Exigence 27001 de la norme ISO 5.3 – Rôles et responsabilités organisationnels

Qu’implique l’article 5.3 ?

Tout simplement, la norme ISO 27001 cherche à clarifier et à se concentrer sur les éléments clés du SMSI : qui est responsable de l'ensemble, qui est responsable de certaines parties, toutes les bonnes et logiques pratiques commerciales. Vous devez démontrer que certains rôles (pas nécessairement des personnes) existent, ont été nommés par la haute direction et qu'ils sont communiqués aux parties intéressées concernées et clairement documentés afin qu'il n'y ait aucune ambiguïté. L'exigence ici est d'un niveau assez élevé et est facile à documenter, et s'adapte également à d'autres parties du système de gestion de la sécurité de l'information, par exemple les propriétaires des risques de sécurité dans 6.1, les propriétaires d'objectifs info sec dans 6.2, etc.

Ainsi, une personne peut assumer plus d'un rôle et vous pouvez unifier le travail, par exemple en ayant un conseil d'administration qui supervise tout pour aider à démontrer les évaluations de direction conformément à 9.3 et à rejoindre totalement le système de gestion de la sécurité de l'information. Expliquez simplement qui est responsable de quoi. Pensez aux rôles en pensant aux parties intéressées ainsi qu’à la prestation pratique. Par exemple, le rôle de RSSI (Chief Information Security Officer) pourrait impliquer auprès de vos clients que vous prenez la sécurité des informations au sérieux et cela pourrait être effectué par un cadre supérieur en plus de son travail quotidien, ou si dans une organisation plus grande, cela pourrait être un rôle à part entière. -un rôle temporel à part entière.

Vous pouvez également choisir d'avoir un TISO (Technical Information Security Officer), ou équivalent, qui serait plus technique et capable de se concentrer sur ces aspects du SMSI si les autres rôles sont assumés par des personnes plus commerciales/stratégiques. Voir l'annexe A 6.1.1 (sur l'organisation de la sécurité de l'information) et assurez-vous d'aligner cette exigence avec ce contrôle de l'annexe A.

La norme ISO 27001 cherche spécifiquement à clarifier les rôles et responsabilités pour :

• S'assurer que le système de gestion de la sécurité de l'information est conforme aux exigences de l'Organisation internationale de normalisation
• Le reporting des performances du SMSI (ce qui est beaucoup plus facile quand tout est au même endroit)

Il se pourrait bien qu'un cadre supérieur soit responsable du SMSI dans le cadre de l'engagement de la direction en faveur de la sécurité de l'information (5.1), mais il peut bien sûr en déléguer la gestion à d'autres membres de l'organisation, ou sous-traiter à des parties spécialisées comme le virtuel. CISO, autour duquel de nombreux partenaires d'ISMS.online proposent des services. N'oubliez pas de le documenter !

Simplifiez-vous les choses avec ISMS.online

La plateforme ISMS.online permet à la haute direction d'établir facilement une politique de sécurité de l'information cohérente avec l'objectif et le contexte de l'organisation.

Votre SMSI comprendra une politique de sécurité des informations prédéfinie qui pourra facilement être adaptée à votre organisation. Cette politique sert de cadre pour revoir les objectifs et comprend des engagements pour satisfaire à toutes les exigences applicables et améliorer continuellement le système de gestion. Cette politique peut facilement être partagée avec les parties intéressées et soumise à des appels d'offres ou à d'autres communications externes.