ISMS Copilot
Documentation du SMSI

Séparation des tâches (SoD)

La séparation des tâches (Segregation of Duties - SoD) réduit le risque d'erreurs, de conflits d'intérêts et de décisions sans surveillance en garantissant que les activités critiques du SMSI ne sont pas gérées et approuvées par la même personne.

Pourquoi la SoD est importante dans un SMSI

La norme ISO 27001 exige des rôles définis, une responsabilité claire et une surveillance indépendante pour les activités clés du SMSI. Lorsque les responsabilités se chevauchent, l'organisation doit reconnaître le risque de gouvernance et démontrer comment il est géré.

Notre situation actuelle

En tant que petite organisation, la personne qui met en œuvre le SMSI fait également partie de la haute direction et effectue la revue de direction. Cela crée un risque lié à la séparation des tâches car la conception, l'exécution et la revue ne sont pas totalement indépendantes.

Approche de traitement des risques

Nous traitons cela comme un risque documenté et accepté dans notre registre des risques. Compte tenu de notre taille et de nos ressources actuelles, nous acceptons cette limitation tout en mettant en œuvre des contrôles compensatoires et en planifiant des mesures d'atténuation futures à mesure que nous grandissons.

Contrôles compensatoires

  • Processus formel de revue de direction avec un ordre du jour structuré et des résultats documentés

  • Documentation explicite du conflit et de la justification de son acceptation

Mesures d'atténuation prévues

  • Recrutement et expansion de l'équipe pour séparer les rôles de gouvernance et d'exécution

  • Délégation de la propriété des contrôles lorsque cela est possible

  • Apport externe ou revue indépendante périodique pour réduire les biais

Lorsque la SoD est limitée, la transparence est primordiale : le risque, la justification et le plan d'atténuation doivent être explicitement documentés.

Preuves que nous conservons

  • Entrée dans le registre des risques pour le risque SoD (statut, propriétaire, plan de traitement, justification de l'acceptation)

  • Comptes rendus de revue de direction montrant la reconnaissance du risque et les actions de suivi

  • Documentation de tout apport externe ou des vérifications indépendantes effectuées

Cela vous a-t-il été utile ?