BG Beter Geregeld ICT
Compliance · 2 min leestijd · 19 octobre 2025

Check-list pré-audit ISO 27001 : 2 semaines avant le Stage 2

Le Stage 2 est dans deux semaines. Cette check-list en 22 points passe en revue tout ce que les auditeurs demandent systématiquement — si une case manque, corrigez-la maintenant.

Deux semaines avant le Stage 2. Il ne s'agit plus de construire des éléments essentiels — mais de vérifier que tout est en ordre. Passez ces 22 points en revue.

Documentation

  1. La politique de sécurité est à jour, un propriétaire est désigné, et la date de révision annuelle est planifiée.
  2. La déclaration d'applicabilité (Statement of Applicability) est à jour (tous les contrôles de l'Annexe A : implémenté / NA + justification).
  3. L'ensemble des 8 à 12 politiques sont au bon numéro de version, avec un journal des modifications visible.
  4. La date de révision du registre des risques se situe dans le dernier trimestre.
  5. L'inventaire des actifs est à jour (y compris l'inventaire SaaS).

Preuves opérationnelles

  1. La dernière revue des accès a été réalisée, avec un rapport PDF incluant les décisions et les signatures.
  2. L'inventaire des accès privilégiés est à jour, la dernière revue date de moins de 3 mois.
  3. Les 2 derniers départs sont entièrement documentés.
  4. Le processus d'intégration d'au moins un collaborateur récent est complet.
  5. Un test de sauvegarde a été effectué, avec preuve de restauration.
  6. Le registre des incidents du dernier trimestre est tenu à jour (y compris les périodes sans incident).

Gouvernance

  1. La dernière revue de direction a eu lieu dans les 12 derniers mois, procès-verbal disponible.
  2. L'audit interne est finalisé, le rapport est disponible, et les constats sont clôturés ou inclus dans un plan d'action.
  3. Journal de formation : tous les collaborateurs ont suivi la sensibilisation à la sécurité cette année.
  4. Document sur les rôles et responsabilités (rôle RSSI attribué, même si c'est le dirigeant lui-même).

Technique

  1. MFA imposé sur les systèmes critiques (administration M365, comptabilité, infrastructure cloud).
  2. Politique de mots de passe appliquée (longueur minimale + blocage des mots de passe courants).
  3. Correctifs : patches OS/navigateur du dernier trimestre appliqués sur > 95 % des appareils.
  4. Anti-malware installé sur tous les postes de travail.
  5. Chiffrement du disque activé sur tous les ordinateurs portables professionnels.

Contrats

  1. Accords de sous-traitance conclus avec les fournisseurs principaux (voir le registre des traitements).
  2. Clauses de confidentialité et de sécurité incluses dans les contrats de travail.

Tout est coché → vous êtes prêt pour le Stage 2.

Onderwerpen

#checklist #audit #iso-27001

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 pour les PME sans 50 000 € de consultants

ISO 27001 est tout à fait accessible quand on en comprend la structure. Voici le travail minimum qu'une PME de 30 personnes doit fournir pour réussir un audit Stage 2, ce que ça coûte, et les cas où un consultant apporte vraiment de la valeur.

2 min
Compliance

Coûts ISO 27001 : de la première analyse d'écart au certificat

Budget réaliste pour une PME de 30 personnes. Heures internes, audit externe, consultance (au strict minimum), maintenance annuelle. Sans langue de bois.

2 min
Compliance

ISO 27001 ou SOC 2 ? Lequel convient à votre PME néerlandaise ?

ISO 27001 est orienté Europe, SOC 2 est américain. Lequel vos clients exigent-ils ? Peut-on les combiner ? Voici les différences concrètes pour une PME.

2 min
Compliance

NEN 7510 pour les entrepreneurs du secteur de la santé : un niveau au-dessus d'ISO 27001

Vous travaillez dans ou avec le secteur de la santé ? Alors NEN 7510, en complément (ou à la place) d'ISO 27001, est une réalité. Le chevauchement est important ; les différences portent sur les données patients et des contrôles d'annexe spécifiques.

2 min
Compliance

La revue de direction : que doit-elle contenir et qui y participe ?

L'une des exigences de la section 9 de l'ISO 27001. Une fois par an, avec la direction, 2 heures. Voici l'ordre du jour qu'un auditeur accepte et qui vous sera utile comme guide pratique.

2 min
Compliance

Le cycle PDCA expliqué pour les dirigeants

Plan-Do-Check-Act semble bureaucratique. En pratique, c'est simple : notez ce que vous faites, faites-le, vérifiez si ça fonctionne, ajustez. Voici l'explication la plus courte qui soit vraiment utile.

2 min
← Alle artikelen in "Compliance"