Qu’implique un audit ISO 27001 ?

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

occasionnel,homme,indépendant,travaillant,sur,ordinateur portable,ordinateur,et,en,cliquant,sans fil

casual,man,,freelance,working,on,laptop,computer,and,clicking,wireless

Les audits sont couramment utilisés pour garantir qu'une activité répond à un ensemble de critères définis. Pour toutes les normes ISO sur les systèmes de management, des audits sont utilisés pour garantir que le système de management répond aux exigences de la norme concernée, aux propres exigences et objectifs de l'organisation, et qu'il reste efficient et efficace. Il sera nécessaire de mener un programme d'audits pour le confirmer.

Qu'est-ce qu'un audit ISO 27001 ?

An ISO 27001 L'audit implique un auditeur compétent et objectif examinant :

La ISMS ou des éléments de celui-ci et tester qu'il répond aux exigences de la norme,
Les propres besoins d'information de l'organisation, les objectifs du SMSI,
Que les politiques, processus et autres contrôles sont pratiques et efficaces.

Outre la conformité et l'efficacité globales du SMSI, ainsi que La norme ISO 27001 est conçue pour permettre à une organisation de gérer ses risques en matière de sécurité de l'information. à un niveau tolérable, il sera nécessaire de vérifier que les contrôles mis en œuvre réduisent effectivement le risque à un point où le ou les propriétaires du risque sont heureux de tolérer le risque résiduel.

Quels sont les types d’audits ?

La norme exige qu'une organisation soit tenue de planifier et de réaliser un calendrier d'« audits internes » pour pouvoir affirmer sa conformité à la norme. De plus, si une organisation souhaite obtenir la certification, elle exigera que des « audits externes » soient effectués par un « organisme de certification » – une organisation disposant de ressources d’audit compétentes par rapport à la norme ISO 27001.

Pour garantir un bénéfice maximal du SMSI, il est fortement recommandé de s'assurer que l'organisme de certification sélectionné est accrédité par une autorité de contrôle reconnue. Au Royaume-Uni, les organismes de certification sont accrédités par l'UKAS – le service d'accréditation du Royaume-Uni.

Audit interne

Les audits internes, comme leur nom l'indique, sont des audits réalisés par les ressources propres de l'organisation. Si l'organisation ne dispose pas d'auditeurs compétents et objectifs au sein de son propre personnel, ces audits peuvent être effectués par un fournisseur sous contrat. Ceux-ci sont souvent appelés « audits de deuxième partie » puisque le fournisseur agit comme une « ressource interne ».

Audit externe

Le terme « audits externes » s'applique le plus souvent aux audits effectués par un organisme de certification pour obtenir ou maintenir la certification. Cependant, le terme peut également être utilisé pour désigner les audits effectués par d'autres parties intéressées (par exemple des partenaires ou des clients) souhaitant obtenir leur propre assurance sur le SMSI de l'organisation. Cela est particulièrement vrai lorsqu’une telle partie a des exigences qui vont au-delà de celles de la norme.

Nous avons fait plus de progrès ISO 27001 au cours des deux dernières semaines grâce à ISMS.online qu'au cours de l'année écoulée.

Tom Woolrych

Responsable service et support, La main-d'œuvre
Fiducie de développement

Réservez votre démo

Tous ceux que nous avons aidés à passer un audit ISO 27001 ont réussi du premier coup. Vous pourriez aussi.

Réservez votre démo

Pourquoi les audits ISO 27001 sont-ils importants ?

Sans vérifier la façon dont votre SMSI est géré et fonctionne, il n'y a aucune garantie réelle qu'il répondra aux objectifs qu'il est censé atteindre.

Les audits contribuent dans une certaine mesure à fournir cette assurance.

Pourquoi dois-je auditer mon SMSI ?

Il existe de nombreuses raisons d’auditer votre SMSI :

La norme l’exige – Article 9.2 Audit interne impose un programme d’audits internes.
Pour garantir que votre SMSI est correctement mis en œuvre et exploité.
Pour garantir que le SMSI répond aux exigences de la norme.
S'assurer que le SMSI répond aux propres exigences de l'organisation.
Pour garantir que le SMSI répond aux objectifs fixés par l'organisation en matière de sécurité de l'information contre Article 6.2 Objectifs et planification de la sécurité de l'information pour les atteindre.
Pour garantir que le SMSI est efficace pour réduire risques liés à la sécurité de l'information à un niveau tolérable.
Pour garantir que tout non-conformités et actions correctives sont traités en temps opportun.
Garantir que les faiblesses, les événements et les incidents en matière de sécurité des informations sont signalés, gérés et résolus de manière efficace et efficiente.

Qu’implique les audits internes ISO 27001 ?

Examen de la documentation – Il s'agit d'un examen des politiques, procédures, normes et documents d'orientation de l'organisation pour garantir qu'ils sont adaptés à leur objectif et qu'ils sont examinés et tenus à jour.
Audit probant (ou examen sur le terrain) – Il s’agit d’une activité d’audit qui échantillonne activement des éléments probants pour montrer que les politiques sont respectées, que les procédures et les normes sont suivies et que les orientations sont prises en compte.
– Suite à l’examen de la documentation et/ou à l’échantillonnage de preuves, l’auditeur évaluera et analysera les conclusions pour confirmer si les exigences de la norme sont respectées.
Rapport d'audit – Un rapport d'audit devra être préparé comme l'exige la norme de la clause 9.2 f) et fourni à la direction pour garantir la visibilité.
Examen de la gestion – est une activité requise en vertu de la clause 9.3 Revue de direction, qui doit prendre en compte les conclusions des audits effectués pour garantir que les actions correctives et les améliorations sont mises en œuvre si nécessaire.

Obtenez votre première certification ISO 27001

Téléchargez votre guide gratuit pour une certification rapide et durable

Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !

Mark Wightman

Chief Technical Officer Aluma

100 % de nos utilisateurs réussissent la certification du premier coup

Réservez votre démo

Qu’implique un audit externe ISO 27001 ?

Les processus d'audit externe sont essentiellement les mêmes que ceux du programme d'audit interne, mais ils sont généralement mis en œuvre pour obtenir et maintenir la certification.

Le programme d'audits externes [de certification] sera déterminé par les auditeurs externes [organisme de certification] mais suivra une exigence systématique (voir ci-dessous).

L'auditeur concerné fournira un plan d'audit et, une fois que l'organisation l'aura confirmé, les ressources seront allouées et les dates, heures et lieux convenus.

L'audit sera ensuite réalisé selon le plan d'audit.

À quelle fréquence les audits externes sont-ils effectués ?

Différents organismes d'accréditation à travers le monde établissent différentes exigences pour le programme d'audits de certification ; cependant, dans le cas des certificats accrédités UKAS, cela comprendra :

Audit de certification initial – réalisé en 2 étapes.
Audits de surveillance périodiques – généralement tous les 6 mois ou, au minimum, tous les ans.
Audits de recertification réalisés tous les 3 ans.

Quels sont les types et les étapes des audits externes ?

Vérification de l'étape 1 – « Revue de la documentation » établit que le l'organisation dispose de la documentation requise pour un SMSI opérationnel.
Vérification de l'étape 2 – « Audit de certification » – un audit probant pour confirmer que l'organisation exploite le SMSI conformément à la norme – c'est-à-dire que les politiques, procédures et normes documentées sont mises en œuvre, opérationnelles et efficaces. Cet audit probatoire est effectué par sondage.
Audit de surveillance – également appelés « Audits périodiques », sont effectués de manière programmée entre les audits de certification et de recertification et se concentreront sur un ou plusieurs domaines du SMSI.
Audit de recertification – Réalisé avant l’expiration de la période de certification (3 ans pour les certificats accrédités UKAS) et constitue un examen plus approfondi que ceux réalisés lors d’un audit de surveillance. Il couvre tous les domaines de la norme.

En plus du programme d'audits externes de certification formel ci-dessus, vous devrez peut-être vous soumettre à un audit externe par un tiers intéressé tel qu'un client, un partenaire ou un régulateur. La partie concernée vous fournira normalement un plan d'audit et fera le suivi d'un rapport d'audit qui devra être intégré dans votre revue de direction du SMSI.

Découvrez les fonctionnalités de notre plateforme en action

Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs

Réservez votre démo

Trouvez-vous la norme ISO 27001 déroutante ?

Parlez avec un spécialiste

Valeur d'un audit ISO 27001 avec/sans certification

La décision de l'organisation d'atteindre conformité et éventuellement certification à la norme ISO 27001 dépendra de la mise en œuvre et du fonctionnement d’un SMSI formel et documenté. Cela sera souvent documenté dans une analyse de rentabilisation qui identifiera les objectifs attendus et le retour sur investissement.

Sans certification, l’organisation ne peut que revendiquer la « conformité » à la norme, et cette conformité n’est assurée par aucun tiers accrédité. Si la raison de la mise en œuvre du SMSI est uniquement d’améliorer la gestion de la sécurité et l’assurance interne, cela peut alors être suffisant.

Pour maximiser les bénéfices et le retour sur investissement du SMSI en termes de fourniture d'assurance aux partenaires externes de l'organisation. parties intéressées et parties prenantes, un programme d’audit de certification indépendant, externe et accrédité sera requis.

Rappelons que la seule différence en termes d'effort entre « conformité » et « certification » est le programme d'audits de certification externes. En effet, pour revendiquer véritablement la « conformité » à la norme, l’organisation devra toujours faire tout ce qui est requis par la norme – la « conformité » auto-testée ne réduit pas les ressources requises ni les efforts impliqués dans la mise en œuvre et l’exploitation d’un SMSI.

Se préparer à un audit de certification ISO 27001

Lors de la préparation d’un audit de certification, les points clés suivants doivent être pris en compte :

Sont la clé processus du SMSI mis en œuvre et opérationnel ?
- Contexte organisationnel – Comprendre et documenter le contexte organisationnel et les exigences en matière de sécurité de l'information, y compris les parties intéressées. Cela inclura également de documenter la portée du SMSI
- Gestion des risques et des opportunités – L’organisation a-t-elle identifié et évalué les risques liés à la sécurité de l’information et les opportunités et documenté un plan de traitement ?
- Leadership – Un leadership fort de haut niveau peut-il être démontré – par exemple par la fourniture de ressources et une déclaration d'engagement documentée au sein du politique de sécurité de l'organisation.
- Audit interne – Un programme d'audits internes a-t-il été documenté, convenu et lancé conformément à la clause 9.2 ?
- Revue de direction – le SMSI a-t-il fait l'objet d'une revue de direction formelle conformément aux Article 9.3
- Action corrective et Amélioration continue – l’organisation peut-elle démontrer que les actions correctives et les améliorations sont gérées et mises en œuvre de manière efficace et efficiente ?
Les documents requis sont-ils en place et approuvés ?
- Énoncé du champ d'application du SMSI (Article 4.3)
- Politique de sécurité des informations organisationnelles (Article 5.2)
- Méthode de gestion des risques (Articles 6.1.2 et 6.1.3)
- Registre des risques et plan de traitement (Clause 6.1.3 e)
- Déclaration d'applicabilité (Clause 6.1.3 d)
- Politiques et processus requis en vertu de l'Annexe A lorsque les contrôles sont applicables.
Les dossiers de preuve sont-ils faciles à localiser et à accéder ?
Que tout le personnel et les sous-traitants concernés aient reçu éducation à la sécurité de l'information, formation et sensibilisation ? C'est également une bonne pratique de s'assurer que les personnes qui seront interrogées ont été informées de ce à quoi s'attendre pendant l'audit et de la manière de réagir. Assurez-vous également qu’ils peuvent accéder facilement aux documents et aux preuves qui peuvent être demandés par l’auditeur.

Nous avions l'impression d'avoir
le meilleur des deux mondes. Nous étions
pouvoir utiliser notre
les processus existants,
& l'adopter, s'adapter
le contenu nous a donné de nouvelles
profondeur à notre SMSI.

Andrew Bud

Fondateur, iproov

Réservez votre démo

Nous facilitons l’atteinte de la norme ISO 27001

Obtenez une longueur d'avance de 77 %

Notre ISMS est préconfiguré avec des outils, des cadres et une documentation que vous pouvez adopter, adapter ou ajouter. Simple.

Votre chemin vers le succès

Notre méthode de résultats assurés est conçue pour vous obtenir une certification dès votre première tentative. Taux de réussite de 100%.

Regarder et apprendre

Oubliez les formations longues et coûteuses. Notre série de vidéos Virtual Coach est disponible 24h/7 et XNUMXj/XNUMX pour vous guider.

Réservez votre démo

Qui réalise un audit ISO 27001 ?

Tous les audits selon la norme ISO 27001 doivent être effectués par des auditeurs compétents et objectifs.

Pour démontrer sa compétence pour l'audit ISO 27001, il est généralement requis que l'auditeur ait une connaissance démontrable de la norme et de la manière de mener un audit. Cela peut se faire en suivant un cours d'auditeur principal ISO 27001 ou en possédant une autre qualification d'audit reconnue et une connaissance prouvable de la norme. Il peut être possible de démontrer qu’un auditeur est compétent sans formation formelle. Cependant, cette conversation sera probablement plus difficile avec votre organisme de certification.

Pour faire preuve d'objectivité, il doit être démontré que l'auditeur ne contrôle pas son propre travail et qu'il n'est pas indûment influencé par ses lignes hiérarchiques.

Il peut être plus pratique pour les petites organisations ou celles qui souhaitent une plus grande objectivité de faire appel à un auditeur contractuel.

Les organismes de certification auront vérifié la compétence de leurs auditeurs et devraient être prêts à vous le démontrer sur demande.

Comment ISMS.online rend-il le processus d’audit plus efficace ?

ISMS.online comprend un projet de programme d'audit prédéfini couvrant à la fois les audits internes et externes et peut également inclure des audits par rapport au RGPD si vous avez choisi cette option.

Le programme d'audit prédéfini comprend :

Activités pour 2 audits recommandés avant certification
Un plan d'audits internes pour la première période de certification de 3 ans
Espaces réservés pour votre certification externe et vos audits périodiques

En plus de fournir le projet de programme d'audit, la possibilité de se connecter rapidement à d'autres domaines de travail au sein de la plate-forme tout-en-un ISMS.online signifie relier les résultats de l'audit aux contrôles, aux actions correctives et aux améliorations, et même les risques sont facilités et accessible. Cela vous permettra de démontrer facilement à votre auditeur externe la gestion concertée des constats identifiés.