La revue de direction : que doit-elle contenir et qui y participe ?
L'une des exigences de la section 9 de l'ISO 27001. Une fois par an, avec la direction, 2 heures. Voici l'ordre du jour qu'un auditeur accepte et qui vous sera utile comme guide pratique.
La revue de direction n'est pas une simple formalité — c'est le seul moment obligatoire dans l'année où la direction s'engage explicitement envers le SMSI. 2 heures, une fois par an.
Qui participe ?
- La direction (responsable finale du SMSI)
- Le CISO / responsable sécurité (qui peut être le dirigeant lui-même dans une PME)
- Le délégué à la protection des données (si pertinent pour le RGPD)
- Le responsable conformité (le cas échéant)
Ordre du jour (fixe)
- Retour sur la revue précédente — quelles décisions avaient été prises, lesquelles ont été mises en œuvre ?
- Évolutions du contexte externe (législation, exigences clients, paysage des menaces).
- Évolutions du contexte interne (réorganisation, nouveaux systèmes, croissance).
- Gestion des risques — état du registre des risques, top 5 des risques résiduels.
- Résultats des audits internes et externes (audits de certification, de surveillance).
- Bilan des incidents — nombre, catégories, enseignements tirés.
- État des contrôles et des revues des accès.
- Évaluation des objectifs — les objectifs de sécurité ont-ils été atteints ?
- Ressources — le SMSI dispose-t-il de suffisamment de personnel et de budget ?
- Initiatives d'amélioration pour l'année à venir.
- Liste des actions et des décisions.
Preuves
Un compte rendu comportant des décisions claires, des noms, des dates et des actions. Signé ou validé numériquement par la direction. C'est le document de référence que tout auditeur demandera à consulter.
Voir aussi : cycle PDCA, checklist pré-audit.
Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores
Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →