Définir le périmètre de l'audit: Identifier les domaines et les processus à
auditer. Cela peut inclure l'ensemble du SMSI ou une partie spécifique, comme la sécurité des systèmes d'information ou la gestion des incidents. Constituer l'équipe d'audit: Déterminer les compétences et l'expérience nécessaires pour l'audit. L'équipe peut être composée d'auditeurs internes, d'experts externes ou d'une combinaison des deux. Collecte d'informations: Rassembler les documents et les informations nécessaires à l'audit, tels que les politiques, les procédures, les manuels et les plans de sécurité. Elaboration du programme d'audit: Définir les objectifs, les questions d'audit et les méthodes de travail. Le programme d'audit doit être clair, précis et réaliste.
2. Réalisation de l'audit:
Ouverture de l'audit: Rencontre avec la direction et les responsables audités
pour présenter l'objectif et le déroulement de l'audit. Interviews: Conduire des interviews avec les personnes responsables des processus audités. L'objectif est de recueillir des informations sur les processus et les contrôles en place. Examen des documents: Analyser les documents et les informations collectées. L'objectif est de vérifier la conformité aux exigences de l'ISO/IEC 27001 et d'identifier les points forts et les points d'amélioration. Tests de contrôles: Tester l'efficacité des contrôles mis en place. Cela peut impliquer des tests de pénétration, des simulations d'attaques et des revues de code. Constatations et observations: Identifier les points forts et les points d'amélioration. Les constatations et observations doivent être documentées de manière claire et concise.
3. Clôture de l'audit:
Rédaction du rapport d'audit: Détailler les constatations, les observations et
les recommandations d'amélioration. Le rapport d'audit doit être clair, concis et précis. Présentation du rapport d'audit: Restitution des conclusions de l'audit à la direction et aux responsables audités. La présentation doit être claire et constructive. Suivi des recommandations: Assurer le suivi des recommandations d'amélioration et des actions correctives. Un plan d'action doit être mis en place pour mettre en œuvre les recommandations d'amélioration.