Exigence 27001 de la norme ISO 5.1 – Leadership et engagement

Qu’implique l’article 5.1 ?

Cette clause identifie les aspects spécifiques du système de management pour lesquels la haute direction est censée faire preuve à la fois de leadership et d'engagement. Ceux-ci incluent, sans toutefois s'y limiter :

• Responsabilité de l'efficacité du système de gestion ;
• S'assurer que la politique et les objectifs sont établis et compatibles avec le contexte et l'orientation stratégique de l'organisation ;
• S'assurer que l'intégration du système de gestion est intégrée aux processus d'affaires ;
• Promouvoir l’utilisation de l’approche processus et de la réflexion basée sur les risques
• Veiller à ce que des ressources adéquates soient en place ;
• S'assurer que le système de gestion atteint les résultats escomptés ;
• Engager, diriger et soutenir les personnes pour contribuer à l’efficacité du système de gestion

L’importance de l’engagement des dirigeants

Si les dirigeants ne sont pas activement impliqués, par exemple s'ils ne participent pas aux revues de direction ou ne peuvent pas démontrer à l'auditeur externe qu'un représentant de la direction prend la situation au sérieux lors d'un audit, l'organisation échouera presque certainement. Les auditeurs parlent de l'esprit de la norme ISO 27001 venant d'en haut et s'ils ne le voient pas, ils examineront probablement la situation de manière beaucoup plus approfondie et sceptique au cours de l'audit.

Comme cela a été dit à plusieurs reprises auparavant, la gestion de la sécurité de l'information est une philosophie critique pour l'entreprise et doit être compatible avec les objectifs et les processus commerciaux d'une organisation pour qu'elle fonctionne dans la pratique. Sans le soutien de la direction ou sans l’obligation d’accomplir 25 choses avant que quelqu’un n’accomplisse réellement le travail qu’il souhaite accomplir, le parcours ISO 27001 aura du mal à démarrer.

Être capable de démontrer cet engagement des dirigeants est essentiel pour la clause 5.1, et c'est là qu'un système de gestion de la sécurité de l'information plus sérieux entre en jeu, qui à la fois prouve l'engagement des dirigeants à investir dans un SMSI et a la preuve qu'ils ont été impliqués, par exemple dans les revues de direction et plus largement. Prise de décision SMSI ainsi que les audits externes annuels requis pour la norme ISO 27001. Si un comptable financier statutaire voyait toute la comptabilité financière simplement effectuée avec des feuilles de calcul au lieu d'une application comptable professionnelle, il pourrait remettre en question son intégrité et passer plus de temps que si le travail était effectué. avec xero, sage ou une autre solution reconnue. Il en va de même pour la gestion de la sécurité de l’information. Utiliser les bons outils et impliquer les bonnes personnes engendre la confiance.

La mise en place de ces fondations rend cette clause facile à démontrer et la conformité nécessite simplement des preuves documentées sous forme de notes pour renforcer que le leadership et l'engagement sont en place et répondre aux points de la clause 5.1 ah de la norme ISO 27001. Toutes les parties du SMSI intégré le montreront ensuite dans la pratique.

Simplifiez-vous les choses avec ISMS.online

Nous avons inclus un modèle de politique avec une suggestion de déclaration que les organisations doivent adopter ou adapter concernant ce que la haute direction fait autour et au sein du SMSI. Il est lié aux domaines dans lesquels la haute direction sera généralement impliquée, ce qui permet aux auditeurs d'accéder très facilement aux preuves dont ils ont besoin.

Cela inclut l'utilisation du service logiciel ISMS.online pour prouver que des réunions d'examen de la direction ont eu lieu, qui incluent l'évaluation de la façon dont le SMSI fonctionne par rapport à ses objectifs déclarés, ce qui peut être facilement démontré dans le logiciel ISMS.software et montrer que la haute direction a été impliqué. Qu'ils approfondissent le fonctionnement du SMSI, par exemple en s'appropriant des risques liés à la sécurité de l'information, en participant à des audits de sécurité, en examinant les meilleures pratiques en matière d'assurance de l'information et en évaluant les problèmes de confidentialité en cours dans l'organisation et en gérant les incidents de sécurité, cela dépendra probablement de l'organisation. taille et ressources investies.