Entre l'établissement de politiques, la création de documents et la collecte de preuves, un audit ISO 27001 prend généralement des mois de préparation et une tonne de paperasse. Alors que notre plateforme d'automatisation de la conformité est spécialement conçue pour résoudre tous ces efforts manuels, nous savons également qu'il n'y a pas de substitut aux conseils d'experts.

Pour aider les organisations à mieux se préparer à une certification ISO 27001, nous avons interviewé Hector Galvan, auditeur principal chez Prescient Security, pour obtenir ses meilleurs conseils de préparation.

Qu'est-ce qui distingue Prescient Security ?

Prescient Security est une société d'audit et de sécurité indépendante de premier plan qui sert les entreprises SaaS dans le monde entier. Nous offrons à nos clients plusieurs certifications et services d'attestation, notamment SOC 1, 2 et 3 ; ISO ; RGPD ; CCPA ; GLBA ; Google Oauth ; et Microsoft SSPA ; ainsi que des services de test de pénétration en interne. Nous avons pleinement adopté l'ère de l'audit numérique, avec une expertise dans les dernières technologies natif-cloud.

Nous ne sommes pas votre cabinet d'audit CPA traditionnel où les auditeurs viennent des domaines de la fiscalité et des finances sans aucune accréditation en matière de sécurité. Nous venons des domaines de la sécurité offensive et de la sécurité du cloud. Tous nos auditeurs sont certifiés en sécurité avancée. La puissance d'un rapport d'audit réside dans la qualité des descriptions des tests fondées sur des données de preuves approfondies. Lorsque vos clients examinent notre rapport d'audit, ils savent que la documentation a été réalisée par des experts en cybersécurité.

Que souhaiteriez-vous que les débutants sachent au sujet des audits de certification ISO ?

Outre la mise en œuvre de processus et de contrôles pour votre système de gestion de la sécurité de l'information (SGSI), une grande partie de l'ISO concerne la documentation. Si vous passez en revue la norme ISO 27001:2013, vous remarquerez rapidement qu'elle exige de nombreux documents et enregistrements différents, et qu'elle liste même des exigences et des lignes directrices sur la façon de documenter ces éléments. Vérifiez toujours que tout document maintenu par votre organisation suit la version appropriée et le contrôle des documents tel que spécifié dans la norme.

Quels conseils avez-vous pour les entreprises qui se préparent à un audit ISO ?

Identifiez d'abord la portée de votre SMSI, puis complétez une évaluation des risques, car cela pose les bases des autres exigences telles que la déclaration d'applicabilité et l'audit interne. Une fois que vous avez une vue claire des risques et des contrôles que vous avez déjà, vous pouvez alors vous concentrer sur le maintien et l'amélioration continue de votre SMSI.

Quelles sont les meilleures pratiques que vous pouvez partager pour préparer les documents clés ISO ?

Assurez-vous d'abord d'identifier la portée de votre SMSI, puis de dresser la liste des risques et contrôles de votre entreprise. Cela vous aidera à vous concentrer sur les processus, documents et enregistrements qui doivent être en place pour l'audit.

Rappelez-vous toujours que votre entreprise choisit les contrôles inclus dans la portée de la déclaration d'applicabilité, et l'auditeur n'audite que ceux qui sont inclus dans la portée. De plus, assurez-vous de documenter tous les facteurs externes et les exigences légales et réglementaires qui peuvent déjà impacter vos services et opérations.

Que partagent vos clients les plus performants ?

Nos clients les plus performants se préparent tôt dans le processus et ils suivent les exigences standards exactement comme elles sont décrites. Ils ne se précipitent pas non plus à travers l'audit et suivent de près la norme ISO 27001 ainsi que l'ISO 27002 comme guide pour améliorer leur SMSI et leur environnement de sécurité global plutôt que de considérer la certification comme une simple case à cocher.

Quels derniers mots de conseil, astuces et recommandations avez-vous à partager ?

ISO 27001 nécessite beaucoup de documentation. Tant que votre organisation dispose de processus en place pour mettre en œuvre, conserver et gérer la documentation, vous devriez être bien.

Secureframe fait un excellent travail en fournissant des modèles de haute qualité et des consultations de mise en œuvre afin que vous puissiez être entièrement préparé pour votre auditeur. Demandez une démonstration avec eux dès aujourd'hui pour que nous puissions vous aider à atteindre rapidement vos objectifs de conformité en tant qu'équipe.

Simplifiez la préparation de l'audit ISO 27001 avec Secureframe

L'ISO 27001 comporte des centaines d'exigences, y compris une documentation exhaustive. Nous aidons les organisations de toutes tailles à rédiger des politiques de sécurité, à compléter la formation des employés, à collecter des preuves et à surveiller leur posture de sécurité. Planifiez une démonstration pour voir comment Secureframe peut rationaliser votre préparation à l'audit ISO 27001.