Comment éviter les erreurs courantes d’audit interne ISO 27001

Les audits internes du système de management sont une exigence obligatoire de la norme ISO 27001 et de toutes les autres normes ISO courantes. Les exigences sont cependant très minimes lorsqu'elles sont examinées objectivement et leurs détails sont très peu prescriptifs. Cela signifie qu'il existe une marge considérable pour rationaliser les processus d'audit et tirer de réels avantages commerciaux de vos audits internes. Malheureusement, parfois historiquement, le audits sont considérés comme une souffrance sans valeur ajoutée ; cependant, nous expliquerons pourquoi cela peut se produire et comment l'éviter à l'aide de notre liste de contrôle d'audit interne.

Erreur courante : ne pas adopter le audits internes comme outil d'amélioration des affaires

Adopter occasionnellement une vision objective de vos processus et systèmes peut libérer de nombreuses valeurs inexploitées.

Qu'est-ce qu'un audit interne ISO 27001 ?

« Audit » est un mot que personne n’aime entendre – il a historiquement et généralement des connotations négatives et onéreuses. Ceux-ci sont pour la plupart obsolètes ; cependant – les organisations éclairées voient les audits comme outil d’amélioration de leurs systèmes de gestion et le processus. Dans le cas d'un système de gestion de la sécurité de l'information (ISMS) ISO 27001, ces audits se concentrent sur les dispositions liées à la sécurité de l'information.

Erreur courante : effectuer un audit de certification de manière officieuse et trop formelle

Le « ton » du rapport d'audit interne peut (et nous pensons qu'il doit) être incité par l'auditeur à être amical et collaboratif. Tant que les conclusions pertinentes ressortent à la fin du processus d’audit, le résultat est positif.

Les ISMS comprend les processus, procédures, protocoles et personnes nécessaires pour protéger ses informations et ses systèmes d'information par rapport au cadre standard ISO 27001. Un audit interne ISO 27001 est le processus consistant à déterminer si votre SMSI fonctionne comme prévu et à rechercher des améliorations (conformément à la clause 10.2 – intitulée de manière accrocheuse « amélioration continue »). En pratique, un interne ISO 27001 L'audit aide les organisations à garantir qu'elles respectent leurs exigences auto-prescrites (également définies dans le SMSI) et les exigences standard.

Erreur courante : définir dans votre SMSI que quelque chose se produit – alors que cela ne se produit pas dans la réalité

C'est impardonnable quand tu définis ton système de gestion adapté à votre entreprise. Vous avez donc intégré un piège d’audit dans votre système de gestion. Dans la clause 9.2, les exigences de gestion de la norme ISO 27001 stipulent que l'organisation doit effectuer des audits internes à des « intervalles planifiés » – quelle que soit la manière dont vous choisissez de définir ces intervalles.

Erreur courante : ne pas définir les « intervalles planifiés » appropriés dans le programme d'audit

Cette définition est conçue pour donner de la flexibilité dans la détermination de votre programme, mais il arrive souvent que le « point idéal » approprié ne soit pas trouvé, ce qui conduit à un audit insuffisant ou excessif.

Tous ceux que nous avons aidés à obtenir la certification ISO 27001 l'ont réussi du premier coup. Vous pourriez aussi.
Réservez votre démo

 

Pourquoi les audits internes sont-ils importants ?

Les audits garantissent la performance d’un SMSI par rapport aux objectifs qui lui sont fixés. Sans cette assurance, il n'y a aucune véritable garantie quant à l'efficacité avec laquelle il protégera les informations de votre entreprise. Les audits internes sont essentiels car ils aident les organisations à identifier et à corriger les faiblesses de leurs système de gestion de la sécurité de l'information. Les critères/résultats de l’audit sont ensuite utilisés de plusieurs manières :

  • Évaluer le leadership/la gestion de la performance du SMSI
  • À améliorer le SMSI
  • Rechercher des synergies en termes de problèmes potentiels et de corrections
  • Réparer les parties des systèmes et des processus qui ne fonctionnent pas comme prévu

Erreur courante : ne pas alerter la direction assez rapidement lorsqu'une action est nécessaire

La haute direction ne peut pas directement mettre en œuvre des modifications à votre SMSI lors d'un examen. Pourtant, ils doivent être impliqués, conscients des problèmes, trouver des solutions et des améliorations.

Que dit la norme ISO que nous devons faire ?

La clause 9.2 de la norme ISO 27001 n'exige que quelques éléments de vos audits internes

  • Qu'ils sont « planifiés » – c'est-à-dire qu'un programme d'audits est défini et documenté
  • Le programme d’audits est dynamique et adapté à votre organisation
  • Les résultats de l’audit sont documentés
  • La direction est correctement évaluée par rapport aux résultats de l’audit

Le processus ne devrait donc pas être trop exigeant et l’approche générale nécessite l’application du bon sens. Par exemple, les parties de votre entreprise qui ont obtenu de mauvais résultats d'audit dans le passé seront probablement auditées plus en profondeur, peut-être plus fréquemment et éventuellement par votre auditeur le plus expérimenté à l'avenir. À l’inverse, les domaines qui ont fait l’objet d’audits précédents pourraient voir la profondeur et la fréquence des audits, ou les deux, réduites de manière appropriée dans le programme ultérieur.

La plupart des organisations élaborent un programme d'audit pour l'entreprise pour l'année à venir, parfois plus longtemps, par exemple pour le cycle de vie de trois ans de leur certification.

Erreur courante : ne pas adhérer au programme d'audit

Prendre du retard dans vos audits internes est l’un des moyens les plus simples de mettre votre Certification SMSI en danger. Si cela se produit, y remédier le plus rapidement possible est toujours le meilleur conseil.

Erreur courante : sous-audit ou sur-audit de certaines parties de votre système de gestion

La fréquence doit être réfléchie et un équilibre doit être trouvé. La norme ISO exige de prendre en compte « l’importance des processus », ce qui signifie que certaines parties de votre SMSI seront auditées plus que d’autres, le cas échéant.

Erreur courante : perturber les opérations commerciales normales avec un programme d'audit inapproprié

Si votre entreprise connaît des périodes chargées, il serait alors idiot de planifier trop d’audits à ce moment-là. De même, de nombreuses organisations mettent fin à leurs activités, par exemple à Pâques ou à Noël, et cela peut ou non être le bon moment pour effectuer des audits internes. Tu décides.

 

Qu’est-ce que la norme ISO ne dit PAS que nous devons faire ?

Il est fascinant de constater ce que Clause ISO 9.2 ne dit PAS que c'est obligatoire. Soyez très clair, si ce n'est pas un absolu exigence de la norme ISO (recherchez le mot « doit »), vous pourrez alors, avec une réflexion appropriée, définir vos dispositions dans votre SMSI en fonction de votre organisation. À titre d’exemple, la norme ISO n’impose aucune exigence relative aux audits internes imprévus ou aléatoires. Vous pourriez, si vous le souhaitez, en faire quelques-unes.

Un autre exemple est la profondeur et la durée de votre audit interne. En théorie, vous pourriez effectuer un audit d’un processus en quelques minutes, ou cela pourrait durer des heures. Quoi qu’il en soit, comme ce n’est pas une exigence de la norme, vous avez le choix. Nous conseillons de diviser les longs audits en parties plus petites (disons d'une heure) pour donner à l'auditeur et à l'audité un peu de temps de réflexion et une chance de se rafraîchir.

N'oubliez pas que la plupart des auditeurs internes se nourrissent de thé, de café, d'eau et, très souvent, de biscuits et de gâteaux…

Erreur courante : essayer d'« acheter » ou d'influencer excessivement votre auditeur interne

Les auditeurs doivent rester impartiaux et objectifs – aucune quantité de gâteaux ni de gentillesse n’affectera l’objectivité du résultat de l’audit.

Erreur courante : ne pas investir suffisamment (ou de manière appropriée) de temps et de ressources

Essayer de réaliser un minimum d'audits ou effectuer des audits superficiels ne dégagera aucune valeur et ne démontrera aucun engagement envers le SMSI (ce qui est une exigence de la norme ISO 27001).

Erreur courante : l'auditeur dépasse la durée de son accueil

Si un audit interne est prévu pour, disons, une heure, il ne devrait pas durer plus de cette heure. Un dépassement de budget pourrait gravement perturber les autres activités commerciales prévues, avec tous les inconvénients que ce scénario entraînerait. Le sur mesure est de documenter les éléments inachevés qui seront traités à l'avenir dans le rapport d'audit.

image CTA

Découvrez à quel point c'est simple avec ISMS.online

Réservez votre démo

Qui réalise un audit interne ISO 27001 ?

Les audits ISO 27001 nécessitent des compétences (conformément à la clause 7.2) et des auditeurs objectifs, qui ont démontré une connaissance de la norme et une expérience dans la réalisation d'un audit ISO 27001. Souvent, les auditeurs internes travailleront déjà dans votre organisation et connaîtront donc le fonctionnement de votre entreprise.

En regardant les choses objectivement, cela pourrait être une force ou une faiblesse, selon la situation. Un auditeur interne peut démontrer ses compétences en participant à un cours d'auditeur principal ISO 27001 ou en ayant une expérience pratique démontrant sa connaissance de la norme et en réalisant avec succès des audits.

Erreur courante : effectuer des audits internes avec des auditeurs incompétents

Vous ne pouvez pas utiliser n’importe qui. Vous n'utiliseriez pas le réceptionniste pour contrôler votre réacteur nucléaire. Le même principe s’applique à vos audits internes.

Avec les coûts élevés de des formations À l’esprit, il peut être préférable qu’un auditeur démontre son niveau de compétence par une expérience pratique de la mise en œuvre d’un SMSI. ISMS.online peut vous aider à renforcer votre confiance et vos compétences dans l'audit de votre SMSI par rapport à la norme ISO 27001 grâce à plusieurs fonctionnalités précieuses telles que notre coach virtuel. Cette fonctionnalité est un ensemble de vidéos, de listes de contrôle et de guides « toujours disponibles », axés sur le point de vue de l'auditeur pour de nombreuses clauses et contrôles.

Il peut être plus pratique pour les petites organisations ayant une capacité limitée ou les entreprises recherchant une plus grande objectivité de recourir à un organisme externe (tiers) auditeur pour effectuer des audits internes. Notez que cela est parfaitement acceptable au regard des exigences ISO. L'auditeur peut être un consultant, ou ISMS.online peut vous aider ; cette approche donne de l'indépendance et peut offrir plus d'objectivité et bénéficier des avantages d'une expérience plus vaste dans d'autres organisations similaires.

Erreur courante : auditer votre propre travail

Ne faites jamais cela, car l’impartialité et l’indépendance sont fortement compromises.

Que recherchent les auditeurs ?

L'objectif d'un auditeur ISO est de comprendre l'objectif de votre système de gestion de la sécurité de l'information et d'obtenir des preuves pour étayer sa conformité à la norme ISO 27001. Contrairement à la croyance populaire, les auditeurs recherchent (et devraient rendre compte) des résultats positifs et négatifs.

Les auditeurs ISO 27001 recherchent également toute lacune ou déficience de votre système de sécurité de l’information. Essentiellement, votre auditeur recherchera des preuves du respect des exigences de la norme ISO 27001 dans l’ensemble de votre entreprise. Vous pouvez le démontrer en adoptant de manière proactive des politiques et des contrôles qui atténuent les risques auxquels sont confrontées les informations de votre entreprise. Enfin, toute amélioration potentielle du SMSI convenue en collaboration entre l'auditeur et l'audité fera partie du rapport d'audit.

Erreur courante : poursuivre l'audit jusqu'à ce que des non-conformités soient détectées

Un audit équilibré rendra compte de ce qui a été trouvé. Si aucune non-conformité n’est évidente, cela n’est PAS une indication d’un mauvais audit. Les auditeurs objectifs (c’est-à-dire la majorité des) n’éprouvent pas de sentiment de flou lorsqu’ils peuvent identifier une non-conformité par rapport à votre SMSI…

Erreur courante : ne pas déclarer la conformité

Il est tout aussi important que les organisations soient conscientes des non-conformités et des améliorations potentielles. Pourquoi consacrer du temps et des efforts pour planifier et réaliser l’audit sans pour autant rendre compte d’un résultat positif ?

Les audits internes ne sont pas subjectifs

En tant qu'auditeur, vous souhaiterez peut-être suggérer excessivement des mises en œuvre sur le SMSI de votre organisation ou des domaines généraux d'amélioration connus sous le nom d'opportunités d'amélioration (OFI). Cependant, il est essentiel de garder à l’esprit que même si la norme laisse place à une interprétation, les actions en dehors des exigences de la norme ne sont pas obligatoires. Cela signifie que la situation unique de votre organisation peut juger certaines suggestions redondantes du point de vue d'un auditeur, surtout si elles ne répondent pas aux exigences de la norme ISO 27001.

Erreur courante : vous ne « réussissez » ou « échouez » pas un audit

Les rapports d’audit sont des déclarations de faits et doivent être considérés avec impassion et sans émotion. Tous les changements nécessaires à votre SMSI doivent être déterminés et mis en œuvre (et, si nécessaire, réaudités). Les preuves jouent un rôle essentiel dans l’obtention de la certification ISO 27001 ; la clause 10.1 exige explicitement que les organisations conserver les preuves des non-conformités et des actions prises en conséquence. En tant qu'auditeur, cela signifie que vos constatations de non-conformités doivent être basées sur des preuves qui définiront clairement les domaines nécessitant une amélioration ou une correction systématique.

Erreur courante : ne pas utiliser des faits pour déterminer les résultats de l'audit

les opinions et convictions des auditeurs peuvent fausser négativement les résultats de l’audit. Les résultats objectifs et impartiaux d’un audit sont uniquement déterminés par des preuves factuelles et par l’expérience.

Pourquoi choisir ISMS.online pour vous aider ?

Pour devenir conforme ou certifié ISO 27001 pour la première fois, notre ISMS.online Méthode de résultats assurés (ARM) offre une application simple, rapide et pratique. ARM vous aidera à déterminer quels actifs, systèmes, personnes, emplacements, etc., s'alignent dans le cadre de votre système de sécurité de gestion de l'information. En conséquence, ARM vous permettra de réfléchir aux risques auxquels ils sont confrontés.

Les Adopter Adapter Ajouter (AAA) pour la clause 9.2 fournit un processus éprouvé à suivre pour les audits internes. Grâce à notre ISMS préconfiguré, vous pouvez prouver rapidement et facilement les exigences de la clause 9.2. Vous recevrez également un programme d’audit pour mener des audits internes. Vous pouvez utiliser notre projet d'audit pour définir les objectifs et la portée de chaque audit, puis enregistrer les résultats et traiter les non-conformités constatées lors de l'audit dans la piste d'amélioration de la plateforme.

La clause 10.1 couvre les exigences de non-conformité et d'actions correctives pour la norme ISO IEC 27001. Vous devrez fournir des preuves à l'auditeur sur la manière dont votre organisation identifie, réagit, évalue, examine et documente les non-conformités. En utilisant notre plateforme ISMS.online, vous pouvez utiliser la philosophie Adopt Adapt Add avec notre politique pré-suggérée pour la clause 10.1. La plateforme ISMS.online fournit un suivi pratique des actions correctives et des améliorations pour démontrer comment votre organisation gère facilement les actions correctives et les améliorations. Vous pouvez également lier des actions correctives et des améliorations à d'autres domaines de la plateforme, tels que les politiques, tout en attribuant des tâches à des collègues et en ajoutant des dates d'échéance.

Notre plateforme ISMS.online fournit également un cadre qui permet aux organisations souhaitant suivre un programme d'audit de trois ans pour tous les contrôles pendant leur période de certification de le faire.
La preuve est simplifiée grâce à notre plateforme ISMS.online ; vous pouvez enregistrer des données, des politiques, des contrôles, des procédures, des évaluations des risques, des risques identifiés, des actions, des projets, des documents associés et des rapports au sein de la plateforme, créant ainsi une évaluation simple pour les auditeurs.

Aide supplémentaire disponible auprès de l'équipe de développement et de livraison de services (SDD)

Les employés responsables de la mise en œuvre de votre système de sécurité de l'information peuvent avoir des difficultés et des interrogations autour de la norme ; c'est ici que nos équipes d'assistance peuvent vous guider tout au long du processus. Au sein de notre organisation, l’équipe de développement et de livraison de services possède une vaste expérience et expertise en matière de sécurité de l’information. Ils peuvent vous accompagner dans la mise en œuvre initiale de votre système de gestion de la sécurité de l’information et vous guider en cas de difficultés normatives importantes.

Prêt à passer à l'action?

Réservez votre démo

image CTA

« Quels sont les différents types d’audits internes ISO 27001 ?

Quelle est la démarche d’audit ISO 27001 ? »

Dernière modification : 7 février 2022
Auteur

Michée Mutsani

Au sein de l'équipe de prestation et de développement de services (SDD), le rôle de Micah s'articule autour de la connaissance, de l'expertise et de la mise en œuvre de la norme ISO 27001. Aider les clients à obtenir la certification aussi rapidement et simplement que possible en utilisant ISMS.online est son objectif.

Voir tous les messages de Micah Mutsani

Articles Similaires

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage