Exigence 27001 de la norme ISO 9.3 – Revue de direction

Qu’implique l’article 9.3 ?

L'ISO elle-même affirme que les examens devraient avoir lieu à intervalles planifiés, ce qui signifie généralement au moins une fois par an et au cours d'une période de surveillance d'audit externe. Cependant, compte tenu du rythme de l'évolution des menaces à la sécurité de l'information et des nombreux sujets à aborder dans les revues de direction, notre recommandation est de les réaliser beaucoup plus fréquemment, comme décrit ci-dessous, et de garantir que le SMSI fonctionne bien dans la pratique, et non seulement de cocher une case pour Conformité ISO.

La valeur de la revue de direction du système de gestion de la sécurité de l’information (ISMS) est souvent sous-estimée. Certains peuvent y voir une exigence à cocher qui doit être remplie uniquement pour répondre à l’exigence 27001 de la norme ISO 9.3. Cependant, pour réellement « vivre et respirer » les bonnes pratiques de sécurité de l'information, son rôle est inestimable.

L'objectif de la revue de direction est de garantir que le SMSI et ses objectifs restent adaptés, adéquats et efficaces compte tenu de l'objectif, des problèmes et des risques liés aux actifs informationnels de l'organisation. Ceux-ci auront préalablement été abordés au sein de 4.1 l'organisation et son contexte, 4.2 les exigences des parties intéressées, 4.3 la portée du SMSI et 6.1 pour le travail de gestion des risques.

Le travail précédant et entourant la revue de direction permettra à la haute direction de prendre des décisions stratégiques bien informées qui auront un effet important sur la sécurité de l'information et la façon dont l'organisation la gère.

Que doit inclure la revue de direction ISO 27001 ?

La revue de direction doit au minimum suivre un format standard qui répond aux exigences de 9.3 pour la norme ISO 27001:2103. Ceux-ci sont décrits ci-dessous. En outre, il se peut également que l'organisation souhaite inclure d'autres régimes de conformité dans l'examen, tels que Cyber ​​Essentials, ISO 9001 et d'autres bonnes pratiques, afin de faciliter des examens efficaces et une prise de décision éclairée. Il peut même lier les aspects de sécurité de l'information 9.3 pour 9.3 à des réunions plus larges de la haute direction ou à des réunions formelles du conseil d'administration. Quoi qu’il en soit, il doit documenter les résultats et les actions issus des examens.

Pour les organisations qui sont dans la phase de mise en œuvre de leur SMSI, nous recommandons également qu'elles effectuent des revues de direction chaque semaine dans le cadre d'une habitude de développer de bonnes pratiques, et d'inclure des leçons de mise en œuvre, les objectifs et les problèmes de la prochaine période aux côtés des éléments du programme de gestion formel qui peuvent être couvert. Les auditeurs externes aiment vraiment voir l'organisation adopter l'esprit de la revue de direction et apprécier l'efficacité du travail de planification et de mise en œuvre, qui correspond également aux exigences de la clause 7.5 et de la clause 8 pour le fonctionnement.

L’ordre du jour formel de la revue de direction ISO 27001 9.3 doit inclure la prise en compte des éléments suivants :

• L’état des actions issues des précédentes revues de direction
• Changements dans les problèmes externes et internes pertinents pour le système de gestion de la sécurité de l'information
• Commentaires sur les performances en matière de sécurité des informations, y compris les tendances dans :
• non-conformités et actions correctives ;
• résultats de surveillance et de mesure ;
• les résultats de l'audit ; et
• réalisation des objectifs de sécurité de l’information.
• Commentaires des parties intéressées
• Résultats de l'évaluation des risques et état d'avancement du plan de traitement des risques ; et
• Possibilités d’amélioration continue.

Vous souhaiterez peut-être également ajouter un point supplémentaire :

• Convenir de l’orientation de l’audit pour la période à venir. Ceci est facultatif si vous êtes une organisation agile et que vous n’êtes pas en mesure de spécifier entièrement l’ensemble du programme d’audit et de planifier trop longtemps à l’avance. Gardez cependant à l’esprit que certains auditeurs externes souhaitent plus de clarté sur l’ensemble du programme du cycle de certification !

Les résultats de la revue de direction doivent inclure des décisions liées aux opportunités d'amélioration continue et à tout besoin de modifications du système de gestion de la sécurité de l'information.

Qui devrait assister à la revue de direction ISO 27001 ?

Compte tenu de ce qui précède, il est clair que, après mûre réflexion, la revue de direction ISO 27001 est un outil indispensable pour garantir que le SMSI continue d'être efficace et aide l'organisation à atteindre les résultats escomptés grâce aux investissements en matière de gestion de la sécurité de l'information.

Pour que le SMSI soit efficace dans une organisation, il a besoin de l'engagement de la haute direction et, en tant que tel, il est logique que les membres d'un « Conseil » du SMSI aient autorité sur les questions relatives à la sécurité de l'information. En règle générale, un conseil d'administration du SMSI peut comprendre le responsable de la sécurité de l'information (RSSI) et d'autres cadres supérieurs ainsi que les représentants gérant le SMSI dans la pratique. Les rôles liés à la sécurité de l'information ne doivent pas nécessairement être à temps plein ou exclusifs, mais doivent être clairs dans les rôles, les responsabilités et les autorités, comme indiqué dans la clause 5.3. Avoir un conseil ISMS facilite également ce processus.

Les résultats de la revue de direction comprendront des décisions liées aux opportunités d’amélioration continue et à tout besoin de modifications du système de gestion de la sécurité de l’information.

Quelle est la fréquence idéale des revues de direction ?

Il existe une exigence minimale de procéder à une revue de direction une fois par an, et plus fréquemment en cas de changements importants susceptibles d'affecter la sécurité de l'information et le SMSI. Cependant, la fréquence sera définie par l'exigence de la direction de surveiller le succès du SMSI. Il existe également un risque que plus l'intervalle est long, plus le travail nécessaire à la révision de la période précédente sera important. Cela augmente également le risque que les défaillances du SMSI ne soient pas identifiées rapidement.

Pour cette raison, nous vous recommandons d'effectuer un suivi mensuel, bimensuel ou même trimestriel si votre SMSI est assez stable. Certes, des revues de direction doivent avoir lieu à intervalles planifiés pour garantir que le SMSI reste « adapté, adéquat et efficace ».

Pour ceux qui souhaitent obtenir la certification ISO 27001 de leur SMSI, il est également important de noter qu'il est nécessaire de prouver, lors de l'audit informatique de première étape, que des examens réguliers ont lieu.

Nous suggérons des revues de direction hebdomadaires avant l'audit de l'étape 1, car cela maintiendra votre projet de mise en œuvre sur la bonne voie, créera l'habitude et, en un mois, vous aurez accumulé suffisamment de preuves, en utilisant le programme simple de revue de direction de la plateforme, pour satisfaire l'auditeur et entrez dans le rythme pour les prochaines critiques.

Examens de gestion utilisant ISMS.online

ISMS.online simplifie la gestion de l'ensemble de votre SMSI, y compris les revues de direction pour la sécurité des informations.

ISMS.online rassemble tout dans un environnement en ligne sécurisé dans lequel vous pouvez collaborer avec des collègues, capturer les preuves requises une seule fois et y accéder facilement avant, pendant et après l'examen.