ISO27001 — Clause 7.2 — Les compétences

La clause 7.2 vise à garantir que les personnes qui ont un impact sur la sécurité de l’information de l’organisation possèdent les compétences appropriées et nécessaires pour accomplir correctement leurs responsabilités.

Plus précisément, la clause 7.2 exige que l’organisation :

1. Détermine les compétences des rôles: L’organisation doit identifier les compétences nécessaires pour les personnes qui ont une incidence sur le SGSI. Cela signifie par exemple avoir un profil de poste avec les compétences nécessaires.
2. Assure que ces personnes sont compétentes : lors de l’embauche ou lors de l’évaluation annuelle, il faut comparer le profil de poste, avec les compétences nécessaires, et celle de l’individu qui occupent le poste ou qui souhaitent l’occuper, en termes d’éducation, de la formation ou de l’expérience. Cette tâche s’entrecoupe avec les mesures de sécurité reliées aux ressources humaines, telles que la validation des antécédents qui pourraient inclure la validation de la formation et des diplômes.
3. Conserver les preuves de compétence : l’organisation doit conserver les informations et preuves des compétences, par exemple les diplômes, les certificats de formation, les descriptions de poste, les évaluations de performance, etc.

Exemple de directive de sécurité

Dans le cadre de mes mandats, j’utilise ce type de directive afin de documenter et communiquer une pratique cohérente de gestion des compétences d’une organisation:

1. Identification des compétences nécessaires : Tous les rôles ayant un impact sur la sécurité de l’information doivent être clairement définis, avec les compétences nécessaires pour chaque rôle clairement identifié. Ces compétences peuvent inclure des compétences techniques, des connaissances en matière de réglementation, des compétences en gestion de projet, etc. (Avoir une fiche de poste!)
2. Évaluation des compétences existantes : Pour chaque rôle, une évaluation des compétences existantes du personnel doit être effectuée. Cela doit inclure une évaluation de la formation, de l’éducation et de l’expérience du personnel. (Évaluer les compétences soit par un test ou une entrevue lors de l’embauche)
3. Plan de développement des compétences : Si des lacunes de compétences sont identifiées, un plan de développement des compétences doit être élaboré. Ce plan doit décrire les actions à prendre pour combler les lacunes de compétences, y compris la formation, le mentorat, le recrutement, etc.
4. Programme de formation en sécurité de l’information : Un programme de formation en sécurité de l’information doit être mis en place pour tous les employés, et doit être régulièrement révisé et mis à jour pour s’assurer qu’il reste pertinent et efficace.
5. Évaluation de l’efficacité de la formation : L’efficacité de la formation et d’autres actions pour combler les lacunes de compétences doit être évaluée régulièrement. Cela peut inclure des tests, des évaluations de performance, des audits de conformité, etc.
6. Documentation des compétences : Des dossiers doivent être tenus pour documenter les compétences du personnel. Le dossier de l’employer doit inclure les diplômes, l’évaluation des compétences, les qualifications, les certificats de formation, les autres évaluations de performance, etc.
7. Revues régulières : Les besoins en compétences et l’efficacité des actions pour répondre à ces besoins doivent être revus régulièrement. Cela doit inclure une revue par la direction pour s’assurer que les besoins en compétences sont adéquatement pris en compte dans le cadre du système de management de la sécurité de l’information.