Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Executive summary and recommendations Introduction BSI s'est rendu sur place po

Executive summary and recommendations Introduction BSI s'est rendu sur place pour effectuer l'audit de recertification ISO27001. Il s'agissait d'un audit de 4 jours sur place, plus 1 ½ journée de préparation hors site et de rédaction du rapport. Kayleigh Birtwistle a remplacé Roy Dunn le premier jour de l'audit et a bien relevé le défi. L'audit a été retardé par BSI en raison d'un manque de ressources. L'audit a eu lieu au cours de la troisième semaine de la nouvelle structure de gestion du HCPC. • HCPC ont été recommandés pour la recertification. • Trois non-conformités ont été identifiées ; • a) certaines entrées du journal des améliorations ont été fermées mais les données étaient incomplètes (cause première), • b) la documentation ISMS a été mise à jour en tant que "projet" reflétant la nouvelle structure de gestion du HCPC, au lieu d'être incorrecte mais signée c) des sacs de courrier ont été laissés dans la zone de réception pour être collectés, et n'étaient pas sûrs. • Trois possibilités d'amélioration ont été mises en évidence ; • i) le code PIN du coffre-fort des RH n'avait pas été modifié depuis un an et pouvait être connu des employés ayant quitté l'entreprise. • ii) le plan de continuité des activités n'a pas été testé depuis un an, nous attendions de terminer la relocalisation de notre site principal de secours d'Uxbridge à Wapping, et le changement de la structure de gestion du HCPC, • iii) des clauses spécifiques sur la sécurité des informations devraient être ajoutées aux responsabilités du gestionnaire de la relation. Décision Le Comité d'audit est invité à prendre note du rapport. Implications en termes de ressources Aucun connu Annexes Comité d'audit 12 juin 2018 Audit BSI ISO27001 Abonnez-vous à DeepL Pro pour éditer ce document. Visitez www.DeepL.com/pro pour en savoir plus. Rapport d'audit BSI ISO27001:2013 - mai 2018 Date du document 4th Juin 2018 AUD 29/18 1 2018-06-04 Enc 15 - Rapport d'audit BSI ISO27001 Sans restriction Rapport d'évaluation Professions de la santé et des soins Conseil Dates d'évaluation Du 21/05/2018 au 25/05/2018 (veuillez vous reporter à l'annexe pour plus de détails). Lieu(x) d'évaluation Londres (000) Auteur du rapport Simon Evans Norme(s) d'évaluation ISO/IEC 27001:2013 AUD Page29/18 1 de 37 Rapport d'évaluation. 2 Table des matières Résumé exécutif .................................................................................................................................................... 4 Changements dans l'organisation depuis la dernière évaluation .................................................................................................... 4 Graphiques récapitulatifs du NCR ................................................................................................................................................. 5 Vos prochaines étapes .......................................................................................................................................................... 5 Processus de clôture de la RCN ........................................................................................................................................... 5 Objectif, portée et critères de l'évaluation .................................................................................................................. 6 Participants à l'évaluation ............................................................................................................................................ 7 Conclusion de l'évaluation .............................................................................................................................................. 8 Conclusions des évaluations précédentes .......................................................................................................................... 9 Les conclusions de cette évaluation ................................................................................................................................. 12 Réunion d'ouverture / Changements dans le système de gestion : ......................................................................................... 12 Direction générale : leadership et engagement, contexte de l'organisation, objectifs et cibles, et SMSI. l'amélioration des performances. 5, A.5 : ..................................................................................................................... 12 Examiner le rapport précédent, confirmer l'état du SMSI et son champ d'application : ................................................................................ 12 Contexte de l'organisation : questions internes/externes et parties intéressées. 4 : ................................................ 13 Législation et conformité. A.18 : ....................................................................................................................... 13 Gestion des risques, et déclaration d'applicabilité. 6, 8 : ..................................................................................... 14 Gestion des actifs. A.8 :...................................................................................................................................... 15 AUD Page29/18 2 de 37 Rapport d'évaluation. Politique et procédures ISMS, audits internes, actions correctives. 5, 7, 9,10 : ......................................................... 15 Examen de la gestion et suivi de l'efficacité du SMSI : ......................................................................... 16 Sécurité des ressources humaines / Planification des ressources. 7, A.7 : ....................................................................................... 17 Contrôle d'accès et cryptographie. A.9. A.10 : .......................................................................................................... 18 Sécurité des opérations. A.12 : ................................................................................................................................... 19 Sécurité des communications. A.13 : .......................................................................................................................... 20 Acquisition, développement et maintenance de systèmes. A.14 : ................................................................................. 21 Sensibilisation à la sécurité A.7.2.2 : ................................................................................................................................ 21 Sécurité physique et environnementale A.11 : ............................................................................................................. 24 Continuité des activités A.17 : .................................................................................................................................... 25 Gestion des incidents de sécurité A.16 : .................................................................................................................. 26 Relations avec les fournisseurs A.15 : ................................................................................................................................ 26 Mise à jour du plan triennal et accord sur les dates de la prochaine visite : .......................................................................................... 27 3 Non-conformités mineures (3) découlant de cette évaluation......................................................................................... 28 Objectifs, portée et critères de la prochaine visite ................................................................................................................... 30 Plan de la prochaine visite .......................................................................................................................................................... 31 AUD Page29/18 3 de 37 Rapport d'évaluation. Annexe : Votre structure de certification et votre programme d'évaluation continue ........................................................... 32 Portée de la certification ........................................................................................................................................... 32 Lieu(x) évalué(s) ............................................................................................................................................. 32 Programme d'évaluation de la certification .................................................................................................................. 33 Exigences obligatoires - recertification .......................................................................................................... 34 Définitions des résultats : ......................................................................................................................................... 35 Comment contacter BSI .............................................................................................................................................. 36 Notes ................................................................................................................................................................... 36 Conformité réglementaire ........................................................................................................................................ 37 AUD Page29/18 4 de 37 Rapport d'évaluation. 4 Résumé exécutif Conformément à la direction stratégique de l'organisation et aux résultats escomptés du système de gestion de la sécurité de l'information, en particulier en ce qui concerne les domaines évalués lors de cette visite de recertification, il a été identifié que le système de gestion a démontré qu'il est conçu pour soutenir la direction stratégique et qu'il fournit les résultats escomptés. Il a été constaté que l'organisation continuait à maintenir et à améliorer les processus de manière efficace, en particulier dans les domaines suivants : - Documentation signée par l'excellent débutant couvrant tous les aspects des politiques et des exigences en matière de SI avant la date de début. - Éducation et sensibilisation du personnel - Prise en compte des SI dans la gestion de projet Toutefois, il existe d'autres possibilités d'amélioration qui réduiront les risques et contribueront à l'obtention du résultat escompté : - clôture et évaluation des RNC. - Publication de projets de documents Tous les participants à l'audit sont remerciés pour l'aide qu'ils ont apportée au bon déroulement de l'audit et au respect du calendrier. Changements dans l'organisation depuis la dernière évaluation Les changements suivants concernant la structure de l'organisation et le personnel clé impliqué dans le système de gestion certifié ont été notés : L'équipe de gestion exécutive a été rationalisée de neuf à trois directeurs exécutifs ; prenant effet à partir du 07/05/2018. Cela a permis une consolidation des départements d'un point de vue managérial ; cependant, il n'y a pas eu de changement significatif dans l'effectif global. Aucun changement par rapport aux activités, produits ou services de l'organisme audité couverts par la portée de la certification n'a été identifié. Il n'y a pas eu de changement dans les documents de référence ou normatifs qui sont liés à la portée de la certification. AUD Page29/18 5 de 37 Rapport d'évaluation. 5 Graphiques récapitulatifs de la RCN Par rapport à quelle(s) norme(s) BSI a enregistré des résultats Vos prochaines étapes Processus de clôture de la NCR Les mesures correctives concernant les non-conformités soulevées lors de la dernière évaluation ont été examinées. Il a été constaté que les actions n'ont pas été efficacement mises en œuvre dans tous les domaines. Ces domaines, identifiés dans les sections suivantes du rapport, feront l'objet d'un examen plus approfondi en vue de leur clôture lors de la prochaine évaluation. 3 non-conformités mineures nécessitant une attention particulière ont été identifiées. Celles-ci, ainsi que d'autres conclusions, sont présentées dans les sections suivantes du rapport. Une non-conformité mineure concerne une seule défaillance identifiée, qui en soi n'indique pas une défaillance dans la capacité du système de management à maîtriser efficacement les processus pour lesquels il a été conçu. Il est nécessaire d'étudier la cause sous-jacente de tout problème pour déterminer l'action corrective. La mise en œuvre effective de l'action proposée sera examinée lors de la prochaine évaluation. AUD Page29/18 6 de 37 Rapport d'évaluation. Veuillez vous référer à la section Conclusion et recommandation de l'évaluation pour connaître la soumission requise et le calendrier défini. 6 Objectif, portée et critères de l'évaluation L'objectif de l'évaluation était de procéder à une réévaluation de la certification existante pour s'assurer que les éléments de la portée d'enregistrement proposée et les exigences de la norme de gestion sont effectivement pris en compte par le système de gestion de l'organisme. Si cette visite fait partie d'une évaluation sur plusieurs sites, la recommandation finale dépendra des résultats de toutes les évaluations. Le champ d'application de l'évaluation est le système de management documenté en relation avec les exigences de la norme ISO27001 et le plan d'évaluation défini fourni en termes de lieux et de zones du système et de l'organisation à évaluer. Les critères d'évaluation sont BS EN ISO27001:27001 en relation avec la documentation du système de gestion du Health and Care Professions Council. AUD Page29/18 7 de 37 Rapport d'évaluation. 7 Participants à l'évaluation Nom Position Réunion d'ouverture Réunion de clôture Interviewé (processus) Kayleigh Birtwistle Auditeur de conformité de la qualité X X X Marc Seale Directeur général et greffier X Jaqueline Ladds Directeur exécutif de la politique et Relations extérieures X Rick Welsby Responsable du support informatique X Elandre Potgieter Analyste principal du soutien aux services X Andy Sabapathee Ingénieur en infrastructure X Tim Kitchener Chef de projet senior X Roy Dunn Chef d'entreprise Processus Amélioration X X Jagana Abubacarr Responsable des finances X Zoe Yankson Agent du registre des achats X Sam Ha Conseiller RH X Layanta Palmer Conseiller uploads/Management/ audit-report-fr.pdf