Félicitations ! Vous avez obtenu la certification ISO 27001, ce qui n'est pas une mince affaire. Mais maintenant, vous devez maintenir la certification — et cela signifie effectuer des audits internes réguliers.
Un audit interne ISO 27001 est exactement ce que cela semble être : un audit que votre organisation réalise en interne pour évaluer si votre système de gestion de la sécurité de l'information (SGSI) satisfait toujours à la norme ISO 27001.
Cet article vous explique comment réaliser un audit interne qui satisfait aux exigences de la norme ISO 27001. Découvrez à quelle fréquence vous devez effectuer un audit interne, les étapes pour le réaliser et obtenez une liste de contrôle d'audit interne ISO 27001 pour simplifier le processus.
Qu'est-ce qu'un audit interne ISO 27001 ?
Contrairement à la révision de la certification, qui est effectuée par un auditeur externe accrédité, l'audit interne est réalisé par vos propres employés. Les résultats de ces audits internes vous aideront à améliorer le SGSI au fil du temps et à garantir qu'il satisfait toujours aux exigences de la certification ISO 27001.
La norme ISO/IEC 27001 définit les exigences relatives à un audit interne dans la clause 9.2. Cette clause exige que les audits internes :
- Soient effectués à des intervalles planifiés
- Déterminent si le SGSI répond aux propres normes de l'organisation ainsi qu'aux exigences de l'ISO 27001
- Soient documentés dans le cadre d'un programme d'audit formel
- Soient réalisés par un auditeur interne indépendant et impartial (en d'autres termes, par quelqu'un qui n'a pas de niveau de contrôle opérationnel ou de propriété sur le SGSI, ou qui n'a pas été impliqué dans son développement)
- Incluent des résultats d'audit rapportés à la direction et conservés dans les dossiers de l'organisation
Bien que la norme ne spécifie pas la fréquence à laquelle un audit interne doit être réalisé, nos experts ISO 27001 recommandent d'effectuer un audit interne au moins une fois par an.
Pourquoi réaliser un audit interne du SGSI ?
Les audits internes ISO 27001 réguliers encouragent les organisations à être proactives en ce qui concerne le maintien du SGSI. Un programme d'audit interne aide également les organisations à :
- Promouvoir une posture de sécurité solide en identifiant les non-conformités et les vulnérabilités avant qu'un incident de sécurité ne se produise
- Effectuer des évaluations de risques régulières et surveiller tout nouveau risque de sécurité de l'information
- Communiquer les exigences de sécurité changeantes ou les politiques de sécurité de l'information aux employés et aux parties prenantes
- S'assurer que le personnel reste conscient de ses rôles et responsabilités en ce qui concerne le SMSI
- Identifier des opportunités d'amélioration continue du SMSI
Le processus d'audit interne ISO 27001
Étape 1 : Définir le périmètre de votre audit interne
La première étape de votre audit interne consiste à créer un plan d'audit. Vous devez définir quels systèmes d'information et actifs doivent être inclus dans l'évaluation. Confirmez quelles clauses ISO 27001:2013 et contrôles de l'annexe A sont pertinents pour votre audit de certification (une déclaration d'applicabilité est utile ici).
Ensuite, vous devez identifier un auditeur interne pour mener l'évaluation. Cette personne est généralement sélectionnée par la direction ou le conseil d'administration. L'ISO 27001 exige que l'auditeur interne soit impartial, il doit donc s'agir de quelqu'un qui n'est pas impliqué dans la création, la mise en œuvre ou le fonctionnement quotidien du SMSI.
Étape 2 : Collecte de preuves et examen de documents
L'auditeur interne devra examiner vos politiques de sécurité de l'information et les contrôles que vous avez mis en place pour protéger votre SMSI. Voici quelques exemples de documents dont vous aurez probablement besoin :
- Déclaration du périmètre du SMSI : Ce document définit les informations et processus que votre SMSI est conçu pour protéger.
- Déclaration d'applicabilité du SMSI : Cette déclaration explique quels contrôles de sécurité de l'annexe A sont — ou ne sont pas — applicables au SMSI de votre organisation.
- Politique de sécurité de l'information : Cette politique fournit un aperçu général de la manière dont l'organisation aborde la sécurité de l'information.
- Évaluation des risques ISO 27001 et plan de traitement des risques : Ces documents identifient les risques organisationnels, déterminent la probabilité et l'impact de chaque risque, et décrivent comment l'organisation réagira à chaque risque.
- Compte-rendu des réunions de revue de direction du SMSI : La revue de direction garantit que le SMSI est aligné avec la finalité, les objectifs et les risques de l'organisation.
- Rapport d'action corrective/analyse des écarts du SMSI : Explique comment l'organisation va traiter les vulnérabilités et les non-conformités et améliorer le SMSI.
- Politique de continuité d'activité : Ce document décrit comment votre organisation continuera à fournir des services critiques et restaurera les fonctions clés de l'entreprise en cas de perturbation imprévue.
Étape 3 : Mener l'audit interne
Il est maintenant temps pour l'auditeur interne de commencer son évaluation. Il examinera la documentation et les contrôles, conduira des entretiens avec les responsables des contrôles, et observera les procédures opérationnelles en action. Tout cela informera l'évaluation de l'auditeur quant à savoir si les objectifs organisationnels sont atteints et conformes aux exigences de l'ISO 27001. Cela aidera également à identifier les lacunes à combler avant le prochain audit de certification.
Étape 4 : Rédiger le rapport d'audit interne
Comme pour un audit externe, l'audit interne produira un rapport final. C'est là que l'auditeur interne résumera ses conclusions, y compris toute non-conformité et les mesures à prendre. Le rapport d'audit interne devrait inclure :
Votre rapport d'audit interne ISO 27001 devrait inclure :
- Une introduction qui résume le périmètre, les objectifs, le calendrier et les évaluations de l'audit.
- Un résumé exécutif qui explique les principales conclusions de l'audit.
- Des conseils sur qui devrait examiner le rapport et si les informations qu'il contient doivent être classifiées.
- Une analyse détaillée des conclusions de l'audit, y compris des recommandations et des actions correctives.
- Une déclaration expliquant les éventuelles limitations du périmètre de l'audit.
Étape 5 : Revue de direction
L'auditeur interne présentera les conclusions de l'audit à la direction et aux parties intéressées, partagera les non-conformités majeures et/ou mineures qu'il a identifiées, et discutera des opportunités d'améliorer le SGSI. Cette revue de direction informera également si l'organisation est prête pour un audit de certification ISO 27001 de niveau 2.
Modèle d'audit interne ISO 27001
L'audit interne ISO 27001 de chaque organisation est aussi unique que son SGSI. Cela dit, une liste de contrôle pour l'audit interne peut être un ajout incroyablement utile à votre boîte à outils ISO 27001.
Ce modèle d'audit interne répertorie chaque clause et chaque contrôle de l'Annexe A sous forme de tableau pour guider votre auditeur interne à travers les exigences de la norme. Identifiez les propriétaires de contrôles/risques, gardez les documents de preuve organisés et identifiez facilement les lacunes ou les redondances.
Rationalisez vos audits internes ISO 27001 avec Secureframe.
Notre plateforme d'automatisation de la conformité simplifie le processus d'audit interne et génère un rapport de préparation à l'ISO 27001. Vous pourrez voir toutes vos politiques et documentations en un seul endroit et collecter automatiquement des preuves pour revue interne. Voyez exactement à quel point vous êtes proche de satisfaire aux exigences ISO 27001 et obtenez des conseils exploitables pour combler les lacunes. Demandez une démo pour en savoir plus sur la manière dont nous rationalisons la mise en œuvre de l'ISO 27001.