisme en déclinaison de la réglementation en vigueur dont la présente instruction ministérielle et les instructions particulières associées (57).
Il s'appuie pour cela sur son officier de sécurité qui est chargé de sa rédaction avec, le cas échéant, le concours de l'officier de sécurité des systèmes d'information, afin de s'assurer qu'elle soit cohérente d'une part, avec la politique de sécurité des systèmes d'information de l'organisme, et, d'autre part, avec les recommandations de l'agence nationale de la sécurité des systèmes d'information (ANSSI) et de l'opérateur des systèmes d'information interministériels classifiés (OSIIC).
Outre la description de la chaine fonctionnelle de sécurité, cette politique définit impérativement des procédures relatives à la protection des informations et des supports classifiés, mais aussi des informations « Diffusion Restreinte » auxquelles l'organisme a accès. Elle est révisée annuellement, et, le cas échéant, lorsqu'un incident de sécurité survenant dans l'organisme la met en cause (58) (cf. 3.7).
A noter :

- pour les opérateurs d'importance vitale, cette politique est intégrée au plan de sécurité d'opérateur et au plan particulier de protection ;
- pour les organismes accédant à des informations et supports classifiés au titre d'une convention ou d'un contrat, cette politique est conforme aux stipulations du ou des plans contractuels de sécurité attachés.

(56) Cf. IGI 1300 §2.3.1.3.
(57) Cette politique locale peut être plus restrictive que la réglementation sous réserve qu'elle ne s'y oppose pas.
(58) Cf. IM §3.7.