Bonjour,
Nous avons une interrogation sur une exigence de l’ISO27001.
C’est concernant la notion de « indépendantes » du point ci-dessous :
18.2 Revue de la sécurité de l’information
18.2.1 Revue indépendante de la sécurité de l’information
Il convient de procéder à des revues régulières et indépendantes de l’approche retenue par l’organisation pour gérer et mettre en œuvre la sécurité de l’information (à savoir le suivi des objectifs, les mesures, les politiques, les procédures et les processus relatifs à la sécurité de l’information) à intervalles définis ou lorsque des changements importants sont intervenus.
Selon vous, est ce que cela correspond à de l’audit externe ou le RSSE peut il mener lui-même la revue ?
A bientôt
Cordialement.
Bonjour Avente,
Premier élément de réponse : pas que... et non 😊
Voici un peu plus d’explications :
l'audit interne peut être l'un des éléments, mais ne peut être le seul, de cette revue.
le principe de cette revue, un peu comme la revue de Direction (certains organismes intègrent la revue de l'approche retenue dans la revue de Direction), est de prendre du recul par rapport à l'ensemble des éléments témoignant de la performance de l'approche en matière de sécurité de l'information. Cela doit donc intégrer les résultats, la conformité (l'audit interne donc), les évènements et leur traitement, le système déployé, etc, pour en valider l'adéquation.
si le RSSE que vous citez est l'équivalent de la personne en charge du système de management de la sécurité du système d'information (RSSI, Responsable Qualité, Officier de sécurité ou équivalent) il peut mener la revue, l'animer, mais pas seul. En effet, sa fonction est une résultante de "l'approche retenue" et il n'est pas possible d'en assurer l'indépendance. Cette revue doit donc "embarquer" d'autres fonctions décisionnelles ou consultatives internes et/ou externes qui seront à même, cas échéant, d'identifier des besoins de correction ou d'amélioration dans l'approche retenue, dans les responsabilités et compétences en œuvre et sur d'autres aspect encore.
cette exigence 18.2.1 devient, dans la version 2022 de la norme ISO 27001, l'exigence 5.35. Un peu plus explicite, elle impose désormais la révision plus que la revue. Cela n’a pas l’air de grand-chose, mais change légèrement ses interprétations possibles et rend son application un peu plus simple.
Très cordialement,