Calendrier audit interne iso 27001:2013

Forums Management QSE Outils et méthodes Calendrier audit interne iso 27001:2013

15 sujets de 1 à 15 (sur un total de 16)
  • Auteur
    Messages
  • #10689
    Patoupatou
    Participant

    Bonjour

    je dois mettre en place un calendrier annuel pour un audit interne au sein de mon entreprise.

    Je suis partie sur un calendrier sur trois ans.

    Ce que je n’arrive pas à définir, ce sont les processus à auditer.

    Est ce que je pars de l’annexe A?

    par exemple, je décide en septembre d’auditer le point A.9 contrôle des accès, puis en novembre le point A.8 etc…

    Ou bien je me limite à certaines procédures, comme la gestion des mots de passe?

    Je ne sais pas comment m’organiser

     

    merci de votre aide

    #18056
    THAUMASIA_Academie
    Participant

    Bonjour,

    Votre entreprise est-elle déjà certifiée selon cette norme ?

     > si oui : comment avez-vous mené les audits internes jusqu’à présent ?

     > si non : quelle est votre échéance de certification ?

    Avez-vous déployé une approche processus ?

     > si oui : parce que vous êtes déjà certifiés ISO 9001 ou par choix “personnel” ?

    Combien de sites / personnes font-elles parties du périmètre concerné par votre déclaration d’applicabilité ?

    #18059
    Patoupatou
    Participant

    Notre entreprise vient d’être certifiée. Elle n’a que deux ans d’existence, donc pas d’antériorité concernant les audit internes. Cela concerne une dizaine de personnes, nous sommes une TPE. J’ai été nommée RSMSI, mais je  n’ai jamais encore procédé à des audit.
    j’ai fait la procédure d’audit, assez complète je pense.

    Mais je voudrais présenter le calendrier d’audit interne pour la prochaine revue de direction en mars.

    #18060
    THAUMASIA_Academie
    Participant

    Vous avez été certifiés ISO 27001 mais vous n’aviez pas fait d’audit interne ?

    Ai-je bien interprété vos propos ? rire

    #18061
    Patoupatou
    Participant

    Nous avons présenté des audits mais ils n’étaient pas formalisés, ce qui a fait l’objet d’une non-conformité mineure. c’est ce que je suis en train de corriger; d’où ma question.

    #18062
    THAUMASIA_Academie
    Participant

    Ha ? D’accord… hé bien vous avez un organisme sympathique en 27001 parce que les audits non formalisés sont une non-conformité majeure, surtout en ISO 27001 rire

    Sur le principe : vous devez auditer l’ensemble des exigences de la norme sur, au plus, une période de 3 ans.

    Néanmoins, surtout pour une première certification et surtout après une non conformité mineure sur ce sujet : vous avez tout intérêt à programmer une première révision de l’ensemble de ces exigences sur la première année. D’autant que le système est récent, donc, encore sensible. En effet, la planification et la nature des thèmes audités doivent dépendre de l’intérêt, des risques, du résultat des audits précédents.

    Il sera temps d’étaler la planification un peu plus tard.

    Avez-vous mis en œuvre une approche processus ?

    #18064
    Patoupatou
    Participant

    Oui,  j’ai décomposé l’audit étape par étape, de la planification au rendu du rapport, et intégration des non conformités relevés dans le pan d’amélioration continue

    #18065
    THAUMASIA_Academie
    Participant

    En fait, j’ai mal formulé ma question.

    Elle est la suivante : votre système de management repose-t-il sur une “approche processus” avec des processus identifiés, formalisés et pilotés ? Éventuellement : avez-vous une cartographie des processus ?

    En effet : vous avez cité “… ce sont les processus à auditer”.

     > Si vous avez une approche processus : vous pouvez effectivement planifier vos audits “par processus” avec quelques principes que je vous donnerais ensuite.

     > Si vous n’avez pas d’approche processus : vous pouvez planifier vos audits par “famille d’exigence” avec quelques principes que je vous donnerais si cela est le cas.

    Dans ces deux approches, de toute manière : il faudra démontrer que vous avez évalué toutes les exigences ET du référentiel ET de son annexe. Mais pour cela, on utilise des “astuces” différentes selon le premier ou le deuxième cas.

    #18067
    Patoupatou
    Participant

    oui, j’ai fait une cartographie des processus.

    Capture-1.JPG

    #18070
    THAUMASIA_Academie
    Participant

    Parfait !

    Vous pouvez donc planifier vos audits selon les processus, mais à la condition suivante : que vous fassiez un croisement entre vos processus et les exigences de l’ISO 27001 et de l’Annexe afin de démontrer que l’audit des processus permettra exhaustivement d’évaluer l’intégralité des exigences. Cela vous servira de support lors des audits de chaque processus : vous pourrez lister les exigences à valider (même si, dans l’ISO 27001, il y a de fortes chances que 80% des exigences soient concentrées dans vos processus SMSI, Développement et peut-être Évaluation).

    A la vue de votre taille, vous pouvez (les deux se valent…) :

    – soit tout auditer “d’un coup”

    – soit auditer tous les “x” mois une partie de votre système. Par exemple : 1er trimestre – Processus de Management et Processus supports (sauf le développement et l’évaluation” qui raisonnent de manière particulière avec la 27001), 2ème trimestre – Processus Développement et Évaluation, 3ème trimestre – Processus Opérationnels.

    Est-ce vous qui ferez les audits ?

    #18072
    Patoupatou
    Participant

    oui, excepté pour la partie RH, étant donné que c’est moi qui le gère. Je ne pense pas pouvoir être à la fois juge et partie!

    #18074
    THAUMASIA_Academie
    Participant

    Exactement.

    En outre, si vous gérez les audits internes (planification et réalisation), il y a fort à parier que vous ne puissiez auditer le processus AMELIORATION…

    Votre organisme certificateur, celui qui vous a certifié, vous a-t’il audité en ISO 27001 “sous accréditation” ?

    #18075
    Patoupatou
    Participant

    THAUMASIA_Academie a déclaré

    Votre organisme certificateur, celui qui vous a certifié, vous a-t’il audité en ISO 27001 “sous accréditation” ?  

    Je ne suis pas sûre de comprendre la question. L’auditeur avait été envoyé par l’AFNOR.

    THAUMASIA_Academie a déclaré

    En outre, si vous gérez les audits internes (planification et réalisation), il y a fort à parier que vous ne puissiez auditer le processus AMELIORATION…

    en effet, je n’avais pas pensé à ça. Ni le partie “EVALUATION” je présume

    #18076
    THAUMASIA_Academie
    Participant

    Merci. Je comprends à présent comment être certifié avec une non-conformité mineure lorsque l’on a pas fait d’audit internerire… je ne vous enquiquine plus sur ces questions là, elles sont de la responsabilité des organismes certificateurs qui prennent ou non leurs propres responsabilités.

    Concernant les processus que vous pouvez “décemment” auditer, effectivement : cela dépend de votre implication. Concernant le processus EVALUATION, cela dépend de votre implication au sein de ce dernier.

    #18077
    Patoupatou
    Participant

    THAUMASIA_Academie a déclaré
    Merci. Je comprends à présent comment être certifié avec une non-conformité mineure lorsque l’on a pas fait d’audit internerire

    La direction procédait à des audits, mais ils n’étaient pas planifiés, et ils n’avaient pas établies de rapport. Il y avait tout de même des revues de direction, détaillant les points audités. C’est pour cela que cela a été formalisé en nc mineure, si cela peut vous rassurer ;)

     

    Dans tous les cas, merci pour votre aide

15 sujets de 1 à 15 (sur un total de 16)
  • Vous devez être connecté pour répondre à ce sujet.