Comment rédiger un rapport d'audit interne pour la norme ISO 27001

Une structure de rapport d’audit interne pour la norme ISO 27001 est quelque chose que vous devez connaître.

La création d’un rapport d’audit interne efficace et professionnel est essentielle pour toute mise en œuvre réussie de la norme ISO 27001.

Un rapport d'audit interne de bonne qualité est un instantané du processus global de mise en œuvre et enregistre l'état de votre mise en œuvre de la norme ISO 27001 dans la préparation de la certification, ainsi que des détails sur les domaines qui doivent encore être abordés.

En tant que membre de l'organisation exigences du système de gestion, la clause 9.2 détaille ce qui doit être fait concernant les audits internes. Cela inclut l'obligation de conserver des preuves documentées de l'ensemble processus d'audit et les résultats de l'audit, et cela se fait au moyen d'un rapport d'audit.

Qu'est-ce qu'un audit interne ISO 27001 ?

Un audit interne ISO 27001 implique un auditeur compétent et objectif examinant le SMSI ou des éléments de celui-ci et vérifiant qu'il répond aux exigences de la norme, aux propres exigences d'information et objectifs de l'organisation pour le SMSI et que les politiques, processus et autres contrôles sont efficace.

En plus de la conformité et efficacité globales du SMSI, étant donné que la norme ISO 27001 est conçue pour permettre à une organisation de gérer ses risques liés à la sécurité de l'information à un niveau tolérable, il sera nécessaire de vérifier que les contrôles mis en œuvre réduisent effectivement les risques à un point où le(s) propriétaire(s) des risques sont heureux de tolérer le risque résiduel.

Audit interne pour l'exigence ISO 27001 9.2

Article 9.2 Mandats d'audit interne :

L'organisme doit réaliser des audits internes à intervalles planifiés pour fournir des informations indiquant si le système de management de la sécurité de l'information :

• Conforme aux propres exigences de l'organisation pour son sécurité de l'information système de gestion et aux exigences de cette norme internationale.
• Est efficacement mis en œuvre et maintenu.

L'organisation doit :

• Planifier, établir, mettre en œuvre et maintenir un ou plusieurs programmes d'audit, y compris la fréquence, les méthodes, les responsabilités, les exigences de planification et les rapports. Le(s) programme(s) d'audit doivent prendre en considération l'importance des processus concernés et les résultats des audits précédents.
• Définir les critères d’audit et la portée de chaque audit.
• Sélectionner les auditeurs et mener des audits qui garantissent l’objectivité et l’impartialité du processus d’audit.
• Veiller à ce que les résultats des audits soient communiqués à la direction concernée et conserver informations documentées comme preuve du ou des programmes d’audit et des résultats de l’audit.

L'objectif d'un audit interne est de confirmer que l'organisation a pris toutes les précautions raisonnables pour garantir que son système de gestion de la sécurité de l'information (ISMS) est conforme aux normes ISO 27001 et aux propres normes ISMS de l'organisation.

Les audits internes doivent être effectués par un auditeur indépendant et impartial pour y parvenir, conformément à la Norme.

Comment fonctionnent les audits internes ISO 27001 ?

Audits internes pour Travail ISO 27001 en suivant un programme d'audit qui identifie les audits à réaliser avant la certification et pendant chaque période de certification.

Ils nécessitent la sélection d'un compétent et objectif L'auditeur doit entreprendre chaque audit interne pour vérifier la conformité aux exigences de la norme, les propres exigences d'information et les objectifs de l'organisation pour le SMSI, et que les politiques, processus et autres contrôles sont efficaces et efficients.

Activités incluses dans un audit interne :

• Examen de la documentation
• Échantillonnage de preuves
• Interviewer le personnel avec la clé responsabilités en matière de sécurité de l'information
• Interviewer d'autres membres du personnel (et éventuellement des sous-traitants)
• Évaluation des résultats
• Rédaction du rapport d'audit

À quelle fréquence dois-je effectuer un audit

Bien qu'il ne soit pas clair dans la norme ISO 27001 elle-même quant à la fréquence à laquelle les audits internes doivent être effectués, il est attendu que le programme d'audit suive les mêmes exigences que celles imposées aux organismes de certification pour mener leurs audits conformément à ISO/IEC 27006:2015 – Exigences pour les organismes assurant l’audit et la certification des SMSI.

Dans l'exigence 27006e de la norme ISO 9.1.5.2, il est indiqué que le programme d'audit « couvre des échantillons représentatifs de la portée de la certification SMSI au cours de la période de trois ans ».

Vous devez donc procéder des audits internes couvrant l’ensemble de la norme, au minimum, sur la période de certification (3 ans pour les certificats accrédités UKAS).

Vous pouvez réaliser cela sous la forme d'un audit unique, mais il est plus généralement divisé en audits plus petits sur une période de trois ans. Il est également important d’auditer certains domaines plus fréquemment si les niveaux de risque sont élevés ou si le domaine est soumis à des changements fréquents.

Il est recommandé que vous auditer le système de gestion exigences (clauses 4 à 10) sur une base annuelle et cela peut être lié à votre revue de direction du SMSI qui doit également être effectuée chaque année. Certaines organisations dotées de systèmes de gestion sophistiqués et bien établis peuvent souhaiter organiser des audits sur un cycle de trois ans plutôt qu'annuel.

Cependant, chaque entreprise doit examiner attentivement ses processus, ses systèmes de gestion et d'autres critères pertinents afin d'élaborer un calendrier raisonnable qui répond à ses demandes et qui lui convient. Chez ISMS.online, notre plate-forme basée sur le cloud est conçue pour faciliter le processus d'audit.

Nous fournissons un espace de travail de programme d'audit prédéfini qui comprend :

• Activités pour 2 audits recommandés avant certification
• Un plan d'audits internes pour la première période de certification de 3 ans
• Espaces réservés pour votre certification externe et vos audits périodiques

Demandez une démo aujourd'hui pour voir comment notre Cette solution peut aider votre organisation à démontrer sa conformité à la norme ISO 27001..

Pourquoi dois-je créer un rapport pour un audit interne ?

La norme vous oblige à documenter les résultats de l'audit – L'article 9.2 de la norme ISO 27001 inclut l'exigence de « conserver des informations documentées comme preuve des ……… résultats de l'audit ». Cela se fait dans un rapport d'audit.

Que faut-il faire lors de la préparation du rapport

Pour chaque audit, vous devrez prévoir :

• Ce que l'audit va couvrir : quelle(s) section(s) de la norme, emplacements, processus métier, etc.
• Qui sera l’auditeur – doit être compétent et objectif.
• Le moment où l’audit sera réalisé – ne doit pas avoir d’impact négatif significatif sur le fonctionnement de l’organisation.
• La ou les méthodes d’audit – examen de la documentation, échantillonnage, entretiens, etc.
• Qui devra être impliqué dans l’audit ?

Examen de la documentation

Chaque audit nécessitera l'examen de la documentation pertinente, y compris les politiques, procédures, normes et orientations pertinentes pour le(s) domaine(s) de la norme auditée. Il est de bonne pratique d'informer les personnes auditées des domaines à couvrir afin qu'elles puissent garantir un accès facile et rapide à la documentation pertinente.

Dans ISMS.online, cela est facilité soit par la présence de la documentation dans le système, soit par un lien vers celle-ci dans la section appropriée de la norme.

Échantillonnage de preuves et entretiens

La plupart des audits nécessiteront l'échantillonnage de preuves à un degré plus ou moins grand, ce qui peut inclure des entretiens avec le personnel clé concerné, les utilisateurs finaux et parfois même le personnel temporaire et les sous-traitants.

Les sources d’échantillonnage peuvent inclure, par exemple :

• Entretiens avec des employés et d'autres personnes.
• Observations des activités et de l'environnement et des conditions de travail environnants.
• Documents, tels que politiques, objectifs, plans, procédures, normes, instructions, licences et permis, spécifications, dessins, contrats et commandes.
• Dossiers, tels que dossiers d'inspection, procès-verbaux de réunions, rapports d'audit, dossiers de programme de surveillance et les résultats des mesures.
• Résumés de données, analyses et indicateurs de performance.
• Informations sur les plans d'échantillonnage de l'audité et sur les procédures de contrôle des processus d'échantillonnage et de mesure.
• Rapports provenant d'autres sources, par exemple commentaires des clients, enquêtes et mesures externes, autres informations provenant de parties externes et du fournisseur votes.
• Bases de données et sites Web.
• Simulation et modélisation.

Analyse

Une fois la collecte des données pour l'audit effectuée, il sera nécessaire pour l'auditeur d'évaluer et d'analyser les résultats afin de déterminer s'il existe des non-conformités ou des opportunités d'amélioration.

Les résultats sont normalement classés dans l’une des catégories suivantes :

• Non-conformité majeure
• Non-conformité mineure
• Possibilité d'amélioration

Certains organismes de certification utilisent également :

• Observation – c'est là qu'il existe des indications précoces qu'une non-conformité mineure peut exister ou peut se développer si aucune mesure n'est prise.
• Point positif – décerné soit lorsqu'une organisation est allée au-delà des bonnes pratiques reconnues, soit lorsqu'il y a eu une amélioration significative dans un domaine depuis l'audit précédent.

Rapport

Après avoir analysé les résultats, le rapport d'audit peut maintenant être préparé et présenté à la personne ou à l'équipe responsable du SMSI pour examen et suivi.

Comment est préparé un rapport d’audit interne ?

Le rapport d'audit doit être préparé sous forme d'informations documentées, mais cela ne signifie pas qu'il doit s'agir d'un document Word ou PDF distinct. Au sein du Plateforme ISMS.online nous essayons d'encourager l'évitement de la création de tels documents, mais fournissons plutôt une zone de travail dans laquelle le rapport peut être directement documenté et cette zone offre des fonctionnalités supplémentaires, notamment la possibilité de créer facilement des liens avec d'autres zones de travail, politiques, contrôles, risques, mesures correctives. et des « tickets » d'amélioration, et bien plus encore.

Créer un résumé exécutif

Le résumé est utile pour que la haute direction puisse avoir rapidement et facilement un aperçu des conclusions, y compris les éventuels problèmes critiques, les tendances et les opportunités d'amélioration. Cela peut ensuite être facilement lié à la revue de direction du SMSI conformément à la clause 9.3.

Cela comprendra généralement :

• Un aperçu général du fonctionnement des domaines du SMSI couverts par l’audit.
• Un résumé numérique des catégories de résultats.
• La mise en évidence de toute constatation urgente/critique.
• Une brève description des prochaines étapes à suivre pour répondre à toute constatation.

Présenter la terminologie utilisée

Pour garantir une compréhension commune des conclusions du rapport, il est nécessaire d'inclure les définitions de certains termes utilisés qui sont soit spécifiques à l'organisation, soit au processus d'audit, soit à la norme. N’oubliez pas que tous ceux qui ont besoin de lire, d’évaluer et de comprendre le rapport ne comprendront pas nécessairement toute la terminologie utilisée.

Décrire le plan d'audit

Cela inclura:

• La portée de l'audit : domaine(s) à couvrir, sites, personnel, processus opérationnels, etc.
• Le nom du ou des commissaires aux comptes
• Les dates, heures et lieux de l’audit

Décrire les faits trouvés

Pour chaque section de l'audit, les conclusions doivent être documentées, y compris des notes sur tous les échantillons de preuve prélevés.*

Il est de bonne pratique d’enregistrer les conformités et les points positifs ainsi que de documenter toute non-conformité ou toute opportunité d’amélioration. Les conclusions doivent enregistrer les faits jugés pertinents pour le SMSI et la norme et ne doivent pas inclure d'opinions ou de conjectures au-delà d'une extrapolation raisonnable.

*Remarque : si des échantillons de preuves contiennent des informations personnellement identifiables, il est habituel de pseudonymer ou d'anonymiser les données conformément aux exigences de la législation sur la confidentialité, telles que RGPD.

Documenter les non-conformités et les opportunités d’amélioration

Lorsque des non-conformités et des opportunités d'amélioration sont identifiées, celles-ci doivent être clairement documentées afin que les actions correctives et les éléments d'amélioration puissent être enregistrés et gérés via les processus reconnus de l'organisation comme documentés conformément à la clause 10.1 Non-conformité et action corrective ; et 10.2 Amélioration continue.

Décrire les recommandations

Comme il s'agit d'un rapport d'audit interne, il est permis à un auditeur de formuler des recommandations sur la manière dont les constatations pourraient être traitées, mais en fin de compte, les décisions relatives aux actions correctives et aux améliorations doivent être prises par les personnes ou équipes concernées responsables du SMSI et de la sécurité de l'information. .

Comment ISMS.online facilite la création de rapports

La plateforme ISMS.online supprime le besoin de créer des documents Word, des PDF et des feuilles de calcul en fournissant une solution tout-en-un pour documenter et relier facilement tous les aspects du SMSI, y compris la documentation des rapports d'audit.

ISMS.online comprend un projet de programme d'audit prédéfini qui couvre à la fois les audits internes et externes.

Le programme d'audit prédéfini comprend :

• Activités pour 2 audits recommandés avant certification
• Un plan d'audits internes pour la première période de certification de 3 ans
• Espaces réservés pour votre certification externe et vos audits périodiques

Chaque activité d'audit interne contient un modèle pour un plan et un rapport d'audit combinés.

Avant la réalisation de l'audit, le modèle fait office de plan d'audit - indiquant quels domaines doivent être audités et fournissant des invites pour enregistrer quand l'audit sera effectué et par qui.

Pendant ou après la réalisation de l'audit, l'auditeur peut rédiger des notes directement dans l'activité d'audit modélisée.

En plus de simplement fournir des modèles d'activités d'audit, ISMS.online offre la possibilité de créer rapidement des liens vers d'autres zones de travail au sein de la plateforme, ce qui signifie que relier les résultats d'audit aux contrôles, aux actions correctives et aux améliorations, et même aux risques, est rendu facile et accessible. Cela vous permettra de démontrer facilement à votre auditeur externe la gestion concertée des constats identifiés.

Besoin d'aide pour votre audit ISO 27001 ?

Vous démarrez bientôt un audit ISO 27001 et cela vous stresse ? Il est naturel de ressentir cela, car entreprendre un audit ISO 27001 est une étape très sérieuse.

Les experts d'ISMS.online peuvent vous offrir le meilleur service possible. Nous pouvons prendre en charge l’audit et le rapport de votre système de gestion, vous donner des conseils concernant les stratégies de sécurité de l’information et d’atténuation des risques, dispenser la formation de votre personnel ou vous aider avec une analyse des lacunes de vos contrôles existants.

Demandez une démo aujourd'hui.