Preuves pour les access reviews : que conserver et où ?

Une review sans preuve est, aux yeux de l'auditeur, une review qui n'a pas eu lieu. Voici ce que vous conservez, sous quel format et pendant combien de temps.

Lors d'un audit ISO, les auditeurs demandent des preuves. « Nous faisons des reviews » ne suffit pas — ils veulent voir ce qui s'est passé, par qui et quand.

Ce qu'il faut conserver par review

\n
• Export instantané : qui avait accès à quoi au moment de la review.
\n
• Décisions ligne par ligne : keep/revoke/change + justification éventuelle.
\n
• Parties prenantes : qui a pris quelles décisions.
\n
• Chronologie : démarrage, clôture, exécution des actions.
\n
• Exécution : confirmation que les actions de révocation ont bien été appliquées.
\n
• Rapport final : PDF de 2 pages avec résumé, noms et signature.
\n

Format

Le PDF est idéal pour la transmission aux auditeurs. De nombreux outils le génèrent automatiquement — consultez la démo AccessGuard pour un exemple de rapport.

Durée de conservation

Minimum 3 ans à des fins ISO. En pratique : conservez aussi longtemps que vous êtes certifié ISO + 1 an.

Emplacement de stockage

Un emplacement central unique dans votre wiki ou système documentaire, avec une ACL réservée à « l'équipe conformité + direction uniquement ». Pas dispersé dans des boîtes mail.

Ce que les auditeurs rejettent

\n
• Captures d'écran isolées sans contexte.
\n
• Rapport sans date ni noms.
\n
• Aucun lien entre la décision et son exécution.
\n
• Date de review dans le futur (« prévu pour la semaine prochaine »).
\n

Voir aussi : checklist pré-audit, pilier review.