INSTRUCTION : GUIDE D’AUDIT révision A

D’UN SYSTEME D’INFORMATION

IT.ICS14

INSTRUCTION : GUIDE D’AUDIT

D’UN SYSTEME D’INFORMATION

SOMMAIRE

1 INFRASTRUCTURES ET ENVIRONNEMENT DE TRAVAIL (ISO 9001) –

PLANIFICATION, MAITRISE OPERATIONNELLE ET VERIFICATION (ISO 14001 &
OHSAS 18001) 2

2 LA MAITRISE DES DOCUMENTS SUR SUPPORT ELECTRONIQUE 3

3 LA MAITRISE DES ENREGISTREMENTS SUR SUPPORT ELECTRONIQUE 5

4 CAPACITE DES LOGICIELS DE SURVEILLANCE ET DE MESURE (ISO 9001) 6

5 DIFFUSION 6

DESIGNATION DE LA MODIFICATION AUTEUR APPROBATEURS

REVISION DATE NOM - FONCTION - VISA NOMS - FONCTIONS - VISAS

Armelle CARIOU Laurence DONZEL

A 02/01/ Référente QSE Correspondante Qualité
2012

Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 1/6
 INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14

La gestion du système d’information est un service support qui permet de réaliser une partie de la
communication interne et externe de l’entreprise. Cette double communication est exigée par ISO
9001 au chapitre 5.5.3 (interne) et au chapitre 7.2.3 (avec les clients) et par ISO 14001 & OHSAS
18001 au 4.4.3. Et il permet de conserver les informations.

En cas de sous-traitance d’une activité, l’achat doit être maîtrisé et en cas d’externalisation de
l’ensemble du processus, la maîtrise de cette externalisation doit être décrite si c’est nécessaire à la
conformité du produit aux exigences : évaluer donc les éventuels incidents survenus (ex : non respect
de délais de livraison à cause d’une panne du réseau, non-conformité produit ou réclamation client à
cause d’une non mise à jour d’un programme d’automate alors que la spécification produit a été
modifiée…). Les critères d’évaluation peuvent être le temps de disponibilité des matériels et des
logiciels, les délais d’intervention, la réponse aux questions des utilisateurs…

Nous rappelons les exigences des normes ISO 9001, ISO 14001 et OHSAS 18001 par du texte entre
guillemet et présentons les principales méthodes mises en œuvre dans les entreprises pour y
répondre. A chaque auditeur d’évaluer parmi ces méthodes celles qui sont nécessaires à la
satisfaction aux exigences de chaque entreprise grâce à la conformité et à la mise en œuvre
efficace de son système de management

1 INFRASTRUCTURES ET ENVIRONNEMENT DE TRAVAIL (ISO 9001) –

PLANIFICATION, MAITRISE OPERATIONNELLE ET VERIFICATION (ISO 14001 &
OHSAS 18001)

ISO 9001 (6.3 et 6.4)

« Détermination des infrastructures nécessaires pour obtenir la conformité du produit, selon le cas :

a) Les bâtiments, les espaces de travail et les installations associées :

b) Les équipements (tant logiciels que matériels) ;

c) Les services supports (tels que la logistique, les moyens de communication ou les systèmes
d’information »

Bâtiments, espaces de travail et installations : local où est le serveur à accès maîtrisé pour éviter les
vols et la malveillance (clé, badges…) – plan de continuation de l’activité en cas d’incendie de la salle
du serveur

Réseau : nombre de serveurs - types et nombre de postes reliés à chaque serveur (PC, nomades…) -
logiciels disponibles sur chaque poste (ex : gestion commerciale, CAO, GPAO, GMAO…) –
désignation de la fonction qui administre le réseau

Postes PC non reliés à un réseau: types et nombres de postes hors réseau - logiciels disponibles
pour chaque poste

Installations et équipements qui ont un logiciel et ne sont pas reliés au réseau : types et nombre –
logiciels disponibles pour chacun

Moyens de communication interne (téléphone, radio…) et externe (téléphone, internet, télécopie…).

Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 2/6
 INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14

« Détermination et gestion de l’environnement de travail nécessaire pour obtenir la conformité du

produit » :
- Protection contre le soleil donnant sur les écrans qui peut être à l’origine d’erreur de lecture ;
- Températures autour de 20° du local où est situé le serveur pour éviter des pannes. Une
ventilation et donc une légère surpression suffisent dans la majorité des cas mais il peut être
nécessaire d’installer une climatisation ;
- Humidité pas trop élevée : la ventilation est souvent suffisante ;
- Protection contre les poussières : un nettoyage périodique est souvent suffisant ;
- Définition de la responsabilité de surveillance des locaux ;
- Présence d’alarmes et/ou suivi périodique avec, si nécessaire, réalisation d’enregistrements
- Actions menées si hors tolérances : voir les enregistrements des actions immédiates,
correctives et préventives.

ISO 14001 (4.3.1, 4.3.2, 4.4.6 et 4.5.2)

« Identification des dangers » liés à l’environnement, « évaluation et détermination des moyens de

maîtrise » :
- Consommations d’énergie fossile et renouvelable,
- COV des climatiseurs,
- Déchets d’équipements électriques…

« Identification des exigences réglementaires applicables » et « évaluation de leur conformité ».

« Mise en œuvre et tenue à jour des moyens de maîtrise ». Ceux-ci concernent les biens et les
équipements achetés ainsi que les services sous-traités

OHSAS 18001 (4.3.1, 4.3.2, 4.4.6 et 4.5.2)

« Identification des dangers » liés à la sécurité/ santé, évaluation et « détermination des moyens de
maîtrise » :
- Electrocution
- Champs magnétiques…

« Identification des exigences réglementaires applicables » et « évaluation de leur conformité «

« Mise en œuvre et tenue à jour des moyens de maîtrise » Ceux-ci concernent les biens et les
équipements achetés ainsi que les services sous-traités

2 LA MAITRISE DES DOCUMENTS SUR SUPPORT ELECTRONIQUE

La procédure de maîtrise des documents doit définir les responsabilités, modalités et les
enregistrements des documents diffusés uniquement sur support électronique lorsqu’il y en a. Cela
peut concerner le manuel qualité, les procédures, des formulaires à compléter et les autres documents
nécessaires à la planification, à la maîtrise et à la surveillance efficaces du SMQ, du SME, du SMSS
ou du système de management intégré qui sont diffusés sur le réseau (réseau sur intranet ou sur
internet) ou qui sont disponibles sur un poste informatique non relié au réseau, sur un équipement
(par exemple un programme d’un automate) ou pour un local (par exemple un logiciel qui gère les
températures d’une chambre froide).

Les paragraphes suivants présentent les principales méthodes pour répondre aux exigences du
chapitre 4.2.3 d’ISO 9001 et des chapitres 4.4.5 d’ISO 14001 et d’OHSAS 18001.

Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 3/6
 INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14

« L’approbation avant diffusion » : elle peut être réalisée au moyen de profils d’accès (par ex
modification sur un réseau) et un mot de passe pour ouvrir un poste informatique ou un équipement
de fabrication - voir la méthode de communication du profil et du mot de passe par l’Administrateur du
réseau ou par un Responsable désigné. Voir les enregistrements (mail, CR réunion, formulaire
spécifique…) L’approbation d’un logiciel avant utilisation (et donc après essais) est nécessaire pour un
logiciel maison (pas pour word, excel…)

« La revue et si nécessaire l’approbation de nouveau » : la revue peut être déclenchée lors des
actions correctives et préventives, lors de la planification des objectifs liés à la politique, avant les
audits internes… La revue est enregistrée dans un mail, dans un CR de réunion ou dans un
enregistrement spécifique. L’approbation de nouveau est réalisée comme défini au paragraphe
précédent

« L’identification des modifications et l’identification des versions en vigueur » : Les modifications des
documents peuvent être identifiées dans un récapitulatif en début ou en fin de document ou par un
signe ou une couleur ou tout autre signe distinctif au fur et à mesure du texte. Cela concerne aussi les
versions des logiciels et celles des programmes des automates.

« La disponibilité sur les lieux d’utilisation des versions pertinentes » :

- profils d’accès lecture à voir auprès de l’Administrateur du réseau et auprès des utilisateurs :
liste(s), cohérence avec les responsabilités, règles de définition des mots de passe et de
changement de ceux-ci, confidentialité des mots de passe (voir s’il n’y a pas des memos sur
les mots de passe à proximité des postes des utilisateurs, ne pas oublier les CDD,
intérimaires et stagiaires)
- enregistrement des approbations d’accès par la hiérarchie
- enregistrement des versions applicables, vérification de la conformité des versions, surtout
pour les postes non reliés au réseau
- protection contre les endommagements, vols, incendie ou malveillance (sauvegardes des
dernières versions originales des logiciels maison (y compris les progiciels maison, les
programmes des automates…) pour pouvoir faire face à un départ du programmeur,
archivage de ces versions originales dans un lieu sécurisé fermant à clé et ignifugé (les
protéger aussi contre l’eau car les coffres ignifugés ne protègent pas contre les jets d’eau des
pompiers)
- protection contre les copies non autorisées (personnalisation de la documentation, dates
automatiques d’impression…)

« L’identification facile des documents et leur lisibilité » : titre des documents (ou code) – conservation
des équipements et logiciels permettant de pouvoir lire les enregistrements pendant le temps où il a
été décidé de les conserver

« L’identification des documents d’origine extérieure et leur diffusion maîtrisée » : documents classés
dans des répertoires informatiques ou liste avec des liens avec les sites internet où ils sont disponibles
– définition de la responsabilité de diffuser le document ayant évolué afin de le mettre en œuvre -
enregistrement de cette diffusion

« Méthode empêchant une utilisation non intentionnelle d’un document périmé et identification d’un
document périmé conservé » : classement dans un répertoire informatique à part ou identification
spécifique

Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 4/6
 INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14

3 LA MAITRISE DES ENREGISTREMENTS SUR SUPPORT ELECTRONIQUE

La procédure sur la maîtrise des enregistrements doit définir les responsabilités, les modalités et les
enregistrements pour les enregistrements complétés et conservés uniquement sur support
électronique. Ces enregistrements peuvent être complétés et conservés sur un réseau (qui peut être
un réseau sur intranet ou sur internet) ou sur une messagerie électronique reliée au réseau. Ils
peuvent aussi complétés et conservés sur un poste informatique ou sur un équipement non relié au
réseau

Les paragraphes suivants présentent les principales méthodes pour répondre aux exigences du
chapitre 4.2.4 d’ISO 9001 et des chapitres 4.4.5 d’ISO 14001 et d’OHSAS 18001.

« Identification facile » : par leur titre (ou un code) et par des informations liées à chaque
enregistrement (date, produit, lot…)

« Stockage » : dans des répertoires dédiés – vérification de la clarté du classement et/ou de l’efficacité
de la formation au poste en demandant aux remplaçants désignés de retrouver un enregistrement

« Protection » :
- protection contre des modifications/ falsifications d’enregistrement (archivage en pdf…)
- protection contre des effacements par erreur de manipulation ou malveillance (duplicata,
masters de reconfiguration automatique…)
- protection contre des vols, des pertes ou l’incendie (conservation dans un lieu sécurisé
fermant à clé et ignifugé, protection contre les jets d’eau des pompiers)
- protection contre les virus provenant d’internet, de clé USB ou de disquettes venant de tiers
- protection contre les intrusions pour les enregistrements pouvant être lus à partir d’internet

« Accessibilité » : profil d’accès saisie -- possibilité de prévoir un accès restreint à certains

enregistrements confidentiels (par exemple liés à de nouveaux produits…)

« Conservation » : réalisation de sauvegardes qui sont conservées pendant une durée définie
(sauvegardes du réseau, sauvegardes des données des PC hors réseau, sauvegardes des données
des équipements de production et des installations…) – changement périodique des supports
d’enregistrement pour éviter d’utiliser toujours les mêmes

« Elimination » : effacement ou destruction

« Rester lisibles » : conservation des équipements et logiciels pour pouvoir continuer de lire les
enregistrements pendant la durée d’archivage – réalisation de tests de restauration pour s’assurer que
les données sont à nouveau lisibles et complètes après compression (pas d’écrasement de fichiers…)
– définition des actions et enregistrement de celles-ci au cas où la sauvegarde s’est mal passée
(message d’erreur)

Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 5/6
 INSTRUCTION : GUIDE D’AUDIT révision A
D’UN SYSTEME D’INFORMATION
IT.ICS14

4 CAPACITE DES LOGICIELS DE SURVEILLANCE ET DE MESURE (ISO 9001)

« Si concerné, confirmation de la capacité de ces logiciels à satisfaire à l’utilisation prévue avant la

première utilisation » : vérifications par des tests en utilisant des produits avec des mesures connues
ou des défauts connus

« Reconfirmation si nécessaire » : vérifications ultérieures en cas de nouveaux produits, de nouveau

matériel de production, de nouveau matériel informatique, de nouvelle version du logiciel…

« Note : cette confirmation comprend généralement des vérifications et la gestion de configuration ».

La gestion de configuration consiste à identifier les données unitaires, les documents, les logiciels et
les matériels que l’on veut conserver et dont on veut suivre les évolutions. Elle consiste aussi à
déterminer la manière de les nommer et à identifier les liens entre ces éléments du système.
En cas d’évolution d’une donnée, d’un document, d’un logiciel ou d’un matériel, les responsables de la
configuration priorisent les demandes d’évolution et identifient les conséquences de chaque évolution
sur le reste du système configuré (par exemple l’ensemble des documents concernés par l’évolution
d’une donnée, l’ensemble des documents concernés par l’évolution d’un logiciel, l’ensemble des
logiciels concernés par l’évolution d’un matériel…). Cela permet de faire évoluer en même temps ce
qui doit évoluer et de conserver les éléments ayant évolué.
La norme s’appliquant uniquement aux logiciels, la gestion de configuration permet d’identifier les
documents et les équipements concernés et de les maîtriser en cas d’évolution d’un logiciel.

5 DIFFUSION

Auditeurs QSE – EN 9100 – ISO/TS – Medical Support offices (Afrique)

devices
Responsable Back Office

Confidentiel - photocopie interdite sans l’autorisation expresse du Correspondant qualité de SGS ICS page 6/6