Qu'est-ce qu'un audit interne dans l'ISO 27001 ?

Aperçu

Un audit interne est une évaluation systématique et indépendante de votre SMSI pour vérifier qu'il est conforme aux exigences de l'ISO 27001:2022 et qu'il est mis en œuvre de manière efficace. Il s'agit d'une exigence obligatoire en vertu de la clause 9.2 et d'un outil essentiel pour identifier les lacunes avant votre audit de certification.

Les audits internes fournissent des preuves objectives que votre SMSI fonctionne comme prévu et aident à stimuler l'amélioration continue.

L'audit interne en pratique

L'ISO 27001:2022 exige que vous meniez des audits internes à des intervalles planifiés pour évaluer si votre SMSI :

• Est conforme à vos propres exigences de SMSI et aux normes ISO 27001:2022

• Est efficacement mis en œuvre et maintenu

• Atteint les résultats attendus définis dans vos objectifs de sécurité de l'information

Vous devez établir un programme d'audit qui prend en compte l'importance des processus, les changements affectant l'organisation et les résultats des audits précédents.

Composantes clés des audits internes

Planification de l'audit

Votre programme d'audit doit définir :

• La fréquence d'audit (généralement annuelle, mais les zones à haut risque peuvent nécessiter des examens plus fréquents)

• Le périmètre de l'audit couvrant toutes les clauses du SMSI (4-10) et les contrôles applicables de l'Annexe A

• Les critères d'audit basés sur les exigences de l'ISO 27001:2022 et vos procédures documentées

• Les méthodes d'audit (revue documentaire, entretiens, observation, échantillonnage)

Réalisation de l'audit

Pendant l'audit, vous devez :

• Passer en revue les informations documentées (politiques, procédures, enregistrements)

• Interroger les propriétaires de processus et le personnel

• Observer la mise en œuvre des contrôles

• Échantillonner des preuves de l'efficacité des contrôles

• Documenter les constatations de manière objective avec des preuves

Rapport d'audit

La clause 9.2 exige que vous conserviez des informations documentées comme preuves des résultats de l'audit. Vos rapports d'audit doivent inclure :

• Les conformités et non-conformités identifiées

• Les opportunités d'amélioration

• Les preuves étayant les constatations

• Les exigences d'actions correctives pour les non-conformités

Exigences relatives aux auditeurs

La clause 9.2 de l'ISO 27001:2022 précise que les auditeurs doivent :

• Être compétents en matière d'audit et de sécurité de l'information

• Être impartiaux et objectifs

• Ne pas auditer leur propre travail (exigence d'indépendance)

Exemple : Un responsable de la sécurité informatique peut auditer les processus RH, mais quelqu'un d'autre doit auditer les contrôles de sécurité informatique dont le responsable est chargé.

Fréquence et calendrier des audits

Bien que l'ISO 27001:2022 n'impose pas d'intervalles spécifiques, les meilleures pratiques incluent :

• Compléter l'audit du SMSI au moins une fois par an

• Des audits plus fréquents pour les zones critiques ou à haut risque

• Des audits supplémentaires après des changements importants

• Un calendrier permettant de mettre en œuvre des actions correctives avant les audits de certification externes

Domaines d'audit courants

Votre audit interne doit couvrir :

• Clause 4 : Contexte, périmètre et limites du SMSI

• Clause 5 : Engagement de la direction et politique

• Clause 6 : Évaluation et traitement des risques

• Clause 7 : Ressources, compétences, sensibilisation, communication

• Clause 8 : Planification opérationnelle et mise en œuvre des contrôles

• Clause 9 : Surveillance, mesure, audit interne, revue de direction

• Clause 10 : Non-conformité et action corrective, amélioration continue

• Annexe A : Contrôles applicables de votre Dd'A (SoA)

Termes connexes

• SMSI – Le système en cours d'audit

• Revue de direction – Utilise les résultats d'audit comme données d'entrée

• Contrôle – Mesures de sécurité individuelles évaluées lors des audits

• Déclaration d'applicabilité – Définit quels contrôles doivent être audités