Dans le cadre des exigences du système de gestion, Article 9.2 détaille ce qui doit être fait concernant les audits internes. Cela inclut l'obligation de conserver preuves documentées de l'audit résultats, et cela se fait au moyen d’un rapport d’audit.
An ISO 27001 L'audit interne implique un auditeur compétent et objectif qui examine les ISMS ou des éléments de celui-ci et tester que :
Outre la conformité et l'efficacité globales du SMSI, ainsi que La norme ISO 27001 est conçue pour permettre à une organisation de gérer la sécurité de ses informations risques à un niveau tolérable, il sera nécessaire de vérifier que les contrôles mis en œuvre réduisent effectivement le risque à un point où le ou les propriétaires du risque sont heureux de tolérer le risque résiduel.
Article 9.2 Mandats d'audit interne :
« L'organisation doit effectuer des audits internes à intervalles planifiés pour fournir des informations indiquant si le système de gestion de la sécurité de l'information :
a) est conforme à
b) est effectivement mis en œuvre et maintenu.
L'organisation doit :
c) planifier, établir, mettre en œuvre et maintenir un ou plusieurs programmes d'audit, y compris la fréquence, les méthodes, les responsabilités, les exigences de planification et les rapports. Le(s) programme(s) d'audit doivent prendre en considération l'importance des processus concernés et les résultats des audits précédents ;
d) définir les critères d'audit et la portée de chaque audit ;
e) sélectionner les auditeurs et effectuer des audits qui garantissent l'objectivité et l'impartialité du processus d'audit ;
f) s'assurer que les résultats des audits sont communiqués à la direction concernée ; et
g) conserver les informations documentées comme preuve du ou des programmes d’audit et des résultats de l’audit.
Téléchargez votre guide gratuit pour une certification rapide et durable
Nous avons juste besoin de quelques détails pour pouvoir vous envoyer par e-mail votre guide pour atteindre la norme ISO 27001 du premier coup.
Téléchargez votre guide gratuit maintenant et si vous avez des questions, n'hésitez pas Réserver une démo or Contactez-Nous. Nous serons heureux de vous aider.
Les audits internes pour ISO 27001 fonctionnent en suivant un programme d'audit qui identifie les audits à réaliser avant la certification et pendant chaque période de certification.
Ils exiger la sélection d’un auditeur compétent et objectif pour entreprendre chaque audit interne vérifier la conformité aux exigences de la norme, aux propres exigences d'information et objectifs de l'organisation pour le SMSI, et que les politiques, processus et autres contrôles sont efficaces et efficients.
Activités incluses dans un audit interne :
Bien qu'il ne soit pas clair dans la norme ISO 27001 elle-même quant à la fréquence à laquelle vous devez effectuer des audits internes. Il est attendu que le programme d'audit suive les mêmes exigences que celles imposées aux organismes de certification pour mener leurs audits conformément à la norme ISO/IEC 27006 :2015 – Exigences pour les organismes assurant l'audit et la certification des SMSI.
Dans ISO 27006 L’exigence 9.1.5.2 e stipule que le programme d’audit « couvre des échantillons représentatifs de la portée de la certification SMSI au cours de la période de trois ans ».
Vous devez donc réaliser des audits internes couvrant l’ensemble de la norme, au minimum, sur la période de certification (3 ans pour les certificats accrédités UKAS).
Vous pouvez réaliser cela sous la forme d'un audit unique, mais il est plus généralement divisé en audits plus petits sur une période de trois ans.
Il est également important d’auditer certains domaines plus fréquemment si les niveaux de risque sont élevés ou si le domaine est soumis à des changements fréquents.
Il est recommandé que vous auditer le système de gestion exigences (clauses 4 à 10) chaque année. Cela peut être lié à votre revue de gestion du SMSI, qui doit également être effectuée chaque année.
Dans ISMS.online, nous proposons un espace de travail de programme d'audit prédéfini qui comprend :
Notre ISMS est préconfiguré avec des outils, des cadres et une documentation que vous pouvez adopter, adapter ou ajouter. Simple.
Notre méthode de résultats assurés est conçue pour vous obtenir une certification dès votre première tentative. Taux de réussite de 100%.
Oubliez les formations longues et coûteuses. Notre série de vidéos Virtual Coach est disponible 24h/7 et XNUMXj/XNUMX pour vous guider.
La norme vous oblige à documenter les résultats de l'audit – L'article 9.2 de la norme ISO 27001 inclut l'exigence de « conserver des informations documentées comme preuve des ……… résultats de l'audit ».
Cela se fait dans un rapport d'audit.
Évidemment, avant de pouvoir documenter le rapport d’audit, vous devez planifier et réaliser l’audit. Vous pouvez ensuite documenter les résultats dans le rapport.
Pour chaque audit, vous devrez prévoir :
Chaque audit nécessitera l'examen de la documentation pertinente, y compris les politiques, procédures, normes et orientations pertinentes pour le(s) domaine(s) de la norme auditée. Il est de bonne pratique d’informer les personnes auditées des domaines à couvrir afin de garantir un accès facile et rapide à la documentation pertinente.
Dans ISMS.online, cela est facilité soit par la présence de la documentation dans le système, soit par la liaison dans la section pertinente de la norme.
La plupart des audits nécessiteront l’échantillonnage d’éléments probants à un degré plus ou moins grand. Cela peut inclure des entretiens avec le personnel clé concerné, les utilisateurs finaux et parfois même le personnel temporaire et les sous-traitants.
Les sources d’échantillonnage peuvent inclure, par exemple :
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
Une fois la collecte des données pour l'audit effectuée, il sera nécessaire pour l'auditeur d'évaluer et d'analyser les résultats afin de déterminer toute non-conformité ou toute opportunité d'amélioration.
Les résultats sont normalement classés dans l’une des catégories suivantes :
Certains organismes de certification utilisent également :
Après avoir analysé les résultats, le rapport d'audit peut maintenant être préparé et présenté à la personne ou à l'équipe. responsable du SMSI pour examen et suivi.
Le rapport d'audit doit être préparé comme informations documentées, mais cela ne signifie pas qu'il doit s'agir d'un document Word ou PDF distinct. Au sein du Plateforme ISMS.online, nous essayons d'encourager l'évitement de la création de tels documents, mais proposons plutôt un espace de travail dans lequel le rapport peut être directement documenté. Cette zone offre des fonctionnalités supplémentaires, notamment la possibilité de créer facilement des liens avec d'autres zones de travail, politiques, contrôles, risques, actions correctives et « tickets » d'amélioration, et bien plus encore.
Le résumé est utile pour que la haute direction puisse avoir rapidement et facilement un aperçu des conclusions, y compris les éventuels problèmes critiques, les tendances et les opportunités d'amélioration. Cela peut alors être facilement lié au Revue de la direction du SMSI conformément à la clause 9.3.
Cela comprendra généralement :
Pour garantir une compréhension commune des conclusions du rapport, il est nécessaire d'inclure les définitions de certains termes utilisés qui sont soit spécifiques à l'organisation, soit au processus d'audit, soit à la norme. N’oubliez pas que tous ceux qui ont besoin de lire, d’évaluer et de comprendre le rapport ne comprendront pas nécessairement toute la terminologie utilisée.
Cela inclura:
Pour chaque section de l'audit, vous devez documenter les conclusions, y compris les notes de tous les échantillons de preuve prélevés.*
Il est de bonne pratique d’enregistrer les conformités et les points positifs et de documenter toute non-conformité ou toute opportunité d’amélioration.
Les conclusions doivent enregistrer les faits jugés pertinents pour le SMSI et la norme et ne doivent pas inclure d'opinions ou de conjectures au-delà d'une extrapolation raisonnable.
*Remarque – si des échantillons probants contenir des informations personnellement identifiables, il est courant de pseudonymer ou d'anonymiser les données conformément aux exigences de la législation sur la protection de la vie privée telles que le RGPD.
Lorsque des non-conformités et des opportunités d'amélioration sont identifiées, celles-ci doivent être clairement documentées afin que les actions correctives et les éléments d'amélioration puissent être enregistrés et gérés via les processus reconnus de l'organisation comme documentés conformément à la clause 10.1 Non-conformité et action corrective ; et 10.2 Améliorations continues.
Puisqu'il s'agit d'un rapport d'audit interne, il est permis à un auditeur de formuler des recommandations sur la manière dont une organisation pourrait traiter les constatations. En fin de compte, les décisions relatives aux actions correctives et aux améliorations doivent être prises par les personnes ou équipes concernées responsables du SMSI et de la sécurité de l'information.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
La plateforme ISMS.online dispense de la nécessité de créer des documents Word, PDF et feuilles de calcul en fournissant une solution tout-en-un permettant de documenter et de relier facilement tous les aspects du SMSI, y compris la documentation des rapports d'audit.
ISMS.online comprend un projet de programme d'audit prédéfini qui couvre à la fois les audits internes et externes.
Le programme d'audit prédéfini comprend :
Chaque activité d'audit interne contient un modèle pour un plan et un rapport d'audit combinés.
Avant de réaliser l'audit, le modèle fait office de plan d'audit - indiquant quels domaines doivent être audités et fournissant des invites pour enregistrer quand l'audit sera effectué et par qui.
Pendant ou après avoir effectué l'audit, l'auditeur peut rédiger des notes directement dans l'activité d'audit modélisée.
En plus de simplement fournir des modèles d'activités d'audit, ISMS.online offre la possibilité de créer rapidement des liens vers d'autres zones de travail au sein de la plateforme, ce qui signifie que relier les résultats d'audit aux contrôles, aux actions correctives et aux améliorations, et même aux risques, est rendu facile et accessible. Cela vous permettra de démontrer facilement à votre auditeur externe la gestion concertée des constats identifiés.
Nous contacter, et nous pouvons vous apporter notre soutien.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
Collaborez, créez et montrez facilement que vous êtes au top de votre documentation à tout moment
En savoir plusGérez sans effort les menaces et les opportunités et créez des rapports dynamiques sur les performances.
En savoir plusPrenez de meilleures décisions et montrez que vous avez le contrôle grâce aux tableaux de bord, aux KPI et aux rapports associés.
En savoir plusSimplifiez les actions correctives, les améliorations, les audits et les revues de direction.
En savoir plusMettre en lumière les relations critiques et relier élégamment des domaines tels que les actifs, les risques, les contrôles et les fournisseurs.
En savoir plusSélectionnez des actifs dans la banque d'actifs et créez facilement votre inventaire d'actifs
En savoir plusIntégrations prêtes à l'emploi avec vos autres systèmes commerciaux clés pour simplifier votre conformité
En savoir plusAjoutez judicieusement d'autres domaines de conformité affectant votre organisation pour obtenir encore plus
En savoir plusEngagez le personnel, les fournisseurs et autres avec une conformité dynamique de bout en bout à tout moment
En savoir plusGérer la diligence raisonnable, les contrats, les contacts et les relations tout au long de leur cycle de vie
En savoir plusCartographier visuellement et gérer les parties intéressées pour garantir que leurs besoins sont clairement satisfaits
En savoir plusForte confidentialité dès la conception et contrôles de sécurité adaptés à vos besoins et attentes
En savoir plus