Comment se préparer à un audit interne ISO 27001 – Le point de vue de l'audité

Introduction

Tous les audits impliquent au moins un auditeur (parfois plusieurs, le responsable étant communément appelé auditeur principal) et au moins une personne auditée. Le rôle des audités est de collaborer avec l'équipe d'audit pour :

  • Naviguer à travers les différents documents et systèmes ISMS
  • Discutez et convenez de l’efficacité des parties du Le SMSI en cours d'audit
  • Fournir, le cas échéant, des preuves de ISMS opérations (généralement des enregistrements)
  • Expliquer la réflexion de base et le contexte commercial de l'audit

L'objectif de cet article est d'examiner la préparation aux audits internes du point de vue de l'audité.

 

Qu'est-ce qu'un audit interne ISO 27001

Les audits internes de la norme ISO 27001 aident les organisations à garantir que leurs exigences et celles requises par la norme sont respectées. L'audit interne ISO 27001 consiste tout d'abord à déterminer si une entreprise dispose des procédures, processus, protocoles et personnes nécessaires pour protéger ses informations et ses systèmes de gestion de l'information par rapport à la norme ISO 27001. Deuxièmement, l'audit vérifiera, par inspection des documents et des registres et avec l'assistance de l'audité, si le divers composants du SMSI fonctionnent comme prévu et respectent les exigences (recherchez le mot « doit ») de la norme ISO.

De quoi avons-nous besoin d’audits internes ISO 27001 ?

Plusieurs conducteurs font réalisation d'audits internes obligatoire. Article 9.2 de la norme ISO 27001 exige que les audits soient effectués à « intervalles planifiés ». La plupart des entreprises sont déterminées à libérer une réelle valeur de leur SMSI, et la direction mène cette intention stratégique. Les audits internes sont donc considérés et utilisés comme un outil essentiel d’amélioration de l’entreprise.

La réalisation d'un audit interne garantit que les procédures d'une entreprise sont exécutées conformément au plan. Retours positifs et négatifs d'un projet L'audit interne est inestimable pour améliorer les processus de gestion de l'information de votre organisation.

Tous ceux que nous avons aidés à obtenir la certification ISO 27001 l'ont réussi du premier coup. Vous pourriez aussi.
Réservez votre démo

 

La différence entre les audits externes et internes ISO 27001

La processus d'audit externe est essentiellement le même que les processus d'audit interne, mais ce qu'ils ont finalement en commun est que l'objectif est d'obtenir et de maintenir la certification ISO 27001. En règle générale, les organismes certifiés effectuent des audits externes en faisant appel à des auditeurs professionnels. Même si les processus d'audit sont essentiellement les mêmes, des les audits ont tendance à être plus formels et structurés que les audits internes.

Pour référence, voici un résumé rapide des différents types d’audit

Audits tiers

C'est lorsqu'une autre organisation audite votre organisation – l'exemple évident étant que votre SMSI est audité par l'organisme de certification de votre choix – communément appelé « audit externe ».

Audits de seconde partie

Cela peut être interne à votre organisation (un client vous audite) ou externe à votre organisation (par exemple, vous auditez un fournisseur potentiel ou actuel).

Audits de première partie

Les audits de première partie surviennent lorsqu'une organisation s'audite elle-même, c'est-à-dire un audit interne.

 

Définir l'audit

Pour tirer le meilleur parti de votre audit, vous devez prédéfinir les paramètres d'audit. Cela comprend la portée, les critères et l’objectif de l’audit. L'objectif de l'audit est le but ou le but de l'audit. La portée de l'audit identifie les activités et les enregistrements soumis à un audit. Les critères d'audit comprennent des politiques, des procédures et des exigences par rapport auxquelles l'audit est examiné, dans ce cas, la norme ISO 27001:2013.

 

L’importance de la préparation à l’audit ISO 27001

S’il y a un bien dont nous aimerions tous bénéficier davantage, c’est bien le temps. Comme l'a dit un jour Benjamin Franklin : « Ne pas se préparer, c'est se préparer à l'échec ». Je suis sûr qu'il ne faisait pas référence aux audits ISO 27001 à l'époque, mais la pertinence existe toujours. Un audit de l’ensemble de votre système de gestion de la sécurité de l’information, y compris ses technologies, ses processus, ses procédures et ses personnes, s’avérera presque certainement un défi.

Plus l’organisation est étendue et complexe, plus les conclusions de l’audit risquent de retarder la certification. Cependant, vous pouvez prendre certaines mesures à l’avance pour rendre votre audit plus efficace et moins pénible. Assurez-vous de rassembler tous les documents nécessaires avant l’audit pour démontrer vos efforts de conformité. De plus, assurez-vous de bien comprendre les exigences des domaines normatifs pertinents qui sont soumis à un audit. Enfin, assurez-vous d'être à jour avec tous les domaines de travail continus tels que mesures correctives, les revues de direction et le programme d'audit ; il est fort probable qu'ils soient vérifiés dans le cadre de l'audit interne.

Comment se préparer concrètement à l'audit interne

L'auditeur et l'organisation doivent être adéquatement préparés à l'audit. Il est facile d'oublier, en insistant sur votre documentation, qu'il existe de nombreuses choses pratiques auxquelles vous devrez peut-être vous préparer. Avant l'audit (disons deux semaines avant), il est généralement judicieux de s'assurer que toutes les politiques/procédures/systèmes/enregistrements/contrôles pertinents sont aussi à jour que possible et que des pistes d'audit d'approbation appropriées sont en place. Si vous le jugez approprié, vous pouvez relire vos politiques, processus et procédures pertinents pour vous familiariser à nouveau et peut-être les revoir avant l'audit si vous le jugez opportun. Après avoir lu ce document, vous ne serez pas surpris d'apprendre que vous devrez peut-être produire de la documentation lors de l'audit. Par conséquent, il est probablement judicieux de vous assurer que vous disposez de la documentation à portée de main avant l’audit, ou du moins que vous sachiez comment y accéder. Se précipiter pour chercher des choses à la dernière minute ne fera que perdre votre temps et celui des auditeurs ; l'accès et le dédouanement doivent être réglés à l'avance. Vous devez garantir toutes les autorisations de sécurité nécessaires, telles que l'accès à la salle des serveurs ou une carte-clé à l'entrepôt. De même, vous devrez peut-être prendre des dispositions particulières au préalable, comme désactiver une alarme ou arrêter temporairement la production.

De plus, vous pourriez avoir besoin d'EPI pour l'auditeur en cas d'exposition à un environnement dangereux, comme un casque de sécurité ou même une combinaison. Ceci est particulièrement important dans la mesure où le fait de ne pas organiser cela aura probablement pour conséquence que l'auditeur ne remplira pas ses fonctions. De même, il peut y avoir un service ou une personne spécifique qui sera audité, comme Ressources Humaines. Vous devez vous assurer que le personnel spécialisé est au courant de l’audit et sont disponibles pour que l’auditeur puisse s’entretenir avec eux. Assurez-vous de donner à vos collègues/employés un préavis suffisant. Le plan d’audit vous aidera à élaborer ces dispositions.

Enfin, vous devrez peut-être effectuer certaines préparations logistiques, par exemple aménager un espace de travail approprié pour l'auditeur. Cela pourrait être utilisé pour travailler sur les conclusions de l’audit et la rédaction. De même, l’auditeur peut avoir besoin d’une connexion Internet pour mener à bien certains aspects de l’audit. Par conséquent, vous devez leur demander d'apporter un point d'accès avec eux si votre politique ne permet pas aux invités de rejoindre le réseau. D’un autre côté, disposer d’un réseau Wi-Fi invité et d’un mot de passe contribuera à rendre les choses plus simples pour l’auditeur.

Aucune préparation n'est la meilleure préparation

Cela peut vous surprendre, mais le SMSI idéal n’aurait pas besoin de préparer un audit. Un SMSI réussi est à jour avec les exigences standard continues telles que les revues de direction, audits, actions correctives, etc. Se tenir au courant de ces domaines de travail ne servira que d'aide à vos pratiques commerciales en raison de la améliorations continues de votre SMSI. Avant votre audit, quelques travaux de ménage pourraient s’avérer nécessaires. Cependant, un système qui vous rappelle les choses à faire, les tâches à venir, les révisions de politiques et d’autres tâches continues vous donnera les meilleures chances d’éviter la panique ISO. C'est là que nous intervenons. Nous fournissons une plateforme pour vous permettre de gérer et de construire votre SMSI. Grâce à nos solutions, votre organisation, vos clients et autres parties prenantes peuvent bénéficier d’une confiance en matière de conformité et d’une certitude de certification. Des novices en sécurité de l’information aux vétérans chevronnés, nous sommes habitués à travailler avec des clients de tous horizons. À mesure que votre organisation se développe et évolue, de nouvelles menaces de sécurité informatique apparaissent continuellement. Nous avons conçu notre plateforme pour vous aider à l'adapter à tout cela et bien plus encore à mesure que le monde continue d'évoluer.

 

Constatations des audits précédents et mesures correctives – Seront-elles auditées ?

L'objectif est d'auditer le SMSI en interne par rapport à la norme ISO 27001, ce qui ne soulèvera aucune nouvelle non-conformité. Par conséquent, vous devez vous lancer dans l’audit avec la certitude de votre conformité. Par conséquent, une revue de la documentation est essentielle. Nous devons vérifier que toutes les politiques sont soumises et approuvées par ma direction. Dans le cas contraire, la conformité pour la Cl.5.2 pourrait être compromise.

De plus, il serait utile que vous examiniez les actions correctives dans le SMSI ; ces données peuvent être utilisées pour préparer votre prochain audit interne. Les informations fournies par l'AC (actions correctives) vous montreront les domaines précédemment identifiés qui nécessitent des améliorations. Parfois, les actions correctives peuvent provenir d’une revue de direction ou d’une réponse à un incident de sécurité. Cependant, nous allons nous concentrer sur les actions correctives qui découlent d'un audit. Il est essentiel d’examiner ces AC car elles seront presque certainement vérifiées lors de votre audit. L'audit suivant doit aborder les opportunités d'amélioration et toutes les non-conformités apparues lors de votre audit précédent. Il s’agit de démontrer votre dévouement continu à l’amélioration continue du SMSI. Le terme « adressé » est vague, nous sommes donc là pour clarifier les choses. Pour obtenir la conformité dans ce domaine, vous devez démontrer à l'auditeur que vous avez donné suite aux changements recommandés. Pour ce faire, nous utilisons notre outil de suivi des actions correctives et le fonctionnalité de travail liée pour montrer les modifications que vous avez apportées en réponse au résultat. Si vous n’avez pas suivi la formation, pas de panique, la conformité est toujours possible. Il doit y avoir des preuves que la conclusion est réfléchie et mise en œuvre. En règle générale, il suffit de documenter les résultats dans le système de suivi de l'AC et de fixer une date d'échéance/un destinataire ; cela montre que votre entreprise envisage la suggestion et est en train de décider de la prochaine ligne de conduite. De plus, toutes les CA en retard doivent être traitées avant tout audit afin de démontrer l'engagement envers l'amélioration continue du SMSI.

 

Pourquoi choisir Becker Automobile?

Alliantiste, la société derrière ISMS.online, est certifiée ISO 27001 par un organisme de certification accrédité par l'UKAS. Nous fournissons à nos clients un support ISO et ISMS complet. En fonction du forfait qu'ils choisissent, le niveau de soutien qu'ils reçoivent varie, mais de vraies personnes seront toujours impliquées. Pour plus d’informations, consultez notre politique d’assistance ou n’hésitez pas à contacter notre service d’assistance. La certitude de conformité et la certitude de certification sont faciles à obtenir grâce à nos services pour votre organisation, vos clients et autres parties prenantes. Nous sommes habitués à travailler avec des clients à tous les niveaux, de les nouveaux arrivants aux anciens combattants.

Prêt à passer à l'action?

Réservez votre démo

image CTA

 

« Comment rédiger un rapport d'audit interne pour la norme ISO 27001

Quels sont les différents types d’audits internes ISO 27001 ? »

Dernière modification : 20 juin 2022
Auteur

Sami Derfoufi

Sami a rejoint l'Académie ISMS.online et a suivi une gamme de formations portant sur la norme ISO 27001 et la conformité.

Voir tous les articles de Sami Derfoufi

Articles Similaires

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage