Exigence ISO 27001 7.2 – Compétence

Qu’implique l’article 7.2 ?

La norme ISO CEI 27001 pour la clause 7.2 dit essentiellement que l'organisation veillera à avoir :

• déterminé la compétence des personnes effectuant le travail sur le SMSI qui pourrait affecter sa performance
• des personnes jugées compétentes sur la base de l’éducation, de la formation ou de l’expérience pertinente
• le cas échéant, prendre des mesures pour acquérir les compétences nécessaires et évaluer l'efficacité des actions
• conservé les preuves de ce qui précède à des fins d’audit

Sur la base de ces exigences, il est facile de penser que la réponse à la question 7.2 pourrait être l’embauche d’un expert en sécurité de l’information – mais ce n’est pas toujours nécessaire !

De nombreuses compétences et expériences sont requises pour une mise en œuvre réussie et une gestion continue d'un SMSI certifié ISO 27001, au-delà de l'expertise en matière de sécurité physique, de cybersécurité, de sécurité informatique ou d'autres formes de sécurité de l'information en soi.

Ceux-ci incluent : l’expertise commerciale, juridique, RH, informatique, ainsi que l’expertise en produits et services pertinente pour le travail concerné.

Construire et gérer un SMSI est généralement un travail d’équipe collaboratif. La chose la plus importante est une compréhension de l'organisation, de son but et de ses objectifs, de sa culture, de son appétit pour le risque et des exigences exprimées dans les clauses 4.1, 4.2, 4.3, 6.1, 6.2.

Démontrer la conformité à la clause 7.2

Parallèlement aux clauses de sensibilisation 7.3 et de communication 7.4, la clause 7.2 peut être démontrée par une déclaration générale sur l'équipe impliquée et sa crédibilité, avec des liens à travers le SMSI pour démontrer leur travail comme preuve pour gagner du temps (si vous utilisez une plateforme commune comme ISMS.online).

De plus, un simple tableau montrant les personnes impliquées, le rôle qu'elles jouent avec des notes ainsi que leur expérience, formation ou éducation pertinente est utile et certains auditeurs aiment voir ce détail. Il n’est pas nécessaire qu’il s’agisse d’un CV, il suffit de montrer pourquoi ils sont impliqués :
Par exemple, Fred Bloggs – responsable de la mise en œuvre avec un travail quotidien de prestation de services et de responsable informatique. Possède 5 ans d'expérience dans les deux domaines et une formation ou une éducation pertinente, par exemple suivi des cours en ligne sur la cybersécurité et entrepris une maîtrise en informatique.

Cela peut rester très simple, il ne s'agit pas d'une analyse des besoins de formation en sécurité de l'information ou d'un plan d'action détaillé (même si vous pourriez en vouloir un également en fonction du style d'organisation et de son approche des plans de développement RH).

Tout ce que l'auditeur externe voudra savoir, c'est que l'équipe impliquée est compétente et qu'il est probable qu'une partie ou la totalité de l'équipe sera de toute façon impliquée dans le processus d'audit, auquel cas l'auditeur se fera de toute façon sa propre opinion.

N'oubliez pas que la sécurité des informations selon une approche métier consiste à mieux gérer l'entreprise, et pas seulement à mettre en œuvre 114 contrôles pour le plaisir. Il est donc peu probable qu'il y ait des lacunes dans les compétences de base et dans la compréhension de votre organisation, sinon il est peu probable qu'elle fonctionne !

S'il existe toutefois des lacunes dans les compétences, les aptitudes et les expériences concernant la mise en œuvre et l'exploitation d'un système de gestion de la sécurité de l'information pour répondre à cette clause, elles peuvent être comblées de plusieurs manières :

• Envoyer le personnel impliqué à des cours de formation d'auditeur principal, d'implémenteur principal et de mise en œuvre ISO 27001, ou à l'un des nombreux autres cours disponibles sur la sécurité de l'information. Cela peut cependant s'avérer coûteux pour une personne, sans parler d'une équipe, à la fois en termes de coût et de temps passé au bureau. Cela peut entraîner des problèmes de mise en œuvre si le formateur ou le programme est trop général, démodé ou ne comprend pas la culture de l'organisation, les méthodes de travail, etc.
• La lecture de nombreuses ressources gratuites sur Internet, comme les ressources de ce site Web, des sites comme le National Cyber ​​Security Center (NCSC) avec ses guides et listes de contrôle spécialisés, et l'assimilation des normes ISO 27001 et ISO 27002 montreront à l'auditeur un niveau de la compétence aussi. Cela concorde avec l'annexe A 6.1.4 pour rester informé et impliqué dans les forums spécialisés sur la sécurité de l'information et les associations professionnelles.
• Embauchez des ressources physiques spécialisées pour aider à développer les compétences – il existe un marché croissant pour les RSSI (Chief Information Security Officers) virtuels et les équipes qui les entourent. Cela peut certainement avoir du sens et nous le recommandons pour un travail ciblé aux côtés des ressources internes spécialisées dans leur domaine lorsque l'organisation a des problèmes de capacité et d'aptitude et que le budget pose moins de problèmes. De nombreux partenaires ISMS.online offrent un tel service et nous sommes très heureux de vous suggérer un partenaire qui peut aider à combler ces lacunes et ajouter encore plus de valeur à ISMS.online.
• Utilisez le service Virtual Coach dans ISMS.online pour développer et développer les compétences de l'équipe de mise en œuvre et montrer à l'auditeur que chaque membre de l'équipe a suivi un coaching/mentorat en matière de sécurité de l'information et a été formé sur le plan de préparation afin qu'il sache sur le terrain. ce qu'est un système de gestion de la sécurité de l'information, pourquoi il est nécessaire et quel est leur travail au sein de l'équipe. Ils peuvent également démontrer qu’ils travaillent avec confiance et cohérence à un niveau qui suit les guides, conseils et vidéos du Coach virtuel dans chacune des exigences et des domaines de contrôle de l’annexe A.

Obtenez une certification jusqu'à 5 fois plus rapidement avec ISMS.online

La conformité n'a pas besoin d'être compliquée : ISMS.online est conçu pour vous aider à obtenir la certification ISO 27001 rapidement et à moindre coût, sans aucune formation requise.
Nous avons rationalisé le processus ISO 27001 avec notre méthode de résultats garantis, une longueur d'avance de 80 %, votre propre coach virtuel 24h/7 et XNUMXj/XNUMX, une intégration facile et une assistance experte.

Réservez une démo de plateforme pour voir comment ISMS.online peut aider votre entreprise