Questionnaire d'audit ISO/IEC 27001

Informations générales

 Nom de l'organisation :
 Date de l'audit :
 Auditeur(s) :
 Fonction(s) auditée(s) :

Partie 1 : Engagement et contexte de l'organisation

1. La direction s'engage-t-elle à la sécurité de l'information et à la mise en œuvre

d'un SMSI conforme à l'ISO/IEC 27001 ?

Examen des politiques et des directives : Vérifiez si la direction a établi des

politiques et des directives formelles concernant la sécurité de l'information et la mise
en œuvre d'un SMSI.

Communication et sensibilisation : Observez comment la direction

communique l'importance de la sécurité de l'information à l'ensemble de
l'organisation.

Allocation de ressources : Vérifiez si la direction alloue les ressources

nécessaires, tant financières que humaines, pour la mise en œuvre et le maintien du
SMSI.

Participation aux activités du SMSI : Observez si la direction participe activement

aux activités liées au SMSI, telles que les réunions de revue de direction, les audits
internes, les analyses des risques, etc.

2. La politique de sécurité de l'information est-elle définie, documentée et

communiquée à tous les membres du personnel ?
3. Les rôles et responsabilités en matière de sécurité de l'information sont-ils
clairement définis et documentés ?
4. L'organisation a-t-elle identifié et évalué les risques et opportunités liés à la
sécurité de l'information ?

Examen de la documentation : Commencez par examiner les documents

pertinents tels que l'analyse des risques, les rapports d'évaluation de la sécurité, les
politiques de sécurité de l'information, etc. Ces documents devraient indiquer si des
risques et opportunités ont été identifiés et évalués.
 Entretiens avec les parties prenantes : Interrogez les parties prenantes clés de
l'organisation, y compris les responsables de la sécurité de l'information. pour
comprendre comment ils ont identifié et évalué les risques liés à la sécurité de
l'information.

Analyse des incidents précédents : Examinez les incidents de sécurité de

l'information précédents pour évaluer si l'organisation avait identifié ces risques avant
qu'ils ne se produisent et si des mesures étaient en place pour les atténuer.

Évaluation des contrôles de sécurité : Évaluez les contrôles de sécurité en place

pour voir s'ils sont proportionnés aux risques identifiés.

5. Des objectifs de sécurité de l'information ont-ils été définis et mesurables ?

Partie 2 : Contrôles de sécurité

A. Contrôles de sécurité liés à la gestion des risques

1. L'organisation utilise-t-elle une méthodologie formelle pour identifier, évaluer

et traiter les risques liés à la sécurité de l'information ?
2. Les contrôles de sécurité mis en place sont-ils adaptés aux risques identifiés ?
3. Les contrôles de sécurité sont-ils régulièrement testés et revus pour s'assurer
de leur efficacité ?

B. Contrôles de sécurité liés à la sécurité des ressources humaines

1. La sélection du personnel prend-t-elle en compte la sécurité de l'information ?

2. Le personnel est-il sensibilisé aux risques liés à la sécurité de l'information et
aux bonnes pratiques ?
3. Des formations régulières en sécurité de l'information sont-elles dispensées
au personnel ?

C. Contrôles de sécurité liés à la sécurité physique et environnementale

1. Les locaux et les équipements sont-ils sécurisés contre les accès non
autorisés ?
2. Des mesures de protection contre les incendies, les inondations et autres
catastrophes naturelles sont-elles en place ?
3. L'accès aux équipements et aux données est-il contrôlé et limité aux
personnes autorisées ?

D. Contrôles de sécurité liés à la gestion des accès

 1. Un système de contrôle d'accès est-il en place pour limiter l'accès aux
ressources informatiques ?
2. Les mots de passe sont-ils forts et régulièrement changés ?
3. Les droits d'accès sont-ils régulièrement revus et mis à jour ?

E. Contrôles de sécurité liés à la sécurité du fonctionnement

1. Des procédures de sauvegarde et de restauration des données sont-elles en

place ?
2. Les logiciels et les systèmes d'information sont-ils régulièrement mis à jour ?
3. Des mesures de sécurité sont-elles en place pour prévenir les incidents de
sécurité ?

F. Contrôles de sécurité liés à la sécurité des communications

1. Les communications confidentielles sont-elles protégées par des moyens de

cryptage ?
2. Des mesures de sécurité sont-elles en place pour prévenir les attaques par
hameçonnage et les logiciels malveillants ?
3. L'accès à internet est-il contrôlé et limité ?

G. Contrôles de sécurité liés à l'acquisition, au développement et à la maintenance

des systèmes d'information

1. Les processus de développement et de maintenance des systèmes

d'information sont-ils sécurisés ?
2. Les changements apportés aux systèmes d'information sont-ils testés et
approuvés avant d'être mis en production ?
3. Des mesures de sécurité sont-elles en place pour prévenir les vulnérabilités
logicielles ?

H. Contrôles de sécurité liés à la gestion des incidents de sécurité

1. Un plan de réponse aux incidents de sécurité est-il en place ?

2. Les incidents de sécurité sont-ils documentés et analysés ?
3. Des mesures correctives sont-elles mises en place pour prévenir la récurrence
des incidents ?

Partie 3 : Conclusion

1. L'organisation est-elle en conformité avec les exigences de l'ISO/IEC 27001 ?

2. Des points forts et des points d'amélioration ont-ils été identifiés ?
3. Des recommandations d'amélioration sont-elles formulées ?