Comment rédiger un rapport d'audit interne pour la norme ISO 27001

Dans le cadre des exigences du système de gestion, Article 9.2 détaille ce qui doit être fait concernant les audits internes. Cela inclut l'obligation de conserver preuves documentées de l'audit résultats, et cela se fait au moyen d’un rapport d’audit.

Comment fonctionnent les audits internes ISO 27001 ?

Les audits internes pour ISO 27001 fonctionnent en suivant un programme d'audit qui identifie les audits à réaliser avant la certification et pendant chaque période de certification.

Ils exiger la sélection d’un auditeur compétent et objectif pour entreprendre chaque audit interne vérifier la conformité aux exigences de la norme, aux propres exigences d'information et objectifs de l'organisation pour le SMSI, et que les politiques, processus et autres contrôles sont efficaces et efficients.

Activités incluses dans un audit interne :

• Examen de la documentation
• Échantillonnage de preuves
• Interviewer le personnel avec la clé responsabilités en matière de sécurité de l'information
• Interviewer d'autres membres du personnel (et éventuellement des sous-traitants)
• Évaluation des résultats
• Rédaction du rapport d'audit.

À quelle fréquence dois-je effectuer un audit ?

Bien qu'il ne soit pas clair dans la norme ISO 27001 elle-même quant à la fréquence à laquelle vous devez effectuer des audits internes. Il est attendu que le programme d'audit suive les mêmes exigences que celles imposées aux organismes de certification pour mener leurs audits conformément à la norme ISO/IEC 27006 :2015 – Exigences pour les organismes assurant l'audit et la certification des SMSI.

Dans ISO 27006 L’exigence 9.1.5.2 e stipule que le programme d’audit « couvre des échantillons représentatifs de la portée de la certification SMSI au cours de la période de trois ans ».

Vous devez donc réaliser des audits internes couvrant l’ensemble de la norme, au minimum, sur la période de certification (3 ans pour les certificats accrédités UKAS).

Vous pouvez réaliser cela sous la forme d'un audit unique, mais il est plus généralement divisé en audits plus petits sur une période de trois ans.

Il est également important d’auditer certains domaines plus fréquemment si les niveaux de risque sont élevés ou si le domaine est soumis à des changements fréquents.

Il est recommandé que vous auditer le système de gestion exigences (clauses 4 à 10) chaque année. Cela peut être lié à votre revue de gestion du SMSI, qui doit également être effectuée chaque année.

Dans ISMS.online, nous proposons un espace de travail de programme d'audit prédéfini qui comprend :

• Activités pour 2 audits recommandés avant certification
• Un plan d'audits internes pour la première période de certification de 3 ans
• Espaces réservés pour votre certification externe et vos audits périodiques

Pourquoi dois-je créer un rapport pour un audit interne ?

La norme vous oblige à documenter les résultats de l'audit – L'article 9.2 de la norme ISO 27001 inclut l'exigence de « conserver des informations documentées comme preuve des ……… résultats de l'audit ».

Cela se fait dans un rapport d'audit.

Que faut-il faire lors de la préparation du rapport ?

Évidemment, avant de pouvoir documenter le rapport d’audit, vous devez planifier et réaliser l’audit. Vous pouvez ensuite documenter les résultats dans le rapport.

Démarrez votre plan d'audit ISO 27001

Pour chaque audit, vous devrez prévoir :

• Ce que l'audit va couvrir : quelle(s) section(s) de la norme, emplacements, processus métier, etc.
• Qui sera l’auditeur – doit être compétent et objectif.
• Lorsque l'audit est réalisé, il ne doit pas avoir d'impact négatif significatif sur le fonctionnement de l'organisation.
• La ou les méthodes d’audit – examen de la documentation, échantillonnage, entretiens, etc.
• Qui devra être impliqué dans l’audit ?

Examen de la documentation

Chaque audit nécessitera l'examen de la documentation pertinente, y compris les politiques, procédures, normes et orientations pertinentes pour le(s) domaine(s) de la norme auditée. Il est de bonne pratique d’informer les personnes auditées des domaines à couvrir afin de garantir un accès facile et rapide à la documentation pertinente.

Dans ISMS.online, cela est facilité soit par la présence de la documentation dans le système, soit par la liaison dans la section pertinente de la norme.

Échantillonnage de preuves et entretiens

La plupart des audits nécessiteront l’échantillonnage d’éléments probants à un degré plus ou moins grand. Cela peut inclure des entretiens avec le personnel clé concerné, les utilisateurs finaux et parfois même le personnel temporaire et les sous-traitants.

Les sources d’échantillonnage peuvent inclure, par exemple :

• Entretiens avec des employés et d'autres personnes
• Observations des activités et de l'environnement et des conditions de travail environnants
• Documents, tels que politiques, objectifs, plans, procédures, normes, instructions, licences et permis, spécifications, dessins, contrats et commandes.
• Dossiers, tels que dossiers d'inspection, procès-verbaux de réunions, rapports d'audit, dossiers du programme de surveillance et résultats de mesures
• Résumés de données, analyses et indicateurs de performance
• Informations sur les plans d'échantillonnage de l'audité et les procédures de contrôle des processus d'échantillonnage et de mesure
• Rapports provenant d'autres sources, par exemple commentaires des clients, enquêtes et mesures externes, autres informations pertinentes. informations provenant de parties externes et du fournisseur votes
• Bases de données et sites Web
• Simulation et modélisation

Analyse

Une fois la collecte des données pour l'audit effectuée, il sera nécessaire pour l'auditeur d'évaluer et d'analyser les résultats afin de déterminer toute non-conformité ou toute opportunité d'amélioration.

Les résultats sont normalement classés dans l’une des catégories suivantes :

• Non-conformité majeure
• Non-conformité mineure
• Possibilité d'amélioration

Certains organismes de certification utilisent également :

• Observation – lorsqu'il existe des indications précoces, une non-conformité mineure peut exister ou peut se développer si aucune mesure n'est prise.
• Point positif – attribué soit lorsqu'une organisation est allée au-delà des bonnes pratiques reconnues, soit lorsqu'il y a eu une amélioration significative dans un domaine depuis l'audit précédent.

Rapport

Après avoir analysé les résultats, le rapport d'audit peut maintenant être préparé et présenté à la personne ou à l'équipe. responsable du SMSI pour examen et suivi.

Comment est préparé un rapport d’audit interne ?

Le rapport d'audit doit être préparé comme informations documentées, mais cela ne signifie pas qu'il doit s'agir d'un document Word ou PDF distinct. Au sein du Plateforme ISMS.online, nous essayons d'encourager l'évitement de la création de tels documents, mais proposons plutôt un espace de travail dans lequel le rapport peut être directement documenté. Cette zone offre des fonctionnalités supplémentaires, notamment la possibilité de créer facilement des liens avec d'autres zones de travail, politiques, contrôles, risques, actions correctives et « tickets » d'amélioration, et bien plus encore.

Créer un résumé exécutif

Le résumé est utile pour que la haute direction puisse avoir rapidement et facilement un aperçu des conclusions, y compris les éventuels problèmes critiques, les tendances et les opportunités d'amélioration. Cela peut alors être facilement lié au Revue de la direction du SMSI conformément à la clause 9.3.

Cela comprendra généralement :

• Un aperçu général du fonctionnement des domaines du SMSI couverts par l’audit.
• Un résumé numérique des catégories de résultats.
• La mise en évidence de toute constatation urgente/critique.
• Une brève description des prochaines étapes à suivre pour répondre à toute constatation.

Présenter la terminologie utilisée

Pour garantir une compréhension commune des conclusions du rapport, il est nécessaire d'inclure les définitions de certains termes utilisés qui sont soit spécifiques à l'organisation, soit au processus d'audit, soit à la norme. N’oubliez pas que tous ceux qui ont besoin de lire, d’évaluer et de comprendre le rapport ne comprendront pas nécessairement toute la terminologie utilisée.

Décrire le plan d'audit

Cela inclura:

• La portée de l'audit : domaine(s) à couvrir, sites, personnel, processus opérationnels, etc.
• Le nom du ou des commissaires aux comptes
• Les dates, heures et lieux de l’audit

Décrire les faits trouvés

Pour chaque section de l'audit, vous devez documenter les conclusions, y compris les notes de tous les échantillons de preuve prélevés.*

Il est de bonne pratique d’enregistrer les conformités et les points positifs et de documenter toute non-conformité ou toute opportunité d’amélioration.

Les conclusions doivent enregistrer les faits jugés pertinents pour le SMSI et la norme et ne doivent pas inclure d'opinions ou de conjectures au-delà d'une extrapolation raisonnable.

*Remarque – si des échantillons probants contenir des informations personnellement identifiables, il est courant de pseudonymer ou d'anonymiser les données conformément aux exigences de la législation sur la protection de la vie privée telles que le RGPD.

Documenter les non-conformités et les opportunités d’amélioration

Lorsque des non-conformités et des opportunités d'amélioration sont identifiées, celles-ci doivent être clairement documentées afin que les actions correctives et les éléments d'amélioration puissent être enregistrés et gérés via les processus reconnus de l'organisation comme documentés conformément à la clause 10.1 Non-conformité et action corrective ; et 10.2 Améliorations continues.

Décrire les recommandations

Puisqu'il s'agit d'un rapport d'audit interne, il est permis à un auditeur de formuler des recommandations sur la manière dont une organisation pourrait traiter les constatations. En fin de compte, les décisions relatives aux actions correctives et aux améliorations doivent être prises par les personnes ou équipes concernées responsables du SMSI et de la sécurité de l'information.