Préparer un audit ou une certification ISO/IEC 27001
Les deux étapes de l’audit de certification
-
Audit de phase 1 (revue documentaire)
- Vérifie la présence des documents obligatoires
- Évalue la compréhension du périmètre et des enjeux
- Détecte les écarts bloquants avant la phase 2
-
Audit de phase 2 (audit sur site)
- Vérifie la mise en œuvre réelle du SMSI
- Interviewe le personnel, contrôle les preuves
- Conclut par un rapport d’audit avec éventuelles non-conformités
Documents essentiels à préparer
| Type de document | Exemples |
|---|---|
| Politique SSI | Version signée et datée |
| Analyse de risques | Tableaux, matrices, méthodologie |
| Plan de traitement | Mesures, priorités, responsables |
| Journal d’audit | Résultats internes, historiques |
| Procédures | Accès, sauvegardes, gestion incidents |
| Registre des actifs | Matériels, logiciels, données critiques |
| Preuves de sensibilisation | Attestations, quiz, e-learning |
Recommandations pratiques
- Préparer un classeur d’audit numérique avec index
- Établir une traçabilité claire entre les risques, les mesures et les preuves
- Simuler des interviews pour préparer les collaborateurs
- Utiliser un tableau de correspondance entre clauses ISO et documents
Tip
Conserver toutes les preuves pendant 3 ans, y compris en cas de changement d’équipe ou de direction.