SMSI Gouvernance Audit interne Preuves

SMSI & ISO 27001 : mode d’emploi

Une ressource prête à appliquer pour structurer, documenter et piloter votre SMSI : périmètre, risques, contrôles, SoA, plan de traitement et preuves — avec une logique audit-ready.

Parlons de votre projet Voir nos expertises

Livrables typiques : politique SMSI • registre des risques • SoA • plan de traitement • procédures • pack de preuves.

Objectif

Mettre en place un SMSI pragmatique, documenté et pilotable, qui s’intègre au “run” et facilite les audits (preuves, traçabilité, cohérence des pratiques).

Ce que couvre l’expertise

Un périmètre clair, adapté à un cadre documenté et auditable.

Cadrage & gouvernance

Périmètre, rôles, responsabilités, politiques, instances et indicateurs.

Risques & contrôles

Analyse de risques, plan de traitement, SoA, mise en œuvre des mesures.

Audit-ready

Preuves, traçabilité, revues, audit interne, préparation certification.

Livrables typiques

Documentation SMSI

  • Politique SSI + règles associées
  • Périmètre SMSI & gouvernance
  • Procédures & runbook (auditables)

Pilotage & preuves

  • Registre de risques + plan de traitement
  • SoA (déclaration d’applicabilité)
  • Tableau de bord + revues + actions

Méthode

Un déroulé simple, orienté efficacité et conformité.

PLAN

Périmètre, objectifs, gouvernance, planning, livrables.

DO

Risques, SoA, politiques, procédures, preuves.

CHECK

Intégration au run, ITSM, exploitation et gouvernance.

ACT

Audit interne, écarts, plan d’actions, préparation audit.

Exemples de situations

SMSI “audit-ready”

  • Mise en place d’un SMSI “audit-ready” avec gouvernance et preuves.
  • Définition des rôles, rituels, comités, périmètre et responsabilités (RACI).
  • Production des livrables et des éléments de preuve (politiques, procédures, enregistrements).

Registre de risques + SoA + traitement

  • Structuration du registre de risques (méthode, scoring, critères, revue).
  • Construction de la SoA (ISO 27001) et traçabilité des décisions (in/out).
  • Plan de traitement : mesures, priorisation, responsables, jalons, preuves.

Processus ITIL au service du SMSI

  • Industrialisation incidents / demandes / changements en support du SMSI.
  • Workflow, priorisation, SLA, communication, escalade et traçabilité.
  • Runbook + base de connaissance + reporting “audit-friendly”.

Audits internes & plan d’actions

  • Préparation audits internes : checklists, entretiens, échantillonnage.
  • Constats, actions correctives, suivi, preuves et amélioration continue (PDCA).
  • Mise en place d’indicateurs et revue de direction.

Structurer votre SMSI et réussir votre certification ISO 27001 ?

Audit interne, analyse de risques, SoA, gouvernance et préparation à la certification : construisons un dispositif robuste, opérationnel et audit-ready.

Discuter de votre projet Voir nos expertises