Se préparer à un audit de Transition

La transition vers la nouvelle version de la norme représente un défi important pour les entreprises souhaitant maintenir leur certification et rester en conformité avec les exigences du système de management. Cette transition nécessite une compréhension des changements, une évaluation de leur impact sur l’organisation et la mise en œuvre de mesures adéquates pour s’adapter aux nouvelles exigences.

Le plan de cet article comprendra une analyse des étapes nécessaires à la transition. Nous examinerons les différents délais à respecter. Nous aborderons aussi les aspects spécifiques de l’audit de transition à prendre en compte.

Dès la publication de la nouvelle version de la norme, il faut suivre ces 4 étapes pour la transition :

1/ Se préparer à un audit de Transition : compréhension des changements 

  • Tout d’abord, familiarisez-vous avec les changements et les exigences de la nouvelle version de la norme ISO. Il vous faut acheter la nouvelle version de la norme au nom de votre entreprise.
  • Procédez à des formations et sensibilisations pour le personnel. Cela à pour but de s’assurer de leur compréhension des changements et de leur capacité à les mettre en œuvre.

2/ Se préparer à un audit de Transition: Vérifier l’impact sur votre organisation 

  • Identifiez les écarts entre votre système de management actuel et les nouvelles exigences. Mettez en place un plan d’action pour adresser ces écarts et mettre à niveau votre système de management.
  • Impliquez toutes les parties prenantes concernées dans le processus de transition. Ceci assure une compréhension et une adhésion à ces changements.

3/ Se préparer à un audit de Transition : Mettre en place les changements 

  • Révisez et mettez à jour votre documentation de système de management pour refléter les nouvelles exigences. Assurez-vous que tous les processus et procédures sont conformes aux exigences de la nouvelle norme.
  • Réalisez un audit interne de transition pour évaluer l’efficacité de votre système de management conformément aux nouvelles exigences.
  • Adressez les éventuelles non-conformités identifiées lors de l’audit interne.

4/ Se préparer à un audit de Transition : réaliser un audit de transition auprès d’un organisme de certification accréditée 

  • Planifiez et coordonnez votre audit de transition sur la nouvelle version de la norme pour obtenir la certification conforme à la nouvelle version.
  • Obtenez votre rapport d’audit, regardez bien l’avis de votre auditeur et agissez en fonction des résultats.
  • Enfin, continuez à faire évoluer vos processus en maintenant un cycle d’amélioration constant, et veillez à intégrer la résilience de l’information au cœur de votre organisation.

Pour information, avant de pouvoir certifier les entreprises selon la nouvelle version de la norme ISO, les organismes de certification (comme Bureau Veritas, AFNOR, BSI, etc) doivent d’abord passer par un processus d’accréditation auprès d’un organisme d’accréditation (comme COFRAC, UKAS, etc). Cette accréditation est essentielle pour garantir la crédibilité et la fiabilité des certifications délivrées par ces organismes. En obtenant l’accréditation, l’organisme de certification démontre qu’il est en mesure de fournir des services de certification conformes à la nouvelle version de la norme ISO.

Pour mieux comprendre ce processus de transition, nous prenons un exemple concret : La norme ISO/IEC 27001 :2022 a été publiée par l’ISO le 25/10/2022, et la version française de la norme NF ISO/IEC 27001 :2023 a été publiée par AFNOR Normalisation en janvier 2023, il s’agit de la traduction intégrale des exigences de l’ISO/IEC 27001 :2022.

Cet audit de transition doit notamment couvrir :

  • La mise à jour de la Déclaration d’Applicabilité (DDA).
  • Si nécessaire, la révision du Plan de Gestion des Risques.
  • La mise en place et l’efficacité des nouvelles mesures de sécurité de l’information ou des modifications apportées.

Dans le processus de transition vers la nouvelle version, il est important de considérer les délais à respecter :

  • Les audits de certification initiale et de renouvellement doivent être effectués par les organismes de certification conformément à l’ISO/IEC 27001:2022 / NF ISO/IEC 27001:2023 dans les 18 mois suivant la date de publication de l’ISO/IEC 27001:2022 (c’est-à-dire le 30/04/2024).
  • Le processus de transition des entreprises déjà certifiées ISO/IEC 27001v2017 vers l’ISO/IEC 27001:2022 / NF ISO/IEC 27001:2023 doit être terminé dans les 36 mois suivant la publication de l’ISO/IEC 27001:2022 (soit le 31/10/2025).

L’audit de transition doit durer au moins 0,5 jour s’il est combiné avec un audit de renouvellement et au moins 1 jour s’il est combiné avec un audit de surveillance ou réalisé indépendamment.

Conclusion :

Pour finir, la transition vers la nouvelle version de la norme est un processus complexe. Néanmoins nécessaire pour maintenir la conformité aux normes de gestion de la sécurité de l’information.

Toutes les parties prenantes doivent s’impliquer et suivre rigoureusement les étapes de transition pour garantir une transition réussie. De plus, le respect des délais prescrits pour les audits de certification initiale et de renouvellement est important pour éviter toute interruption de la certification.

En fin de compte, intégrer la résilience de l’information au cœur de l’organisation et maintenir un cycle d’amélioration constant sont des pratiques essentielles pour assurer une gestion efficace de la sécurité de l’information et garantir la crédibilité et la fiabilité des certifications délivrées.

Pour aller plus loin :

COFRAC : Note de transition des normes ISO/IEC 27001:2013 et NF EN ISO/IEC 27001 :2017 vers la norme ISO/IEC 27001 :2022 / NF ISO/IEC 27001 :2023

BSI : Guide de transition

Pour relire notre article sur les manquements mis en lumière par la CNIL.

Samal ISMAKATOVA
Samal ISMAKATOVA
Avec une expérience de 5 ans dans le domaine de l'accréditation, Samal a contribué à l'évaluation et à la certification de nombreuses organisations. Son expertise en qualité, en particulier, est essentielle pour aider les entreprises à démontrer leur engagement envers les normes de sécurité les plus strictes.

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie