Pour le technicien qui intervient.
Chaque non-conformite identifiee doit donner lieu a une action corrective : analyse de la cause racine, action de correction, action preventive, responsable, echeance. Suivre les actions jusqu'a leur cloture et vérifier leur efficacite. Une non-conformite non traitee dans les délais devient une non-conformite majeure lors de l'audit externe.
Un auditeur interne sans formation produit des audits superficiels. Investir dans une formation reconnue : Lead Auditor ISO 27001 (PECB, BSI, Bureau Veritas) ou formation interne par un certifie. Renouveler les connaissances tous les 3 ans, et participer a des journees de calibrage entre auditeurs.
Pour le responsable / gestionnaire.
La clause 9.2 de la norme impose l'independance de l'auditeur : il ne peut pas auditer son propre travail. Si l'auditeur interne est aussi le RSSI ou le responsable du SMSI, c'est une non-conformite majeure. Solutions : faire appel a un consultant externe, croiser les audits entre filiales, recruter un auditeur dedie.
La clause 9.2 de l'ISO 27001:2022 impose un programme d'audits internes a intervalles planifies pour vérifier que le SMSI est conforme et efficace. La fréquence minimale est annuelle, avec un cycle complet sur 3 ans pour couvrir toutes les clauses et toutes les mesures de l'annexe A. Le programme d'audit doit etre documenté et approuve par la direction.
ISO 19011 fournit la methode reconnue de conduite d'audit : plan d'audit, ouverture, entretiens, examen documentaire, observation, restitution, rapport. Suivre cette methode garantit la repetabilite et la qualite de l'audit. Eviter les audits purement documentaires sans entretien terrain : les non-conformites les plus revelatrices se trouvent dans le quotidien des equipes.
Chaque non-conformite identifiee doit donner lieu a une action corrective : analyse de la cause racine, action de correction, action preventive, responsable, echeance. Suivre les actions jusqu'a leur cloture et vérifier leur efficacite. Une non-conformite non traitee dans les délais devient une non-conformite majeure lors de l'audit externe.
La revue de direction (clause 9.3) doit examiner les resultats des audits internes. Preparer une synthese : ecarts identifies, tendances, actions correctives. Cette synthese alimente les décisions de la direction sur les ressources et les priorites du SMSI. Sans cette boucle, l'audit interne reste sterile.
Un auditeur interne sans formation produit des audits superficiels. Investir dans une formation reconnue : Lead Auditor ISO 27001 (PECB, BSI, Bureau Veritas) ou formation interne par un certifie. Renouveler les connaissances tous les 3 ans, et participer a des journees de calibrage entre auditeurs.
Pour l'auditeur et le contrôle de conformité.
La clause 9.2 de la norme impose l'independance de l'auditeur : il ne peut pas auditer son propre travail. Si l'auditeur interne est aussi le RSSI ou le responsable du SMSI, c'est une non-conformite majeure. Solutions : faire appel a un consultant externe, croiser les audits entre filiales, recruter un auditeur dedie.
La clause 9.2 de l'ISO 27001:2022 impose un programme d'audits internes a intervalles planifies pour vérifier que le SMSI est conforme et efficace. La fréquence minimale est annuelle, avec un cycle complet sur 3 ans pour couvrir toutes les clauses et toutes les mesures de l'annexe A. Le programme d'audit doit etre documenté et approuve par la direction.
ISO 19011 fournit la methode reconnue de conduite d'audit : plan d'audit, ouverture, entretiens, examen documentaire, observation, restitution, rapport. Suivre cette methode garantit la repetabilite et la qualite de l'audit. Eviter les audits purement documentaires sans entretien terrain : les non-conformites les plus revelatrices se trouvent dans le quotidien des equipes.