OIN 27001  Contactez-nous Anglais 

Mettre en œuvre et apprendre  Ressources  Pour les consultants nous 

À propos de
Se connecter 
Comme

Base de connaissances / Mise en œuvre ISO 27001

Quel est le métier de Chief

Information Security Officer (RSSI)
selon la norme ISO 27001 ?
Dejan Kosutic     

Cela peut paraître plutôt drôle, mais la norme ISO 27001 n'exige pas qu'une entreprise Related Products
nomme un responsable de la sécurité de l'information, ou toute autre personne chargée
de coordonner la sécurité de l'information (par exemple, un responsable de la sécurité
de l'information, un responsable de la sécurité, etc.). Conformio
ISO 27001 Compliance
Cependant, cela est compréhensible : la norme ISO 27001 est rédigée de telle manière Software

qu’elle s’applique aux entreprises de toute taille et de tout secteur. Il serait donc exagéré LEARN MORE
d’exiger des petites entreprises qu’elles aient un RSSI désigné.

Que fait habituellement le RSSI ?

 1) Conformité
Mettre en œuvre et apprendre  Ressources  Pour les consultants À propos de nous  Comme
2) Documentation ISO 27001
Premium
3) Gestion des risques Documentation
4) Gestion des ressources humaines Toolkit
All Policies, Procedures,
5) Relation avec la haute direction and Records

6) Améliorations VIEW ALL

7) La gestion d'actifs

8) Tiers ISO 27001 Lead

9) Communication Auditor Course
Accredited Online
10) La gestion des incidents Training by Top Experts

11) Continuité de l'activité ENROLL NOW

12) Technique Upcoming Free Webinar

Que fait habituellement le RSSI ? PRESENTER

DEJAN KOSUTIC
Puisque la norme ISO 27001 n’exige pas le RSSI, elle ne prescrit pas non plus ce que
cette personne doit faire – c’est donc à vous de décider ce qui convient le mieux à votre
entreprise. Généralement, cette personne doit coordonner toutes les activités liées à la
sécurisation des informations dans une entreprise, et voici quelques idées sur ce que ISO 27001: An Overview of the
cette personne pourrait faire (divisées par sections ISO 27001) : ISMS Implementation Process
 Mettre en œuvre et apprendre  Ressources  Pour les consultants À propos de nous  Comme
CONFORMIO : LOGICIEL DE WEDNESDAY – MARCH
27, 2024
MISE EN CONFORMITÉ ISO
27001
Automatisez la mise en œuvre de la norme
Register Now
ISO 27001 et réduisez la bureaucratie

ESSAYEZ-LE GRATUITEMENT

Related Articles

Understanding ISO 27001 Language

Conformité: by Rhand Leal

Élaborer la liste des parties intéressées liées à la sécurité de l'information (voir

How to perform training & awareness for ISO
aussi Qui sont les parties intéressées et comment les identifier selon ISO 27001
27001 and ISO 22301
et ISO 22301 ? )
by Dejan Kosutic

Élaborer la liste des exigences des parties intéressées

Rester en contact permanent avec les autorités et les groupes d’intérêts Major vs. minor nonconformities in the
particuliers certification audit
by Dejan Kosutic
Coordonner tous les efforts liés à la protection des données personnelles

Documentation:

Proposer le projet des principaux documents de sécurité de l'information - par

exemple, la politique de sécurité de l'information , la politique de classification, la
 politique de contrôle d'accès, l'utilisation acceptable des actifs, la méthodologie
d'évaluation et de Mettre endes
traitement œuvre et apprendre
risques , la déclaration Ressources
 d'applicabilité , le  Pour les consultants
plan de À propos de nous  Comme
traitement des risques, etc.

Être responsable de la révision et de la mise à jour des principaux documents

Gestion des risques:

Apprenez aux employés à effectuer une évaluation des risques

Coordonner l’ensemble du processus d’évaluation des risques (voir aussi :

Évaluation et traitement des risques ISO 27001 – 6 étapes principales )

Proposer le choix des garanties

Proposer les délais de mise en œuvre des garanties

Gestion des ressources humaines:

Effectuer des vérifications des antécédents des candidats à un emploi

Préparer le plan de formation et de sensibilisation à la sécurité de l'information

(voir également Comment réaliser une formation et une sensibilisation aux
normes ISO 27001 et ISO 22301 )

Effectuer des activités continues liées à la sensibilisation

Réaliser une formation d'intégration sur des sujets de sécurité pour les nouveaux
employés
 Proposer des mesures disciplinaires à l'encontre des employés ayant commis la
faille de sécurité Mettre en œuvre et apprendre  Ressources  Pour les consultants À propos de nous  Comme

Relation avec la haute direction :

Communiquer les avantages de la sécurité de l'information (voir également Quatre

avantages clés de la mise en œuvre de la norme ISO 27001 )

Proposer des objectifs de sécurité de l'information (voir aussi Objectifs de contrôle

ISO 27001 – Pourquoi sont-ils importants ? )

Rapport sur les résultats des mesures

Proposer des améliorations de sécurité et des actions correctives

Proposer le budget et les autres ressources nécessaires pour protéger les

informations

Signaler les exigences importantes des parties intéressées

Informer la direction des principaux risques

Rapport sur la mise en œuvre des garanties

Conseiller les dirigeants sur toutes les questions de sécurité

Améliorations :

S'assurer que toutes les actions correctives sont effectuées

Vérifier si les actions correctives ont éliminé la cause des non-conformités

 Mettre en œuvre et apprendre  Ressources  Pour les consultants À propos de nous  Comme

La gestion d'actifs:

Tenir un inventaire de tous les actifs informationnels importants

Supprimez les enregistrements qui ne sont plus nécessaires

Éliminer les supports et équipements qui ne sont plus utilisés, de manière

sécurisée

Tiers :

Effectuer une évaluation des risques pour les activités à externaliser

Effectuer une vérification des antécédents des candidats pour les partenaires
d'externalisation
 Définir les clauses de sécurité qui doivent faire partie d’un accord
Mettre en œuvre et apprendre  Ressources  Pour les consultants À propos de nous  Comme
Communication:

Définir quels types de canaux de communication sont acceptables et lesquels ne le

sont pas

Préparer l’équipement de communication à utiliser en cas d’urgence/catastrophe

La gestion des incidents:

Recevoir des informations sur les incidents de sécurité

Coordonner la réponse aux incidents de sécurité

Préparer les preuves pour une action en justice suite à un incident

Analyser les incidents afin de prévenir leur récurrence

Continuité de l'activité:

Coordonner le processus d’analyse d’impact business et la création de plans

d’intervention

Coordonner les exercices et les tests

Effectuer une revue post-incident des plans de reprise

Technique:
 Approuver les méthodes appropriées pour la protection des appareils mobiles, des
Mettre
réseaux informatiques en œuvre
et autres etde
canaux apprendre  Ressources 
communication Pour les consultants À propos de nous  Comme

Proposer des méthodes d'authentification, une politique de mot de passe, des

méthodes de cryptage, etc.

Proposer des règles pour un télétravail sécurisé

Définir les fonctionnalités de sécurité requises des services Internet

Définir les principes de développement sécurisé des systèmes d'information

Examiner les journaux d'activités des utilisateurs afin de reconnaître les

comportements suspects

Comment documenter les responsabilités du RSSI

Comme vous pouvez le constater, les responsabilités du RSSI sont assez nombreuses,
et cette personne intervient dans plusieurs domaines très différents de votre entreprise.

Plus l'entreprise est grande, plus il devient difficile de se souvenir de toutes ces
responsabilités. Ainsi, en fonction de la taille de votre organisation, vous devez produire
un ou plusieurs documents dans lesquels vous les décrivez. Certaines entreprises ont
tendance à répertorier toutes les responsabilités du RSSI dans un seul document, ce
que je ne trouve personnellement pas très utile, car il est difficile de comprendre le rôle
de quelqu'un sans voir le processus dans lequel il s'inscrit.

Par conséquent, je pense qu'il est préférable de décrire ces responsabilités dans
plusieurs documents qui détaillent ces processus – par exemple, les responsabilités du
RSSI liées à la gestion des ressources humaines doivent être décrites dans la politique
des ressources humaines, les responsabilités liées aux incidents dans la procédure de
Mettre
gestion des incidents, etc. . en œuvre et apprendre  Ressources  Pour les consultants À propos de nous  Comme

Qui devrait être le RSSI ?

Dans les petites entreprises, le rôle de RSSI doit être exercé par quelqu'un en plus de
ses autres tâches – par exemple, si vous êtes une entreprise de 10 employés, cela
pourrait être effectué par votre administrateur de système informatique ; si vous avez
100 employés, il pourrait s'agir de votre responsable informatique. Cependant, si votre
entreprise compte quelques milliers d'employés, vous devriez avoir au moins une
personne à temps plein dédiée à ce travail, car cela consommera cette personne à plein
temps. Voir aussi : Directeur de la sécurité de l'information (RSSI) : quelle est sa place
dans un organigramme ?

Lors de la sélection d'une personne pour devenir RSSI, vos principaux critères ne
doivent pas seulement être ses connaissances en matière de technologies de
l'information. Je dirais qu'il est encore plus important que cette personne connaisse les
processus commerciaux de votre entreprise et possède de bonnes compétences
interpersonnelles.

Pourquoi est-ce? Parce que la tâche principale du responsable de la sécurité de

l’information devrait être de développer une culture de sécurité basée sur le risque dans
une entreprise. Tout comme l'un des principes sous-jacents de toutes les entreprises
est que toutes les activités doivent être rentabilisées, le RSSI doit développer un état
d'esprit similaire en matière de sécurité : toutes les activités commerciales créent un
certain niveau de risque de sécurité, et ce risque doit être atténués par des garde-fous –
afin que les entreprises puissent en bénéficier.
Pour apprendre à mettre en œuvre la norme ISO 27001 grâce à un assistant étape par
étape et obtenir toutes Mettre en œuvre
les politiques et apprendre
et procédures Ressources 
 inscrivez-vous
nécessaires, Pour les consultants
pour un À propos de nous  Comme
essai gratuit de Conformio, le principal logiciel de conformité ISO 27001.

CONFORMIO : LOGICIEL DE
MISE EN CONFORMITÉ ISO
27001
Automatisez la mise en œuvre de la norme
ISO 27001 et réduisez la bureaucratie

ESSAYEZ-LE GRATUITEMENT

AUTEU R

Dejan Kosutic
 Expert de premier plan en cybersécurité et sécurité de l'information et auteur
Mettre
de plusieurs livres, enwebinaires
articles, œuvre etetapprendre Ressources
 qu'expert
cours. En tant 
de premier Pour les consultants À propos de nous  Comme
plan, Dejan a fondé Advisera pour aider les petites et moyennes entreprises à
obtenir les ressources dont elles ont besoin pour se conformer aux
réglementations européennes et aux normes ISO. Il estime que rendre les
cadres complexes faciles à comprendre et simples à utiliser crée un avantage
concurrentiel pour les clients d'Advisera, et que la technologie de l'IA est
cruciale pour y parvenir.

En tant qu'expert ISO 27001 et NIS 2, Dejan aide les entreprises à trouver le
meilleur chemin vers la conformité en éliminant les frais généraux et en
adaptant la mise en œuvre à leur taille et aux spécificités de leur secteur.

Connectez-vous avec Déjan :

Tags: #ISO 27001, #CISO

 PREVIOUS POST NEXT POST 

ISO 22301 benefits: How to get your Asset management according to ISO

management’s approval for a business 27001: How to handle an asset

register / asset inventory
 continuity project
Mettre en œuvre et apprendre  Ressources  Pour les consultants À propos de nous  Comme

Please enter your email address to subscribe to our

newsletter like 20,000+ others
SUBSCRIBE
You may unsubscribe at any time. For more information, please
see our privacy notice.

English 

Products Resources Standards & Regulations Conseiller Aide

Conformio Articles ISO NIS 2 À propos de nous Centre d'aide

27001
Toolkits Webinars EU GDPR Pour les consultants Contactez le
ISO 9001 support
Training Courses EU MDR Carrières
ISO Partenariats
Free Downloads OIN 13485 Contacter le service
14001
commercial
Tools IATF 16949
Conditions d'utilisation
 Live Consultations ISO AS9100
45001
Mettre
Consultant en œuvre et apprendre  Ressources
ISO en  Pour les consultants À propos de nous  Comme
Directory ISO général
17025
Experta
ISO
22301
ISO
20000

Copyright ©2024 Advisera Expert Solutions Ltd.