Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing

This document provides guidance on managing an information security management system (ISMS) audit programme, on conducting audits, and on the competence of ISMS auditors, in addition to the guidance contained in ISO 19011. This document is applicable to those needing to understand or conduct internal or external audits of an ISMS or to manage an ISMS audit programme.

Sécurité de l'information, cybersécurité et protection des données privées — Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information

Le présent document fournit des recommandations sur le programme d'audit des systèmes de management de la sécurité de l'information (SMSI), sur la conduite d'audits, et sur la compétence des auditeurs de SMSI, en plus des recommandations de l'ISO 19011. Le présent document est conçu à l'intention de ceux qui ont besoin de comprendre ou de réaliser des audits internes ou externes d'un SMSI ou de gérer un programme d'audit de SMSI.

General Information

Status
Published
Publication Date
20-Jan-2020
Current Stage
6060 - International Standard published
Start Date
21-Jan-2020
Due Date
23-Jul-2020
Completion Date
21-Jan-2020
Ref Project

Relations

Buy Standard

Standard
ISO/IEC 27007:2020 - Information security, cybersecurity and privacy protection -- Guidelines for information security management systems auditing
English language
39 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 27007:2020 - Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing Released:2/23/2022
French language
42 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 27007
Third edition
2020-01
Information security, cybersecurity
and privacy protection — Guidelines
for information security management
systems auditing
Sécurité de l'information, cybersécurité et protection des données
privées — Lignes directrices pour l'audit des systèmes de
management de la sécurité de l'information
Reference number
ISO/IEC 27007:2020(E)
©
ISO/IEC 2020

---------------------- Page: 1 ----------------------
ISO/IEC 27007:2020(E)

COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2020 – All rights reserved

---------------------- Page: 2 ----------------------
ISO/IEC 27007:2020(E)

Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 1
5 Managing an audit programme . 1
5.1 General . 1
5.2 Establishing audit programme objectives . 1
5.3 Determining and evaluating audit programme risks and opportunities . 2
5.4 Establishing audit programme . 2
5.4.1 Roles and responsibilities of the individual(s) managing audit programme . 2
5.4.2 Competence of individual(s) managing audit programme . 2
5.4.3 Establishing extent of the audit programme . 2
5.4.4 Determining audit programme resources . 3
5.5 Implementing audit programme . 3
5.5.1 General. 3
5.5.2 Defining the objectives, scope and criteria for an individual audit . 3
5.5.3 Selecting and determining audit methods . 4
5.5.4 Selecting audit team members . 4
5.5.5 Assigning responsibility for an individual audit to the audit team leader. 4
5.5.6 Managing audit programme results . 4
5.5.7 Managing and maintaining audit programme records . 4
5.6 Monitoring audit programme . 5
5.7 Reviewing and improving audit programme . 5
6 Conducting an audit . 5
6.1 General . 5
6.2 Initiating audit . 5
6.2.1 General. 5
6.2.2 Establishing contact with auditee . 5
6.2.3 Determining feasibility of audit . 5
6.3 Preparing audit activities . 5
6.3.1 Performing review of documented information. 5
6.3.2 Audit planning . . . 5
6.3.3 Assigning work to audit team . 6
6.3.4 Preparing documented information for audit . 6
6.4 Conducting audit activities . 6
6.4.1 General. 6
6.4.2 Assigning roles and responsibilities of guides and observers . 6
6.4.3 Conducting opening meeting . 6
6.4.4 Communicating during audit . 6
6.4.5 Audit information availability and access . 6
6.4.6 Reviewing document information while conducting audit . 6
6.4.7 Collecting and verifying information . 7
6.4.8 Generating audit findings . 7
6.4.9 Determining audit conclusions . 7
6.4.10 Conducting closing meeting . 7
6.5 Preparing and distributing audit report . 7
6.5.1 Preparing audit report . 7
6.5.2 Distributing audit report . 7
6.6 Completing audit . 7
6.7 Conducting audit follow-up. 7
© ISO/IEC 2020 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO/IEC 27007:2020(E)

7 Competence and evaluation of auditors . 8
7.1 General . 8
7.2 Determining auditor competence . . 8
7.2.1 General. 8
7.2.2 Personal behaviour . 8
7.2.3 Knowledge and skills . 8
7.2.4 Achieving auditor competence . 9
7.2.5 Achieving audit team leader competence . 9
7.3 Establishing auditor evaluation criteria. 9
7.4 Selecting appropriate auditor evaluation method . 9
7.5 Conducting auditor evaluation . 9
7.6 Maintaining and improving auditor competence. 9
Annex A (informative) Guidance for ISMS auditing practice .10
Bibliography .39
iv © ISO/IEC 2020 – All rights reserved

---------------------- Page: 4 ----------------------
ISO/IEC 27007:2020(E)

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that
are members of ISO or IEC participate in the development of International Standards through
technical committees established by the respective organization to deal with particular fields of
technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other
international organizations, governmental and non-governmental, in liaison with ISO and IEC, also
take part in the work.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/ patents) or the IEC
list of patent declarations received (see http:// patents .iec .ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This third edition cancels and replaces the second edition (ISO/IEC 27007:2017), which has been
technically revised.
The main changes compared to the previous edition are as follows:
— the document has been aligned with ISO 19011:2018;
— the Introduction has been reworded and expanded;
— in 5.1, the entire text has been removed;
— in 5.2.2, the former item d) has been removed;
— in 5.3, the entire text has been removed;
— in 5.5.2.2, the former item b) and a paragraph below has been removed;
— in 6.5.2.2, the first paragraph has been removed and the NOTE reworded.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
© ISO/IEC 2020 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO/IEC 27007:2020(E)

Introduction
An information security management system (ISMS) audit can be conducted against a range of audit
criteria, separately or in combination, including but not limited to:
— requirements defined in ISO/IEC 27001:2013;
— policies and requirements specified by relevant interested parties;
— statutory and regulatory requirements;
— ISMS processes and controls defined by the organization or other parties;
— management system plan(s) relating to the provision of specific outputs of an ISMS (e.g. plans to
address risks and opportunities when establishing ISMS, plans to achieve information security
objectives, risk treatment plans, project plans).
This document provides guidance for all sizes and types of organizations and ISMS audits of varying
scopes and scales, including those conducted by large audit teams, typically of larger organizations, and
those by single auditors, whether in large or small organizations. This guidance should be adapted as
appropriate to the scope, complexity and scale of the ISMS audit programme.
This document concentrates on ISMS internal audits (first party) and ISMS audits conducted by
organizations on their external providers and other external interested parties (second party). This
document can also be useful for ISMS external audits conducted for purposes other than third party
management system certification. ISO/IEC 27006 provides requirements for auditing ISMS for third
party certification; this document can provide useful additional guidance.
This document is to be used in conjunction with the guidance contained in ISO 19011:2018.
This document follows the structure of ISO 19011:2018.
ISO 19011:2018 provides guidance on the management of audit programmes, the conduct of internal or
external audits of management systems, as well as on the competence and evaluation of management
system auditors.
Annex A provides guidance for ISMS auditing practices along with requirements of ISO/IEC 27001:2013,
Clauses 4 to 10.
vi © ISO/IEC 2020 – All rights reserved

---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO/IEC 27007:2020(E)
Information security, cybersecurity and privacy
protection — Guidelines for information security
management systems auditing
1 Scope
This document provides guidance on managing an information security management system (ISMS)
audit programme, on conducting audits, and on the competence of ISMS auditors, in addition to the
guidance contained in ISO 19011.
This document is applicable to those needing to understand or conduct internal or external audits of an
ISMS or to manage an ISMS audit programme.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 19011:2018, Guidelines for auditing management systems
ISO/IEC 27000:2018, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 19011 and ISO/IEC 27000 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
4 Principles of auditing
The principles of auditing of ISO 19011:2018, Clause 4, apply.
5 Managing an audit programme
5.1 General
The guidelines of ISO 19011:2018, 5.1, apply.
5.2 Establishing audit programme objectives
5.2.1 The guidelines of ISO 19011:2018, 5.2, apply. In addition, the guidance in 5.2.2 applies.
© ISO/IEC 2020 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO/IEC 27007:2020(E)

1)
5.2.2 ISMS-specific considerations for determining audit programme objectives can include:
a) identified information security requirements;
b) requirements of ISO/IEC 27001;
c) auditee’s level of performance, as reflected in the occurrence of information security events and
incidents and effectiveness of the ISMS;
NOTE Further information about performance monitoring, measurement, analysis and evaluation can
be found in ISO/IEC 27004.
d) information security risks to the relevant parties, i.e. the auditee and audit client.
Examples of ISMS-specific audit programme objectives include:
— demonstrate conformity with all relevant legal and contractual requirements and other requirements
and their security implications;
— obtain and maintain confidence in the risk management capability of the auditee;
— evaluate the effectiveness of the actions to address information security risks and opportunities.
5.3 Determining and evaluating audit programme risks and opportunities
5.3.1 The guidelines of ISO 19011:2018, 5.3, apply.
5.3.2 Measures to ensure information security and confidentiality should be determined considering
auditees and other relevant party requirements. Other party requirements can include relevant legal and
contractual requirements.
5.4 Establishing audit programme
5.4.1 Roles and responsibilities of the individual(s) managing audit programme
The guidelines of ISO 19011:2018, 5.4.1, apply. In addition, the guidance in 5.4.1.2 applies.
5.4.2 Competence of individual(s) managing audit programme
The guidelines of ISO 19011:2018, 5.4.2, apply.
5.4.3 Establishing extent of the audit programme
5.4.3.1 The guidelines of ISO 19011:2018, 5.4.3, apply. In addition, the guidance in 5.4.3.2 applies.
5.4.3.2 The extent of an audit programme can include the following:
a) the size of the ISMS, including:
1) the total number of persons doing work under the organization's control and relationships
with interested parties and contractors that are relevant to the ISMS;
2) the number of information systems;
1) For the purpose of this document, the term “audit“ refers to ISMS audits.
2 © ISO/IEC 2020 – All rights reserved

---------------------- Page: 8 ----------------------
ISO/IEC 27007:2020(E)

3) the number of sites covered by the ISMS;
b) the complexity of the ISMS (including the number and criticality of processes and activities) taking
into account differences between sites within the ISMS scope;
c) the significance of the information security risks identified for the ISMS in relation to the business;
d) the significance of the risks and opportunities determined when planning the ISMS;
e) the importance of preserving the confidentiality, integrity and availability of information within
the scope of the ISMS;
f) the complexity of the information systems to be audited, including complexity of information
technology deployed;
g) the number of similar sites.
Consideration should be given in the audit programme to setting priorities that warrant more detailed
examination based on the significance of information security risks and business requirements in
respect to the scope of the ISMS.
NOTE Further information about determining audit time can be found in ISO/IEC 27006. Further information
on multi-site sampling can be found in ISO/IEC 27006 and mandatory document 1 from the International
Accreditation Forum (IAF MD1, see Reference [11]). The information contained in ISO/IEC 27006 and IAF MD 1
only relates to certification audits.
5.4.4 Determining audit programme resources
5.4.4.1 The guidelines of ISO 19011:2018, 5.4.4, apply. In addition, the guidance in 5.4.4.2 applies.
5.4.4.2 In particular, for all significant risks applicable to the auditee and relevant to the audit
programme objectives, ISMS auditors should be allocated sufficient time to review the effectiveness of
the actions to address information security risks and ISMS related risks and opportunities.
5.5 Implementing audit programme
5.5.1 General
The guidelines of ISO 19011:2018, 5.5.1, apply.
5.5.2 Defining the objectives, scope and criteria for an individual audit
5.5.2.1 The guidelines of ISO 19011:2018, 5.5.2, apply. In addition, the guidance in 5.5.2.2 applies.
5.5.2.2 The audit objectives may include the following:
a) evaluation of whether the ISMS adequately identifies and addresses information security
requirements;
b) determination of the extent of conformity of information security controls with the requirements
and procedures of the ISMS.
The audit scope should take into account information security risks and relevant risks and opportunities
affecting the ISMS of relevant parties, i.e. the audit client and the auditee.
© ISO/IEC 2020 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO/IEC 27007:2020(E)

The following topics may be considered as audit criteria and used as a reference against which
conformity is determined:
a) the information security policy, information security objectives, policies and procedures adopted
by the auditee;
b) contractual requirements and other requirements relevant to the auditee;
c) the auditee's information security risk criteria, information security risk assessment process and
risk treatment process;
d) the Statement of Applicability, the identification of any sector-specific or other necessary controls,
justification for inclusions, whether they are implemented or not and the justification for exclusions
of controls of ISO/IEC 27001:2013, Annex A;
e) the definition of controls to treat risks appropriately;
f) the methods and criteria for monitoring, measurement, analysis and evaluation of the information
security performance and the effectiveness of the ISMS;
g) information security requirements provided by a customer;
h) information security requirements applied by a supplier or outsourcer.
5.5.3 Selecting and determining audit methods
5.5.3.1 The guidelines of ISO 19011:2018, 5.5.3, apply. In addition, the guidance in 5.5.3.2 applies.
5.5.3.2 If a joint audit is conducted, particular attention should be paid to the disclosure of information
between the relevant parties. Agreement on this should be reached with all interested parties before the
audit commences.
5.5.4 Selecting audit team members
5.5.4.1 The guidelines of ISO 19011:2018, 5.5.4, apply. In addition, the guidance in 5.5.4.2 applies.
5.5.4.2 The competence of the overall audit team should include adequate knowledge and
understanding of:
a) information security risk management sufficient to evaluate the methods used by the auditee;
b) information security and information security management sufficient to evaluate control
determination, planning, implementation, maintenance and effectiveness of the ISMS.
5.5.5 Assigning responsibility for an individual audit to the audit team leader
The guidelines of ISO 19011:2018, 5.5.5, apply.
5.5.6 Managing audit programme results
The guidelines of ISO 19011:2018, 5.5.6, apply.
5.5.7 Managing and maintaining audit programme records
The guidelines of ISO 19011:2018, 5.5.7, apply.
4 © ISO/IEC 2020 – All rights reserved

---------------------- Page: 10 ----------------------
ISO/IEC 27007:2020(E)

5.6 Monitoring audit programme
The guidelines of ISO 19011:2018, 5.6, apply.
5.7 Reviewing and improving audit programme
The guidelines of ISO 19011:2018, 5.7, apply.
6 Conducting an audit
6.1 General
The guidelines of ISO 19011:2018, 6.1, apply.
6.2 Initiating audit
6.2.1 General
The guidelines of ISO 19011:2018, 6.2.1, apply.
6.2.2 Establishing contact with auditee
6.2.2.1 The guidelines of ISO 19011:2018, 6.2.2, apply. In addition, the guidance in 6.2.2.2 applies.
6.2.2.2 Where necessary, care should be taken to ensure that the auditors have obtained the necessary
security clearance to access documented information or other information required for audit activities
(including but not limited to confidential or sensitive information).
6.2.3 Determining feasibility of audit
6.2.3.1 The guidelines of ISO 19011:2018, 6.2.3, apply. In addition, the guidance in 6.2.3.2 applies.
6.2.3.2 Before the audit commences, the auditee should be asked whether any ISMS audit evidence
is unavailable for review by the audit team, e.g. because the evidence contains personally identifiable
information or other confidential/sensitive information. The person responsible for managing the audit
programme should determine whether the ISMS can be adequately audited in the absence of audit
evidence. If the conclusion is that it is not possible to adequately audit the ISMS without reviewing the
identified audit evidence, the person responsible for managing the audit programme should advise the
auditee that the audit cannot take place until appropriate access arrangements are granted or alternative
means to achieve the audit have been proposed to or by the auditee. If the audit proceeds, the audit plan
should take into account any access limitations.
6.3 Preparing audit activities
6.3.1 Performing review of documented information
The guidelines of ISO 19011:2018, 6.3.1, apply.
6.3.2 Audit planning
6.3.2.1 The guidelines of ISO 19011:2018, 6.3.2, apply. In addition, the guidance in 6.3.2.2 applies.
6.3.2.2 The audit team leader should be aware that risks to the auditee can result from the presence
of the audit team members. The audit team’s presence can influence information security and present
© ISO/IEC 2020 – All rights reserved 5

---------------------- Page: 11 ----------------------
ISO/IEC 27007:2020(E)

a source of additional risk to the auditee’s information, e.g. confidential or sensitive records or system
infrastructure (e.g. accidental erasure, unauthorized disclosure of information, unintended alteration of
information).
6.3.3 Assigning work to audit team
The guidelines of ISO 19011:2018, 6.3.3, apply.
6.3.4 Preparing documented information for audit
6.3.4.1 The guidelines of ISO 19011:2018, 6.3.4, apply. In addition, the guidance in 6.3.4.2 applies.
6.3.4.2 The audit team leader should ensure all audit work docume
...

NORME ISO/IEC
INTERNATIONALE 27007
Troisième édition
2020-01
Sécurité de l'information,
cybersécurité et protection des
données privées — Lignes directrices
pour l'audit des systèmes de
management de la sécurité de
l'information
Information security, cybersecurity and privacy protection —
Guidelines for information security management systems auditing
Numéro de référence
ISO/IEC 27007:2020(F)
© ISO/IEC 2020

---------------------- Page: 1 ----------------------
ISO/IEC 27007:2020(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
  © ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO/IEC 27007:2020(F)
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Principes de l'audit . 1
5 Management d'un programme d'audit . 1
5.1 Généralités . 1
5.2 Détermination des objectifs du programme d'audit . 1
5.3 Détermination et évaluation des risques et des opportunités du programme d'audit . 2
5.4 Établissement d'un programme d'audit . 2
5.4.1 Rôles et responsabilités de la ou des personnes responsables du
management du programme d'audit . 2
5.4.2 Compétence de la ou des personnes responsables du management du
programme d'audit . 2
5.4.3 Détermination de l'étendue du programme d'audit . 2
5.4.4 Détermination des ressources du programme d'audit . 3
5.5 Mise en œuvre du programme d'audit . 3
5.5.1 Généralités . 3
5.5.2 Définition des objectifs, du domaine d'application et des critères pour
chaque audit individuel . 3
5.5.3 Choix et détermination des méthodes d'audit . 4
5.5.4 Choix des membres de l'équipe d'audit . 4
5.5.5 Attribution de la responsabilité d'un audit individuel au responsable de
l'équipe d'audit . 5
5.5.6 Management des résultats du programme d'audit . 5
5.5.7 Management et conservation des enregistrements du programme d'audit . 5
5.6 Surveillance du programme d'audit . 5
5.7 Revue et amélioration du programme d'audit . 5
6 Réalisation d'un audit . .5
6.1 Généralités . 5
6.2 Déclenchement de l'audit . 5
6.2.1 Généralités . 5
6.2.2 Prise de contact avec l'audité . 5
6.2.3 Détermination de la faisabilité de l'audit . . 5
6.3 Préparation des activités d'audit . 6
6.3.1 Réalisation d'une revue des informations documentées . 6
6.3.2 Planification de l'audit . 6
6.3.3 Répartition des tâches au sein de l'équipe d'audit . 6
6.3.4 Préparation des informations documentées en vue de l'audit . 6
6.4 Réalisation des activités d'audit . 6
6.4.1 Généralités . 6
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs . 6
6.4.3 Conduite de la réunion d'ouverture . . 6
6.4.4 Communication pendant l'audit . 6
6.4.5 Disponibilité et accès aux informations d'audit . . 6
6.4.6 Réalisation d'une revue des informations documentées au cours de l'audit. 7
6.4.7 Recueil et vérification des informations . 7
6.4.8 Production de constatations d'audit . 7
6.4.9 Détermination des conclusions d'audit . 7
6.4.10 Conduite de la réunion de clôture . 7
6.5 Préparation et diffusion du rapport d'audit . 8
iii
© ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 3 ----------------------
ISO/IEC 27007:2020(F)
6.5.1 Préparation du rapport d'audit . 8
6.5.2 Diffusion du rapport d'audit . 8
6.6 Clôture de l'audit . 8
6.7 Réalisation du suivi d'audit . 8
7 Compétence et évaluation des auditeurs . 8
7.1 Généralités . 8
7.2 Déterminer la compétence d'un auditeur . 8
7.2.1 Généralités . 8
7.2.2 Comportements personnels . 9
7.2.3 Connaissances et aptitudes . 9
7.2.4 Acquérir la compétence d'auditeur . 9
7.2.5 Acquérir la compétence de responsable d'équipe d'audit . 9
7.3 Déterminer les critères d'évaluation des auditeurs . 9
7.4 Choisir la méthode d'évaluation des auditeurs appropriée . 9
7.5 Réaliser l'évaluation d'un auditeur . 10
7.6 Maintenir et améliorer la compétence du ou des auditeurs . 10
Annexe A (informative) Recommandations pour la pratique d'audit de SMSI .11
Bibliographie .42
iv
  © ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO/IEC 27007:2020(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l'IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l'IEC participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour
sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des
différents critères d'approbation requis pour les différents types de document. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l'IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir http://patents.iec.ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/iso/avant-propos.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cette troisième édition annule et remplace la deuxième édition (ISO/IEC 27007:2017) qui a fait l'objet
d'une révision technique.
Les principales modifications par rapport à l'édition précédente sont les suivantes:
— le document a été aligné sur l'ISO/IEC 19011:2018;
— l'Introduction a été réécrite et développée;
— en 5.1, le texte a été supprimé dans son intégralité;
— en 5.2.2, le point d) a été supprimé;
— en 5.3, le texte a été supprimé dans son intégralité;
— en 5.5.2.2, le point b) et un alinéa suivant ont été supprimés;
— en 6.5.2.2, le premier alinéa a été supprimé et la NOTE a été reformulée.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
© ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 5 ----------------------
ISO/IEC 27007:2020(F)
Introduction
Un audit du management des systèmes de management de la sécurité de l'information (SMSI) peut être
réalisé par rapport à une série de critères d'audit, séparément ou en combinaison, comprenant, sans
toutefois s'y limiter:
— les exigences définies dans l'ISO/IEC 27001:2013;
— les politiques et les exigences spécifiées par les parties intéressées pertinentes;
— les exigences légales et réglementaires;
— les processus SMSI et les mesures définis par l'organisme ou par d'autres parties;
— le(s) plan(s) de système de management se rapportant à la fourniture d'éléments de sortie spécifiques
d'un SMSI (par exemple des plans visant à gérer les risques et les opportunités lors de l'établissement
d'un SMSI, des plans visant à atteindre les objectifs en matière de sécurité de l'information, des
plans de traitement des risques, et des plans de projet).
Le présent document fournit aux organismes de toutes tailles et de tous types des recommandations
pour les audits de SMSI de domaines d'application et d'échelles variables, y compris ceux réalisés par de
grandes équipes d'audit, généralement dans de grands organismes, et ceux réalisés par des auditeurs
uniques, dans de grands ou petits organismes. Il convient, selon le cas, d'adapter ces recommandations
au domaine d'application, à la complexité et à l'échelle du programme d'audit de SMSI.
Le présent document se concentre sur les audits internes de SMSI (de première partie) et les audits de
SMSI réalisés par des organismes auprès de leurs prestataires externes et d'autres parties intéressées
externes (de seconde partie). Le présent document peut également être utile pour des audits externes
de SMSI réalisés à d'autres fins que la certification par tierce partie d'un système de management.
L'ISO/IEC 27006 fournit des exigences relatives à l'audit des SMSI en vue d'une certification par tierce
partie; toutefois, le présent document peut fournir des recommandations supplémentaires utiles.
Le présent document doit être utilisé conjointement avec les recommandations de l'ISO 19011:2018.
Le présent document se conforme à la structure de l'ISO 19011:2018.
L'ISO 19011:2018 fournit des recommandations concernant la gestion des programmes d'audit, la
conduite d'audits internes ou externes des systèmes de management, ainsi que la compétence et
l'évaluation des auditeurs de systèmes de management.
L'Annexe A fournit des recommandations sur les pratiques d'audit des SMSI ainsi que les exigences de
l'ISO/IEC 27001:2013, Articles 4 à 10.
vi
  © ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO/IEC 27007:2020(F)
Sécurité de l'information, cybersécurité et protection des
données privées — Lignes directrices pour l'audit des
systèmes de management de la sécurité de l'information
1 Domaine d'application
Le présent document fournit des recommandations sur le programme d'audit des systèmes de
management de la sécurité de l'information (SMSI), sur la conduite d'audits, et sur la compétence des
auditeurs de SMSI, en plus des recommandations de l'ISO 19011.
Le présent document est conçu à l'intention de ceux qui ont besoin de comprendre ou de réaliser des
audits internes ou externes d'un SMSI ou de gérer un programme d'audit de SMSI.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 19011:2018, Lignes directrices pour l'audit des systèmes de management
ISO/IEC 27000:2018, Technologies de l'information — Techniques de sécurité — Systèmes de management
de la sécurité de l'information — Vue d'ensemble et vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO 19011 et de
l'ISO/IEC 27000 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse https:// www .electropedia .org/
4 Principes de l'audit
Les principes de l'audit spécifiés dans l'ISO 19011:2018, Article 4, s'appliquent.
5 Management d'un programme d'audit
5.1 Généralités
Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.1, s'appliquent.
5.2 Détermination des objectifs du programme d'audit
5.2.1 Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.2, s'appliquent. En outre, les
recommandations données en 5.2.2 s'appliquent.
1
© ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 7 ----------------------
ISO/IEC 27007:2020(F)
5.2.2 Les considérations spécifiques au SMSI pour la détermination des objectifs du programme
1)
d'audit peuvent comprendre:
a) les exigences identifiées liées à la sécurité de l'information;
b) les exigences de l'ISO/IEC 27001;
c) le niveau de performance de l'audité, tel qu'indiqué par la fréquence d'événements et d'incidents
liés à la sécurité de l'information, et par l'efficacité du SMSI;
NOTE Des informations complémentaires concernant le suivi des performances, les mesures, l'analyse
et l'évaluation se trouvent dans l'ISO/IEC 27004.
d) les risques de sécurité de l'information pour les parties intéressées, à savoir l'audité et le client de
l'audit.
Les exemples d'objectifs de programme d'audit spécifiques au SMSI comprennent:
— démontrer la conformité avec toutes les exigences juridiques et contractuelles et autres exigences
applicables, et leurs implications en termes de sécurité;
— obtenir et maintenir la confiance dans les capacités de management des risques de l'audité;
— évaluer l'efficacité des actions destinées à faire face aux risques et opportunités de sécurité de
l'information.
5.3 Détermination et évaluation des risques et des opportunités du programme d'audit
5.3.1 Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.3, s'appliquent.
5.3.2 Il convient que des mesures destinées à garantir la sécurité et la confidentialité des informations
soient déterminées en tenant compte des exigences des audités et des autres parties intéressées.
D'autres exigences concernant les parties peuvent inclure les exigences juridiques et contractuelles
applicables.
5.4 Établissement d'un programme d'audit
5.4.1 Rôles et responsabilités de la ou des personnes responsables du management du
programme d'audit
Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.4.1 s'appliquent. En outre, les recommandations
de 5.4.1.2 s'appliquent.
5.4.2 Compétence de la ou des personnes responsables du management du programme d'audit
Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.4.2 s'appliquent.
5.4.3 Détermination de l'étendue du programme d'audit
5.4.3.1 Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.4.3 s'appliquent. En outre, les
recommandations de 5.4.3.2 s'appliquent.
1) Pour les besoins du présent document, le terme « audit » fait référence aux audits de SMSI.
2
  © ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO/IEC 27007:2020(F)
5.4.3.2 L'étendue d'un programme d'audit peut englober:
a) la taille du SMSI, y compris:
1) Le nombre total de personnes effectuant un travail sous le contrôle de l'organisation et les
relations avec les parties intéressées et les prestataires pertinentes pour le SMSI;
2) le nombre de systèmes d'information;
3) le nombre de sites couverts par le SMSI;
b) la complexité du SMSI (y compris le nombre et la criticité des processus et des activités) en prenant
en compte les différences entre les sites dans le cadre du SMSI;
c) l'importance des risques de sécurité de l'information identifiés pour le SMSI par rapport à l'activité;
d) l'importance des risques et des opportunités déterminés lors de la planification du SMSI;
e) l'importance de la préservation de la confidentialité, de l'intégrité et de la disponibilité des
informations dans le cadre du SMSI;
f) la complexité des systèmes d'information à auditer, y compris la complexité de la technologie de
l'information mise en œuvre;
g) le nombre de sites similaires.
Il convient que le programme d'audit tienne compte de l'établissement de priorités qui nécessitent un
examen plus détaillé basé sur l'importance des risques de sécurité de l'information et des exigences
métier au vu du domaine d'application du SMSI.
NOTE Des informations complémentaires concernant la durée de l'audit se trouvent dans l'ISO/IEC 27006.
Des informations complémentaires relatives à l'échantillonnage multisite se trouvent dans l'ISO/IEC 27006
et le document obligatoire 1 du Forum international de l'accréditation (FIA MD1, voir la Référence [11]). Les
informations contenues dans l'ISO/IEC 27006 et le FIA MD 1 ne concernent que les audits de certification.
5.4.4 Détermination des ressources du programme d'audit
5.4.4.1 Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.4.4 s'appliquent. En outre, les
recommandations de 5.4.4.2 s'appliquent.
5.4.4.2 En particulier, pour tous les risques importants applicables à l'audité et relatifs aux objectifs
du programme d'audit, il convient que les auditeurs de SMSI disposent de suffisamment de temps pour
faire le point sur l'efficacité des actions destinées à faire face aux risques de sécurité de l'information et
aux risques et opportunités associés au SMSI.
5.5 Mise en œuvre du programme d'audit
5.5.1 Généralités
Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.5.1 s'appliquent.
5.5.2 Définition des objectifs, du domaine d'application et des critères pour chaque audit
individuel
5.5.2.1 Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.5.2 s'appliquent. En outre, les
recommandations de 5.5.2.2 s'appliquent.
3
© ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO/IEC 27007:2020(F)
5.5.2.2 Les objectifs de l'audit peuvent comprendre:
a) une évaluation pour déterminer si le SMSI identifie et traite correctement les exigences de sécurité
de l'information;
b) la détermination du degré de conformité des mesures de sécurité de l'information aux exigences et
procédures du SMSI.
Il convient que le domaine d'application de l'audit prenne en compte les risques de sécurité de
l'information et les risques et opportunités pertinents ayant une incidence sur le SMSI des parties
intéressées, à savoir le client de l'audit et l'audité.
Les thèmes suivants peuvent être considérés comme critères d'audit et utilisés comme référence vis-à-
vis de laquelle la conformité est déterminée:
a) la politique de sécurité de l'information, les objectifs de sécurité de l'information, les politiques et
procédures adoptées par l'audité;
b) les exigences contractuelles et autres exigences concernant l'audité;
c) les critères de risques de sécurité de l'information de l'audité, les processus d'évaluation des risques
de sécurité de l'information et le processus de traitement des risques;
d) la Déclaration d'applicabilité, l'identification de toute mesure spécifique au secteur ou autre mesure
nécessaire, la justification des inclusions, mises en œuvre ou non, et la justification des exclusions
des mesures de l'ISO/IEC 27001:2013, Annexe A;
e) la définition des mesures pour traiter les risques de manière appropriée;
f) les méthodes et les critères de suivi, de mesure, d'analyse et d'évaluation des performances de
sécurité de l'information et de l'efficacité du SMSI;
g) les exigences de sécurité de l'information spécifiées par un client;
h) les exigences de sécurité de l'information appliquées par un fournisseur ou un sous-traitant.
5.5.3 Choix et détermination des méthodes d'audit
5.5.3.1 Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.5.3 s'appliquent. En outre, les
recommandations de 5.5.3.2 s'appliquent.
5.5.3.2 Si un audit conjoint est réalisé, il convient de prêter une attention particulière à la divulgation
d'informations entre les parties intéressées. Il convient qu'un accord dans ce sens soit passé entre
toutes les parties intéressées avant le commencement de l'audit.
5.5.4 Choix des membres de l'équipe d'audit
5.5.4.1 Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.5.4 s'appliquent. En outre, les
recommandations de 5.5.4.2 s'appliquent.
5.5.4.2 Il convient que la compétence de l'équipe d'audit dans son ensemble comporte une
connaissance et une compréhension adéquate des points suivants:
a) un management des risques de sécurité de l'information suffisant pour évaluer les méthodes
utilisées par l'audité;
b) une sécurité de l'information et un management de la sécurité de l'information suffisants pour
évaluer la détermination des mesures, la planification, la mise en œuvre, la maintenance et
l'efficacité du SMSI.
4
  © ISO/IEC 2020 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO/IEC 27007:2020(F)
5.5.5 Attribution de la responsabilité d'un audit individuel au responsable de l'équipe d'audit
Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.5.5 s'appliquent.
5.5.6 Management des résultats du programme d'audit
Les lignes directrices spécifiées dans l'ISO 19011:2018, 5.5.6 s'appliquent.
5.5.7
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.