Quelle est la démarche d’audit ISO 27001 ?
Table des matières:
- 1) Qu’implique un audit ISO 27001 ?
- 2) Qu'est-ce qu'un audit ISO 27001 ?
- 3) Pourquoi les audits ISO 27001 sont-ils importants ?
- 4) Qu’implique un audit externe ISO 27001 ?
- 5) L'intérêt d'un audit ISO 27001 avec/sans certification
- 6) Qui réalise un audit ISO 27001 ?
- 7) Comment ISMS.online rend-il le processus d’audit plus efficace ?
- 8) « Comment éviter les erreurs courantes d'audit interne ISO 27001
- 9) Comment expliquer un SMSI à mes collègues ? »
Qu’implique un audit ISO 27001 ?
Les audits sont couramment utilisés pour garantir qu'une activité répond à un ensemble de critères définis. Pour toutes les normes ISO sur les systèmes de management, des audits sont utilisés pour garantir que le système de management répond aux exigences de la norme concernée, aux propres exigences et objectifs de l'organisation, et qu'il reste efficient et efficace. Il sera nécessaire de mener un programme d'audits pour le confirmer.
Qu'est-ce qu'un audit ISO 27001 ?
Un audit ISO 27001 implique qu'un auditeur compétent et objectif examine le SMSI ou des éléments de celui-ci et vérifie qu'il répond aux exigences de la norme, aux propres exigences d'information et objectifs de l'organisation pour le SMSI et que les politiques, processus et autres contrôles sont efficaces. et efficace.
Outre la conformité et l'efficacité globales du ISMS, un audit ISO 27001 est conçu pour permettre à une organisation de gérer ses risques de sécurité de l'information à un niveau tolérable, il sera nécessaire de vérifier que les contrôles mis en œuvre réduisent effectivement les risques à un point que le(s) propriétaire(s) des risques sont heureux de tolérer. le risque résiduel.
Quels sont les types d’audits ?
La norme exige qu'une organisation soit tenue de planifier et réaliser un planning « d’audits internes » afin de pouvoir prétendre à la conformité à la norme. De plus, si une organisation souhaite obtenir la certification, elle exigera que des « audits externes » soient effectués par un « organisme de certification » – un organisme accrédité disposant des ressources compétentes pour effectuer un audit selon la norme ISO 27001.
Pour garantir un bénéfice maximal du SMSI, il est fortement recommandé de s'assurer que l'organisme de certification sélectionné est accrédité par une autorité de contrôle reconnue. Au Royaume-Uni, les organismes de certification sont accrédités par l'UKAS – le service d'accréditation du Royaume-Uni. Il s'agit du seul organisme d'accréditation mandaté par le gouvernement au Royaume-Uni.
Audit interne
Audits internes, comme leur nom l'indique, sont les audits effectués par l'organisation sur le SMSI organisationnel. Si l'organisation ne dispose pas compétent et des auditeurs objectifs au sein de son propre personnel, ces audits peuvent être réalisés par un entrepreneur.
Audit externe
Le terme « audits externes » s'applique le plus souvent aux audits effectués par un organisme de certification dans le but d'obtenir ou de maintenir la certification. Toutefois, il peut également être utilisé pour désigner les audits effectués par d'autres organismes de certification. parties intéressées (par exemple partenaires ou clients) souhaitant obtenir leur propre assurance sur le SMSI de l'organisation. Cela est particulièrement vrai lorsqu’une telle partie a des exigences qui vont au-delà de celles de la norme.
Pourquoi les audits ISO 27001 sont-ils importants ?
Sans vérifier comment votre SMSI est géré et fonctionne, il n’existe aucune garantie réelle qu’il parviendra à atteindre les objectifs qu’il s’est fixé. Les audits contribuent dans une certaine mesure à fournir cette assurance.
Pourquoi dois-je auditer mon SMSI ?
Il existe un certain nombre de raisons pour auditer votre SMSI :
- La norme l’exige – clause 9.2, Audit interne impose un programme d’audits internes.
- Pour garantir que votre SMSI est correctement mis en œuvre et exploité.
- À s'assurer que le SMSI répond aux exigences de la norme.
- S'assurer que le SMSI répond aux propres exigences de l'organisation.
- À s'assurer que le SMSI répond aux objectifs fixés par l'organisation en matière de sécurité de l'information par rapport à la clause 6.2 Objectifs de sécurité de l’information et planification pour les atteindre.
- Pour garantir que le SMSI est efficace pour réduire risques liés à la sécurité de l'information à un niveau tolérable.
- Pour garantir que tout non-conformités et actions correctives sont traités en temps opportun.
- Pour être sur de sécurité de l'information les faiblesses, les événements et les incidents sont signalés, gérés et résolus de manière efficace et efficiente.
Qu’implique les audits internes ISO 27001 ?
Examen de la documentation – Il s'agit d'un examen des politiques, procédures, normes et documents d'orientation de l'organisation pour garantir qu'ils sont adaptés à leur objectif et qu'ils sont examinés et tenus à jour.
Audit probant (ou examen sur le terrain) – Il s’agit d’une activité d’audit qui échantillonne activement des éléments probants pour montrer que les politiques sont respectées, que les procédures et les normes sont suivies et que les orientations sont prises en compte.
Analyse – Suite à l'examen de la documentation et/ou à l'échantillonnage de preuves, l'auditeur évaluera et analysera les conclusions afin de confirmer si les exigences de la norme sont respectées.
Rapport d'audit – Un rapport d'audit devra être préparé comme l'exige la norme de la clause 9.2 f) et fourni à la direction pour garantir la visibilité.
Examen de la gestion – Il s’agit d’une activité requise en vertu de la clause 9.3 Revue de direction qui doit prendre en compte les conclusions des audits effectués pour garantir que les actions correctives et les améliorations sont mises en œuvre si nécessaire.
Qu’implique un audit externe ISO 27001 ?
Les processus d'audit externe sont essentiellement les mêmes que ceux du programme d'audit interne, mais ils sont généralement menés dans le but d'obtenir et de maintenir la certification. Le programme des audits externes [de certification] sera déterminé par les auditeurs externes [organisme de certification] mais suivra une exigence systématique.
L'auditeur concerné fournira un plan d'audit et une fois celui-ci confirmé par l'organisation, les ressources seront allouées et les dates, heures et lieux convenus. L'audit sera ensuite réalisé selon le plan d'audit.
À quelle fréquence les audits externes sont-ils effectués ?
Différents les organismes d'accréditation du monde entier établissent différentes exigences pour le programme de certification cependant, dans le cas des certificats accrédités UKAS, les audits comprendront :
- Audit de certification initial – réalisé en 2 étapes.
- Audits de surveillance périodiques – généralement tous les 6 mois ou, au minimum, tous les ans.
- Audits de recertification réalisés tous les 3 ans.
Quels sont les types et les étapes des audits externes ?
- Audit d'étape 1 – « Examen de la documentation » pour établir que l’organisation dispose de la documentation requise pour un SMSI opérationnel.
- Audit d'étape 2 – « Audit de certification » – un audit probant pour confirmer que l’organisation est faire fonctionner le SMSI conformément à la norme – c'est-à-dire que les politiques, procédures et normes documentées sont mises en œuvre, opérationnelles et efficaces. Cet audit probatoire est effectué par sondage.
- Audit de surveillance – Également appelés « audits périodiques », ils sont effectués de manière programmée entre les audits de certification et de recertification et se concentreront sur un ou plusieurs domaines du SMSI.
- Audit de recertification – Réalisé avant l’expiration de la période de certification (3 ans pour les certificats accrédités UKAS) et constitue un examen plus approfondi que ceux réalisés lors d’un audit de surveillance. Il couvre tous les domaines de la norme.
En plus du programme d'audits externes de certification formelle ci-dessus, vous devrez peut-être vous soumettre à un audit externe par un tiers intéressé tel qu'un client, un partenaire ou un régulateur. La partie concernée vous fournira normalement un plan d'audit et fera le suivi d'un rapport d'audit qui devra être intégré dans votre SMSI. Examen de la gestion.
L'intérêt d'un audit ISO 27001 avec/sans certification
La décision de l'organisation d'atteindre conformité et éventuellement certification à la norme ISO 27001 dépendra des raisons de la mise en œuvre et de l’exploitation d’un SMSI formel et documenté et cela sera souvent documenté dans une analyse de rentabilisation qui identifiera les objectifs attendus et le retour sur investissement.
Sans certification, l’organisation ne peut que revendiquer la « conformité » à la norme, et cette conformité n’est assurée par aucun tiers accrédité. Si la raison de la mise en œuvre du SMSI est uniquement d’améliorer la gestion de la sécurité et l’assurance interne, cela peut alors être suffisant.
Pour maximiser les bénéfices et le retour sur investissement du SMSI en termes de fourniture d'assurance aux partenaires externes de l'organisation. parties intéressées et les parties prenantes, un programme d’audit de certification indépendant, externe et accrédité sera requis.
Rappelons que la seule différence en termes d'effort entre « conformité » et « certification » est le programme d'audits de certification externes. En effet, pour affirmer véritablement sa « conformité » à la norme, l’organisation devra toujours faire tout ce qui est requis par la norme – la « conformité » auto-testée ne réduit pas les ressources requises ni les efforts impliqués dans la mise en œuvre et l’exploitation d’un SMSI.
Se préparer à un audit de certification ISO 27001
Lors de la préparation d’un audit de certification, les points clés suivants doivent être pris en compte :
Les processus clés du SMSI sont-ils mis en œuvre et opérationnels ?
- Contexte organisationnel – Comprendre et documenter le contexte organisationnel et les exigences en matière de sécurité de l’information, y compris celles des parties intéressées. Cela comprendra également documenter la portée du SMSI
- Gestion des risques et des opportunités – L’organisation a-t-elle identifié et évalué sécurité de l'information risques et opportunités et documenté un plan de traitement ?
- Leadership – Un leadership fort au plus haut niveau peut-il être démontré – par exemple par la fourniture de ressources et une déclaration d'engagement documentée au sein de l'organisation politique de sécurité.
- Audit interne – Un programme d'audits internes a-t-il été documenté, convenu et lancé conformément à la clause 9.2 ?
- Examen de la gestion – Le SMSI a-t-il fait l'objet d'une revue formelle de la direction conformément à la clause 9.3
- Mesures correctives – L’organisation peut-elle démontrer que les actions correctives et les améliorations sont gérées et mises en œuvre de manière efficace et efficiente ?
Les documents requis sont-ils en place et approuvés ?
- Portée du SMSI déclaration (Clause 4.3)
- Organisationnel politique de sécurité de l'information (art. 5.2)
- La gestion des risques méthode (Clauses 6.1.2 et 6.1.3)
- Registre des risques et plan de traitement (6.1.3 e)
- Déclaration d'applicabilité (Clause 6.1.3 d)
- Politiques et processus requis en vertu de l'Annexe A lorsque les contrôles sont applicables
Les dossiers de preuve sont-ils faciles à localiser et à accéder ?
Que tout le personnel et les sous-traitants concernés aient reçu l'éducation, la formation et la sensibilisation à la sécurité de l'information ?
C'est également une bonne pratique de s'assurer que les personnes qui seront interrogées ont été informées de ce à quoi s'attendre pendant l'audit et de la manière de réagir. Assurez-vous également qu’ils peuvent accéder facilement aux documents et aux preuves qui peuvent être demandés par l’auditeur.
Qui réalise un audit ISO 27001 ?
Tous les audits selon la norme ISO 27001 doivent être effectués par des auditeurs compétents et objectifs.
Pour démontrer sa compétence pour l'audit ISO 27001, il est généralement requis que l'auditeur ait une connaissance démontrable de la norme et de la manière de mener un audit. Cela peut se faire en suivant un cours d'auditeur principal ISO 27001 ou en possédant une autre qualification d'audit reconnue et une connaissance prouvable de la norme. Il peut être possible de démontrer qu'un auditeur est compétent sans formation formelle, mais cela sera probablement une conversation plus difficile avec votre organisme de certification.
Pour faire preuve d'objectivité, il doit être démontré que l'auditeur ne contrôle pas son propre travail et qu'il n'est pas indûment influencé par ses lignes hiérarchiques. Pour les petites organisations ou celles qui souhaitent une objectivité plus claire, il peut être plus pratique de faire appel à un auditeur contractuel.
Les organismes de certification auront vérifié la compétence de leurs auditeurs et devraient être prêts à vous le démontrer sur demande.
Comment la
ISMS.online rend-il le processus d'audit plus efficace ?
ISMS.online comprend un projet de programme d'audit prédéfini qui couvre à la fois les audits internes et externes et peut également inclure des audits par rapport à RGPD si vous avez choisi cette option.
Le programme d'audit prédéfini comprend :
- Activités pour 2 audits recommandés avant certification
- A plan d'audit interne pour la première période de certification de 3 ans
- Espaces réservés pour votre certification externe et vos audits périodiques
En plus de fournir le projet de programme d'audit, la possibilité de se connecter rapidement à d'autres zones de travail au sein du tout-en-un Plateforme ISMS.online Cela signifie que relier les résultats de l'audit aux contrôles, aux actions correctives et aux améliorations, voire aux risques, est rendu facile et accessible. Cela vous permettra de démontrer facilement à votre auditeur externe la gestion concertée des constats identifiés.
Besoin de plus d'informations? Veuillez nous contacter pour parlez à l’un de nos experts dès aujourd’hui.
À quelle fréquence dois-je réaliser un audit interne ?
Vous devez réaliser des audits internes couvrant l’intégralité de la norme, au minimum, sur la période de certification (3 ans pour les certificats accrédités UKAS).
Vous pouvez effectuer cela sous la forme d'un audit unique, mais il est plus généralement divisé en audits plus petits sur une période de trois ans.
Il est également important d’auditer certains domaines plus fréquemment si les niveaux de risque sont élevés ou si le domaine est soumis à des changements fréquents.
Il est recommandé d'auditer les exigences du système de gestion (clauses 4 à 10) sur une base annuelle et cela peut être lié à l'examen de la direction de votre SMSI qui doit également être effectué chaque année.
Combien de détails devez-vous inclure dans un exercice d’audit interne ISO 27001 ?
Le minimum requis est que vous documentiez les domaines audités, toutes les preuves échantillonnées et toutes les non-conformités et opportunités d'amélioration identifiées. Cependant, il s'agit d'une bonne pratique et offre beaucoup plus d'avantages si vous documentez toutes les conclusions, y compris les cas où quelque chose fonctionne correctement - et cela donnera un sentiment plus positif au rapport d’audit.
En quoi consiste un audit de certification ISO 27001 ?
Un premier audit de certification ISO 27001 implique :
Audit d'étape 1 - « Examen de la documentation » pour établir que l'organisation dispose de la documentation requise pour un SMSI opérationnel.
Audit d'étape 2 - « Audit de certification » – un audit probant pour confirmer que l'organisation exploite le SMSI conformément à la norme – c'est-à-dire que les politiques, procédures et normes documentées sont mises en œuvre, opérationnelles et efficaces. Cet audit probatoire est effectué par sondage.
Pour maintenir votre certification à l’avenir, cela implique :
Audits de surveillance - Également appelés « audits périodiques », ils sont effectués sur une base programmée entre les audits de certification et de recertification et se concentreront sur un ou plusieurs domaines du SMSI.
Audit de recertification - Réalisé avant l'expiration de la période de certification (3 ans pour les certificats accrédités UKAS) et constitue un examen plus approfondi que ceux réalisés lors d'un audit de surveillance. Il couvre tous les domaines de la norme.
