Comment réaliser l’audit interne d’un SMSI basé sur l’ISO 27001 ?

Dans le cadre du cycle du système de management de la sécurité de l’information (SMSI) de cette norme internationale, les organisations doivent effectuer des audits internes à intervalles réguliers, afin de fournir des informations sur la conformité du système de gestion de la sécurité de l’information aux exigences établies par l’organisation et aux exigences de la norme internationale ISO 27001. ainsi que pour vérifier que le système est mis en œuvre et maintenu efficacement.

L’organisation doit suivre les étapes suivantes pour la réalisation de l’audit interne :

Il faut définir un plan d’audit qui comprend la fréquence et les dates d’exécution, l’étendue, la méthodologie de l’audit lui-même et l’affectation d’interlocuteurs pour la planification, la préparation et la présentation des rapports de résultats. Un tel plan doit inclure une description des emplacements physiques, des unités organisationnelles, des activités et des processus, ainsi que les dates de début et de fin.

Il est important de souligner que les audits internes doivent être effectués par du personnel qui n’a pas participé à la mise en œuvre du SMSI, afin de garantir l’objectivité et l’impartialité de l’audit ainsi que l’indépendance des auditeurs.

Les audits seront réalisés au moins une fois par an, et toujours avant la certification ou l’audit de suivi.

Le champ d’application de l’audit doit inclure un examen de l’ensemble du système de management, sur la base de la norme ISO/IEC 27001, ainsi qu’un examen d’une sélection de contrôles mis en œuvre dans l’entité. Cette sélection des contrôles sera effectuée d’un commun accord entre le vérificateur en chef et le responsable du SMSI, les informations figurant dans la déclaration d’applicabilité (DAS). En outre, il faut s’assurer que tous les contrôles de l’Annexe A (objectifs de contrôle et contrôles de référence) de l’ISO 27001 ont fait l’objet d’un audit selon un cycle de 3 ans

Afin d’assurer la bonne exécution de l’audit, l’auditeur informera préalablement les responsables des zones auditées qu’ils vont faire l’objet d’un processus d’audit interne et leur demandera avant l’audit, dès qu’il le jugera approprié, la documentation nécessaire à son analyse et à l’élaboration ultérieure de l’audit.

L’audit interne du SMSI consiste en l’examen de deux parties différentes :

• Système de management : revue de la documentation, revue du cadre de gestion du SMSI, du contexte, du périmètre, de l’analyse et de la gestion des risques, déclaration d’applicabilité (SOA), politique de sécurité, rôles de sécurité, gestion des non-conformités, tableau de bord, etc.
• Tests de conformité : dans cette phase, le degré et l’efficacité de la mise en œuvre des contrôles de sécurité dans l’entité sont vérifiés. Des entrevues seront menées avec les propriétaires d’actifs, les responsables des processus opérationnels, les utilisateurs directs ou indirects du SMSI, les secteurs de risque seront examinés, les objectifs et les buts établis seront vérifiés, la documentation du système sur place, etc.

Une fois que les éléments probants nécessaires ont été recueillis pour vérifier la conformité aux différentes sections et contrôles de la norme, le rapport d’audit interne est généré, dont les résultats doivent être portés à l’attention de la direction de l’organisation, des secteurs audités et du comité de sécurité pour évaluation et traitement au niveau de l’entreprise.

La personne responsable du SMSI sera responsable de la communication des résultats obtenus, ainsi que de la tenue des registres découlant de la réalisation des audits internes.

Le rapport contient au moins les points suivants :

• Domaines et portée audités, ainsi que la date de l’audit.
• Non-conformités et observations constatées, en accord avec les entités auditées.
• Évaluation des points forts et des axes d’amélioration du SMSI.
• Proposition de mesures correctives pour les mises en garde ou les non-conformités identifiées, visant à assurer la conformité à un écart donné actuellement existant.
• Des recommandations, qui ne sont pas des actions correctives d’une certaine exception, mais plutôt des opportunités d’amélioration ou des actions qui pourraient impliquer une évolution ou une plus grande maturité du processus audité en question, mais qui ne constituent actuellement pas une mise en garde ou une non-conformité.
• Documentation auditée.
• Signature du ou des auditeurs.

Une fois le rapport d’audit interne terminé, l’agent du SMSI devrait établir des mesures de suivi pour vérifier l’efficacité des mesures correctives découlant de l’audit interne. Ces plans d’action doivent être approuvés au plus haut niveau possible de l’organisation, afin de garantir la correction des problèmes ou des processus qui ne sont pas pleinement respectés.

Faire appel à un service d’audit externe ayant des connaissances spécifiques dans le sujet à auditer est essentiel pour s’assurer que votre entreprise dispose d’un rapport d’audit objectif. L’équipe de consultants de GlobalSuite Solutions garantit le succès des travaux d’audit interne, ainsi que la mise en œuvre des plans d’actions proposés pour la correction des écarts.