Calendrier audit interne iso 27001:2013

Forums Management QSE Outils et méthodes Calendrier audit interne iso 27001:2013

15 sujets de 1 à 15 (sur un total de 16)
  • Auteur
    Messages
  • #10689
    Patoupatou
    Participant

      Bonjour

      je dois mettre en place un calendrier annuel pour un audit interne au sein de mon entreprise.

      Je suis partie sur un calendrier sur trois ans.

      Ce que je n’arrive pas à définir, ce sont les processus à auditer.

      Est ce que je pars de l’annexe A?

      par exemple, je décide en septembre d’auditer le point A.9 contrôle des accès, puis en novembre le point A.8 etc…

      Ou bien je me limite à certaines procédures, comme la gestion des mots de passe?

      Je ne sais pas comment m’organiser

       

      merci de votre aide

      #18056
      THAUMASIA_Academie
      Participant

        Bonjour,

        Votre entreprise est-elle déjà certifiée selon cette norme ?

         > si oui : comment avez-vous mené les audits internes jusqu’à présent ?

         > si non : quelle est votre échéance de certification ?

        Avez-vous déployé une approche processus ?

         > si oui : parce que vous êtes déjà certifiés ISO 9001 ou par choix “personnel” ?

        Combien de sites / personnes font-elles parties du périmètre concerné par votre déclaration d’applicabilité ?

        #18059
        Patoupatou
        Participant

          Notre entreprise vient d’être certifiée. Elle n’a que deux ans d’existence, donc pas d’antériorité concernant les audit internes. Cela concerne une dizaine de personnes, nous sommes une TPE. J’ai été nommée RSMSI, mais je  n’ai jamais encore procédé à des audit.
          j’ai fait la procédure d’audit, assez complète je pense.

          Mais je voudrais présenter le calendrier d’audit interne pour la prochaine revue de direction en mars.

          #18060
          THAUMASIA_Academie
          Participant

            Vous avez été certifiés ISO 27001 mais vous n’aviez pas fait d’audit interne ?

            Ai-je bien interprété vos propos ? rire

            #18061
            Patoupatou
            Participant

              Nous avons présenté des audits mais ils n’étaient pas formalisés, ce qui a fait l’objet d’une non-conformité mineure. c’est ce que je suis en train de corriger; d’où ma question.

              #18062
              THAUMASIA_Academie
              Participant

                Ha ? D’accord… hé bien vous avez un organisme sympathique en 27001 parce que les audits non formalisés sont une non-conformité majeure, surtout en ISO 27001 rire

                Sur le principe : vous devez auditer l’ensemble des exigences de la norme sur, au plus, une période de 3 ans.

                Néanmoins, surtout pour une première certification et surtout après une non conformité mineure sur ce sujet : vous avez tout intérêt à programmer une première révision de l’ensemble de ces exigences sur la première année. D’autant que le système est récent, donc, encore sensible. En effet, la planification et la nature des thèmes audités doivent dépendre de l’intérêt, des risques, du résultat des audits précédents.

                Il sera temps d’étaler la planification un peu plus tard.

                Avez-vous mis en œuvre une approche processus ?

                #18064
                Patoupatou
                Participant

                  Oui,  j’ai décomposé l’audit étape par étape, de la planification au rendu du rapport, et intégration des non conformités relevés dans le pan d’amélioration continue

                  #18065
                  THAUMASIA_Academie
                  Participant

                    En fait, j’ai mal formulé ma question.

                    Elle est la suivante : votre système de management repose-t-il sur une “approche processus” avec des processus identifiés, formalisés et pilotés ? Éventuellement : avez-vous une cartographie des processus ?

                    En effet : vous avez cité “… ce sont les processus à auditer”.

                     > Si vous avez une approche processus : vous pouvez effectivement planifier vos audits “par processus” avec quelques principes que je vous donnerais ensuite.

                     > Si vous n’avez pas d’approche processus : vous pouvez planifier vos audits par “famille d’exigence” avec quelques principes que je vous donnerais si cela est le cas.

                    Dans ces deux approches, de toute manière : il faudra démontrer que vous avez évalué toutes les exigences ET du référentiel ET de son annexe. Mais pour cela, on utilise des “astuces” différentes selon le premier ou le deuxième cas.

                    #18067
                    Patoupatou
                    Participant

                      oui, j’ai fait une cartographie des processus.

                      Capture-1.JPG

                      #18070
                      THAUMASIA_Academie
                      Participant

                        Parfait !

                        Vous pouvez donc planifier vos audits selon les processus, mais à la condition suivante : que vous fassiez un croisement entre vos processus et les exigences de l’ISO 27001 et de l’Annexe afin de démontrer que l’audit des processus permettra exhaustivement d’évaluer l’intégralité des exigences. Cela vous servira de support lors des audits de chaque processus : vous pourrez lister les exigences à valider (même si, dans l’ISO 27001, il y a de fortes chances que 80% des exigences soient concentrées dans vos processus SMSI, Développement et peut-être Évaluation).

                        A la vue de votre taille, vous pouvez (les deux se valent…) :

                        – soit tout auditer “d’un coup”

                        – soit auditer tous les “x” mois une partie de votre système. Par exemple : 1er trimestre – Processus de Management et Processus supports (sauf le développement et l’évaluation” qui raisonnent de manière particulière avec la 27001), 2ème trimestre – Processus Développement et Évaluation, 3ème trimestre – Processus Opérationnels.

                        Est-ce vous qui ferez les audits ?

                        #18072
                        Patoupatou
                        Participant

                          oui, excepté pour la partie RH, étant donné que c’est moi qui le gère. Je ne pense pas pouvoir être à la fois juge et partie!

                          #18074
                          THAUMASIA_Academie
                          Participant

                            Exactement.

                            En outre, si vous gérez les audits internes (planification et réalisation), il y a fort à parier que vous ne puissiez auditer le processus AMELIORATION…

                            Votre organisme certificateur, celui qui vous a certifié, vous a-t’il audité en ISO 27001 “sous accréditation” ?

                            #18075
                            Patoupatou
                            Participant

                              THAUMASIA_Academie a déclaré

                              Votre organisme certificateur, celui qui vous a certifié, vous a-t’il audité en ISO 27001 “sous accréditation” ?  

                              Je ne suis pas sûre de comprendre la question. L’auditeur avait été envoyé par l’AFNOR.

                              THAUMASIA_Academie a déclaré

                              En outre, si vous gérez les audits internes (planification et réalisation), il y a fort à parier que vous ne puissiez auditer le processus AMELIORATION…

                              en effet, je n’avais pas pensé à ça. Ni le partie “EVALUATION” je présume

                              #18076
                              THAUMASIA_Academie
                              Participant

                                Merci. Je comprends à présent comment être certifié avec une non-conformité mineure lorsque l’on a pas fait d’audit internerire… je ne vous enquiquine plus sur ces questions là, elles sont de la responsabilité des organismes certificateurs qui prennent ou non leurs propres responsabilités.

                                Concernant les processus que vous pouvez “décemment” auditer, effectivement : cela dépend de votre implication. Concernant le processus EVALUATION, cela dépend de votre implication au sein de ce dernier.

                                #18077
                                Patoupatou
                                Participant

                                  THAUMASIA_Academie a déclaré
                                  Merci. Je comprends à présent comment être certifié avec une non-conformité mineure lorsque l’on a pas fait d’audit internerire

                                  La direction procédait à des audits, mais ils n’étaient pas planifiés, et ils n’avaient pas établies de rapport. Il y avait tout de même des revues de direction, détaillant les points audités. C’est pour cela que cela a été formalisé en nc mineure, si cela peut vous rassurer ;)

                                   

                                  Dans tous les cas, merci pour votre aide

                                15 sujets de 1 à 15 (sur un total de 16)
                                • Vous devez être connecté pour répondre à ce sujet.

                                Partager cette publication