PS-CyberSecurity, audit interne ISO 27001 à Rennes

Audit interne, pourquoi ?

L’une des premières motivations pour réaliser un audit d’une activité ou d’une organisation est son caractère obligatoire. On retrouvera cette spécificité en particulier dans le cadre d’un SMSI (Système de Management de la Sécurité de l’Information) certifié ou certifiable. Un audit ISO 27001 sur la totalité du périmètre ou plusieurs audits ciblés pourront ainsi être réalisés chaque année.

Une autre des motivations sera le contrôle d’une performance de sécurité d’un environnement donné.

Toute Direction d’organisme se pose régulièrement la question d’une efficacité des contremesures, de la maîtrise des risques d’une activité donnée, etc... Quelle qu’en soit la motivation, au final, l’audit interne est un moyen pertinent et efficace de présenter une photo à un instant donné d’un environnement précis. Les résultats de l’audit permettront, outre des anomalies ou non-conformités, de s’assurer de l’efficacité de certaines mesures, d’identifier des pistes d’améliorations pouvant être génératrices de plus-values.

PS-CyberSecurity, audit interne ISO 27001 à Rennes

Comment ?

Toutes les entreprises n’ont pas forcément d’équipe dédiée pour réaliser ces audits internes.

Ceci est particulièrement vrai pour les petites et moyennes structures.

Contrainte supplémentaire, pour être le plus efficace possible, l’auditeur devra être indépendant de l’organisme à auditer, et des équipes de maîtrise d’ouvrage et maîtrise d’œuvre. Une prestation de service sera alors probablement nécessaire. Il est à noter que toutes les missions d'audits devraient être menés dans le cadre de la méthodologie d'audit de la norme ISO 19011 en vigueur précisant les principes essentiels à un audit efficace et fiable, à savoir, déontologie, restitution impartiale, conscience professionnelle, confidentialité, indépendance, approche fondée sur la preuve et approche fondée sur les risques.

En tout état de cause, le respect de la charte d'audit de l'entité auditée sera de rigueur.

Contactez-moi

Réalisation d’un audit

Dans la plupart des cas, un audit sera demandé dans le cadre d’un programme d’audit. Celui-ci sera géré au sein de l’entreprise cliente par un responsable bien identifié. Une fois la mise en œuvre par une prestation externalisée décidée, il sera nécessaire en préalable d’indiquer précisément le périmètre de l’audit, son objectif, les moyens nécessaires pour sa réalisation et sa durée. Ceci permettra de proposer un devis approprié à l’objectif recherché, sous réserve de faisabilité.

Préparation de l'audit

Une fois le devis accepté, la première étape consistera à préparer l’audit. Pour cela, une revue documentaire est nécessaire. Parmi les documents initiaux, il pourra être demandé, une présentation de la cible, la PSSI (Politique de Sécurité des Systèmes d’Information) applicable, une DdA (Déclaration d’applicabilité) dans le cadre d’un SMSIles rapports de précédents audits etc… Viendra ensuite la création du plan d’audit en accord avec l’audité. Ce plan tiendra compte des risques inhérents à l’activité d’audit, précisera à minima les critères d’audit et prévoira son suivi régulier durant sa réalisation. Il précisera les processus, lieux et modalités d’exécution de l’audit.

Réalisation de l'audit

La deuxième étape consistera en l’audit pur et débutera par la réunion d’ouverture. L’audit se déroulera sur la période définie par échantillonnage approprié. Les preuves d’audit seront collectées par référence documentaire, capture d’écran etc… L’évaluation par rapport aux critères d’audit définis permettra de produire les constatations d’audit. Celles-ci pourront être une conformité ou une non-conformité aux critères d’audit, et pourront dans le cadre d’un audit interne, être accompagnées d’opportunités d’améliorations, et recommandations éventuelles à l’intention de l’audité.

Conclusion de l'audit

La troisième et dernière étape consistera en la conclusion de l’audit. Celle-ci passe obligatoirement par la préparation et la tenue de la réunion de clôture. Les résultats de l’audit et constatations seront présentés à l’audité et pourront être discutés si des incertitudes étaient relevées. A la suite de cette réunion de clôture, dans le délai imparti, un rapport d’audit complet sera fourni à l’audité.

Conclusion

Un audit interne, au-delà d’une obligation normative, apportera à une Direction d’organisme, une opportunité d’amélioration et une vision d’un état de conformité d’un périmètre donné. Le respect de la norme ISO 19011 garantira un audit interne de qualité, potentiellement source de plus-values.

PS-CyberSecurity en s’appuyant sur l’expérience de son fondateur peut vous fournir ce service au meilleur prix. PS-CyberSecurity vous garantit un audit interne fondé sur la norme ISO 27001 et ciblé sur vos risques et vos objectifs. Nous pouvons intervenir sur toute la France.

Contactez-nous pour réaliser votre audit interne.

Demander un devis

Création et référencement du site par Simplébo   |   Site créé grâce à La SG

Connexion