Nos meilleurs conseils pour réussir votre premier audit ISO 27001 Stage 2

Si vous allez pour Certification ISO 27001, votre audit de phase 2 sera l’un des principaux points critiques. Vous devrez montrer que votre SMSI est bien plus que de simples documents bien rédigés et de bonnes intentions générales. Cela doit fonctionner aussi bien dans la pratique que sur le papier.

Au fil des années, nous avons aidé de nombreux clients à réussir leur premier audit de phase 2. Et certains de nos ISO 27001 Les experts sont eux-mêmes auditeurs d’organismes de certification, nous connaissons donc très bien le processus des deux côtés. Nous nous en sommes inspirés pour partager notre :

• Étape 2 audit meilleures astuces
• Liste de contrôle ISO 27001 « Débutant pour dix »

Assurez-vous de couvrir tous les éléments essentiels

Votre auditeur examinera chaque partie de votre SMSI. Ils se concentreront en particulier sur ses composants essentiels. Si ceux-ci ne sont pas à la hauteur, ils ne vous recommanderont pas pour la certification. Ainsi, lorsque vous préparez votre audit, veillez particulièrement à couvrir :

La gestion des risques

Pour que vos défenses de sécurité informatique fonctionnent, vous devez comprendre contre quoi vous vous protégez. Alors parcourez votre la gestion des risques contenu et processus avec un peigne à dents fines.

Assurez-vous d'avoir :

• Identifié et enregistré tous les risques possibles dans votre registre des risques
• Défini comment vous y répondrez dans votre plan de traitement des risques
• Enregistré les contrôles que vous appliquez dans votre déclaration d'applicabilité

Gestion d'actifs

Votre SMSI est tourné vers l’intérieur comme vers l’extérieur. Votre auditeur doit s'assurer que vous comprenez exactement ce que vous protégez. Vérifiez donc à nouveau que vous avez enregistré et compris tous vos actifs informationnels.

Gardez à l'esprit que votre organisation les actifs informationnels sont bien plus que de simples logiciels informatiques et le matériel. La liste peut inclure tout, du client et fournisseur aux contrats en passant par les éléments incorporels comme votre marque et votre réputation. Assurez-vous d'avoir tout inclus !

gestion des incidents

Votre auditeur vérifie que votre SMSI fonctionne dans la pratique. Ils devront donc veiller à ce que vous et vos collègues sachiez exactement quoi faire lorsque le pire se produit et que le – euh – sucre frappe le ventilateur.

Vous devrez être absolument sûr que votre la gestion des incidents les processus sont à la hauteur. Cela signifie épingler :

• Quand et comment ils sont déclenchés
• Qui fait quoi, quand, lorsqu'un nouvel incident survient
• Comment enregistrer et tirer des leçons de votre réponse à chaque incident, afin de pouvoir :
  • Améliorez votre SMSI
  • Assurez-vous que les répétitions ont moins, voire aucun impact.

Bien intégrer votre SMSI

Votre auditeur doit s’assurer que votre SMSI fonctionne dans la pratique. Pour vous en assurer, laissez-le fonctionner un peu. Donnez-vous un peu de temps et d'espace pour renforcer votre confiance dans votre SMSI avant de le montrer à votre auditeur.

Vous renforcerez la confiance de deux manières. Cela viendra en partie naturellement lorsque vous superviserez votre SMSI, verrez ce qui fonctionne et corrigerez ce qui ne fonctionne pas. Mais vous devriez également cocher des cases plus formelles. Assurez-vous d'avoir effectué :

• Un ou plus audits internes et examens du système de gestion
• Activités appropriées de formation et d’engagement du personnel

Ce deuxième point est particulièrement important. Un SMSI n’est efficace que lorsque les gens le comprennent et s’y conforment. Assurez-vous donc que vos collaborateurs savent :

• A quoi ça sert
• Pourquoi c'est si important
• Quelles politiques et contrôles ils doivent suivre
• Exactement comment les suivre

Assurez-vous que votre SMSI apporte de réels changements

Les organisations créent des SMSI parce qu'elles ne sont pas suffisamment sécurisées sans eux. Devenir sécurisé signifie changer leur approche de la sécurité. Cela crée un moyen très simple de vérifier si votre SMSI est prêt à être audité. Demande toi:

Est-ce que quelque chose a réellement changé ?

Un efficace ISMS créera des changements visibles et pratiques dans le fonctionnement de votre organisation. Ces changements affecteront à la fois ses processus et relations internes et externes. Ils devraient être très évidents pour vous.

Si votre SMSI a créé des changements pratiques, positifs et évidents, il est alors sur le point d'être prêt à être audité. Mais si c'est juste un rebadgeage de votre existant systèmes de sécurité, vous avez probablement encore du travail à faire.

Ne vous inquiétez pas des confinements qui impactent votre audit

Les audits de phase 2 ont toujours été approfondis et sur site. C’est difficile dans notre monde moderne infecté par le Covid. Mais ne vous laissez pas inquiéter.

Les organismes de certification sont très clairs sur le fait que le processus d'audit doit se poursuivre normalement, quel que soit le statut de confinement d'une organisation. Ils se feront un plaisir d'auditer votre organisation à distance et de travailler avec vous pour surmonter tous les défis.

L'audit à distance rend encore plus important l'existence d'un SMSI entièrement transparent et facilement accessible, tout-en-un, comme (nous pensons devoir mentionner) celui notre plateforme pourrait vous aider à créer. Et si vous êtes déjà avec nous, c'est ce que vous aurez déjà.

Ne vous arrêtez pas une fois votre audit de phase 2 terminé

« De nombreuses organisations réussissent leur audit, célèbrent tout leur travail acharné et… oublient pratiquement tout leur SMSI. Tout le monde retourne à son travail quotidien. Puis, une dizaine de mois plus tard, c'est la grande panique lorsqu'ils doivent se préparer à leur premier audit de maintenance.

Un SMSI n’est pas un système de type « feu et oubli ». Pour maintenir la certification ISO 27001, il doit :

• Tirer des leçons de tout incident de sécurité des informations
• Évoluer à mesure que son organisation mère grandit et change
• Tenir compte de toute nouvelle menace et évolution en matière de sécurité informatique

Nous disons souvent que la maintenance de votre SMSI est autant un défi que sa mise en place et son fonctionnement. Assurez-vous que c'est un défi pour lequel vous êtes prêt !

Suivez notre liste de contrôle ISO 27001 de départ pour dix

Nous vous avons donné quelques conseils généraux pour vous préparer à votre audit de phase 2. Nous allons terminer par quelques conseils spécifiques. Ce tableau est un guide de départ pour dix pour vérifier votre SMSI par rapport aux Norme ISO 27001. Cela vous aidera à vous concentrer pendant que vous réfléchissez à chaque partie.

 

ISO 27001 Réf & Description

Article 10.1

Tous les résultats de votre audit de phase 1 ont-ils été enregistrés, gérés et suivis ?

Toutes les non-conformités majeures ont-elles été traitées jusqu'au bout ?

Les non-conformités mineures sont-elles soit clôturées, soit en bonne voie selon leur action corrective plan?

Article 5

Tous les processus planifiés fonctionnent-ils en temps opportun pour afficher des niveaux de ressources adéquats ?

Articles 6.1, 8.2 et 8.3

Votre registre des risques montre-t-il une image actuelle et précise des niveaux de risque (c'est-à-dire que vous êtes mise à jour des risques par rapport aux changements et améliorations du traitement des risques)?

Article 6.2

Etes-vous atteindre vos objectifs en matière de sécurité de l’information?

Article 7.2

Est-ce que vous fermez des sécurité de l'information des lacunes en matière de compétences ?

Article 7.3

Exploitez-vous la sécurité de l'information programme que vous avez décrit ?

Article 9.1

Avez-vous pris et évalué votre Mesures des performances du SMSI?

Articles 9.2, 10.1 et 10.2

Avez-vous complété au moins deux audits internes du calendrier d'audit ?

Avez-vous enregistré, suivi et géré toutes vos découvertes ?

Vous n'avez pas nécessairement besoin de compléter les résultats qui nécessitent des améliorations significatives, mais vous devez montrer que des actions sont planifiées ou en cours.

Articles 9.3, 10.1 et 10.2

Possède au moins un SMSI formel Examen de la gestion s'est-il déroulé conformément aux exigences de la norme ?

Avez-vous enregistré, suivi et géré tous les résultats ?

Annexe A Contrôles

Pouvez-vous démontrer que vous exploitez efficacement chaque contrôle et processus pertinent ?

Lorsque vous devez apporter des améliorations, pouvez-vous montrer que vous les suivez et les gérez ?

R.16. Gestion des incidents de sécurité de l'information

Pouvez-vous montrer que, lorsque des incidents se produisent, vous les enregistrez, les suivez, les gérez et y répondez au fil du temps ?

Conclusion… et bonne chance !

Nous avons beaucoup réfléchi à l'audit de l'étape 2 car nous avons construit notre plateforme pour aider nos clients à y parvenir. En fait, chaque client qui a suivi notre Méthode de résultats assurés a obtenu la certification dès sa première tentative.

Et vous n’êtes pas obligé de tout recommencer. Il est facile de migrer votre travail existant sur notre plateforme. Vous pouvez vous déplacer quand cela vous convient, même si vous avez terminé votre audit de phase 1 ou si vous avez effectivement obtenu la norme ISO 27001 certification.

Et c'est ça. Si cet article de blog vous aide dans votre audit de phase 2, faites-le-nous savoir : nous aimons savoir comment les organisations s'y prennent. Il ne nous reste plus qu'à vous souhaiter bonne chance ! Nous sommes sûrs que tous vos efforts seront récompensés.

 

Prêt à voir comment nous pourrions vous aider à réussir votre première étape 2 ?

Réservez une démo sans engagement pour voir notre plateforme en action. Et nous sommes étonnamment abordables. Vous pouvez obtenir votre devis ici.