– Fondamental –

Copie de Atlantis taking off on STS 27. Formitys.

[Virtual Presenter] Gérer les processus à travers un partenariat implique que le fournisseur de services démontre sa responsabilité et sa prise de contrôle sur l'ensemble des processus opérés par des tiers. Pour cela, Formitys prescrit la mise en œuvre des quatre principes suivants : 1. Assurer que les engagements contractuels entre le fournisseur de services et le tiers traitent de la sécurité, des contrôles des processus et de leur performance 2. Définir clairement la responsabilité et l'autorité du fournisseur de services et du tiers impliqués dans l'exploitation du processus et des systèmes impliqués 3. Évaluer la conformité des processus par le biais d'audits, de tests et de contrôles de performance 4. Examiner le niveau de soutien et de responsabilité des processus et des systèmes opérés par des tiers pour le fournisseur de services et leurs clients finaux..

[Audio] L'infogérance de processus se définit comme la gestion d'un processus réalisé par un prestataire et s'assurer que le prestataire maintienne le contrôle de ce processus. Le prestataire doit alors démontrer qu'il est à même de mener à bien les processus couverts par le SMS. Il est important que les contrats de services avec les prestataires ne permettent pas de lui retirer ce contrôle. La déclaration des périmètres du prestataire ne doit comprendre que les processus sous le contrôle du prestataire. Les processus sous la responsabilité d'autres tiers ne doivent pas être inclus..

[Audio] Déclaration de périmètre est essentielle pour s'assurer que le SMS satisfasse à la norme ISO 20 000. Elle devrait être simple et aisément compréhensible, et fournir suffisamment d'informations permettant d'apprécier le degré de conformité. Elle devrait spécifier clairement les services portés à vérification, les limites géographiques ou de localisation, les limites organisationnelles ou techniques, et préciser que la certification ne peut être accordée qu'à une entité juridique distincte..

[Audio] Afin d'effectuer l'audit, il est primordial que le fournisseur et l'auditeur déterminent précisément les services et processus à auditer. Ce périmètre ne doit pas seulement être établi avant l'audit mais aussi être clairement mentionné dans le rapport d'audit et sur tout certificat ISO/IEC 20000 qui sera délivré. Il est important de ne pas créer de confusion : le périmètre ne doit pas donner l’impression qu'un service est inclus s'il est en fait exclu..

[Audio] L'audit de certification initiale, l'audit de surveillance, l'audit de recertification et l'audit externe ou interne sont des méthodes visant à vérifier la conformité d'un système ou d'un processus aux normes et standards. Il s'agit d'une procédure visant à examiner les documents, les dossiers et les activités liés à un système ou processus afin de s'assurer que les procédures politiques et opérationnelles sont bien appliquées et adéquates. L'évaluation est plus approfondie et engage une phase d'observation et d'analyse, suivie d'un jugement qualitatif ou quantitatif sous forme de notation chiffrée ou d'appréciation verbale ou non verbale..

[Audio] Les principes et exigences en matière de compétence, de cohérence et d'impartialité des audits et de la certification des systèmes de gestion font partie intégrante de l'accréditation. Les organismes de certification doivent mettre en place un comité d'impartialité et des procédures d'appel et de réclamation accessibles au public afin de contester une décision, une activité ou un périmètre client donné. Ces procédures sont menées par des personnes différentes de celles impliquées dans la décision, et elles requièrent une réponse obligatoire et éventuellement publique de l'organisme de certification..

[Audio] L'incapacité d'un système de gestion à remplir les exigences spécifiées définit la non-conformité. Les non-conformités majeures sont celles qui peuvent avoir un impact significatif sur la performance globale du système et doivent être corrigées immédiatement. Les non-conformités mineures, en revanche, sont des non-conformités qui ne sont pas considérées comme majeures et ne nécessitent pas une intervention immédiate. Dans le cadre de l'évaluation des systèmes de gestion et de conformité, il est important d'identifier les non-conformités existantes et d'évaluer leur impact sur le système. Par ailleurs, des mesures correctives doivent être mises en œuvre afin d'éliminer les causes et de réduire le risque de récidive..

[Audio] Module 10 aborde deux aspects importants de l'ISO 20000. Responsabilité et autorité du fournisseur de services sur les processus et l'établissement de sa politique de sécurité des informations, ainsi que le contrôle des processus et leur performance. Deuxièmement, il aborde l'infogérance des processus et comment le fournisseur de services peut démontrer le contrôle des processus liés au SMS et à la déclaration de périmètre. Observation est une étape importante dans le processus d'audit. La norme ISO 20000 comprend quatre types différents d'observation : conforme à la norme, susceptible d’amélioration, hors périmètre de l'audit et définitions. Si une activité est conforme à la norme, cela signifie qu'elle respecte tous les critères et les exigences applicables. Si une activité est susceptible d'amélioration, cela signifie que des progrès sont possibles pour l'amélioration de l'efficacité ou de la qualité des processus. Si une activité est hors périmètre de l'audit, elle est considérée comme un domaine en dehors du champ d'application de la norme et donc qui n'a pas besoin d'être vérifié. Si une activité est définie, cela signifie qu'elle est précisée dans la définition et les objectifs du processus. Merci de votre attention..