La clause 9.3 de la norme ISO 27001:2022 explique comment réaliser la revue de direction qui est une étape importante pour s'assurer que le Système de Gestion de la Sécurité de l'Information (SGSI) fonctionne bien et continuer l'amélioration en continu du programme de sécurité.
Cette rencontre est le moment pour les équipes opérationnelles de rendre des comptes à la direction.
Objectif de la Revue de Direction
Spécifiquement, la clause 9.3 demande à la direction de réaliser à des "intervalles planifiés" une revue du SGSI pour évaluer sa pertinence, son adéquation, et son efficacité.
Je suggère, par exemple, tous les quatre ou six mois, afin que l'équipe et la direction disposent du temps nécessaire pour revoir les résultats des audits, discuter des incidents de sécurité récents, et planifier les actions correctives nécessaires.
Éléments d'une Revue de Direction:
- Suivi des Actions Précédentes
- Changements Internes et Externes
- Évaluation des Performances du SGSI
- Retour des Parties Prenantes
- Résultats de l'Évaluation des Risques et du Plan de Traitement des Risques
- Non-conformités et Actions Correctives
- Opportunités d'Amélioration
Critères de Succès d'une Revue de Direction
- Avez vous conservé les minutes de la dernière réunion?
- Quelle décisions ont été prises lors de la dernière réunion?
- Les actions correctives ont-elles été mises en œuvre et vérifié avec succès?
- Les parties prenantes ont-elles été consultées et leurs besoins pris en compte ?
- Quand est prévue la prochaine rencontre ?