Même les programmes de sécurité les mieux conçus rencontrent des écarts. Que faire dans ces situations ?

Qu'est-ce que la clause 10.2 exige concrètement ?

La clause 10.2 de la norme ISO 27001:2022 demande que les organisations développent et maintiennent un processus pour traiter les non-conformités au programme de sécurité.

Concrètement, cela implique d'identifier et d'évaluer les écarts par rapport aux exigences de la norme ou aux politiques internes, d'en analyser les causes profondes à l'aide d'outils comme la méthode des "5 Pourquoi", de définir et prioriser des mesures correctives adaptées, de documenter chaque étape dans des registres appropriés et d'évaluer régulièrement l'efficacité des solutions implantées.

La perfection n'existe pas, mais l'amélioration continue permet de toujours avancer.

Procédure de gestion des Non-Conformités

Cette procédure vise à décrire les étapes à suivre pour identifier, traiter et prévenir les non-conformités dans le cadre du SGSI, assurant ainsi la conformité avec la clause 10.2 de l'ISO 27001:2022.

Responsabilités :

Auditeurs, gestionnaires ou responsables opérationnels : Surveillent et signalent les non-conformités.

Responsable de la sécurité de l'information : Analyse les causes, planifie les actions correctives et en suit l'exécution.

Direction : Valide les actions correctives et assure leur alignement avec les objectifs stratégiques.

Étapes de la procédure de gestion des non-conformités

a) Identification :

Surveillez régulièrement les processus et effectuez des audits internes ou externes pour repérer les écarts.

c) Analyse des causes :

La méthode des "5 Pourquoi" est une approche simple mais puissante pour identifier les causes profondes d'une non-conformité.

Documentation

Documentez les détails de chaque non-conformité dans un registre formel incluant un identifiant unique, une description détaillée, la clause concernée, la date de détection, la cause racine identifiée, et les plans d'action.

Je vous invite à cliquer sur "Follow" pour continuer d'en apprendre plus sur le domaine de la sécurité de l'information.