Comment mener votre revue de direction ISO 27001
Table des matières:
- 1) Quel est l’objectif de la revue de direction ISO 27001:2013 ?
- 2) Que doit inclure la revue de direction ?
- 3) Qui doit assister à la revue de direction ?
- 4) Fréquence des revues de direction
- 5) Comment gérer les communications et les actions
- 6) « Comment rédiger un rapport d'audit interne pour la norme ISO 27001
- 7) Meilleurs conseils pour votre premier audit ISO 27001 Stage 2 »
Quel est l’objectif de la revue de direction ISO 27001:2013 ?
La valeur de la revue de direction du système de gestion de la sécurité de l’information (ISMS) est souvent sous-estimée.
Certains peuvent y voir une exigence de case à cocher qui doit être remplie uniquement pour satisfaire ISO 27001 exigence 9.3. Cependant, pour réellement « vivre et respirer » les bonnes pratiques de sécurité de l'information, son rôle est inestimable.
Le but de la revue de direction est de garantir que le SMSI et ses objectifs continuent de rester adaptés, adéquats et efficaces compte tenu de l'objectif, des problèmes et des risques de l'organisation. Ces questions auront été préalablement abordées dans 4.1 L'organisation et son contexte, 4.2 Les exigences des parties intéresséeset 6.1.Gestion des risques.
Les résultats de l' la revue de direction permettra à la haute direction de prendre des décisions éclairées, des décisions stratégiques qui auront un effet matériel sur la sécurité de l'information et la façon dont l'organisation la gère.
Que doit inclure la revue de direction ?
La revue de direction doit suivre un Standard format qui s'intéresse aux attentes des ISO 27001: 2103.
Il se peut également que l'organisation souhaite inclure d'autres régimes de conformité dans l'examen, tels que Cyber Essentials, ISO 9001 et d'autres bonnes pratiques, pour faciliter des examens efficaces et une prise de décision éclairée.
La revue de direction ISO 27001 doit inclure la prise en compte des éléments suivants :
a) l'état des actions issues des précédentes revues de direction ;
b) les changements dans les questions externes et internes qui sont pertinents pour le gestion de la sécurité de l'information système;
c) retour d'information sur les performances en matière de sécurité de l'information, y compris les tendances dans :
- non-conformités et correctifs Actions;
- surveillance et mesure résultats;
- audit résultats; et
- l'accomplissement de objectifs de sécurité de l'information.
d) les commentaires de parties intéressées;
e) les résultats de Risk_assessment”>évaluation des risques et état du traitement des risques plan; et
f) des opportunités pour amélioration continue.
Vous souhaiterez peut-être également ajouter un point supplémentaire g) Convenir de l'orientation de l'audit pour la période à venir. Ceci est facultatif si vous êtes un agile organisation et n'est pas en mesure de spécifier entièrement l'ensemble du programme d'audit et planifier trop longtemps à l'avance. Mais gardez à l’esprit que certains auditeurs externes souhaitent plus de clarté sur l’ensemble du programme tout au long du cycle de certification !
Les résultats de la revue de direction devraient inclure des décisions liées à amélioration continue les opportunités et les besoins éventuels de modifications du système de gestion de la sécurité de l’information.
Qui doit assister à la revue de direction ?
Compte tenu de ce qui précède, il apparaît clairement que, après mûre réflexion, ISO 27001 la revue de direction est un incontournable outil pour garantir que le SMSI continue d’être efficace dans l’un de ses objectifs clés, celui d’atténuer risques liés à la sécurité de l'information.
Pour que le SMSI soit efficace dans une organisation, il a besoin de cadres supérieurs engagement de la direction et, en tant que tel, il est logique que les membres d'un « Conseil » du SMSI aient autorité sur les questions relatives à la sécurité de l'information.
En règle générale, un conseil d'administration du SMSI peut comprendre le responsable de la sécurité de l'information (RSSI), le responsable principal des risques liés à l'information (SIRO), le directeur technique et peut-être même le PDG.
Les résultats de la revue de direction comprendront des décisions liées à amélioration continue les opportunités et les besoins éventuels de modifications du système de gestion de la sécurité de l’information.
Fréquence des revues de direction
Il existe une exigence minimale pour mener une examen de la gestion une fois par an, et plus fréquemment en cas de changements importants susceptibles d'affecter la sécurité de l'information et le SMSI.
Cependant, la fréquence sera définie par l'exigence de la direction de surveiller le succès du SMSI. Il existe également un risque que plus l'intervalle est long, plus le travail nécessaire à la révision de la période précédente sera important. Cela augmente également le risque que les défaillances du SMSI ne soient pas identifiées rapidement.
Pour cette raison, nous vous recommandons d'effectuer un suivi mensuel, bimensuel ou même trimestriel si votre SMSI est assez stable. Certainement, les revues de direction doivent avoir lieu aux dates prévues intervalles réguliers pour garantir que le SMSI reste « adapté, adéquat et efficace ».
Pour ceux qui recherchent Certification ISO 27001 de leur SMSI, il est également important de noter qu'il est nécessaire de prouver, lors de l'audit documentaire de l'étape 1, que les examens réguliers ont lieu.
At ISMS.en ligne nous suggérons des examens hebdomadaires de la direction avant l'audit de l'étape 1, car cela maintiendra votre projet de mise en œuvre sur la bonne voie, créera l'habitude et, en un mois, vous aurez accumulé suffisamment de preuves, en utilisant la méthode simple. Programme de revue de direction dans la plateforme, pour satisfaire l'auditeur.
Comment gérer les communications et les actions
En règle générale, une revue de direction impliquera la diffusion, par courrier électronique à l'avance, des invitations aux réunions, de l'ordre du jour, des preuves et des rapports à examiner ou à l'appui de la revue, ainsi que des points précédents nécessitant une action.
Au cours de l'examen, des notes peuvent être prises sur les résultats pour une rédaction et une diffusion ultérieures.
Les domaines identifiés pour des actions correctives et des améliorations devront également être documentés et confiés aux personnes qui seront chargées de mener à bien ces actions.
À chaque étape, des preuves doivent être conservées pour convaincre un auditeur externe que l'examen et les processus ont lieu et sont efficaces.
Cela représente beaucoup de courriels, beaucoup de planification et beaucoup de preuves !
Imaginez un en ligne programme de revue de direction qui a simplifié la mise en place de votre équipe ISMS Board, simple la planification des révisions et le suivi d'un agenda standard, simple le lien avec les révisions précédentes et toutes les informations nécessaires, et simple l'attribution et le suivi des actions correctives et des améliorations ?
Vous imaginez ISMS.en ligne cela simplifie la gestion de l’ensemble de votre SMSI.
Rassemblez tout dans un environnement en ligne sécurisé où vous pouvez collaborer avec des collègues, capturez les preuves requises une seule fois et accédez-y facilement avant, pendant et après l'examen.
Vous n'avez même pas besoin que tous les membres du conseil d'administration soient réunis au même endroit… menez-le en ligne et économisez du temps et des frais de déplacement !
Inclure notre Coach virtuel Programme d’orientation experte et de conseils pragmatiques dans chacune des activités requises
