- Ce sujet contient 15 réponses, 3 participants et a été mis à jour pour la dernière fois par
, le il y a 4 années et 2 mois.
-
Messages
-
Bonjour
je dois mettre en place un calendrier annuel pour un audit interne au sein de mon entreprise.
Je suis partie sur un calendrier sur trois ans.
Ce que je n’arrive pas à définir, ce sont les processus à auditer.
Est ce que je pars de l’annexe A?
par exemple, je décide en septembre d’auditer le point A.9 contrôle des accès, puis en novembre le point A.8 etc…
Ou bien je me limite à certaines procédures, comme la gestion des mots de passe?
Je ne sais pas comment m’organiser
merci de votre aide
Bonjour,
Votre entreprise est-elle déjà certifiée selon cette norme ?
> si oui : comment avez-vous mené les audits internes jusqu’à présent ?
> si non : quelle est votre échéance de certification ?
Avez-vous déployé une approche processus ?
> si oui : parce que vous êtes déjà certifiés ISO 9001 ou par choix “personnel” ?
Combien de sites / personnes font-elles parties du périmètre concerné par votre déclaration d’applicabilité ?
Notre entreprise vient d’être certifiée. Elle n’a que deux ans d’existence, donc pas d’antériorité concernant les audit internes. Cela concerne une dizaine de personnes, nous sommes une TPE. J’ai été nommée RSMSI, mais je n’ai jamais encore procédé à des audit.
j’ai fait la procédure d’audit, assez complète je pense.Mais je voudrais présenter le calendrier d’audit interne pour la prochaine revue de direction en mars.
Vous avez été certifiés ISO 27001 mais vous n’aviez pas fait d’audit interne ?
Ai-je bien interprété vos propos ?
Nous avons présenté des audits mais ils n’étaient pas formalisés, ce qui a fait l’objet d’une non-conformité mineure. c’est ce que je suis en train de corriger; d’où ma question.
Ha ? D’accord… hé bien vous avez un organisme sympathique en 27001 parce que les audits non formalisés sont une non-conformité majeure, surtout en ISO 27001
Sur le principe : vous devez auditer l’ensemble des exigences de la norme sur, au plus, une période de 3 ans.
Néanmoins, surtout pour une première certification et surtout après une non conformité mineure sur ce sujet : vous avez tout intérêt à programmer une première révision de l’ensemble de ces exigences sur la première année. D’autant que le système est récent, donc, encore sensible. En effet, la planification et la nature des thèmes audités doivent dépendre de l’intérêt, des risques, du résultat des audits précédents.
Il sera temps d’étaler la planification un peu plus tard.
Avez-vous mis en œuvre une approche processus ?
Oui, j’ai décomposé l’audit étape par étape, de la planification au rendu du rapport, et intégration des non conformités relevés dans le pan d’amélioration continue
En fait, j’ai mal formulé ma question.
Elle est la suivante : votre système de management repose-t-il sur une “approche processus” avec des processus identifiés, formalisés et pilotés ? Éventuellement : avez-vous une cartographie des processus ?
En effet : vous avez cité “… ce sont les processus à auditer”.
> Si vous avez une approche processus : vous pouvez effectivement planifier vos audits “par processus” avec quelques principes que je vous donnerais ensuite.
> Si vous n’avez pas d’approche processus : vous pouvez planifier vos audits par “famille d’exigence” avec quelques principes que je vous donnerais si cela est le cas.
Dans ces deux approches, de toute manière : il faudra démontrer que vous avez évalué toutes les exigences ET du référentiel ET de son annexe. Mais pour cela, on utilise des “astuces” différentes selon le premier ou le deuxième cas.
Parfait !
Vous pouvez donc planifier vos audits selon les processus, mais à la condition suivante : que vous fassiez un croisement entre vos processus et les exigences de l’ISO 27001 et de l’Annexe afin de démontrer que l’audit des processus permettra exhaustivement d’évaluer l’intégralité des exigences. Cela vous servira de support lors des audits de chaque processus : vous pourrez lister les exigences à valider (même si, dans l’ISO 27001, il y a de fortes chances que 80% des exigences soient concentrées dans vos processus SMSI, Développement et peut-être Évaluation).
A la vue de votre taille, vous pouvez (les deux se valent…) :
– soit tout auditer “d’un coup”
– soit auditer tous les “x” mois une partie de votre système. Par exemple : 1er trimestre – Processus de Management et Processus supports (sauf le développement et l’évaluation” qui raisonnent de manière particulière avec la 27001), 2ème trimestre – Processus Développement et Évaluation, 3ème trimestre – Processus Opérationnels.
Est-ce vous qui ferez les audits ?
oui, excepté pour la partie RH, étant donné que c’est moi qui le gère. Je ne pense pas pouvoir être à la fois juge et partie!
Exactement.
En outre, si vous gérez les audits internes (planification et réalisation), il y a fort à parier que vous ne puissiez auditer le processus AMELIORATION…
Votre organisme certificateur, celui qui vous a certifié, vous a-t’il audité en ISO 27001 “sous accréditation” ?
THAUMASIA_Academie a déclaré
Votre organisme certificateur, celui qui vous a certifié, vous a-t’il audité en ISO 27001 “sous accréditation” ?
Je ne suis pas sûre de comprendre la question. L’auditeur avait été envoyé par l’AFNOR.
THAUMASIA_Academie a déclaré
En outre, si vous gérez les audits internes (planification et réalisation), il y a fort à parier que vous ne puissiez auditer le processus AMELIORATION…
en effet, je n’avais pas pensé à ça. Ni le partie “EVALUATION” je présume
Merci. Je comprends à présent comment être certifié avec une non-conformité mineure lorsque l’on a pas fait d’audit interne
… je ne vous enquiquine plus sur ces questions là, elles sont de la responsabilité des organismes certificateurs qui prennent ou non leurs propres responsabilités.Concernant les processus que vous pouvez “décemment” auditer, effectivement : cela dépend de votre implication. Concernant le processus EVALUATION, cela dépend de votre implication au sein de ce dernier.
THAUMASIA_Academie a déclaré
Merci. Je comprends à présent comment être certifié avec une non-conformité mineure lorsque l’on a pas fait d’audit interneLa direction procédait à des audits, mais ils n’étaient pas planifiés, et ils n’avaient pas établies de rapport. Il y avait tout de même des revues de direction, détaillant les points audités. C’est pour cela que cela a été formalisé en nc mineure, si cela peut vous rassurer
Dans tous les cas, merci pour votre aide
- Vous devez être connecté pour répondre à ce sujet.