La clause 9.2 de la norme ISO 27001:2022 demande aux organisations de faire des audits internes réguliers de leur système de gestion de la sécurité de l'information (SGSI).
Ces audits sont essentiels pour valider que le programme de sécurité est efficace, repérer les faiblesses, et s'assurer que toutes les exigences sont bien respectées.
Différence entre un Audit Interne et un Audit Externe
Un audit interne est fait par des auditeurs qui travaillent pour l'organisation, ils rendent des comptes à la direction mais doivent être indépendant le plus possible.
C'est un peu comme demander à son comptable de vérifier ses rapports d'impôts avant de les envoyer à Revenu Québec. Autant savoir nos erreurs avant !
Un audit externe, par contre, est fait par une entité indépendante, comme un organisme de certification, pour vérifier si l'organisation respecte bien les normes et les règlements.
Étapes pour Réaliser des Audits Internes
- Planification de l'Audit
- Sélection des Auditeurs
- Collecte d'Évidences
- Analyse des Résultats
- Rédaction du Rapport d'Audit
Critères de Succès
- Quelle est la fréquence des audits internes et comment décidez-vous de cette fréquence ?
- Quel est le périmètre de vos audits internes?
- Comment sélectionnez-vous les auditeurs pour garantir leur indépendance ?
- Quelles actions correctives avez-vous mises en place suite aux audits internes ?