QUESTIONNAIRE AUDIT

ISO 27001 :2022

Sous Sections Questions
Sections

Les problèmes internes et externes pertinents

pour le SMSI de l'organisation ont-ils été
déterminés ?
4.1 Compréhension de
L'impact et le risque associés aux problèmes
l'organisation et de son contexte
ont-ils été déterminés ?

Le plan de remédiation pour les problèmes

a-t-il été documenté ?

L'organisation a-t-elle déterminé les parties

intéressées pertinentes pour le SMSI ?

L'organisation a-t-elle déterminé les besoins

4.2 Compréhension des besoins et attentes de ces parties intéressées ?
et attentes des parties intéressées
Les exigences de ces parties intéressées ont-
elles été déterminées, y compris les
exigences légales, réglementaires et
contractuelles ?
4. Contexte de
l'organisation
Les limites et l'applicabilité du SMSI ont-
elles été déterminées pour établir sa portée,
en tenant compte des problèmes externes et
internes, des exigences des parties
intéressées ainsi que des interfaces et
dépendances avec d'autres organisations ?
4.3 Détermination du champ
d'application du système de
L'organisation a-t-elle défini la portée du
management de la sécurité de
SMSI, y compris les départements
l'information
concernés, les interfaces, les dépendances et
les emplacements ?

La portée du SMSI a-t-elle été documentée ?

L'organisation a-t-elle établi un système de

4.4 Système de management de management de la sécurité de l'information
la sécurité de l'information (SMSI) conformément aux exigences du
document ?
 Le SMSI est-il actuellement mis en œuvre
par l'organisation ?

L'organisation maintient-elle et améliore-t-

elle continuellement le SMSI ?

Le leadership de l'organisation démontre-t-il

son engagement envers le SMSI en
établissant la politique de sécurité de
l'information et les objectifs compatibles
avec l'orientation stratégique de
l'organisation et en favorisant l'amélioration
continue ?

Le leadership a-t-il veillé à l'intégration des

exigences du SMSI dans ses processus
métier ?

Le leadership a-t-il veillé à ce que des

5.1 Direction et engagement
ressources soient disponibles pour le SMSI
et à la direction et au soutien des individus, y
compris la direction, qui contribuent à son
efficacité ?

Le leadership a-t-il communiqué

5. Leadership l'importance d'une sécurité de l'information
efficace et de la conformité aux exigences du
SMSI ?

Le leadership dirige-t-il et soutient-il les

rôles pertinents pour contribuer à l'efficacité
du SMSI ?

Est-ce qu'une politique de sécurité de

l'information établie est appropriée pour le
SMSI ?

Est-ce que la politique de sécurité de

l'information fournit un cadre pour définir
5.2 Politique
des objectifs et démontre un engagement
envers l'amélioration continue du SMSI ?

La politique est-elle documentée et

communiquée aux employés ainsi qu'aux
parties intéressées pertinentes ?
 Les rôles, responsabilités et autorités liés à la
portée du SMSI sont-ils clairement définis et
communiqués ?

Le diagramme organisationnel est-il défini et

5.3 Responsabilités, fonctions
aligné sur les rôles et responsabilités définis
et autorités organisationnelles
?

Les responsabilités et autorités pour la

conformité et le rapport sur la performance
du SMSI sont-elles assignées ?

Les problèmes internes et externes ainsi que

les exigences des parties intéressées ont-ils
été pris en compte pour déterminer les
risques et opportunités qui doivent être
traités pour garantir que le SMSI atteint ses
objectifs ?

Des actions pour traiter les risques et

opportunités ont-elles été planifiées et
intégrées dans les processus du SMSI, et
sont-elles évaluées pour leur efficacité ?
6. Planification 6.1 Actions pour traiter les
(Clauses) risques et les opportunités
Un processus d'évaluation des risques liés à
la sécurité de l'information, établissant les
critères pour effectuer les évaluations des
risques liés à la sécurité de l'information, y
compris les critères d'acceptation des
risques, a-t-il été défini ?

Le processus d'évaluation des risques liés à

la sécurité de l'information est-il
reproductible et produit-il des résultats
cohérents, valides et comparables ?
 Le processus d'évaluation des risques liés à
la sécurité de l'information identifie-t-il les
risques associés à la perte de confidentialité,
d'intégrité et de disponibilité des
informations dans le cadre du SMSI, et les
propriétaires des risques sont-ils identifiés ?

Les risques liés à la sécurité de l'information

sont-ils analysés pour évaluer la probabilité
réaliste et les conséquences potentielles qui
6.1.2 Évaluation des risques liés
en résulteraient s'ils se produisaient, et les
à la sécurité de l'information
niveaux de risque ont-ils été déterminés ?

Les risques liés à la sécurité de l'information

sont-ils comparés aux critères de risque
établis et priorisés ?

Des informations documentées sur le

processus d'évaluation des risques liés à la
sécurité de l'information sont-elles
disponibles ?

Existe-t-il un processus de traitement des

risques liés à la sécurité de l'information
pour sélectionner des options de traitement
des risques appropriées pour les résultats de
l'évaluation des risques liés à la sécurité de
l'information, et les contrôles sont-ils
déterminés pour mettre en œuvre l'option de
traitement des risques choisie ?

Les contrôles déterminés ont-ils été

comparés avec l'Annexe A de l'ISO/IEC
6.1.3 Traitement des risques liés 27001:2022 pour vérifier qu'aucun contrôle
à la sécurité de l'information nécessaire n'a été omis ?

Un Document d'Applicabilité a-t-il été

produit pour justifier les exclusions et les
inclusions de l'Annexe A, ainsi que l'état de
mise en œuvre des contrôles ?

L'organisation a-t-elle formulé un plan de

traitement des risques liés à la sécurité de
l'information et obtenu l'approbation des
propriétaires des risques pour l'acceptation
des risques résiduels ?
 Des objectifs et des cibles mesurables pour
le SMSI ont-ils été établis, documentés et
communiqués dans toute l'organisation ?

En définissant ses objectifs, l'organisation a-

t-elle déterminé ce qui doit être fait, quand et
par qui ?

Tout le monde au sein de l'organisation est-il

6.2 Objectifs de sécurité de
conscient de l'importance de la politique de
l'information et planification
sécurité de l'information, de leur
pour les atteindre
contribution à l'efficacité du SMSI et des
conséquences de la non-conformité ?

L'organisation a-t-elle déterminé la nécessité

de communications internes et externes
pertinentes pour le SMSI, y compris ce qu'il
convient de communiquer, quand, avec qui,
par qui, et les processus par lesquels cela est
réalisé ?

Est-ce que l'organisation a déterminé les

7.1 Ressources
ressources nécessaires pour le SMSI ?

L'organisation a-t-elle déterminé la

compétence des personnes pertinentes pour
le SMSI ?

L'organisation a-t-elle pris des mesures

correctives pour acquérir la compétence
7.2 Compétence nécessaire des personnes pertinentes pour le
SMSI ?
7. Soutien
L'organisation a-t-elle conservé des
informations comme preuve montrant que
les personnes pertinentes pour le SMSI
possèdent la compétence nécessaire ?

L'organisation a-t-elle défini et documenté

un plan de sensibilisation à la sécurité de
l'information ?
7.3 Sensibilisation
Les employés suivent-ils des sessions de
sensibilisation à la sécurité lors de leur
embauche et à intervalles réguliers ?
 L'organisation dispose-t-elle d'une méthode
pour évaluer l'efficacité de la formation à la
sensibilisation ?

Comment l'organisation s'assure-t-elle que

les employés sont conscients de la politique
de sécurité de l'information ?

Les employés sont-ils conscients des

implications de ne pas se conformer aux
exigences en matière de sécurité de
l'information ?

L'organisation a-t-elle élaboré un plan de

communication interne et externe ?

7.4 Communication Le plan de communication inclut-il les

détails sur ce qu'il faut partager, quand le
partager, à qui le partager, comment le
partager et avec qui le partager ?

L'organisation a-t-elle déterminé les

informations documentées nécessaires à
l'efficacité du SMSI ?

Les informations documentées sont-elles

dans le format approprié, et ont-elles été
identifiées, examinées et approuvées pour
leur adéquation ?

7.5 Information documentée L'organisation a-t-elle défini des conventions

de dénomination, y compris (titre du
7.5.1 - Généralités document, date, auteur et approbation) ?

7.5.2 - Création et mise à jour Lors de la création et de la mise à jour des

documents, l'organisation garantit-elle
7.5.3 - Contrôle des l'intégrité des documents en capturant les
informations documentées numéros de version et les approbations
appropriées ?

L'organisation dispose-t-elle d'un processus

de contrôle de la distribution de ses
informations documentées pour s'assurer
qu'elles ne sont disponibles que pour les
personnes concernées ?

L'organisation protège-t-elle les

informations documentées contre la perte de
 confidentialité, d'intégrité et de disponibilité
?

Les informations documentées sont-elles

correctement stockées et adéquatement
préservées pour leur lisibilité ?

L'organisation a-t-elle identifié et documenté

l'origine externe des document

L'organisation a-t-elle mis en place un

programme pour garantir que le SMSI atteint
ses résultats, ses exigences et ses objectifs ?

Des preuves documentées sont-elles

conservées pour démontrer que les processus
ont été réalisés comme prévu ?

Les changements sont-ils planifiés et

8.1 Planification et maîtrise
contrôlés, et les changements non
opérationnelle
intentionnels sont-ils examinés pour atténuer
tout résultat indésirable ?

Comment l'organisation contrôle-t-elle les

processus/services externalisés pertinents
pour le SMSI ?

8. Fonctionnement L'organisation dispose-t-elle d'informations

documentées comme preuve pour garantir
que les processus sont réalisés et mis en
œuvre conformément aux plans prévus ?

Les évaluations des risques liés à la sécurité

de l'information sont-elles effectuées à
intervalles planifiés ou lors de changements
significatifs, et les informations
8.2 Évaluation des risques liés à documentées sont-elles conservées ?
la sécurité de l'information
L'organisation conserve-t-elle des
informations documentées pertinentes sur les
résultats des évaluations des risques liés à la
sécurité de l'information ?

8.3 Traitement des risques liés à Le plan de traitement des risques liés à la
la sécurité de l'information sécurité de l'information a-t-il été mis en
œuvre conformément au plan de traitement
 des risques liés à la sécurité de l'information
?

L'organisation conserve-t-elle des

informations documentées pertinentes sur les
résultats du traitement des risques liés à la
sécurité de l'information ?

La performance de la sécurité de
l'information et l'efficacité du SMSI sont-
elles évaluées ?

Comment l'organisation détermine-t-elle les

processus et les contrôles qui doivent être
surveillés et contrôlés ?

Comment l'organisation détermine-t-elle les

méthodes de surveillance, de mesure,
d'analyse et d'évaluation des processus et
contrôles de sécurité ?
9. Évaluation de la 9.1 Surveillance, mesure,
Comment l'organisation garantit-elle que les
performance analyse et évaluation
méthodes sélectionnées produisent des
résultats comparables, reproductibles et
reproductibles ?

L'organisation a-t-elle déterminé la

fréquence de surveillance, de mesure,
d'analyse et d'évaluation des processus et des
contrôles de sécurité ?

L'organisation a-t-elle déterminé quand

analyser les résultats de la surveillance, de la
mesure, de l'analyse et de l'évaluation des
processus et des contrôles de sécurité ?
 L'organisation a-t-elle déterminé ce qui doit
être surveillé et mesuré, quand et par qui ?

Des informations documentées sont-elles

conservées comme preuve des résultats de la
surveillance et de la mesure ?

L'organisation planifie-t-elle, établit-elle,

met-elle en œuvre et maintient-elle un
programme d'audit interne ?

L'organisation a-t-elle défini la fréquence

des audits internes ?

L'organisation a-t-elle défini l'objectif et les

critères de l'audit interne ?

L'organisation a-t-elle défini la fréquence,

les méthodes, les responsabilités et les
exigences pour le programme d'audit ?

Les audits internes sont-ils réalisés

périodiquement pour vérifier que le SMSI
est efficace et conforme à la fois à l'ISO/IEC
9.2 Audit interne 27001:2022 et aux exigences de
l'organisation ?

Le programme d'audit tient-il compte de

l'importance du processus lors de l'audit ?

Les audits sont-ils effectués par du personnel

compétent ?

Comment l'organisation garantit-elle

l'objectivité et l'impartialité de l'audit ?

Les résultats de l'audit interne sont-ils

rapportés au personnel de direction concerné
?

Les résultats des audits sont-ils rapportés à la

direction, et des informations documentées
sur le programme d'audit et les résultats de
l'audit sont-elles conservées ?
 La revue prend-elle en compte les
changements dans les problèmes internes et
externes ?

La revue prend-elle en compte les

changements dans les besoins et attentes des
parties intéressées ?

La revue prend-elle en compte les non-

conformités et les actions correctives ?

La revue prend-elle en compte les résultats

de la surveillance et des mesures ?

La revue prend-elle en compte les résultats

des audits ?

La revue prend-elle en compte les retours

d'informations des parties intéressées ?
9.3 Revue de direction
La revue prend-elle en compte les résultats
de l'évaluation et du traitement des risques ?

La revue prend-elle en compte les

opportunités d'amélioration continue ?

Les résultats de la revue incluent-ils des

décisions liées à l'amélioration continue et
tout besoin de modification du SMSI ?

L'organisation a-t-elle conservé des

informations documentées comme preuve
des résultats des revues de direction ?

Les résultats de la revue de direction sont-ils

documentés, mis en œuvre et communiqués
aux parties intéressées concernées, le cas
échéant ?

Est-ce que l'organisation améliore

10.1 Amélioration continue continuellement l'aptitude, l'adéquation et
10. Amélioration l'efficacité du SMSI ?

Quelles sont les mesures prises par

10.2 Non-conformité et action
l'organisation concernant les non-
corrective
conformités identifiées ?
L'organisation prend-elle des mesures pour
contrôler et corriger les non-conformités ?

L'organisation identifie-t-elle la cause

profonde de la non-conformité ?

L'organisation prend-elle des mesures pour

éliminer la cause profonde ?

L'organisation prend-elle des mesures pour

identifier des non-conformités similaires au
sein de l'organisation ?

L'organisation prend-elle des mesures pour

examiner l'efficacité des actions correctives
prises ?

Des informations documentées sont-elles

conservées comme preuve de la nature des
non-conformités, des actions entreprises et
des résultats ?