ISO/IEC 27001
La norme des systèmes de management de la sécurité de l’information (SMSI)
ISO/IEC 27001 définit les exigences d’un SMSI : identifier les risques, mettre en place des mesures, vérifier l’efficacité et améliorer en continu. En audit, la clé est la preuve – pas la paperasse.
Ce que les auditeurs recherchent
Périmètre & contexte
Périmètre, interfaces, enjeux internes/externes, exigences des parties prenantes.
Gestion des risques
Méthode, critères d’acceptation, plan de traitement, preuves d’application et d’efficacité.
Mesures & preuves
Mesures Annexe A, politiques, processus, preuves techniques, monitoring, sensibilisation.
Point clé : un SMSI vaut par ses preuves. Des preuves faibles créent des constats et des retards.