Académique Documents
Professionnel Documents
Culture Documents
SOMMAIRE
5 DIFFUSION 6
Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 1/6
INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14
La gestion du système d’information est un service support qui permet de réaliser une partie de la
communication interne et externe de l’entreprise. Cette double communication est exigée par ISO
9001 au chapitre 5.5.3 (interne) et au chapitre 7.2.3 (avec les clients) et par ISO 14001 & OHSAS
18001 au 4.4.3. Et il permet de conserver les informations.
En cas de sous-traitance d’une activité, l’achat doit être maîtrisé et en cas d’externalisation de
l’ensemble du processus, la maîtrise de cette externalisation doit être décrite si c’est nécessaire à la
conformité du produit aux exigences : évaluer donc les éventuels incidents survenus (ex : non respect
de délais de livraison à cause d’une panne du réseau, non-conformité produit ou réclamation client à
cause d’une non mise à jour d’un programme d’automate alors que la spécification produit a été
modifiée…). Les critères d’évaluation peuvent être le temps de disponibilité des matériels et des
logiciels, les délais d’intervention, la réponse aux questions des utilisateurs…
Nous rappelons les exigences des normes ISO 9001, ISO 14001 et OHSAS 18001 par du texte entre
guillemet et présentons les principales méthodes mises en œuvre dans les entreprises pour y
répondre. A chaque auditeur d’évaluer parmi ces méthodes celles qui sont nécessaires à la
satisfaction aux exigences de chaque entreprise grâce à la conformité et à la mise en œuvre
efficace de son système de management
« Détermination des infrastructures nécessaires pour obtenir la conformité du produit, selon le cas :
c) Les services supports (tels que la logistique, les moyens de communication ou les systèmes
d’information »
Bâtiments, espaces de travail et installations : local où est le serveur à accès maîtrisé pour éviter les
vols et la malveillance (clé, badges…) – plan de continuation de l’activité en cas d’incendie de la salle
du serveur
Réseau : nombre de serveurs - types et nombre de postes reliés à chaque serveur (PC, nomades…) -
logiciels disponibles sur chaque poste (ex : gestion commerciale, CAO, GPAO, GMAO…) –
désignation de la fonction qui administre le réseau
Postes PC non reliés à un réseau: types et nombres de postes hors réseau - logiciels disponibles
pour chaque poste
Installations et équipements qui ont un logiciel et ne sont pas reliés au réseau : types et nombre –
logiciels disponibles pour chacun
Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 2/6
INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14
« Mise en œuvre et tenue à jour des moyens de maîtrise ». Ceux-ci concernent les biens et les
équipements achetés ainsi que les services sous-traités
« Identification des dangers » liés à la sécurité/ santé, évaluation et « détermination des moyens de
maîtrise » :
- Electrocution
- Champs magnétiques…
« Mise en œuvre et tenue à jour des moyens de maîtrise » Ceux-ci concernent les biens et les
équipements achetés ainsi que les services sous-traités
La procédure de maîtrise des documents doit définir les responsabilités, modalités et les
enregistrements des documents diffusés uniquement sur support électronique lorsqu’il y en a. Cela
peut concerner le manuel qualité, les procédures, des formulaires à compléter et les autres documents
nécessaires à la planification, à la maîtrise et à la surveillance efficaces du SMQ, du SME, du SMSS
ou du système de management intégré qui sont diffusés sur le réseau (réseau sur intranet ou sur
internet) ou qui sont disponibles sur un poste informatique non relié au réseau, sur un équipement
(par exemple un programme d’un automate) ou pour un local (par exemple un logiciel qui gère les
températures d’une chambre froide).
Les paragraphes suivants présentent les principales méthodes pour répondre aux exigences du
chapitre 4.2.3 d’ISO 9001 et des chapitres 4.4.5 d’ISO 14001 et d’OHSAS 18001.
Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 3/6
INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14
« L’approbation avant diffusion » : elle peut être réalisée au moyen de profils d’accès (par ex
modification sur un réseau) et un mot de passe pour ouvrir un poste informatique ou un équipement
de fabrication - voir la méthode de communication du profil et du mot de passe par l’Administrateur du
réseau ou par un Responsable désigné. Voir les enregistrements (mail, CR réunion, formulaire
spécifique…) L’approbation d’un logiciel avant utilisation (et donc après essais) est nécessaire pour un
logiciel maison (pas pour word, excel…)
« La revue et si nécessaire l’approbation de nouveau » : la revue peut être déclenchée lors des
actions correctives et préventives, lors de la planification des objectifs liés à la politique, avant les
audits internes… La revue est enregistrée dans un mail, dans un CR de réunion ou dans un
enregistrement spécifique. L’approbation de nouveau est réalisée comme défini au paragraphe
précédent
« L’identification des modifications et l’identification des versions en vigueur » : Les modifications des
documents peuvent être identifiées dans un récapitulatif en début ou en fin de document ou par un
signe ou une couleur ou tout autre signe distinctif au fur et à mesure du texte. Cela concerne aussi les
versions des logiciels et celles des programmes des automates.
« L’identification facile des documents et leur lisibilité » : titre des documents (ou code) – conservation
des équipements et logiciels permettant de pouvoir lire les enregistrements pendant le temps où il a
été décidé de les conserver
« L’identification des documents d’origine extérieure et leur diffusion maîtrisée » : documents classés
dans des répertoires informatiques ou liste avec des liens avec les sites internet où ils sont disponibles
– définition de la responsabilité de diffuser le document ayant évolué afin de le mettre en œuvre -
enregistrement de cette diffusion
« Méthode empêchant une utilisation non intentionnelle d’un document périmé et identification d’un
document périmé conservé » : classement dans un répertoire informatique à part ou identification
spécifique
Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 4/6
INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14
La procédure sur la maîtrise des enregistrements doit définir les responsabilités, les modalités et les
enregistrements pour les enregistrements complétés et conservés uniquement sur support
électronique. Ces enregistrements peuvent être complétés et conservés sur un réseau (qui peut être
un réseau sur intranet ou sur internet) ou sur une messagerie électronique reliée au réseau. Ils
peuvent aussi complétés et conservés sur un poste informatique ou sur un équipement non relié au
réseau
Les paragraphes suivants présentent les principales méthodes pour répondre aux exigences du
chapitre 4.2.4 d’ISO 9001 et des chapitres 4.4.5 d’ISO 14001 et d’OHSAS 18001.
« Identification facile » : par leur titre (ou un code) et par des informations liées à chaque
enregistrement (date, produit, lot…)
« Stockage » : dans des répertoires dédiés – vérification de la clarté du classement et/ou de l’efficacité
de la formation au poste en demandant aux remplaçants désignés de retrouver un enregistrement
« Protection » :
- protection contre des modifications/ falsifications d’enregistrement (archivage en pdf…)
- protection contre des effacements par erreur de manipulation ou malveillance (duplicata,
masters de reconfiguration automatique…)
- protection contre des vols, des pertes ou l’incendie (conservation dans un lieu sécurisé
fermant à clé et ignifugé, protection contre les jets d’eau des pompiers)
- protection contre les virus provenant d’internet, de clé USB ou de disquettes venant de tiers
- protection contre les intrusions pour les enregistrements pouvant être lus à partir d’internet
« Conservation » : réalisation de sauvegardes qui sont conservées pendant une durée définie
(sauvegardes du réseau, sauvegardes des données des PC hors réseau, sauvegardes des données
des équipements de production et des installations…) – changement périodique des supports
d’enregistrement pour éviter d’utiliser toujours les mêmes
« Rester lisibles » : conservation des équipements et logiciels pour pouvoir continuer de lire les
enregistrements pendant la durée d’archivage – réalisation de tests de restauration pour s’assurer que
les données sont à nouveau lisibles et complètes après compression (pas d’écrasement de fichiers…)
– définition des actions et enregistrement de celles-ci au cas où la sauvegarde s’est mal passée
(message d’erreur)
Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 5/6
INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14
5 DIFFUSION
Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 6/6