Tout ce que vous devez savoir sur les audits ISO 27001 [+ Liste de contrôle]
Un composant clé de la conformité ISO 27001 est les audits réguliers.
Les audits garantissent que votre Système de Management de la Sécurité de l'Information (SMSI) est non seulement conforme à la norme ISO/IEC 27001, mais qu'il est également efficace pour maintenir la sécurité de l'information de votre organisation.
Pour vous assurer que vous êtes prêt, nous couvrirons tout ce que vous devez savoir sur les audits ISO 27001, y compris les différents types et pourquoi ils sont importants.
Qu'est-ce qu'un audit ISO 27001 ?
Un audit ISO 27001 est un processus de revue pour examiner si le SMSI d'une organisation répond aux exigences de la norme ainsi qu'aux meilleures pratiques de sécurité de l'information de l'organisation.
Le guide ultime de l'ISO 27001
Si vous souhaitez créer un SMSI conforme et obtenir la certification, ce guide contient tous les détails dont vous avez besoin pour commencer.
Quels sont les types d'audits ISO 27001 ?
Voici un aperçu des différents types d'audits ISO 27001. Découvrez ce qu'ils sont, par qui ils sont effectués et à quelle fréquence ils ont lieu.
Audits internes
ISO 27001 exige des organisations qu'elles planifient et réalisent des audits internes afin de prouver la conformité. Ces audits sont destinés à examiner et à évaluer l'efficacité du SMSI de la société.
Ils doivent être réalisés régulièrement et doivent documenter le processus d'audit.
Ces audits peuvent être effectués par l'équipe d'audit interne d'une organisation. Si une entreprise n'a pas d'auditeur interne, elle peut faire appel à un tiers. Ces audits sont appelés « audits de deuxième partie ».
Audits externes
Les audits externes sont effectués par un organisme de certification pour déterminer si votre organisation satisfait en permanence aux exigences de l'ISO 27001.
Le terme « audit externe » fait le plus souvent référence à l'audit de certification, dans lequel un auditeur externe évalue votre SMSI pour vérifier qu'il répond aux exigences de l'ISO 27001 et délivre votre certification. Cependant, le terme fait également référence à d'autres types d'audits réalisés par des organismes de certification. Examinons ci-dessous les trois types d'audits externes ISO 27001.
Audit de certification
L'audit de certification est réalisé par un organisme de certification, et si vous prouvez votre conformité, vous recevrez un certificat de conformité valable pendant trois ans. Pendant ces trois années, vous êtes tenu de maintenir votre SMSI et les processus, contrôles ISO 27001, et exigences qui vous ont aidé à obtenir la conformité.
C'est le seul type d'audit ISO 27001 qui n'est réalisé qu'une seule fois, lorsque vous obtenez pour la première fois votre certificat de conformité.
Audits de surveillance
Après avoir obtenu la certification, vous devez planifier des audits de surveillance avec un organisme de certification.
Ces audits comprennent :
- Toutes les clauses du cadre ISO 27001
- Les exigences de l'annexe A, qui sont réparties entre les années un et deux suivant votre audit de certification (votre auditeur déterminera comment les exigences sont réparties)
- Examen des non-conformités précédemment identifiées lors de l'audit de certification initial afin de déterminer si elles ont été correctement remédiées
Audits de recertification
Après ces trois années, votre organisation devra subir un audit de recertification où vous devrez fournir la preuve d'une conformité continue et d'une amélioration continue du SMSI.
Qui peut réaliser des audits ISO 27001 ?
Les audits externes doivent être réalisés par un organisme de certification.
Un audit interne est le seul type d'audit ISO 27001 qui n'est pas réalisé par un organisme de certification. Au lieu de cela, une partie indépendante ayant une expertise suffisante peut le réaliser. Cette partie peut être une ressource interne ou externe tant qu'elle est impartiale et qu'elle n'audit pas des fonctions ou des processus qu'elle gère ou qu'elle a aidé à créer.
Si votre organisation ne dispose pas de personne répondant à ces critères, vous pouvez recruter un auditeur externe pour vous aider à réaliser un audit interne.
Fréquence des audits ISO 27001
ISO 27001 est une norme rigoureuse qui doit être renouvelée fréquemment. Cette fréquence varie selon le type d'audit.
La conformité ISO 27001 nécessite un audit interne tous les 12 mois pour aider à garantir que les contrôles sont surveillés de près à long terme et que votre SMSI est en amélioration continue. Cela facilite grandement la confiance des clients envers vous pour leurs données et leur activité.
Un audit de certification n'est requis qu'une seule fois. Après avoir obtenu votre certification, votre organisation devra passer des audits de surveillance les années un et deux, après votre audit de certification. La troisième année, vous devrez passer un audit de recertification.
The Four Types of ISO 27001 Audits
| Internal audits | Certification audit | Recertification audits | Surveillance audits | |
|---|---|---|---|---|
| Performed by | Independent party (internal or external resource) with sufficient expertise | Certification body | Certification body | Certification body |
| Audit frequency | Once every year | Once, when you are first awarded your certificate | Once every three years | Annually in years one and two between certification and recertification audits |
Audit de certification vs audit interne : En quoi sont-ils différents ?
La principale différence entre les audits de certification et les audits internes réside dans les objectifs inclus dans la norme ISO 27001.
ISO 27001 précise que les audits internes visent à :
- Confirmer que le SGSI est conforme aux exigences propres de l'organisation en matière de gestion de la sécurité de l'information.
- Confirmer que la norme ISO 27001 est efficacement mise en œuvre et maintenue.
ISO 27001 précise que les audits de certification visent à :
- Confirmer que l'organisation adhère à ses propres politiques, objectifs et procédures.
- Confirmer que le SGSI est conforme à toutes les exigences de la norme ISO 27001 et atteint les objectifs de politique de l'organisation.
L'audit interne se concentre sur l' efficacité du SGSI, quelle qu'en soit la forme au sein de votre entreprise. L'audit de certification est utilisé pour tester la conformité d'un SGSI aux exigences de la norme ISO 27001.
Lectures recommandées
Liste de contrôle ISO 27001 : votre feuille de route en 14 étapes pour obtenir la certification ISO
Pourquoi les audits ISO 27001 sont-ils importants ?
Les audits ISO 27001 internes et externes sont tous deux importants.
Les audits externes fournissent une validation tierce de votre posture de sécurité. Un auditeur peut offrir une opinion experte et objective sur vos contrôles et politiques de sécurité ainsi que des recommandations judicieuses sur ce que vous pourriez faire pour améliorer davantage votre posture globale en matière de sécurité. Les audits de certification en particulier sont importants car ils prouvent votre engagement envers la sécurité. Une certification tierce hautement respectée comme l'ISO 27001 peut être un puissant avantage concurrentiel. Elle peut également accélérer le cycle de vente et vous permettre de progresser plus rapidement sur le marché.
Les audits internes sont importants car la norme ISO 27001 les exige. L'article 9.2 de la norme impose un programme d'audit interne afin de prouver qu'un SGSI est en conformité et fonctionne efficacement. Au-delà d'une exigence, ils offrent également aux entreprises une variété d'avantages, notamment la découverte de non-conformités et la possibilité de les remédier avant qu'un organisme de certification ne le fasse.
Autres avantages des audits ISO 27001 internes et externes :
- Tranquillité d'esprit que votre SGSI est correctement mis en œuvre et respecte les exigences de la norme
- Assurance que votre SGSI est efficace pour réduire les risques de sécurité de l'information
- Connaissance que les non-conformités sont traitées en temps opportun
- Documentation détaillée des faiblesses, événements et incidents de sécurité de l'information qui peuvent aider à informer les améliorations et les changements pour renforcer le SGSI
- Engagement à l'amélioration continue
Chronologie de l'audit ISO 27001
Avant votre audit de certification, vous devrez accomplir plusieurs étapes pour vous préparer, y compris la gestion des risques et la mise en œuvre des contrôles de sécurité. Tout d'abord, vous devrez définir le périmètre de votre SGSI et décider quels actifs d'information vous souhaitez inclure sur votre certificat ISO 27001.
Ensuite, vous devrez effectuer une évaluation des risques pour identifier les menaces et créer un plan de traitement des risques pour décider comment réduire chaque risque à un niveau acceptable. Vous pouvez également choisir d'engager un consultant externe pour effectuer une analyse des écarts et fournir des conseils sur la manière de répondre aux exigences de l'ISO 27001.
À ce stade, vous devrez également préparer de la documentation, y compris la rédaction des politiques de sécurité et de confidentialité, l'achèvement de la Déclaration d'Applicabilité (SOA), la collecte de preuves de contrôles et la réalisation de formations de sensibilisation à la cybersécurité pour votre personnel.
Une fois cette phase de pré-audit terminée, vous passerez aux audits de certification de la Phase 1 et de la Phase 2, aux audits de surveillance et aux audits de recertification.
Année 1 : Audit de Certification ISO 27001
Une fois que vous êtes prêt à prouver à un auditeur que vous avez établi des politiques et des contrôles efficaces et qu'ils fonctionnent comme l'exige la norme ISO 27001, vous pouvez planifier un audit de certification.
Un audit de certification se déroule en deux phases. Tout d'abord, l'auditeur effectuera un audit de Phase 1, où il examinera la documentation de votre SGSI pour s'assurer que vous avez les bonnes politiques et procédures en place.
Ensuite, un audit de Phase 2 examinera vos processus métiers et contrôles de sécurité. Une fois les audits de Phase 1 et Phase 2 terminés, un certificat ISO 27001 vous sera délivré, valable pour trois ans.
Années 2 et 3 : Audits de Surveillance et Internes ISO 27001
Dans la période de certification de trois ans, vous devrez effectuer des audits continus. Ces audits garantissent que votre programme de conformité à l'ISO 27001 est toujours efficace et maintenu.
Les audits de surveillance vérifient que les organisations maintiennent correctement leur SGSI et les contrôles de l'Annexe A. Les auditeurs de surveillance vérifieront également que les non-conformités ou les exceptions notées lors de l'audit de certification ont été traitées.
Les audits internes font également partie de cette surveillance continue. Les auditeurs internes examinent les processus et les politiques pour identifier les faiblesses potentielles et les domaines à améliorer avant un audit externe. Cela vous permet de compléter toutes les actions correctives nécessaires avant votre audit de recertification.
Année 4 : Audit de Recertification ISO 27001
Au cours de la dernière année du terme de certification ISO de trois ans, votre organisation peut subir un audit de recertification.
Similaire à la Phase 2, l'auditeur effectuera une évaluation détaillée pour déterminer si votre organisation répond aux exigences de l'ISO 27001 en matière de conception de processus/contrôles et d'efficacité opérationnelle.
Après avoir terminé l'audit de recertification, la certification ISO 27001 de votre organisation est valable pour trois années supplémentaires.
Les audits de surveillance, internes et de recertification doivent se poursuivre à partir de la cinquième année et au-delà pour que l'organisation maintienne sa conformité à l'ISO 27001.
Liste de contrôle de l'audit ISO 27001
Nous avons créé une liste de contrôle de l'audit ISO 27001 en cinq étapes simples pour vous aider à comprendre les tâches nécessaires à la réalisation d'un audit interne ISO 27001. Vous pouvez télécharger le PDF ci-dessous.
Comment Secureframe peut vous aider à vous préparer aux audits ISO
Souvent, les organisations n'ont pas de personnel qualifié pour réaliser un audit interne qui ne soit pas directement lié à la création et à la maintenance du SGSI.
Dans ce cas, il est crucial de trouver un auditeur externe pour vous aider à compléter l'audit interne. Secureframe peut vous aider en vous mettant en relation avec un auditeur principal qui non seulement connaît votre secteur, mais comprend également parfaitement la norme.
Cela vous aidera à évaluer efficacement et efficacement votre SGSI avant le processus de certification.
Secureframe peut également vous aider à vous préparer à vos audits de certification, de surveillance et de recertification tout en vous faisant gagner du temps et des ressources. Notre automatisation augmente considérablement vos chances d'obtenir et de maintenir votre certification ISO en vous aidant à surveiller vos systèmes, à corriger les vulnérabilités, à intégrer votre pile de sécurité, et plus encore.
Pour en savoir plus sur la façon dont Secureframe peut faciliter le processus de certification ISO 27001, programmez une démonstration dès aujourd'hui.
Comment réaliser un audit interne ISO en 5 étapes
Un audit interne peut aider une organisation à se préparer à tous les audits externes ISO, y compris le premier et unique audit de certification. Il est donc essentiel de comprendre comment en réaliser un.
Étant donné que les audits internes ISO sont personnalisables pour répondre aux besoins et exigences particuliers de votre organisation, le processus pour les réaliser variera. Nous avons décrit quelques-unes des étapes principales pour réaliser un audit interne ISO 27001 ci-dessous.
1. Revue de la documentation
Tout d'abord : votre auditeur désigné (qu'il soit interne ou externe) doit examiner la documentation sur la création du SGSI. Cela permettra de définir la portée de l'audit interne en fonction de celle du SGSI, car c'est ce que couvre l'audit interne.
La documentation doit également identifier les principales parties prenantes responsables des contrôles et des processus du SGSI. Cela aidera l'auditeur s'il a besoin de demander plus d'informations sur les spécificités du SGSI.
2. Planification et préparation
Au cours de cette phase, la direction et le(s) auditeur(s) doivent créer un plan détaillé d'audit interne ISO 27001 de ce qui doit être fait. Lors de la création des plans d'action, il faut tenir compte des ressources nécessaires pour compléter l'audit ainsi que du délai.
3. Travail sur le terrain
Le travail sur le terrain est le processus d'audit proprement dit où le SGSI sera testé, observé et rapporté. Au cours de cette phase, votre équipe d'audit interviewera les employés et observera comment le SGSI est mis en œuvre dans toute l'entreprise.
4. Analyse
Les preuves d'audit doivent être triées, classées et examinées par rapport aux risques et aux objectifs de contrôle définis par votre organisation et la norme ISO 27001.
Une fois les preuves collectées, elles doivent être triées et examinées par rapport à la norme ISO 27001. Ce processus peut révéler des lacunes dans la collecte des preuves et nécessite des tests d'audit supplémentaires.
5. Rapport à la direction
Une fois les tests de travail sur le terrain terminés, votre équipe d'audit remettra un rapport à la direction pour examen. Les résultats doivent être conservés comme preuve de performance et de conformité aux exigences du SGSI de la norme.
Ce rapport comprend généralement :
Une fois le rapport remis à la direction, il est de sa responsabilité de suivre la correction des non-conformités constatées lors de l'audit.