SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Audit Interne ISO 27001 Convertir en PDF Version imprimable Suggérer par mail
11-03-2008
L'ISO 27001 instaure une démarche de type PDCA pour le système de management de la sécurité de l'information (SMSI).
Cette démarche prends tout son sens grâce au contrôle et à l'audit interne qui sont les garants d'une dynamique d'efficience du SMSI.
A quoi servirait un SMSI si personne ne vérifiait que le processus SMSI était correctement implémenté ou que que les mesures de sécurité décidées n'étaient pas correctement appliquées ?
Les mesures retenues pour le SMSI sont contenues dans le SOA (Statement Of Applicability) ou Domaine d'Application du SMSI.
Le SOA comporte tout ou partie des chapitres A5 à A15 de l'annexe A de l'ISO 27001 et justifie les raisons ayant conduit éventuellement à écarter la mise en oeuvre de certaines de ces mesures , ainsi que les mesures législatives ou règlementaires propres au pays et au secteur d'activité de l'entreprise qui s'imposent à elle en terme de sécurité.
L'audit est rendu obligatoire par la clause 6 de la norme ISO 27001 qui précise que des audits doivent être conduits à intervalles planifiés pour s'assurer que les objectifs et mesures de sécurité, les processus et procédures du SMSI sont :
  • conformes au standard (ISO 27001 et son Annexe A) et aux législations et règlements en vigueur,
  • conformes au SOA,
  • effectivement implémentées et mises à jour,
  • fonctionnent comme prévu.
L'audit participe au processus d'amélioration continu permettant de contrôler, de corriger ou d'améliorer les mesures de sécurité mises en place grâce à 3 types d'actions :
  • les audits internes (planifiés)
  • les contrôles internes (inopinés mais plus ciblés)
  • les revues de management (généralement planifiées sauf événement exceptionnel).

Qui réalise les audits internes ?
Selon la taille de l'entreprise il s'agira d'un service d'audit interne ou de personnels désignés (et formés) pour auditer tout ou partie d'un domaine où ils ne sont pas partie prenante,  le principe général étant la séparation des rôles et intérêts entre auditeurs et audités.
Il reste aussi la possibilité d'un Consultant externe, ce qui sera de toute façon nécessaire pour l'audit de l'audit interne (si-si !) et notamment l' audit de la clause 6 de la norme.
Enfin, les audits techniques seront généralement confiés à des sociétés de services spécialisées.

Le périmètre de l'audit Interne ISO 27001 :
ce sont :
  • les clauses 4 à 8 de la norme (obligatoires)
  • le SOA ou domaine d'application (voir ci-dessus)
Rythme des audits internes :
Le principe est de couvrir, grâce à un programme d'audit l'ensemble du périmètre dans un laps de temps de l'ordre de 3 ans.
Le programme d'audit va déterminer publiquement le contenu (champs et personnels audités) et le planning de cet audit au rythme de 2 à 4 audits par an avec un dosage entre clauses et mesures de sécurité du SOA.
Chaque audit fait l'objet d'un plan d'audit qui détaillera les points abordés lors de l'audit.
Le plan d'audit est adressé à l'avance aux audités et prévoit :
  • le planning de toutes les étapes,
  • l'objectif de l'audit,
  • la revue de la documentation,
  • les étapes de collecte des pièces "enregistrant" les preuves de mise en œuvre des mesures de sécurité,
  • les étapes de  collecte des faits (observations, interviews, simulations...) permettant de comparer objectifs et réalité de la mise en oeuvre du SMSI.
Priorités :
les processus les plus sensibles seront audités en priorité, en cohérence avec l'analyse de risques et le plan d'action sécurité qui en a découlé (priorité par besoin de sécurité).
Un Guide d'Audit ou Check-list sera élaboré par l'auditeur et permettra de s'assurer que les points les plus importants à contrôler font bien partie du plan d'audit et de sa mise en oeuvre :
  • liste des processus les plus essentiels à contrôler,
  • méthode de contrôle,
  • liste des enregistrements pertinents à contrôler,
  • liste des tests à réaliser et grille d'interprétation des résultats,
  • liste des points importants à observer
  • ....
Le rapport d'audit :
Il a pour but de décrire l'audit,
ce qui a été audité,
ce qui a été observé,
ce qui doit faire l'objet de mesures
  • préventives
  • correctives
  • d'amélioration
en vue d'améliorer l'efficience de la SSI.

L'ensemble de ces observations vont alimenter les revues de management (1 à 2 par an).

L'audit interne s'inscrit donc clairement sur un axe d'amélioration de l'efficience organisationnelle de la sécurité en produisant des analyses et des recommandations basées sur les aspects normatifs de l'ISO 27001 (clause 8 de la norme ISO 27001), notamment :
Permanence du cycle d'amélioration
Actions prises pour corriger le SMSI (actions correctives et actions préventives) :
  • identifier les non-conformités
  • détermination des causes de non-conformité
  • évaluation du plan d'action d'amélioration
  • mise en œuvre des actions d'amélioration
  • enregistrement des résultats des actions entreprises
  • revue des actions correctives réalisées
La démarche de l'audit interne pourra fortement s'inspirer de la norme ISO 19011.
Cet audit interne ISO 27001 doit nécessairement être complété par des actions d'audits techniques dont l'objectif sera de vérifier l'efficacité technique des mesures elles-mêmes.


Dernière mise à jour : ( 18-03-2009 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.