Les actifs informationnels sont un atout clé pour la croissance de toutes les entreprises. Pour garder une longueur d’avance sur la concurrence et entretenir leurs réputations, elles doivent pouvoir les protéger contre la perte de données et des cyberattaques.
Fort heureusement, la norme ISO 27001 fournit un cadre général qui permet à toutes les organisations de réduire leurs risques et de sécuriser efficacement leurs actifs informationnels.
Cette norme qui est la référence en matière de sécurité de l’information préconise la création d’un Système de Gestion de Sécurité Informationnelle (SGSI).
La clause 9.3 encourage la direction à évaluer régulièrement la performance de son système. Elle traite des exigences de la norme pour la revue de direction et le respect de ces exigences est fondamental à l’obtention de la certification ISO 27001.
Dans cet article, nous découvrons ensemble les exigences de la clause pour la revue de direction et comment mettre en œuvre cette opération correctement.
Pour finir, nous parcourons les non-conformités liées à cette clause et nos solutions pour s’en débarrasser.
Table of Contents
Qu’est-ce que la clause 9.3 de l’ISO 27001 ?
La clause 9.3 aborde les attentes de la norme ISO 27001 pour la revue de direction. À l’instar de l’audit interne, la direction examine à intervalles planifiés le SGSI. Cette revue aide les organisations à garantir la pertinence et l’efficacité continue du système.
Elle permet de vérifier aussi l’adéquation du système qui n’est rien d’autre que l’alignement continu avec les objectifs de l’organisation et les exigences de la norme. C’est un processus qui se met en œuvre à tous les niveaux dans un organisme.
Source : qhse
La réalisation de la revue de direction relève de la responsabilité de la direction avec la contribution de tous les départements de l’organisation.
La revue de la direction peut aussi prendre la forme d’un comité de SGSI, un groupe de cadre chargé de superviser les questions relatives à la sécurité de l’information. À ce titre, le comité comprend :
- La personne en charge de la sécurité de l’information ;
- Les représentants qui gèrent le SGSI ;
- Autres cadres supérieurs.
Les responsabilités liées à la revue de la direction ne sont pas à temps plein. Cependant, les rôles et les pouvoirs des participants doivent être définis clairement.
La revue de direction est une activité qui intervient souvent à la fin de l’audit interne de manière à se servir des résultats de cette opération. La clause aussi des organisations, la conservation des informations documentées à titre de preuve des résultats de cette activité.
Qu’est-ce que la clause 9.3 de l’ISO 27001 recommande d’inclure dans la revue de direction ?
Pour mettre en œuvre la revue, l’organisation prend en compte les exigences de la clause 9.3. Ces exigences fournissent un cadre qui favorise la mise en œuvre des revues efficaces et la prise des décisions stratégiques les mieux adaptées aux besoins des organisations.
Source : vectorstock
Étant donné que la revue de direction cherche à évaluer la performance du SGSI, elle examine les différentes mesures et les différents rapports. La revue de direction prend en compte généralement :
- L’état des lieux des actions des revues passées ;
- Les changements observés au sein de l’organisation et à l’extérieur qui sont susceptibles d’affecter la sécurité de l’information ;
- Les non-conformités et les mesures prises pour les corriger ;
- Le bilan l’opération de surveillance et celle de mesure ;
- Les résultats issus de l’audit interne ;
- La réalisation des objectifs de sécurité ;
- Les réactions des parties intéressées ;
- Les résultats d’évaluation de risques et l’état du plan de leur traitement.
Quant aux résultats de la revue de direction, ils inclurent :
- Les possibilités d’amélioration continue ;
- Les besoins de modification du plan d’action ;
- Les éventuels besoins de modification du GSI.
Quelle est l’importance de la revue de direction de la clause 9.3 pour l’ISO 27001 ?
Pour appréhender l’importance de la revue de la direction, nous devons nous intéresser à son objectif. Elle est d’abord mise en œuvre pour satisfaire l’auditeur de la certification.
Source : freepik
Cependant, c’est une occasion offerte à la direction pour participer activement à la sécurité de l’information. La clause 9.3 cherche à amener les cadres supérieurs des organisations à prendre des décisions qui influencent considérablement les SGSI.
C’est pourquoi la revue de direction doit s’assurer que le SGSI avec ses objectifs reste adéquat et efficace vis-à-vis des risques liés aux actifs informationnels.
Quelle est la fréquence préconisée par la clause 9.3 pour la revue de direction ?
La clause 9.3 n’exige pas de fréquence pour la tenue des revues de direction. Mais pour accroître l’efficacité du SGSI, ces réunions doivent avoir lieu fréquemment lorsqu’il y a d’importants changements susceptibles d’affecter la sécurité de l’information.
Source : freepng
La fréquence dépendra aussi du besoin de la direction de surveiller le succès de son SGSI. La fréquence minimale requise est une fois par an. Plus l’intervalle est important, plus le travail de la revue de direction sur la période précédente sera également important.
Par ailleurs, lorsque l’écart est trop grand entre les réunions de revue de direction, les risques augmentent et il devient de plus en plus difficile de les identifier. Pour cela, la revue de la direction peut se tenir de façon :
- Mensuelle ;
- Bimensuelle ;
- trimestrielle.
Dans le cadre de l’obtention de la certification ISO 27001 où il faut prouver à l’étape 1 que les revues régulières ont lieu, il est beaucoup plus intéressant de procéder à des revues de direction hebdomadaire.
Source : freepik
Ceci permet de prendre l’habitude de le faire fréquemment et d’accumuler beaucoup de preuves en très peu de temps. Il est aussi important de séparer les réunions ordinaires de la direction des réunions de la revue.
En effet, la revue de la direction est distincte de la haute direction et il est évident que cette dernière se réunit déjà régulièrement pour ses activités de routine. En séparant les deux, les organisations évitent tous conflits ou toutes négligences en termes de sécurité de l’information.
Comment gérer les communications pour les actions de la revue de direction pour la clause 9.3 de l’ISO 27001 ?
Les exigences de l’ISO en termes de communication sont abordées dans la clause 7.4. En ce qui concerne les revues de la direction, les organisations peuvent envoyer les informations relatives à la réunion aux membres du Comité par courrier électronique à l’avance.
Il s’agit :
- De l’ordre du jour ;
- Des preuves ;
- Des rapports à examiner ;
- Des points précédents qui nécessitent une action.
Au cours de la revue, il est nécessaire de prendre des notes des analyses et des évaluations pour la documentation ainsi que pour les prochaines réunions.
Source : rocketcdn
Les composants du SGSI qui requièrent des actions correctives et d’amélioration doivent également être documentés. Ces actions seront confiées à des personnes compétentes qui pourront bien les mettre en œuvre.
Comment tirer meilleure partie des revues de direction de la clause 9.3 de l’ISO 27001 ?
La revue de direction n’est pas seulement une case à cocher pour le plaisir des auditeurs de la certification. Lorsqu’elle est bien réalisée, elle profite pleinement à votre organisation.
Source : istockphoto
Quelle que soit l’approche que vous décidez d’adopter pour cette activité, les astuces ci-dessous peuvent vous aider à en tirer profit.
Limitez le nombre de participants
Il est important que l’ensemble de l’organisation soit impliquée et consciente de vos pratiques SGSI, mais il n’est pas nécessaire d’avoir beaucoup de participants pour recueillir un maximum d’avis.
Trop d’avis peuvent rendre difficile la revue et c’est toujours mieux d’avoir un petit groupe de personnes. Ces dernières peuvent consulter leurs collègues pour avoir des informations supplémentaires au besoin.
Conservez les procès-verbaux
Comme mentionné précédemment, la conservation des informations documentées est l’une des exigences de la clause 9.3 et elle est une preuve de la réalisation effective de la revue de direction.
Source : vectorstock
De plus, elle permet d’avoir un historique des revues et de se souvenir des sujets abordés ainsi que des décisions prises à propos de chacun d’eux.
Fournissez un résumé
Produire un résumé de la revue de direction est une bonne pratique qui permet aux participants d’avoir un aperçu des échanges. Le résumé se produit à la fin de la réunion et peut être distribué par courriel à tous les participants.
Les causes des non-conformités liées à la clause 9.3 de l’ISO 27001
Les causes de non-conformité liées à cette clause sont diverses, mais se reposent principalement sur le fait que les points clés énumérés précédemment pour la revue de direction ne sont pas abordés.
Pour éviter cela, le comité doit toujours prendre le soin de les inscrire à l’ordre du jour afin de s’assurer qu’ils sont abordés. Lorsque la revue de direction n’a pas du tout lieu, les non-conformités sont dites majeures.
Il est aussi capital de tenir compte de la qualité et de l’exactitude des procès-verbaux. En effet, les auditeurs de certification doivent pouvoir déterminer ce qui a été discuté et les résultats. Dans le cas contraire, ils ne disposent pas de preuves objectives que la revue de direction est réalisée.
Comment Protectam vous aide-t-il à éliminer les non-conformités liées à la clause 9.3 de l’ISO 27001 ?
Plus qu’une simple question de conformité, la revue de la direction simplifie la mise en œuvre d’un SGSI et renforce la sécurité de l’information afin de vous permettre d’augmenter votre crédibilité auprès de vos clients.
Nous mettons à votre disposition notre expertise en matière de sécurité de l’information pour vous guider dans chacune des étapes de la mise en œuvre de la norme ISO 27001.
De par notre accompagnement, nous vous aidons à adopter les bonnes pratiques de conformité dans vos démarches. Nos spécialistes vous assistent avec des outils adéquats en vue de rendre la mise en œuvre des exigences de la norme plus facile.
Ils vous aident à détecter les problèmes de non-conformité liée à la clause 9.3, mais aussi à l’ensemble de votre SGSI pour vous permettre d’obtenir la certification à votre première tentative.
Conclusion
De tout ce qui précède, la revue de direction consiste à examiner le SGSI à des intervalles planifiés dans le but de s’assurer qu’il demeure adapté, adéquat et efficace. Cette opération relève de la responsabilité de la direction qui forme un comité à cet effet.
- Ce comité examine pendant la revue de direction :
- Les actions de la revue précédentes qui sont toujours en cours ;
- Les questions internes et externes pertinentes aux SGSI ;
- La performance globale du SGSI.
Le résultat final de la revue porte sur les changements nécessaires au SGSI et des actions pour son amélioration continue. La clause recommande également de documenter tous les détails et les données de la revue de direction comme preuve des activités mises en œuvre.
Protectam vous aide à éliminer toutes les non-conformités liées à la clause 9.3. Grâce à notre accompagnement, vous pourrez réussir toutes les étapes de la certification au premier coup et obtenir l’ISO 27001.
Commentaires récents