Notre webinar vous serez utile concernant la réussite de votre certification, il aura pour objectif de vous faire comprendre correctement l’audit et le cycle de certification 27001, de vous conseiller au maximum pour vous préparer avant l’audit, éviter les erreurs et vous donner les pistes pour après votre audit.
Qu’est-ce qu’un audit ?
Il est important dans un premier temps de bien comprendre ce qu’est un audit :
Dans ces audits de certification, l’idée de l’auditeur est de vérifier votre SMSI, c’est-à-dire si vos politiques et vos procédures obligatoires sont bien en place.
Cet auditeur va vraiment venir chercher les conformités par rapport à la norme, et non un niveau de sécurité ou même une façon de faire. En fait, ils vont vérifier si vous avez mis en place les bonnes mesures de sécurité pour réduire les risques importants de votre société.
Parmi le travail que vous allez effectuer sur la période d’une année pour la préparation de votre SMSI, l’audit sera tout simplement votre examen final. Ainsi il vous permettra de vérifier vos compétences !
Le cycle de certification
Après avoir déterminé l’audit de certification, passons au cycle de certification. Ce cycle a une durée de 3 ans. Il est divisé en plusieurs parties, c’est-à-dire que chaque année va correspondre à un audit différent.
La première année, l’audit «initial». Elle se découpe en deux étapes.
La première va être tout simplement la rencontre avec l’auditeur. Le but de cet audit sera de vérifier la conformité de la documentation en fonction de ses critères.
Si tout se passe bien, vous aurez le feu vert pour continuer l’audit. Ainsi, lors de la deuxième étape votre SMSI aura la capacité de vous proposer un plan d’audit qui vous présentera chaque audit à effectuer, avec tel personne à tel horaire.
Ceci se passe durant 3 à 5 semaine, entre l’audit de l’étape 1 et celui de l’étape 2.
Dans celui de la première étape, l’auditeur vous rendra un rapport avec chaque point à améliorer par la suite, avant d’avoir des écarts durant la deuxième étape. Il est important de les corriger puisque l’auditeur va revenir sur ces sujets afin de vérifier que vous avez mis en place des actions pour améliorer votre SMSI.
Le vrai audit commencera avec la réunion d’ouverture. Cette réunion consiste pour l’auditeur de vous expliquer la démarche d’audit.
Uns fois l’audit passé, l’auditeur va donc émettre un rapport avec tous les constats qu’il a pu identifier lors des jours d’audit, ainsi qu’une recommandation. C’est là que vous allez devoir précisez quelles actions vous allez faire au niveau des différents constats que l’auditeur à identifier.
Ce rapport est ensuite envoyé à la commission des certifications qui va valider les rapports et émettre ou non le certificat !
Ne pas avoir son certificat ?
Nous avons un classement des constats d’audit avec différents niveaux, en commençant par les non-conformités majeures.
Ces conformités sont le non-respect d’une exigence de l’ISO 27001, règlementaire ou contractuelle. Le non-respect d’une exigence remet en cause la capacité du SMSI à atteindre le résultat attendu.
Ensuite, nous avons les points sensibles. Ce sont des sujets qu’il faut traiter afin qu’ils ne deviennent non conformité mineur.
Il est impossible d’avoir le certificat si vous possédez une de ses conformités. Lors d’un audit, l’auditeur l’inscrivera dans les rapports. L’auditeur aura donc un autre audit de planifier environ 3 mois après pour vérifier que les écarts majeurs identifiés sont corrigés. Après avoir fait ce deuxième audit, il reviendra vous donner la certification.
Dans un cycle de certification, vous allez avoir les mêmes audits sur les trois années. Une fois le cycle finalisé, vous recommencez sans refaire la première étape.
Concernant la durée, le premier audit dure entre 3 et 5 jours environ, et les autres eux environs 2 jours.
Se préparer AVANT l’audit ?
La première chose que nous recommandons est de faire un audit blanc. Ces audits sont similaires au vrai audit de certification. Ils permettent de voir une vue d’ensemble et de vous entrainer.
L’idéal est de le faire avec une société extérieure, afin qu’ils puissent vous auditer en vous donnant un rapport complet.
Informer aux autres
Ensuite, il est important d’informer l’ensemble des collaborateurs de l’importance de cet audit pour leur société, et les risques de ne pas obtenir la certification.
Il est aussi important d’informer les dates d’audit, afin que vos collaborateurs respectent les règles que vous avez définies, au niveau de la sécurité.
Visionnez notre vidéo sur You Tube !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
