L’audit interne ISO 27001 est l’une des fonctions essentielles d’un système de management de la sécurité de l’information (SMSI). Cet audit, tel qu’exigée par la clause 9.2 de la norme ISO 27001, peut être difficile à mettre en œuvre de façon à répondre à chacune des exigences énoncées dans la norme, en particulier pour les petites organisations. Cela est dû à la nécessité de disposer de ressources qui soient à la fois indépendantes du développement et de la maintenance du SMSI et qui possèdent les compétences requises pour exercer la fonction d’auditeur interne.
Contactez-nous pour obtenir un devis
Qu’est-ce qu’un audit interne ISO 27001 ?
Un audit interne ISO 27001 implique une évaluation détaillée du SMSI de votre organisation pour s’assurer qu’il est conforme aux critères de la norme. Chaque exigence de la norme devra être vérifiée, preuve à l’appui.
Contrairement à une évaluation de certification, l’audit interne peut être réalisé par vos propres employés ou par une société externe. Il faudra veiller à l’indépendance du ou des auditeurs.
L’audit interne ISO 27001 vous permettra d’identifier d’éventuelles non-conformités qui nécessiteront votre attention et va vous aider à améliorer votre SMSI.
Lors des revues de direction, vous devrez analyser les résultats de l’audit.
Comment mener un audit interne conforme à l’ISO 27001 ?
La clause 9.2 de la norme ISO 27001 exige que l’organisation effectue des audits internes à des intervalles planifiés afin de fournir des informations sur la conformité du SMSI aux exigences propres de l’organisation pour son SMSI ainsi qu’aux exigences de la norme. Il existe des exigences supplémentaires documentées dans cette clause, détaillées ci-après.
Programme d’audit
Le programme d’audit doit être documenté pour inclure la fréquence et la date de l’audit, les méthodes par lesquelles l’audit sera réalisé, et l’attribution des responsabilités pour la planification, la réalisation et le rapport de l’audit interne.
Critères et périmètre de l’audit
Lorsqu’elle planifie son audit interne, l’organisation doit définir sur quels critères seront menés les audits. Ces critères doivent inclure l’ensemble des exigences de la norme ISO 27001 ainsi que les mesures de sécurité figurant dans sa déclaration d’applicabilité. Ils peuvent également inclure des exigences propres à l’organisation pour son SMSI.
L’organisation doit également définir sur quel périmètre de son activité porteront les audits.
Sélection de l’auditeur
Lors de la sélection de l’équipe d’audit qui sera chargée de mener les activités d’audit interne, il est primordial de tenir compte de l’indépendance et de l’impartialité de ses membres. Les responsables de la conduite de l’audit doivent veiller à ne pas auditer des fonctions sur lesquelles ils exercent un contrôle opérationnel. L’un des problèmes de non-conformité les plus courants rencontrés lors des audits de certifications concerne l’audit interne du SMSI, lorsque l’auditeur interne sélectionné a joué un rôle essentiel dans l’élaboration du SMSI ou continue à jouer un rôle dans la prise de décision concernant la maintenance et la direction du SMSI. Si l’auditeur interne vérifie un travail qu’il a créé, ou si la responsabilité d’initier ou de mettre en œuvre une action corrective lui incombe, il peut y avoir un problème d’indépendance.
Rapport sur les résultats de l’audit
Une fois qu’un audit interne a été réalisé, l’auditeur interne a la responsabilité de s’assurer que les résultats sont communiqués à la direction. La clause 9.3 “Revue de direction” comprend une exigence qui demande que les résultats du dernier audit interne soient revus lors de cette dernière.
Preuve de la réalisation du programme d’audit et des résultats
Les documents de planification, ainsi que les enregistrements recueillis au cours des activités d’audit interne, doivent être conservés par l’organisation.
Peut-on faire appel à un auditeur tiers pour réaliser son audit interne ISO 27001 ?
Qu’il s’agisse de votre premier audit ISO 27001, ou que votre organisation a besoin d’une assistance supplémentaire, vous pouvez faire appel à une société tierce indépendante pour vous aider à réaliser votre audit interne. Nos consultants, spécialisés dans la norme ISO 27001, peuvent vous aider à définir vos politiques de sécurité et réaliser votre audit interne tout en conservant votre indépendance.
Commentaires récents