Blog · Préparation

Comment se préparer à un audit ISO 27001 ?

Préparer un audit ISO 27001, c'est avant tout une question de démontrabilité. Veillez à ce que le périmètre, l'analyse des risques et le Statement of Applicability soient à jour et cohérents, à ce que la politique vive sur le terrain, et à ce que l'audit interne, la revue de direction et les actions d'amélioration aient été réalisés et documentés. Le plan étape par étape ci-dessous vous mène pas à pas vers l'état prêt pour l'audit.

Demandez un scan d'audit

Le plan étape par étape

Définir le périmètre — qu'est-ce qui entre dans l'ISMS ?
Actualiser l'analyse des risques — risques, propriétaires, plan de traitement.
Statement of Applicability — reliez les risques aux mesures de l'Annex A.
Politique & sensibilisation — assurez-vous que les collaborateurs la connaissent et l'appliquent.
Audit interne — faites-le réaliser de manière indépendante.
Revue de direction — la direction évalue et ajuste.
Actions d'amélioration — corrigez les écarts et consignez les preuves.

Le processus d'audit ISO 27001 en cinq étapes : définir le périmètre, revue documentaire, entretiens et échantillonnages, rapport de constats, plan d'amélioration et suivi — Le processus d'audit en 5 étapes.

Erreurs fréquentes

Une SoA qui ne correspond pas à l'analyse des risques.
Une politique qui ne vit pas en dehors du classeur.
Une revue de direction qui n'existe que sur le papier.
Des actions d'amélioration sans suivi.

Une analyse d'écart repère ces lacunes tôt.

ISO/IEC 27001 — page officielle de la norme (source officielle).

FAQ

Questions fréquentes

Des réponses courtes et directes — rédigées pour les humains comme pour les moteurs de recherche IA.

Combien de temps dure la préparation à un audit ISO 27001 ?

Pour une organisation qui part de zéro, la mise en place d'un ISMS fonctionnel dure généralement de 3 à 9 mois. Si vous avez déjà beaucoup de mesures en place, la préparation à l'audit peut prendre de quelques semaines à quelques mois. Une analyse d'écart vous donne un planning réaliste.

Quel est le document de préparation le plus important ?

Le Statement of Applicability (SoA), car il relie vos risques aux mesures de sécurité et constitue le cœur de l'audit. L'évaluation des risques, la politique et les preuves de l'audit interne et de la revue de direction sont en outre cruciales.

Dois-je réaliser un audit interne avant l'audit de certification ?

Oui. L'ISO 27001 exige au moins un audit interne et une revue de direction avant de vous lancer dans la certification. Ils fournissent en outre la preuve que votre cycle d'amélioration fonctionne — précisément ce que l'auditeur externe veut voir.

Puis-je externaliser la préparation ?

Oui. Vous pouvez faire réaliser l'analyse d'écart, l'audit interne et le pré-audit par une partie indépendante. La mise en œuvre elle-même et la responsabilité finale restent au sein de votre organisation.

Connexe