L'audit interne ISO 27001:2013 : simplifié

Quel est l’objectif de l’audit interne pour la norme ISO 27001 ?

L'objectif de l'audit interne dans la section 9 des exigences de gestion pour ISO 27001: 2013 est l’évaluation des performances. 9.2 indique que l'organisation doit mener des audits internes à intervalles planifiés pour fournir des informations indiquant si le sécurité de l'information Système de gestion:

1) est conforme à

1.1) les propres exigences de l'organisation concernant son système de gestion de la sécurité de l'information ; et

1.2) les exigences de la présente Norme internationale ;

2) est efficacement mis en œuvre et maintenu

3) planifier, mettre en œuvre et maintenir un programme d'audit

4) définir les critères d'audit et la portée de chaque audit

5) sélectionner des auditeurs qui seront objectifs et impartiaux

6) s'assurer que les audits sont signalés à la direction concernée

7) conserver informations documentées comme preuve

En résumé, l'audit interne est l'une des initiatives qui démontre votre ISMS on peut lui faire confiance et il fonctionne comme prévu.

La norme ISO 27001 vous encourage à exécuter le SMSI pour répondre à vos objectifs commerciaux, à votre périmètre, à vos problèmes internes et externes, etc. En tant que tel, vous souhaitez également vous assurer que audits internes sont menées dans un style qui reflète votre entreprise et ses risques, tout en tenant compte de la culture et des ressources dont vous disposez.

Où et que devez-vous auditer dans votre système de gestion de la sécurité de l’information ?

Pour le concrétiser, votre programme et votre philosophie d'audit doivent être dérivés des problèmes, de la portée, par exemple des emplacements, des départements, des processus, des produits, etc., tout en prenant en compte les Déclaration d'applicabilité, les risques, etc., pas seulement un exercice de case à cocher. Cependant, vous devrez démontrer que vous avez audité selon l'ensemble de la norme – exigences de gestion et annexe A. contrôles – au moins une fois pendant les 3 ans Certification ISO 27001 cycle, et que vous pouvez fournir des exemples de preuves de contrôles travaillant selon vos exigences.

Nous avons développé cette approche dans le programme d'audit standard en ISMS.en ligne pour garantir que les audits représentent ce dont l’entreprise a besoin. À notre avis, les audits doivent être menés par les entreprises et « réels » pour que les gens y adhèrent en tant qu'investissement valable et pour que l'audit ait un sens.

Comment auditer à 3 niveaux pragmatiques et simples

Niveau 1 – Examen des politiques conformément à A.5.1.2 et A.8.1.2 pour les examens indépendants

Ce niveau est un simple examen de la façon dont vous « décrivez » votre politiques et contrôles, et assurez-vous qu'ils restent pertinents pour l'organisation selon les points 4.1 à 3 et conformes aux problèmes, parties, portée, actifs informationnels, risques, etc. ci-dessus.

Dans ISMS.online, nous avons inclus la politique pour A.5.1.2 et développé la plateforme Dans cet esprit, il vous est donc facile d'adopter notre politique et de la « vivre » réellement dans la pratique.

Il ne s’agit clairement pas d’un audit interne pour Secte. 9.2 en soi, mais constitue une partie importante de votre ISMS gestion ainsi que d'autres aspects tels que les revues de direction, suivi des incidents etc. et contribuera à garantir que lorsque vous effectuez votre audit interne formel, vous le faites dans le cadre d'un ensemble solide de politiques et de contrôles appropriés à votre organisation.

Niveau 2 – plan d'audit interne couvrant les exigences et les contrôles

Il s'agit de l'approche requise, plus traditionnelle, qui devra être mise en œuvre au minimum au cours du cycle de certification et il peut être intéressant d'envisager de couvrir cela chaque année.

Notre projet d’audit peut être utilisé pour définir les objectifs et la portée de chaque audit et enregistrer vos conclusions. Toute non-conformité identifiée peut ensuite être traitée dans le Piste d'amélioration.

Pour les organisations souhaitant suivre un programme d'audit de trois ans de tous les contrôles, nous avons inclus un cadre à suivre ISMS.en ligne trop.

Niveau 3 – une approche holistique pour démontrer l’efficacité

Nous encourageons également une approche plus holistique des audits internes et avons construit un programme dans la plateforme qui concentre un audit sur la « démonstration » d'une partie spécifique de votre Portée du SMSI est conforme, par exemple un service, un emplacement, un produit, un système ou un processus.

Cela vous donne l'opportunité d'examiner comment l'entreprise fonctionne dans la pratique, au-delà InfoSec en soi, et déceler des opportunités d'amélioration ou, en fait, découvrir des risques qui pourraient ne pas être facilement perçus sous l'angle du contrôle.

Cela permet également à une organisation d'auditer un plus grand nombre de contrôles en une seule fois, de manière conjointe.

Dans notre coach virtuel ISO 27001, nous incluons un exemple pour donner un aperçu de ce que vous pourriez faire et qui illustrerait une partie de votre ISMS le périmètre fonctionne bien et atteint ses objectifs, les contrôles fonctionnant (ou non).

Comment planifier le programme d'audit ISO 27001

Il n'est pas facile d'élaborer un plan d'audit 3 ans à l'avance pour toute la période de certification si vous êtes une organisation en évolution rapide. Si tel est le cas, vous devez considérer les domaines qui doivent être audités et créer un plan sur 12 mois pour répondre aux attentes d'un auditeur externe.

Alors soyez clair que vous serez effectuer des revues de direction conformément à la Sect. 9.3 cela pourrait entraîner une modification de ce calendrier. Cela fait partie de l’objectif de la version 9.3 : être proactif et réagir aux nouveaux informations affectant le SMSI.

Si vous décidez de modifier le calendrier d'audit, par exemple en raison d'un événement déclencheur le justifiant, déplacez simplement le calendrier d'audit et ajoutez une note dans votre dossier pertinent. examen de la gestion pour justifier pourquoi vous avez apporté les modifications.

Quelle que soit l’approche d’audit que vous choisissez d’adopter, soyez prêt à justifier, démontrer et défendre son efficacité auprès d’un auditeur externe.

Combien de détails devez-vous inclure dans un exercice d’audit ISO 27001 ?

Lorsque vous décidez jusqu'où vous devez aller dans votre exercice d'audit, tenez compte de ceci : disposez-vous de suffisamment d'informations pour pouvoir démontrer que vous avez effectué l'audit, appris de l'exercice, l'avez documenté et pris des mesures ultérieures ?

De notre propre perspective culturelle, il s'agit également d'être concis, sans papier et numérique, et de veiller à ce que nous fassions bien notre travail – célébrer le succès, apprendre et s'améliorer, et réduire les risques sans s'embourber dans la bureaucratie ou remplir des formulaires pour le plaisir. de celui-ci.

Toutes les personnes à qui nous avons parlé (avant de créer ISMS.online) avaient leur propre méthode d'audit. Nous avons vu des rapports d'audit très longs qui sont rarement lus par le bon public, qui ne souhaite en réalité qu'un résumé. Il s'agit donc pour nous de démontrer, d'apprendre, d'agir et de mettre en pratique toute amélioration, en fonction de la gravité de la menace ou de la valeur de l'opportunité par rapport aux autres priorités de l'entreprise.

Dans ISMS.online, vous pouvez le faire dans l'activité d'audit elle-même ou lier le travail d'amélioration à notre Suivi des actions correctives et des améliorations pour s'aligner sur toutes les actions correctives et améliorations, pas seulement celles provenant d'un audit.

Que dit l'ISO sur les audits et l'audit pour la norme ISO 27001 ?

En plus des exigences de la norme ISO 27001 9.2, le Organisation internationale de normalisation (ISO) fournit les normes suivantes pertinentes pour l’audit :

• ISO 27007 – Fournit des conseils sur la façon d’auditer les éléments (exigences) du système de gestion de votre SMSI et s’inspire largement de la norme ISO 19011 (voir ci-dessous) avec l’objectif supplémentaire de détails relatifs à l’audit d’un SMSI.
• ISO TR 27008 – Un rapport technique (plutôt qu'une norme) qui fournit des conseils sur l'audit du contrôles de sécurité de l'information géré par votre SMSI.
• ISO 19011 – fournit des conseils sur l’audit les systèmes de gestion, y compris les principes de l'audit, la gestion d'un programme d'audit et la conduite Système de gestion audits, ainsi que des conseils sur l'évaluation des compétences des personnes impliquées dans le processus d'audit, y compris la personne qui gère le programme d'audit, les auditeurs et les équipes d'audit.
• ISO 27006 & ISO 17021 – Celles-ci sont destinées aux organismes de certification effectuant les audits externes. Bien qu'ils puissent fournir une référence utile pour comprendre ce que recherchent les organismes de certification, votre Audit interne sera très différent, avec un objectif différent et vous ne devriez pas envisager l’audit exactement de la même manière.

Un thème récurrent que nous entendons est que les auditeurs veulent s'assurer que les l’organisation vit et respire le SMSI et cela inclut l'implication des dirigeants, la présentation proactive des éléments que vous avez dans ISMS.online et la capacité de répondre très rapidement à leurs questions spécifiques avec des preuves.

Avoir une structure qui suit le ISO 27001: Les méthodes et l'étiquetage 2013, comme dans ISMS.online, permettent également aux auditeurs de suivre facilement dans leur propre « langue », et ils peuvent voir les modifications de version, le travail horodaté, les collaborations, les approbations des membres indépendants de l'équipe, etc. aide à l’ensemble des tests ci-dessus.

Évidemment, vous devrez toujours démontrer que les politiques sont mises en pratique en dehors d'ISMS.online, par exemple, les informations sont sauvegardées à partir de vos systèmes, les accords de confidentialité des clients et des fournisseurs sont respectés, etc. (et bien sûr, vous pouvez utiliser ISMS.online pour montrer au fournisseur les accords aussi !)

Devriez-vous suivre une formation d’auditeur principal pour vous aider avec la norme ISO 27001 ?

Si vous envisagez de suivre une formation d'auditeur principal, il convient de considérer que lorsque vous êtes formé par quelqu'un dont le travail à temps plein est l'audit, celui-ci se concentre sur la formation à l'audit d'un point de vue externe. Cela peut aller au-delà des exigences de votre organisation en matière de conformité à la norme 9.2 et vous faire perdre de vue les objectifs commerciaux plus larges.

Vous devez être capable d'auditer suffisamment bien pour démontrer à votre leadership et à vos parties intéressées (par exemple les auditeurs) que l'audit interne 9.2 est efficace dans le cadre de votre évaluation de performance et fonctionne dans la pratique.

Dans ISMS.online, nous avons proposé un processus d'audit dans la secte. 9.2, et étant donné l'espace nécessaire pour le fournir, il est suffisamment facile à adopter ou à adapter à votre style et à vos besoins, et en gardant à l'esprit les contraintes de ressources internes. Nous avons également inclus un exemple pragmatique dans le coach virtuel ISO 27001.

Cependant, de nombreux clients définissent facilement leur approche à l'aide d'ISMS.online, puis bénéficient d'un simple bilan de santé virtuel ainsi que de conseils, voire d'une assistance pragmatique en matière d'audit continu, avec notre auditeur principal qualifié.

ISMS.en ligne simplifie l'établissement du programme d'audit qui vous convient, soit en adoptant nos programmes prédéfinis, soit en créant rapidement et facilement le vôtre.

Nous vous aiderons à gérer vos audits plus efficacement et à les intégrer dans une approche globale ISMS.