Les ressources sont définies d’une manière générale comme les personnes, le capital et les fournitures nécessaires à l’atteinte des objectifs d’un projet. En ce qui concerne les Systèmes de Gestion de la Sécurité de l’Information (SMSI), elles concernent l’ensemble des besoins pour mettre en œuvre le système d’information. Les ressources sont également essentielles pour générer de l’information et permettre aux organisations d’atteindre leurs objectifs en matière de sécurité. Il est donc essentiel que les dirigeants connaissent l’importance et les caractéristiques de chacune de ces ressources. La clause 7.1 de la norme ISO 27001 prévoit les exigences auxquelles les organisations doivent se conformer pour estimer leurs besoins en ressources. Cet article aborde les différentes catégories de ressources essentielles à un SMSI et les étapes pour estimer le besoin en ressources afin d’atteindre les objectifs de sécurité de l’organisation.

Les exigences de la clause 7.1 pour la planification des ressources

La clause 7.1 de la norme ISO 27001 exige des organisations la fourniture des ressources adéquates pour maintenir et améliorer continuellement leur SMSI. Cette clause cherche à mobiliser les bonnes ressources, les bonnes personnes et la bonne infrastructure au profit du SMSI. Pour cela, elle fournit des informations sur le choix et l’attribution des ressources de manière rationnelle. Planification de l allocation des ressources

Source : riskwatch

En effet, la clause 7.1 exige que la fourniture des ressources soit proportionnelle aux besoins du SMSI. Par exemple, il n’est pas essentiel de fournir les ressources à plein temps, mais seulement au bon moment. De plus, les rôles et les responsabilités des personnes impliquées doivent être également clairement définis. Cela implique que toutes les personnes remplissant un rôle dans le SMSI doivent être compétentes dans leurs rôles.

Les catégories de ressources nécessaires au SMSI

La clause 7.1 recommande que les différentes catégories de ressources soient alignées sur la politique du SMSI des organisations et correspondent à leurs besoins. Les categories de ressources necessaires au SGSI

  • Les personnes : Il s’agit des personnes nécessaires pour conduire et mettre en œuvre les activités ;
  • Le temps : c’est le délai nécessaire pour mettre en œuvre les activités et le temps nécessaire pour observer les résultats afin de faire des propositions de remplacement ;
  • Les ressources financières : elles permettent de faire des investissements, mettre en œuvre et de développer ce qui est nécessaire ;
  • Les informations : elles permettent d’appuyer les décisions, de mesurer l’efficacité des actions entreprises et d’améliorer les connaissances.
  • Les infrastructures : Il s’agit de l’environnement physique de l’organisation. Il doit être apprêté pour fournir des niveaux de sécurité proportionnels aux risques que l’organisation court. Elles comprennent les équipements, la technologie, des outils et matériaux.

Comment Protectam vous aide-t-il à identifier le besoin en ressource de votre SMSI ?

La norme ISO 27001 consacre seulement deux lignes à la clause des ressources. Mais en réalité, les exigences en termes de ressources sont évoquées dans toute la norme. Chez Protectam, nous vous aidons à trouver exactement les ressources nécessaires et les ressources disponibles ainsi que les actions adéquates pour garder votre SMSI plus performante. Protectam Prestation de qualite La clause 5.3 par exemple recommande aux organisations de s’assurer que les rôles pertinents soient attribués et communiqués.

Les principaux rôles essentiels au SMSI

Pour attribuer les responsabilités, les organisations doivent au préalable identifier les activités auxquelles elles sont liées. Ces activités sont entre autres :

  • Coordonner l’établissement, la mise en œuvre, la maintenance, les rapports de performance et l’amélioration du SMSI ;
  • Donner des conseils afin d’évaluer et de traiter les risques de sécurité ;
  • Concevoir les processus du SMSI ;
  • Fixer des normes concernant la détermination, la configuration et le fonctionnement des contrôles de sécurité des données ;
  • Gérer les incidents de sécurité de l’information ;
  • Examiner et auditer le SMSI.

Les organisations désignent ensuite les personnes qui doivent accomplir chacune des tâches ci-dessus en fonction de leur compétence.  Roles essentiels au SGSI

Source : advisera

On retrouve généralement :

  • Le propriétaire du SMSI : c’est souvent un cadre supérieur ;
  • Les membres de la direction, peu importe leurs fonctions ;
  • La personne responsable du SMSI dans l’organisation ;
  • Les personnes responsables de diverses activités opérationnelles affectant la sécurité de l’information. Il s’agit du personnel de support opérationnel comme les équipes de support serveur et réseau, le personnel du centre de services et le personnel de gestion des ressources humaines ;
  • L’auditeur interne du SMSI ;
  • La personne chargée de s’assurer que le SMSI est conforme à la norme.
  • La personne chargée de rendre compte de la performance du SMSI à la direction générale.

Ressources nécessaires à l’évaluation des performances

Les clauses 9.1 et 9.2 de la norme ISO 27001 exigent que les organisations définissent les ressources pour la mise en œuvre et la maintenance. Ressources necessaires a l evaluation des performances

Source : pyx4

Il s’agit de spécifier les ressources pour :

  • La mesure ;
  • Le contrôle ;
  • Évaluation de l’efficacité des mesures de surveillance.

Quant aux clauses 10.1 et 10.2, elles exigent que les organisations identifient les ressources à fournir en vue de résoudre les problèmes de sécurité et d’atteindre les objectifs. Aux vues de tout ceci, il est crucial de prendre en compte dans la planification des ressources comme le stipule la clause 7.1, les clauses :

  • Clause 5.3 ;
  • Clause 9.1 ;
  • Clause 9.2 ;
  • Clause 10.1 ;
  • Clause 10.2.

En plus de vous accompagner dans l’identification des ressources nécessaires, Protectam vous aidera à réaliser les différentes étapes de la planification des ressources.

Les différentes étapes pour planifier les ressources

La planification des ressources s’effectue en cinq tâches. es différentes etapes pour planifier les ressources

Source : slidesharecdn

  • Estimer quantitativement et qualitativement ce qui est nécessaire à toutes les activités liées au SMSI de l’organisation ;
  • Acquérir les ressources nécessaires ;
  • Fournir les ressources indispensables ;
  • Maintenir ce qui est nécessaire à chacune des activités spécifiques de l’ensemble du SMSI ;
  • Examiner les progrès notamment les ressources fournies par rapport aux besoins afin de les ajuster en cas de nécessité.

Conclusion

Au terme de cet article, il convient de retenir que la planification des ressources s’effectue dans de nombreuses phases du cycle de vie du SMSI. Les différentes ressources s’utilisent à des fins différentes et généralement pas aux mêmes moments.  La planification des ressources permet d’acquérir les ressources et de les mettre à disposition du SMSI au moment idéal. La bonne planification des ressources favorise l’atteinte des objectifs de sécurité des organisations.