ISO 27006:2015

ISO 27006

Exigences pour les organismes
procédant à l'audit et à la certification des SMSI

Date de publication Novembre 2015
Nombre de pages (corps du document) 30
Nombre de pages (annexes) 10
Traduction en français Non

ISO 27006 : Exigences pour les organismes réalisant l'audit et la certification de SMSI

Cette norme d'exigence (la seule de la série ISO 2700x avec ISO 27001) fournit des précisions pour les audits de certification ISO 27001:

  • Classement des mesures de sécurité : organisationelles / techniques
  • Vérifications à faire ou pas pour les mesures de sécurité techniques
  • Calcul du nombre de jours d'audit(en annexe)

Estimation de la charge d'audit

En annexe, il existe des abaques fournissant des indications de la durée d'audit nécessaire par un organisme accrédité pour audité une entreprise souhaitantêtre certifié ISO 27001. Cette annexe précise bien que c'est indicatif et qu'il faut utiliser des critères tels que :

  • le nombre d'utilisateurs, le nombre d'utilisateurs ayant des droits d'administration
  • le nombre 
  • la législation applicable
  • ...

Elle fournit des exemples de calcul :

D'abord en se basant sur le nombre d'employés de l'entreprise, pour déterminer la charge initiale d'audit. Puis en rajoutant ISO_27006_charge_auditdes charges :

  • de revue documentaire du SMSI (de 1 à 3 journées selon complexité)
  • d'audit des mesures de sécurité (2 jours)
  • de visite des sites (0,5 jour par site à auditer)
  • de rédaction du rapport (de 1 à 3 journées selon complexité)
  • ...

Bref pour une entreprise de taille moyenne (500 personnes), avec deux sites et un système d'information avec enjeux modérés, un rapide calcul donnerait 18 jours d'audit.

La réalité du terrain est souvent loin de ce calcul avec des chiffrages de charge d'audit beaucoup plus faible. Evidemment la qualité de l'audit de certification s'en ressent à un tel point que dans la profession, certains parlent de certification "pochette surprise"

 

 


Copyright Ysosecure © 2002 - 2018