Norme ISO 27001:2022Application Audit ISO 27001
Application Audit ISO 27001
Securite de l'Information
Digitalisez vos audits SMSI. Controles Annexe A, evaluation risques, conformite - rapport d'audit professionnel.
Essai Gratuit 7 JoursDomaines de Controle
Organisationnel
Politiques, roles, segregation, contacts autorites.
Personnel
Recrutement, formation, sensibilisation, fin contrat.
Physique
Perimetres, acces, équipements, supports.
Technologique
Authentification, cryptographie, developpement.
Acces
Gestion identites, droits, revues.
Surveillance
Journalisation, detection, audit trail.
Fonctionnalités
Checklist Annexe A
93 controles de la version 2022 pre-configures.
Ecarts
Classification non-conformites, actions correctives.
Scoring
Evaluation maturite par domaine.
Preuves
Documentation screenshots, photos.
Mode Hors-Ligne
Auditez sans connexion.
Rapport PDF
Rapport d'audit avec plan d'actions.
Questions Fréquentes
Quelles sont les 4 catégories de mesures de l'Annexe A ISO 27001:2022 ?+
La version 2022 restructure les 114 mesures en 93 mesures réparties en 4 thèmes : organisationnelles (37), liées aux personnes (8), physiques (14), technologiques (34). Les nouvelles mesures incluent : renseignement sur les menaces, sécurité cloud, filtrage web, et codage sécurisé.
Quelle différence entre ISO 27001 et ISO 27002 ?+
ISO 27001 est la norme certifiable qui définit les exigences du SMSI (Système de Management de la Sécurité de l'Information). ISO 27002 est un guide de bonnes pratiques qui détaille la mise en œuvre des mesures de l'Annexe A. L'audit de certification porte sur ISO 27001, pas sur 27002.
Combien de temps prend une certification ISO 27001 ?+
En moyenne 12 à 18 mois pour une organisation de taille moyenne. Les étapes : analyse des écarts, définition du périmètre, appréciation des risques, mise en œuvre des mesures, audit interne, revue de direction, puis audit de certification en 2 étapes. Le cycle de certification est de 3 ans avec surveillance annuelle.
Comment réaliser l'appréciation des risques ISO 27001 ?+
La norme exige (clause 6.1.2) : identifier les risques liés à la perte de confidentialité, intégrité et disponibilité des actifs informationnels, évaluer la vraisemblance et les conséquences, déterminer le niveau de risque, et appliquer un plan de traitement (accepter, transférer, éviter, réduire). Les méthodes courantes : EBIOS RM, MEHARI, ISO 27005.
Quels sont les points faibles les plus fréquents en audit ISO 27001 ?+
Périmètre du SMSI mal défini, inventaire des actifs incomplet, appréciation des risques non actualisée, gestion des accès insuffisante (revues des droits non faites), plan de continuité d'activité non testé, et journalisation/surveillance des événements de sécurité lacunaire.