Quels sont les différents types d’audits internes ISO 27001 ?

Introduction

Cette page a été réalisée pour expliquer les différents types d'audits internes ISO 27001. Pour commencer, nous poserons les bases en expliquant brièvement les exigences de la norme ISO 27001 elle-même, puis nous parlerons d'un SMSI, des raisons pour lesquelles il a besoin d'un audit et de ses objectifs. Si vous connaissez ces titres, veuillez faire défiler jusqu'à la seconde moitié, qui parle spécifiquement des audits internes et de la méthodologie.

Qu'est-ce que l'ISO 27001?

ISO 27001 est une norme créée par l'Organisation internationale de normalisation. Il est utilisé comme cadre pour les activités d'une organisation Système de gestion de la sécurité de l'information (SMSI). La norme est composée de deux sections simples, les clauses (exigences, et donc non facultatives) et l'annexe A. contrôles (éventuellement utilisé pour atténuer les risques identifiés en matière de sécurité des informations).

Le système de gestion de la sécurité de l'information (ISMS) doit être conçu, maintenu et amélioré en permanence conformément à la norme ISO 27001. Il permet de démontrer les meilleures pratiques en matière de sécurité de l'information, y compris dans certaines parties de l'UE. Règlement général sur la protection des données, en aidant à établir des principes solides de sécurité des données et les processus, systèmes et infrastructures qui en résultent dans tous les aspects de votre entreprise.

Qu'est-ce qu'un système de gestion de la sécurité de l'information (ISMS) ?

Un système de gestion de la sécurité de l'information décrit et démontre l'approche de votre entreprise ou organisation en matière de protection des données et de maintien de la confidentialité. Il présente les politiques, procédures, systèmes et autres composants utilisés pour appliquer sécurité de l'information dans l’ensemble d’une organisation. Un ISMS prend également en compte les parties intéressées (telles que les fournisseurs), la portée de votre organisation (où et à quoi s'applique votre SMSI) et les problèmes internes et externes. Pour ces derniers, vous pouvez déterminer ces problèmes pour introduire des risques ou des opportunités pour votre organisation, sur lesquels vous agirez ensuite au sein de votre SMSI.

Pourquoi avez-vous besoin d’un SMSI ?

An Le système de gestion de la sécurité de l'information aide à identifier et à atténuer les risques liés à vos informations les plus précieuses et aux actifs associés.. En fin de compte, disposer d'un SMSI fonctionnel peut permettre à une organisation de minimiser les perturbations causées par les menaces de sécurité et de permettre amélioration continue. En plus de cette valeur interne, un SMSI réussi a souvent une valeur commerciale tangible.

Pourquoi auditer votre SMSI ?

An audit de votre SMSI permet que le système de gestion soit révisé par un auditeur objectif et compétent. Il testera les éléments du SMSI sur la base des exigences standard. Cela permettra également de mieux comprendre le niveau actuel de l'organisation pour répondre à ses besoins et les objectifs de l'entreprise. L'efficacité et le caractère pratique des politiques et procédures écrites sont également mesurés. Enfin, un audit de votre SMSI peut également noter les résultats positifs pour s’assurer qu’ils sont correctement entretenus et fournir un développement en vue d’une amélioration continue.

Qu'est-ce qu'un audit interne ?

Lors d'un audit interne, l'auditeur recueille et documente les faits en collaboration avec l'audité. Un audit interne mesure les pratiques réelles (et les résultats qui en résultent, tels que les enregistrements) par rapport à votre SMSI, aligné sur la norme ISO 27001 standard. Il garantit que vous suivez les meilleures pratiques et processus pour protéger les données sensibles. Un auditeur compétent doit réaliser un audit interne au sein de l'organisation ou (éventuellement de l'extérieur, par exemple un consultant) en étroite collaboration avec l'organisation.

Pourquoi effectuons-nous des audits internes ?

Article 9.2 de la norme ISO 27001 (et de nombreuses autres normes ISO modernes) exigent que les audits internes soient effectués à « intervalles planifiés ». Donc, premièrement, nous devons faire des audits internes réguliers. Soit dit en passant, les autres exigences de la clause 9.2 sont assez simples : nous devons documenter les résultats de notre audit et nous assurer que le programme d'audit est planifié mais dynamique. Ce dernier point garantit que vous en tenez compte et que vous réagissez en conséquence à mesure que votre organisation et l'environnement commercial externe évoluent.

Outre les exigences ISO, vous devriez être amené à auditer plusieurs facteurs organisationnels fondamentaux :

• Pour repérer les inefficacités dans les processus
• Repérer les manquements dans la satisfaction des exigences de la norme
• Identifier les bonnes pratiques pouvant être répliquées
• Rechercher des améliorations potentielles
• Pour repérer la conformité

Types d'audits internes ISO 27001

Tout en obtenant et en conservant la certification ISO 27001, il arrive souvent que vous ayez besoin d'un audit interne. Il existe plusieurs façons d’exécuter votre stratégie d’audit interne. Il y a des moments au cours de votre parcours de certification où un audit interne peut accroître votre confiance lorsque vous êtes soumis à un audit externe. Au cours de la préparation à la première certification, il existe deux grandes opportunités pour un audit interne. Ceux-ci peuvent être appelés audit préalable à l’étape 1 (examen de l’état de préparation) et audit préalable à l’étape 2.

Audit préalable à l'étape 1 expliqué

Une pré-étape 1 est un audit qui peut éventuellement avoir lieu, mais très fréquemment, pour la norme ISO 27001 et qui se concentre sur la question de savoir si le politiques et procédures actuelles répondre aux exigences énoncées dans la norme. Un audit préalable à l'étape 1 peut également être appelé examen de l'état de préparation et examine généralement uniquement les composants documentés (politiques, procédures, etc.) de votre SMSI créé par votre organisation et vérifie s'ils satisfont à la norme. Ce l’audit contribuera à garantir que votre organisation est mieux préparée à une étape externe 1 revue documentaire d’un organisme certificateur.

Le résultat d'un audit préalable à l'étape 1 serait un document comprenant une liste de contrôles et clauses et si l’organisation est conforme avec chaque zone standard. Il comportera également des opportunités d'amélioration (OFI), mettant en évidence les politiques traitant de la clause ou de l'annexe qui pourraient devoir être revues. Enfin, des non-conformités peuvent être répertoriées lorsque l'auditeur estime que le SMSI n'est pas conforme à la norme ISO 27001.

Audit préalable à l'étape 2 expliqué

L'audit préalable à l'étape 2 couvre généralement un Contrôle ou clause ISO 27001 de votre choix. Cet audit prouve l’efficacité de vos procédures et politiques d’audit dans la pratique. Cela s'appuie sur l'audit préalable à l'étape 1, garantissant que votre organisation met en œuvre et pratique les processus définis. Ces domaines sont testés et étudiés par l'auditeur pour représenter le niveau actuel de votre organisation. conformité à la sécurité de l'information. Les résultats sont enregistrés et stockés dans votre ISMS.

En lien avec la clause 10 de la norme ISO 27001, qui traite des améliorations et des actions correctives, après avoir effectué un audit interne préalable à l'étape 2, une organisation documente ses non-conformités et les domaines à améliorer au sein de son SMSI. Une date d’examen est fixée pour chaque constatation une fois qu’un besoin d’action a été établi.

Programme de vérification

La La norme ISO 27001 nécessite un audit programme. Un programme d'audit définit généralement un plan sur trois ans entre les audits externes de recertification. Un robuste Cadre ISMS comme ISMS.online donne un domaine de projet définissant les délais d'audit, détaillant ce qui doit être abordé et d'autres détails pertinents de l'audit prévu.

Au cours de ces trois années, il est courant que tous les domaines standards soient abordés au moins une fois. Les programmes d'audit peuvent et doivent être flexibles pour répondre à vos les besoins de l'organisation et il n'est pas nécessaire de s'adapter à un modèle défini.

Chaque audit est planifié et le plan d'audit contient généralement des détails tels que :

• Lorsque l’audit doit être effectué (ne pas perturber les opérations commerciales normales)
• Quels domaines de la norme doivent être couverts
• Qui fera l’audit ?
• L’objectif – pourquoi l’audit est-il effectué ? Il peut s'agir d'un audit planifié ou d'un nouvel audit d'un domaine de non-conformité préalablement identifié.
• L’étendue de l’audit – quelles parties de l’entreprise sont censées être couvertes dans le temps disponible ?

Il existe des méthodes d’audit subtilement différentes :

• Les audits peuvent être réalisés clause par clause et contrôle par contrôle. Un bon exemple de cas où cette approche serait utile est celui d’une approche plus générale. contrôles de l'annexe A, ce qui atténue un risque lié à tout le monde. Cela impliquerait de sélectionner des parties de la norme et d’effectuer un audit sur une partie prédéfinie ou sur la totalité de votre organisation. Un exemple de ceci serait A.11 Sécurité physique pour chacun de vos bureaux ou emplacements.
• Une autre méthode d'audit consiste à effectuer des audits départementaux. Cette méthode consisterait à réaliser des audits basés sur les structures départementales et les zones de travail. Une vérification ministérielle peut être appropriée si les ministères opèrent dans des régions différentes. Un exemple peut être un audit de votre ressources humaines (RH) et ses composantes ISMS.
• Des audits peuvent également être effectués sur la base de produits/services. Cela examinerait les tâches et les opérations effectuées pour livrer un produit spécifique. Une manière pragmatique d’y parvenir consiste à partir du produit final et à remonter jusqu’au moment où les actions ont été initiées pour la première fois. Il s’agit essentiellement d’un audit d’un processus.

Audits non planifiés/supplémentaires

Parfois, vous pourriez ressentir le besoin d’effectuer des audits en dehors de votre programme d’audit initial au sein de votre organisation. Cela peut être dû à plusieurs raisons liées à l’efficacité de votre SMSI. Les audits planifiés sont un moyen de montrer que votre organisation est proactive et recherche une amélioration continue. Cependant, il peut être tout aussi important d'être réactif aux circonstances de votre organisation – c'est votre choix car ce n'est pas un choix. exigence de la norme ISO 27001.

Une autre raison pour laquelle une organisation peut avoir besoin de réaliser un audit imprévu serait la réponse à un incident de sécurité ou à une catastrophe. Si une faille de sécurité se produisait via un e-mail de phishing, une organisation pourrait juger opportun d'auditer l'annexe A, contrôle A.7.2.2, qui examine la sensibilisation et la formation du personnel. Il s’agirait ainsi de garantir que ce type de compromission de la sécurité ne se reproduise pas.

Un exemple de la raison pour laquelle vous souhaiterez peut-être effectuer des audits supplémentaires est dû aux conclusions de vos audits planifiés. Par exemple, supposons que vous trouviez des non-conformités dans un certain domaine d'audit, il peut être préférable d'auditer ce contrôle ou cette clause spécifique à des intervalles plus réguliers jusqu'à ce que le problème se produise moins ou que le risque devienne plus tolérable. Cela dépendra de votre appétit pour le risque, des dommages potentiels et de la fréquence des non-conformités. Il peut également être utile et approprié de réaliser un audit interne de toute action corrective pour garantir le succès.

Résultats de l'audit

Lorsque vous effectuez un audit, il est essentiel de documenter vos découvertes et de vous assurer amélioration continue. Des résultats positifs sont également notés pour aider à construire des idées et garantir le maintien des bonnes pratiques. Les non-conformités sont enregistrées pour garantir que des mesures correctives sont prises et que les problèmes sont attribués à un propriétaire responsable. Une manière généralement structurée par laquelle les résultats de l'audit sont documentés est la suivante :

• Conformité – Les dispositions sont jugées comme satisfaisant de manière adéquate aux exigences de la ou des clauses ou contrôles applicables.
• Possibilités de amélioration – Domaines notés dans lesquels le SMSI pourrait potentiellement être amélioré, à la discrétion de l'organisation. L'organisation doit examiner attentivement les résultats, en documentant les modifications apportées au SMSI, le cas échéant.
• Non-conformité – Un problème qui contrevient à une exigence de la norme ISO 27001. Cela nécessitera une résolution complète et appropriée rapidement avant le prochain audit externe.
• Non-conformité majeure – Le non-respect de la norme à un niveau systémique nécessitera probablement l'attention de la haute direction et une restructuration des pratiques de sécurité de l'information.

Notez que l'approche ci-dessus n'est pas une exigence de la norme ISO 27001, vous pouvez donc utiliser des approches totalement différentes si elles fonctionnent pour votre organisation.

Comment ISMS.online aide aux audits internes

Avec ISMS.online, notre service logiciel permet à votre système de gestion de la sécurité de l'information d'être un emplacement accessible tout-en-un. Cela comprend un domaine de programme d'audit flexible qui peut documenter les rapports d'audit entre les périodes de certification. Deuxièmement, ISMS.online aide les organisations à gérer leurs conclusions d'audit et à y répondre en conséquence. De plus, au sein de notre service logiciel, il fournit un domaine pour répondre à la clause 10 (Amélioration) en fournissant une piste d'actions correctives et d'améliorations. Cela permet à votre organisation d’être plus proactive lors du traitement des non-conformités et des améliorations. Pour ce faire, il voit son statut, attribue un propriétaire responsable et des dates d'achèvement et d'examen. Toutes ces fonctionnalités permettent à une organisation de se sentir mieux organisée pour un audit externe, car tous les domaines de travail et tous les rapports sont facilement accessibles, ce qui permet au processus de se dérouler plus facilement.

ISMS.online propose également des services d'audit interne menés par des spécialistes de la sécurité de l'information. Cela garantit que les organisations disposent d'un auditeur compétent pour effectuer leurs audits internes conformément à l'annexe A.18.2.1, qui mentionne que les processus et procédures doivent être examinés de manière indépendante. Cela permettra à vos conclusions d’audit d’être objectives, précises et précieuses pour votre organisation.

Pour fournir une assistance supplémentaire, ISMS.online propose également un coach virtuel module complémentaire, qui comprend des vidéos, des guides et des listes de contrôle fournissant des informations sur le respect de la norme ISO 27001. Il y a une section relative à 9.2 (Audits internes) et à d'autres domaines pertinents. Cela donne une direction à votre organisation et permet de gagner du temps qui peut être utilisé pour se concentrer sur des opérations plus générales. Utiliser Virtual Coach aidera votre organisation à devenir pragmatique et à augmenter votre sécurité de l'information confiance.