Texte de l'article
Les entreprises assujetties établissent par écrit une politique de sécurité du système d'information qui détermine les principes mis en œuvre pour protéger la confidentialité, l'intégrité et la disponibilité de leurs informations et des données de leurs clients, de leurs actifs et services informatiques. Cette politique est fondée sur une analyse des risques et approuvée par les dirigeants effectifs et l'organe de surveillance.