{ "uuid": "2abe2408566ca50868547b70243d306f", "slug": "audit-iso27001-interne", "lang": "fr", "audience": null, "count": 6, "conseils": [ { "uuid": "92f4eb4ad5d042b4ad9700dd5902960b", "category": "regulatory", "audience": [ "manager", "auditor" ], "severity": "mandatory", "title": "Audit interne annuel exigé par la clause 9.2 de la norme", "content": "La clause 9.2 de l'ISO 27001:2022 impose un programme d'audits internes a intervalles planifies pour vérifier que le SMSI est conforme et efficace. La fréquence minimale est annuelle, avec un cycle complet sur 3 ans pour couvrir toutes les clauses et toutes les mesures de l'annexe A. Le programme d'audit doit etre documenté et approuve par la direction." }, { "uuid": "5d4071f794dc413fb324bbbe8a7bb278", "category": "regulatory", "audience": [ "manager", "auditor" ], "severity": "critical", "title": "Garantir l'independance de l'auditeur interne", "content": "La clause 9.2 de la norme impose l'independance de l'auditeur : il ne peut pas auditer son propre travail. Si l'auditeur interne est aussi le RSSI ou le responsable du SMSI, c'est une non-conformite majeure. Solutions : faire appel a un consultant externe, croiser les audits entre filiales, recruter un auditeur dedie." }, { "uuid": "13835dd8ff7c4ae8a5b2319a3e3d9be7", "category": "operational", "audience": [ "manager", "auditor" ], "severity": "mandatory", "title": "Suivre la methode ISO 19011 pour conduire l'audit", "content": "ISO 19011 fournit la methode reconnue de conduite d'audit : plan d'audit, ouverture, entretiens, examen documentaire, observation, restitution, rapport. Suivre cette methode garantit la repetabilite et la qualite de l'audit. Eviter les audits purement documentaires sans entretien terrain : les non-conformites les plus revelatrices se trouvent dans le quotidien des equipes." }, { "uuid": "69c25b38003a4fdbb2c0459758ddc882", "category": "operational", "audience": [ "manager", "technician" ], "severity": "mandatory", "title": "Traiter les non-conformites avec un plan d'actions chiffre", "content": "Chaque non-conformite identifiee doit donner lieu a une action corrective : analyse de la cause racine, action de correction, action preventive, responsable, echeance. Suivre les actions jusqu'a leur cloture et vérifier leur efficacite. Une non-conformite non traitee dans les délais devient une non-conformite majeure lors de l'audit externe." }, { "uuid": "70b53e4623024203b6731937ad811e0d", "category": "operational", "audience": [ "manager" ], "severity": "recommended", "title": "Alimenter la revue de direction avec les resultats de l'audit", "content": "La revue de direction (clause 9.3) doit examiner les resultats des audits internes. Preparer une synthese : ecarts identifies, tendances, actions correctives. Cette synthese alimente les décisions de la direction sur les ressources et les priorites du SMSI. Sans cette boucle, l'audit interne reste sterile." }, { "uuid": "cd82953f7b2f4f47a564408a45d6eb39", "category": "training", "audience": [ "technician", "manager" ], "severity": "recommended", "title": "Maintenir la competence des auditeurs internes", "content": "Un auditeur interne sans formation produit des audits superficiels. Investir dans une formation reconnue : Lead Auditor ISO 27001 (PECB, BSI, Bureau Veritas) ou formation interne par un certifie. Renouveler les connaissances tous les 3 ans, et participer a des journees de calibrage entre auditeurs." } ] }