La clause 7.2 vise à garantir que les personnes qui ont un impact sur la sécurité de l'information de l'organisation possèdent les compétences appropriées et nécessaires pour accomplir correctement leurs responsabilités.

Plus précisément, la clause 7.2 exige que l'organisation :

  1. Détermine les compétences des rôles: L'organisation doit identifier les compétences nécessaires pour les personnes qui ont une incidence sur le SGSI.
  2. Assure que ces personnes sont compétentes : lors de l'embauche ou lors de l'évaluation annuelle, il faut comparer le profil de poste avec les compétences nécessaires.
  3. Conserver les preuves de compétence : l'organisation doit conserver les informations et preuves des compétences, par exemple les diplômes, les certificats de formation, les descriptions de poste, les évaluations de performance, etc.

Critères de succès

  1. Présentez les compétences associées aux différents rôles de l'organisation?
  2. Comment les compétences ont-elles été évaluées lors de l'embauche?
  3. Pouvez-vous montrer des preuves des compétences de votre personnel?