Numéro d’Avis de vacance de poste : 023/2023
Titre du poste : Responsable de la sécurité de l’information (RSI)
Niveau du poste : 4A/ M
Type du contrat : CDD
Projet : Bureau
Lieu d'affectation : Kinshasa
Durée du contrat : 1 an (avec possibilité de renouveler)

Date souhaitée d’entrée en fonction : 15 août 2023
Date de clôture : 21.07.2023

Informations générales :

La GIZ, Deutsche Gesellschaft fur Internationale Zusammenarbeit, est une entreprise de la coopération internationale pour le développement durable qui opère sur tous les continents. Elle propose des solutions d’avenir pour le développement politique, économique, écologique et social dans un monde globalisé. Dans des conditions parfois difficiles, la GIZ soutient des processus complexes de changement et de réforme.

Contexte du projet

Afin de protéger toutes les informations importantes traitées par la GIZ dans le monde entier, il est nécessaire d’établir un système de management de la sécurité de l’information (SMSI). La GIZ vise à mettre en oeuvre un tel système basé sur deux standards, ISO/IEC 27001 et le BSI Baseline. Le siège se concentre sur l’établissement d’un SMSI selon la norme allemande, tandis que les bureaux de pays et projets établissent le SMSI selon la norme ISO/IEC 27001. Afin de mettre en oeuvre le SMSI dans les bureaux de pays, il est nécessaire d'avoir une personne qui assume la fonction de responsable de la sécurité de l’information (RSI).

Il y a différents rôles et fonctions pour assurer la sécurité de l’information à la GIZ. La coordination au niveau de l’entreprise est assurée par le responsable de la sécurité des systèmes d'information (RSSI) et son équipe ISM-T. Cependant, pour la mise en oeuvre et le fonctionnement de la sécurité de l'information au niveau local, il est nécessaire de créer une nouvelle fonction appelée RSI local, qui est occupée par une personne à temps plein. Le RSI local travaille en étroite collaboration avec d’autres fonctions existantes telles que les Professionnels de l’informatique (IT-Pro), les Partenaires de numérisation (Digitalization Partners- DIPA), les Chefs d’unités et la Direction du bureau de pays. Il est important de noter que les RSI ne peuvent pas être à la fois Professionnels de l’informatique (IT-Pro), Partenaires de numérisation (Digitalization Partners- DIPA) ou Chefs d’unités afin d’éviter tout conflit d’intérêt.

Au cours du projet de mise en oeuvre de système global de management de la sécurité de l’information (SMSI), l'équipe LSS-SMSI assure la direction technique, tandis que la direction disciplinaire est assurée par le niveau de gestion du bureau de pays. Le rôle de responsable de la sécurité de l’information est de servir de point de contact pour la mise en oeuvre et le management continue du SMSI local. Il/Elle est responsable du suivi des politiques et des contrôles de sécurité et possède une expertise en matière d’évaluation des risques liés à la sécurité de l’information dans le domaine concerné.

--------------------------------------------------------

A. Domaine de responsabilité

Le responsable de la sécurité de l'information assure une interaction et une communication étroites avec ISM-opérations du siège et les parties prenantes concernées (ISM-Team/DIGITS/Unité de la gouvernance de l’information). Outre l’expertise, des compétences non techniques (compétences générales) sont requises pour apporter la contribution fructueuse à la sécurité de l’information.

Les champs d'action demeurent dans les domaines suivants : organisationnel, physique, humain, technologique.

Le RSI, en tant que point focal, doit établir, mettre en oeuvre, maintenir et améliorer continuellement le système de management de la sécurité de l’information.
Le RSI est un facilitateur et un conseiller quant aux mesures documentées dans le cadre des politiques.

Pour les domaines susmentionnés, le RSI est le point focal pour les bureaux de pays et projets.

En plus des responsabilités susmentionnées, le/la titulaire du poste (le RSI) a les taches suivantes:

B. Attributions

• Responsable local de la mise en oeuvre, de la coordination, de l'amélioration continue et de l'établissement de rapports sur les performances du système local de management de la sécurité de l’information (SMSI) à l'intention de la Direction locale et le Siège/RSSI ;
• Conseiller la direction et le responsable de la mise en service sur les questions de sécurité de l’information, en particulier en ce qui concerne la mise en place et le fonctionnement d’un système de management de la sécurité de l’information ;
• Soutenir et mener des audits internes pour la mise en oeuvre des objectifs des contrôles de sécurité applicables ;
• Préparer et soutenir l'amélioration continue tout au long du cycle de certification ;
• Coordonner, créer et réviser les politiques de sécurité et les sous-concepts connexes en fonction du contexte du pays ou de la région du pays ;
• Mettre en oeuvre l’approche d’analyse des risques et réaliser l’évaluation des risques sur la base de critères de notation uniformes définis par le siège :

 - Évaluation des besoins de protection au regard des objectifs d’intégrité, de disponibilité et de confidentialité ;
- Normes GIZ pour l’élaboration du catalogue des mesures cibles et la dérivation des mesures de réduction des risques ;
- Activités de gestion et de suivi et leur mise en oeuvre.

• Planifier et coordonner la mise en oeuvre des mesures de sécurité de l’information en étroite collaboration avec la Direction et les principales parties prenantes comme (i.e. HQ-ISMT, département IT, Équipe centrale de protection des données et les Partenaires de numérisation (Digitalization Partner) ou SRMO local et projets).
• Introduire la directive de sécurité de l’information avec les politiques et les processus ;
• Soutenir la mise en oeuvre et la coordination de processus liés à la sécurité ;
• Préparer les plans de mise en oeuvre des mesures de sécurité, initier et examiner leur mise en oeuvre ;
• Initier, aligner et mettre en oeuvre des mesures de sensibilisation à la sécurité de l’information en consultation avec diverses parties prenantes (comme les professionnels IT et les Partenaires locaux de numérisation (Digitalization Partners) ;
• Enquêter en cas d'incidents de sécurité et en rendre compte au siège et à l'équipe ISM (ISM-T)
• Mettre en place un processus d'établissement de rapports sur les incidents liés à la sécurité et les investigations y afférentes ;
• Soutenir et exécuter des audits internes pour la mise en oeuvre des objectifs de contrôle de sécurité applicables, la préparation et le suivi à travers l’audit de certification et de surveillance ;
• Appuyer et maintenir la gestion des incidents :

- Appui à l’établissement d’un processus de gestion des incidents ;
- Appui à l’évaluation de l’incident et à la définition des prochaines étapes dans le bureau de pays ;
- Impliquer toutes les parties nécessaires et communiquer l'incident au RSSI/ISM-T ;
- Sécuriser les preuves après un incident de sécurité.

• Fournir des conseils et un soutien aux employés sur les meilleures pratiques en matière de sécurité de l’information ;
• Initier, aligner avec les professionnels IT et les Partenaires de numérisation (Digitalization Partner), et mettre en oeuvre des mesures de sensibilisation à la sécurité de l’information en consultation avec diverses parties prenantes (comme professionnels IT et Partenaires locaux de numérisation (Digitalization Partners) ;
• Interaction et communication étroites avec le siège ISM-Operations et les parties prenantes concernées ;
• Soutenir la mise en oeuvre et l’amélioration des programmes et des mesures de sensibilisation existants.
• Conseiller/soutenir les nouveaux projets et les projets en nouvelles phase (check-list de la SecInfo).

C. Qualifications, compétences et expérience requises

Qualification

Le RSI devrait avoir les compétences et capacités suivantes :

• Des connaissances dans le domaine de la sécurité de l'information avec des compétences méthodologiques dans la norme ISO/IEC 27001 et les normes de gestion des risques, de gestion des vulnérabilités et d'audit doivent être assurées.

Expérience professionnelle

• Une expérience dans le domaine de la sécurité de l'information avec des compétences méthodologiques dans la norme ISO/IEC 27001 et les normes de gestion des risques, de gestion des vulnérabilités et d'audit doivent être assurées.

Autres connaissances/compétences
Un aspect très important pour façonner avec succès le rôle de l’ISO réside dans les compétences générales. Ainsi, le responsable de la sécurité de l’information devrait toujours garder une vue d'ensemble, être capable de bien s'organiser et d'organiser les autres et marquer des points grâce à ses capacités d'analyse et de communication.

• Une communication et une gestion efficaces des points de contact, particulièrement les compétences en communication, sont inestimables pour obtenir l'acceptance à tous les niveaux.
• Le RSI joue souvent le rôle de modérateur/intervieweur, parfois aussi un rôle de médiateur.
• Haut degré de travail d’équipe et de coopération.
• Avoir la maitrise parfaite de la langue anglaise.
• Compétence méthodologique en : ISO/IEC 27001:2022, la gestion des risques.
• Être un travailleur fiable et proactif
• Manifester un engagement à la mission de la GIZ, à sa vision et à ses valeurs.

D. Soumission de candidatures :

Nous vous invitons à faire parvenir votre candidature (avec mention impérative du titre du poste et du n° de l’Avis de Vacance de Poste dans l’intitulé du mail) au plus tard le 21/07/2023, uniquement à l’adresse électronique suivante : recruitement-giz-rdc@giz.de

Les dossiers de candidature doivent comprendre une lettre de motivation et un CV en français avec 3 références à contacter, une copie de la carte d’identité, photocopie des diplômes. N’oubliez pas de préciser votre adresse électronique et votre numéro de téléphone.

Seul(e)s les candidat(e)s sélectionné(e)s pour une interview seront contacté(e)s.

NB : les candidatures féminines sont particulièrement encouragées.