4 Principes
4.1 Principes de management
Orientation client, leadership, implication du personnel, approche processus, amélioration, prise de décision fondée sur les preuves, management des relations avec les parties intéressées
Les sept principes de management de la qualité (cf. figure 4-1) nous aiderons à obtenir des performances durables (ISO 9001 : 2015, § 0.2).
Figure 4-1. Les 7 principes de management de la qualité
4.2 Principes de l'audit
Déontologie, présentation impartiale, conscience professionnelle, confidentialité, indépendance, approche fondée sur la preuve
Pour que l'audit soit un outil à valeur ajoutée il faut respecter certains principes.
- la déontologie, pour garantir :
- l’honnêteté, l’éthique et la responsabilité
- des activités entreprises avec la compétence nécessaire
- la présentation impartiale, pour assurer :
- des conclusions d'audit honnêtes et précises
- des constatations et un rapport d'audit détaillés
- la conscience professionnelle, pour assumer :
- l'importance de la tâche
- la confiance accordée
- la confidentialité, pour traiter avec précaution les informations :
- sensibles
- confidentielles
- l’indépendance, pour :
- conduire un audit impartial
- rédiger des conclusions objectives
- l’approche fondée sur la preuve, pour obtenir des conclusions :
- fiables, vérifiables et
- reproductibles
- l’approche par les risques, pour atteindre les objectifs de l’audit en :
- identifiant et diminuant les menaces
- saisissant les opportunités
- le bon sens, c'est toujours le meilleur outil
- la curiosité, pour apprendre et réussir
- la bienveillance, pour aider l'audité à saisir des opportunités d'amélioration
- le langage abordable
- l'attitude positive, c'est valorisant pour l'audité
- l'indépendance (l'auditeur et l'activité auditée n'ont pas de conflits d'intérêt), pour garantir :
- l'objectivité des conclusions
- le fondement des constatations sur des preuves tangibles
- l'approche factuelle, pour assurer :
- que les preuves d'audit sont vérifiables
- des conclusions d'audit reproductibles
- rester disponible
- ne pas essayer de cacher la vérité
- ne pas avoir peur de ses réponses
- accepter objectivement les non-conformités trouvées
- être conscient de participer à l'amélioration du SMSI en étant :
- bienveillant et
- coopératif
Un auditeur ne peut auditer son département car :
Nul ne peut être à la fois juge et partie. Proverbe latin
Minute de détente. Cf. blague "l'ingénieur et le berger"
4.3 Performance du SMSI
Performance, efficacité, efficience
Pour un système de management de la sécurité de l'information ce qui nous intéresse est le degré d'atteinte des objectifs ou autrement dit la performance. La performance d'un SMSI est mesurée par son efficacité et surtout par son efficience (cf. figure 4-2).
Figure 4-2. Performance d'un SMSI
Efficacité : capacité de réalisation des activités planifiées avec le minimum d’efforts
Efficience : rapport financier entre le résultat obtenu et les ressources utilisées
|
N.B. On peut être efficace parce que l'on a atteint son objectif, mais non efficient – on a utilisé trop de ressources, on a toléré et réalisé trop de gaspillages ! |
Minute de détente. Jeu : Principe de l'audit
Le reste de la formation F 44v22 Audit interne ISO 27001 version 2022 est accessible sur cette page.
Voir aussi la formation F 24v22 Préparation à l'ISO 27001 version 2022 et le lot de formations ISO 27001 version 2022.