Qu’est ce que la fonction « RSMSI » ?
Le Responsable SMSI est aussi appelé RSSI « fonctionnel ». Il travaille de concert avec le RSSI « technique ». Son rôle est essentiel pour le bon fonctionnement du SMSI. En effet une entreprise certifiée 27001 se doit de conserver la résilience de son système de management et la Direction doit affirmer son engagement en faveur du SMSI en :
- « S’assurant que les ressources nécessaires pour le SMSI sont disponibles (§5.1c) »
- « S’assurant que le SMSI produit les résultats attendus (§5.1e) «
La Direction doit également désigner qui a la responsabilité et l’autorité pour
- S’assurer que le système de management de la sécurité de l’information est conforme aux exigences » (§5.3a)
- Rendre compte des performances du SMSI (§5.3b) et des opportunités d’amélioration (9.3f).»
C’est le rôle du Responsable SMSI dont les principales missions sont :
- Garantir de la conformité du SMSI à la norme ISO 27001.
- Garantir de la bonne application des règles de sécurité au sein de la DSI
- Coordonner le comité SMSI
- Établir le calendrier permanent du SMSI et le (faire) respecter
- Maintenir à jour le corpus documentaire
- Préparer/animer les revues de direction
- Préparer/soutenir les audits
Pourquoi externaliser la fonction de Responsable SMSI ?
Plusieurs raisons peuvent vous amener à externaliser cette fonction :
- Une entreprise n’a pas nécessairement le temps ou les compétences en interne pour le suivi du SMSI.
- Un plein temps pour cette fonction est peut-être disproportionné
- Et inversement votre RSSI doit rester concentrer sur ses missions opérationnelles
- Une externalisation de la fonction amène de la flexibilité
L’externalisation en pratique
L’externalisation peut être totale ou partielle.
Dans le cadre d’une externalisation totale, la première étape consistera à établir la matrice de responsabilités entre le RSMSI, le RSSI et les différents organes de direction et de pilotage de l’entreprise.
La seconde consistera à établir un calendrier permanent annuel du SMSI.
Dans le cadre d’une externalisation partielle, l’accompagnement prendra la forme d’ateliers de travail sur différentes thématiques telles que :
- Cartographier les processus du périmètre ISO
- Préparer une revue de direction
- Définir les indicateurs
- Mettre en place le processus de veille réglementaire
- Mettre en place le processus RH
- Etc.
Dans tous les cas, une étape d’initialisation sera nécessaire pour prendre en compte le contexte et le corpus documentaire.
KyNeo est spécialisée dans l’accompagnement POST Audit des SMSI. N’hésitez pas à me contacter pour toute information.