iso/iec 27001:2022 .pdf download
L’ISO 27001 2022 est un standard international qui dĂ©finit les exigences pour la mise en place, l’implĂ©mentation, l’opĂ©ration, le suivi, l’examen, l’entretien et l’amĂ©lioration continue d’un système de gestion de la sĂ©curitĂ© des informations (SGSI).
Le standard vise à aider les organisations à mettre en place des procédures et des processus pour gérer un système de gestion de la sécurité des informations efficace et à protéger les données sensibles.
La nouvelle version de la norme ISO 27001 2022 qui a été mise en ligne en octobre, ouvrant un cycle de ré-certification pour de nombreuses entreprises dans le monde, globalement, cette nouvelle version allège les exigences normatives mais resserre les exigences de performance.
Quels sont les 4 critères de sécurité selon la norme iso iec 27001 ?
La norme ISO 27001 2022 Ă©tablit 4 critères de sĂ©curitĂ©: ConfidentialitĂ©, IntĂ©gritĂ© des donnĂ©es, DisponibilitĂ© et RĂ©sistance en appliquant un processus de gestion des risques et donne aux parties intĂ©ressĂ©es l’assurance que les risques sont gĂ©rĂ©s de manière adĂ©quate.
Ces critères garantissent la protection des informations Ă travers des moyens techniques, administratifs et humains qui s’appuient sur le risque managĂ©.
La norme ISO 27001 2022 assure une protection complète et systématique des données personnelles, ce qui contribue à la protection de la vie privée et de la sécurité des individus.
Il est important que le système de management de la sĂ©curitĂ© de l’information fasse partie intĂ©grante des processus et de la structure de management d’ensemble de l’organisation et que la sĂ©curitĂ© de l’information soit prise en compte dans la conception des processus, des systèmes d’information et des mesures de sĂ©curitĂ©. Il est prĂ©vu qu’un système de management de la sĂ©curitĂ© de l’information Ă©volue conformĂ©ment aux besoins de l’organisation.
Quelle est la dernière version de la norme iso 27001 ?
Combien de versions de la norme ISO 27001 existe-t-il ?
PubliĂ©e pour la première fois en octobre 2005, elle a Ă©tĂ© rĂ©visĂ©e en octobre 2013 pour mieux s’adapter Ă l’Ă©volution des dĂ©fis en matière de sĂ©curitĂ© de l’information, puis Ă nouveau en 2022. La version actuelle s’appelle ISO 27001 2022.
Ce qu’il faut savoir sur la dernière version de l’ISO 27001
ISO 27001 2022 spĂ©cifie les exigences relatives Ă l’Ă©tablissement, Ă la mise en Ĺ“uvre, Ă la maintenance et Ă l’amĂ©lioration continue d’un système de management de la sĂ©curitĂ© des informations dans le contexte de l’organisation.
Les meilleures pratiques de l’ISO 27001 2022 sont basĂ©es sur une mĂ©thodologie de gestion des risques et offrent une approche systĂ©matique et documentĂ©e pour assurer la sĂ©curitĂ© des informations.
Elle comprend Ă©galement des exigences pour l’Ă©valuation et le traitement des risques de sĂ©curitĂ© de l’information adaptĂ©s aux besoins de l’organisation.
Les exigences énoncées dans ce document sont génériques et sont destinées à être applicables à toutes les organisations, quels que soient leur type, leur taille ou leur nature.
L’exclusion de l’une quelconque des exigences spĂ©cifiĂ©es dans les clauses 4 Ă 10 n’est pas acceptable lorsqu’une organisation revendique la conformitĂ© au ce document. [Nouveau 2022]
Nombre de pages :
ISO/IEC 27001:2013 19 pages et ISO/IEC 27001:2022 23 pages
La norme iso 27001 2022 applique la structure de haut niveau, les titres de sous-clause identiques, le texte identique, les termes communs et les dĂ©finitions de base dĂ©finis dans l’Annexe SL des Directives ISO/CEI, Partie 1, SupplĂ©ment ISO consolidĂ©, et maintient donc la compatibilitĂ© avec les autres normes de systèmes de management qui ont adoptĂ© l’Annexe SL.
Quelle sont les nouveautĂ©s sur la version de la norme sĂ©curitĂ© de l’information iso 27001 vesriosn 2022 ?
Bases de données terminologiques nouvelles
ISO/IEC 27001:2013 : 3 Termes et définitions :
Aux fins de la norme iso 27001 2022, les documents, les termes et dĂ©finitions donnĂ©s dans l’ISO/CEI 27000 s’appliquent.
ISO/IEC 27001:2022 Termes et définitions
Aux fins du prĂ©sent document, les termes et dĂ©finitions donnĂ©s dans l’ISO/CEI 27000 s’appliquent.
L’ISO et la CEI tiennent Ă jour des bases de donnĂ©es terminologiques destinĂ©es Ă ĂŞtre utilisĂ©es en normalisation aux adresses suivantes :
– ISO Plate-forme de navigation en ligne : disponible Ă ttps://www.iso.org/obp
– CEI Electropedia : disponible Ă l’adresse https://www.electropedia.org
Nouvelles exigences pertinentes, 4.2
4.2 Comprendre les besoins et les attentes des parties intĂ©ressĂ©es L’organisme doit dĂ©terminer :
a) les parties intéressées qui sont pertinentes pour le système de management de la sécurité des informations ;
b) les exigences pertinentes de ces parties intéressées ;
c) quelles sont les exigences auxquelles le système de management de la sĂ©curitĂ© des système de management de la sĂ©curitĂ© de l’information.
Plus de focus sur les processus, 4.4 SMSI
4.4 Système de management de la sĂ©curitĂ© de l’information
L’organisme doit Ă©tablir, mettre en Ĺ“uvre, maintenir et amĂ©liorer en permanence un système de management de la sĂ©curitĂ© des informations, y compris les processus nĂ©cessaires et leurs interactions, conformĂ©ment aux exigences du prĂ©sent document.
Nouvelles exigences pour les objectifs du SI 6.2
6.2 Objectifs de sĂ©curitĂ© de l’information et planification pour les atteindre
L’organisme doit Ă©tablir des objectifs de sĂ©curitĂ© de l’information aux fonctions et niveaux pertinents.
Les objectifs de sécurité des informations doivent :
- a) ĂŞtre cohĂ©rents avec la politique de sĂ©curitĂ© de l’information ;
- b) ĂŞtre mesurables (si possible) ;
- c) tenir compte des exigences applicables en matière de sĂ©curitĂ© de l’information, ainsi que des rĂ©sultats de l’Ă©valuation et du traitement des risques ; d) ĂŞtre mesurables (si possible) l’Ă©valuation et du traitement des risques ;
- d) être surveillée ;
- e) être communiquées ;
- f) être mis à jour, le cas échéant ;
- g) ĂŞtre disponibles sous forme d’informations documentĂ©es.
Planification des changements (NOUVEAU)
Désormais, la clause 6.3 exigera que les changements apportés au SGSI soient mis en œuvre de manière planifiée.
6.3 Planification des changements
Lorsque l’organisme dĂ©termine qu’il est nĂ©cessaire de modifier le système de management de la sĂ©curitĂ© de l’information, les modifications doivent ĂŞtre effectuĂ©es de manière planifiĂ©e.
Nouvelles exigences pour la communication 7.4
7.4. Communication
L’organisme doit dĂ©terminer le besoin de communications internes et externes relatives au système de management de la sĂ©curitĂ© de l’information, y compris :
a) sur quoi communiquer
b) quand communiquer
c) avec qui communiquer ;
d) comment communiquer.
Nouvelles exigences pour la planification 8.1
8.1 Planification et contrôle opérationnels
L’organisme doit planifier, mettre en Ĺ“uvre et maĂ®triser les processus nĂ©cessaires pour rĂ©pondre aux exigences, et pour mettre en Ĺ“uvre les actions dĂ©terminĂ©es dans la clause 6, en :
– Ă©tablissant des critères pour les processus ;
– mettant en Ĺ“uvre la maĂ®trise des processus conformĂ©ment aux critères.
Des informations documentées doivent être disponibles dans la mesure nécessaire pour avoir la certitude que les processus ont été exécutés comme prévu.
L’organisme doit maĂ®triser les changements planifiĂ©s et examiner les consĂ©quences des changements non intentionnels, en prenant des mesures pour attĂ©nuer tout effet nĂ©gatif, le cas Ă©chĂ©ant.
L’organisme doit s’assurer que les processus, produits ou services fournis par des tiers qui sont pertinents pour le système de management de la sĂ©curitĂ© des informations sont maĂ®trisĂ©s.
Nouvelles exigences pour la surveillance 9.1
9.1 Surveillance, mesure, analyse et évaluation
…
Des informations documentées doivent être disponibles comme preuve des résultats.
L’organisme doit Ă©valuer les performances en matière de sĂ©curitĂ© de l’information et l’efficacitĂ© du système de management de la sĂ©curitĂ© de l’information.
Nouvelle structure de 9.2 et 9.3
La clause 9.2 est divisée en 9.2.1 et 9.2.2, et la clause 9.3 est divisée en trois subdivisions : 9.3.1, 9.3.2 et 9.3.3.
9.2 Audit interne
9.2.1 Généralités
9.2.2 Programme d’audit interne
9.3 Revue de direction
9.3.1 Généralités
9.3.2 Apports de la revue de direction
9.3.3 Résultats de la revue de direction
Plus de nouvelle contribution Ă la revue de direction :
c) les changements dans les besoins et les attentes des parties intéressées qui sont pertinents pour le système de management de la sécurité des informations.
Nouvelle structure de 10 Amélioration
10.1 Amélioration continue
10.2 Non-conformité et action corrective
La création de nouvelles catégories pour les contrôles : NOUVEAU Annexe A. Contrôles du SI
ISO 27001 2022 est la dernière version de la norme ISO pour la sĂ©curitĂ© de l’information, la cybersĂ©curitĂ© et la protection de la vie privĂ©e. Cette nouvelle version a consolidĂ© et rĂ©duit le nombre de contrĂ´les dĂ©finis, passant de 14 sujets dans la version prĂ©cĂ©dente Ă 4 catĂ©gories principales.
Ces catégories sont les mesures organisationnelles, les mesures sur les personnes, les mesures physiques et les mesures techniques ou technologiques, avec un total de 37, 8, 14 et 34 contrôles respectivement.
RĂ©fĂ©rence des contrĂ´les de sĂ©curitĂ© de l’information (Annexe A) :
Nombre total de contrĂ´les – 93, 11 nouveaux
Les contrôles sont classés par catégorie :
a) les mesures sur les personnes – humains, s’ils concernent des personnes individuelles
b) les mesures physiques, s’ils concernent des objets physiques
c) Les mesures techniques ou technologiques, s’ils concernent la technologie
d) autrement, ils sont classés dans la catégorie « organisationnel ».
Cinq attributs seulement dans la norme ISO 27002 2022, ces cinq attributs sont :
1. Type de contrôle (Préventif, Détective, Correctif)
2. PropriĂ©tĂ©s de sĂ©curitĂ© de l’information (CIA)
3. Concepts de cybersécurité (Identifier, Protéger, Détecter, Répondre et Récupérer)
4. Les capacités opérationnelles
5. Domaines de sécurité
Autres nouveautés de la version 2022 Annex A
RĂ©fĂ©rence des contrĂ´les de sĂ©curitĂ© de l’information : annexe A
A.5.7 Renseignements sur les menaces
A.5.23 SĂ©curitĂ© de l’information pour l’utilisation des services en nuage (cloud)
A.5.30 Préparation des TIC pour la continuité des activités
A.7.4 Surveillance de la sécurité physique
A.8.9 Gestion de la configuration
A.8.10 Suppression d’informations
A.8.11 Masquage des données
A.8.12 Prévention des fuites de données
A.8.16 Activités de surveillance
A.8.23 Filtrage Web
A.8.28 Codage sécurisé
Télécharger ISO 27002:2022 et 27001:2022 PDF Gratuit
ISO 27002:2022 Exemple d’attributs
Clause 5.1 Politiques de sĂ©curitĂ© de l’information :
ContrĂ´le :
La politique de sĂ©curitĂ© de l’information et les politiques spĂ©cifiques Ă un sujet doivent ĂŞtre dĂ©finies, approuvĂ©es par la direction, publiĂ©es, communiquĂ©es au personnel concernĂ© et aux parties intĂ©ressĂ©es et reconnues par eux, et revues Ă intervalles planifiĂ©s et en cas de changements importants.
Objectif :
Assurer en permanence la pertinence, l’adĂ©quation et l’efficacitĂ© de l’orientation et du soutien de la direction en matière de sĂ©curitĂ© des informations, conformĂ©ment aux exigences commerciales, juridiques, lĂ©gales, rĂ©glementaires et contractuelles.
C’est quoi la certification iso 27001 ?
L’obtention de la certification est un point important pour assurer la sĂ©curitĂ© des systèmes d’information et des donnĂ©es des entreprises, elle signifie que vous avez :
- RĂ©aliser la mise en Ĺ“uvre un système de management de la sĂ©curitĂ© de l’information conforme Ă la norme ISO 27001
- Le faire certifier par un organisme certificateur accrédité
- ĂŠtre prĂŞt Ă le maintenir et Ă l’amĂ©liorer en permanence
Comment obtenir la certification iso 27001 ?
Pour ĂŞtre certifiĂ©es conformes Ă la norme ISO 27001, les organisations doivent dĂ©montrer qu’elles satisfont aux exigences de la norme. Comme il peut ĂŞtre difficile de le faire soi-mĂŞme, il est judicieux d’engager un consultant expert pour vous guider tout au long du processus.
Passer ISO 27001 Certification – Un pas vers la sĂ©curitĂ© informatique
Iso 27001 revision 2022 : Si vous avez le SGSI, vous devrez faire
- 1. RĂ©viser le plan de traitement des risques (RTP), l’aligner avec la nouvelle structure et la numĂ©rotation des contrĂ´les.
- 2. Revoir et mettre Ă jour la dĂ©claration d’applicabilitĂ© (SoA). Je recommande d’utiliser 2 feuilles de calcul (2013 et 2022) dans les 1-2 prochaines annĂ©es.
- 3. Revoir et mettre à jour la procédure de révision de la gestion du SGSI (entrées).
- 4. Revoir et mettre à jour les objectifs du SI et la procédure de surveillance, mesure, analyse et évaluation.
- 5. Revoir et mettre Ă jour le plan de communication du SGSI.
- 6. Revoir et mettre à jour les autres politiques, normes et procédures (si nécessaire).
- 7. Revoir et mettre à jour les listes de contrôle et les questionnaires utilisés pour les audits (internes et externes).
- 8. Évaluer et Ă©ventuellement adapter les outils de sĂ©curitĂ© tiers (par exemple, GRC, SIEM, VM) pour s’assurer que les enregistrements que vous utilisez pour dĂ©montrer la conformitĂ© supportent les nouvelles exigences.
Uune période de transition de deux ans pour réviser votre système de gestion afin de se conformer à la nouvelle version de la norme.