Recherche
Ă—

Chercher avec Google

Recherche
Ă—

Rechercher sur QualitExpert

Ă—

-------------------------

Recherche

Chercher sur QualitExpert.

Ă— iso 9001 2015

ISO 27001 2022 pdf download, Qu’est-ce qui a changĂ© ?

Laisser un commentaire / ISO/CEI 27001 / Par /
3.7/5 - (12 votes)

iso/iec 27001:2022 .pdf download

L’ISO 27001 2022 est un standard international qui dĂ©finit les exigences pour la mise en place, l’implĂ©mentation, l’opĂ©ration, le suivi, l’examen, l’entretien et l’amĂ©lioration continue d’un système de gestion de la sĂ©curitĂ© des informations (SGSI).

Le standard vise à aider les organisations à mettre en place des procédures et des processus pour gérer un système de gestion de la sécurité des informations efficace et à protéger les données sensibles.

La nouvelle version de la norme ISO 27001 2022 qui a été mise en ligne en octobre, ouvrant un cycle de ré-certification pour de nombreuses entreprises dans le monde, globalement, cette nouvelle version allège les exigences normatives mais resserre les exigences de performance.

Iso/Iec 27001:2022 .Pdf Download
ISO 27001 2022 PDF Gratuit

Quels sont les 4 critères de sécurité selon la norme iso iec 27001 ?

La norme ISO 27001 2022 Ă©tablit 4 critères de sĂ©curitĂ©: ConfidentialitĂ©, IntĂ©gritĂ© des donnĂ©es, DisponibilitĂ© et RĂ©sistance en appliquant un processus de gestion des risques et donne aux parties intĂ©ressĂ©es l’assurance que les risques sont gĂ©rĂ©s de manière adĂ©quate.

Ces critères garantissent la protection des informations Ă  travers des moyens techniques, administratifs et humains qui s’appuient sur le risque managĂ©.

La norme ISO 27001 2022 assure une protection complète et systématique des données personnelles, ce qui contribue à la protection de la vie privée et de la sécurité des individus.

Il est important que le système de management de la sĂ©curitĂ© de l’information fasse partie intĂ©grante des processus et de la structure de management d’ensemble de l’organisation et que la sĂ©curitĂ© de l’information soit prise en compte dans la conception des processus, des systèmes d’information et des mesures de sĂ©curitĂ©. Il est prĂ©vu qu’un système de management de la sĂ©curitĂ© de l’information Ă©volue conformĂ©ment aux besoins de l’organisation.

Quelle est la dernière version de la norme iso 27001 ?

Combien de versions de la norme ISO 27001 existe-t-il ?
PubliĂ©e pour la première fois en octobre 2005, elle a Ă©tĂ© rĂ©visĂ©e en octobre 2013 pour mieux s’adapter Ă  l’Ă©volution des dĂ©fis en matière de sĂ©curitĂ© de l’information, puis Ă  nouveau en 2022. La version actuelle s’appelle ISO 27001 2022.

Ce qu’il faut savoir sur la dernière version de l’ISO 27001

ISO 27001 2022 spĂ©cifie les exigences relatives Ă  l’Ă©tablissement, Ă  la mise en Ĺ“uvre, Ă  la maintenance et Ă  l’amĂ©lioration continue d’un système de management de la sĂ©curitĂ© des informations dans le contexte de l’organisation.

Les meilleures pratiques de l’ISO 27001 2022 sont basĂ©es sur une mĂ©thodologie de gestion des risques et offrent une approche systĂ©matique et documentĂ©e pour assurer la sĂ©curitĂ© des informations.

Elle comprend Ă©galement des exigences pour l’Ă©valuation et le traitement des risques de sĂ©curitĂ© de l’information adaptĂ©s aux besoins de l’organisation.

Les exigences énoncées dans ce document sont génériques et sont destinées à être applicables à toutes les organisations, quels que soient leur type, leur taille ou leur nature.

L’exclusion de l’une quelconque des exigences spĂ©cifiĂ©es dans les clauses 4 Ă  10 n’est pas acceptable lorsqu’une organisation revendique la conformitĂ© au ce document. [Nouveau 2022]

Nombre de pages : 

ISO/IEC 27001:2013 19 pages et ISO/IEC 27001:2022 23 pages

La norme iso 27001 2022 applique la structure de haut niveau, les titres de sous-clause identiques, le texte identique, les termes communs et les dĂ©finitions de base dĂ©finis dans l’Annexe SL des Directives ISO/CEI, Partie 1, SupplĂ©ment ISO consolidĂ©, et maintient donc la compatibilitĂ© avec les autres normes de systèmes de management qui ont adoptĂ© l’Annexe SL.

Quelle sont les nouveautĂ©s sur la version de la norme sĂ©curitĂ© de l’information iso 27001 vesriosn 2022 ?

Bases de données terminologiques nouvelles

ISO/IEC 27001:2013  : 3 Termes et dĂ©finitions :

Aux fins de la norme iso 27001 2022, les documents, les termes et dĂ©finitions donnĂ©s dans l’ISO/CEI 27000 s’appliquent.

ISO/IEC 27001:2022 Termes et définitions

Aux fins du prĂ©sent document, les termes et dĂ©finitions donnĂ©s dans l’ISO/CEI 27000 s’appliquent.
L’ISO et la CEI tiennent Ă  jour des bases de donnĂ©es terminologiques destinĂ©es Ă  ĂŞtre utilisĂ©es en normalisation aux adresses suivantes :

– ISO Plate-forme de navigation en ligne : disponible Ă  ttps://www.iso.org/obp
– CEI Electropedia : disponible Ă  l’adresse https://www.electropedia.org

Nouvelles exigences pertinentes, 4.2

4.2 Comprendre les besoins et les attentes des parties intĂ©ressĂ©es L’organisme doit dĂ©terminer :

a) les parties intéressées qui sont pertinentes pour le système de management de la sécurité des informations ;
b) les exigences pertinentes de ces parties intéressées ;
c) quelles sont les exigences auxquelles le système de management de la sĂ©curitĂ© des système de management de la sĂ©curitĂ© de l’information.

Plus de focus sur les processus, 4.4 SMSI

4.4 Système de management de la sĂ©curitĂ© de l’information
L’organisme doit Ă©tablir, mettre en Ĺ“uvre, maintenir et amĂ©liorer en permanence un système de management de la sĂ©curitĂ© des informations, y compris les processus nĂ©cessaires et leurs interactions, conformĂ©ment aux exigences du prĂ©sent document.

Nouvelles exigences pour les objectifs du SI 6.2

6.2 Objectifs de sĂ©curitĂ© de l’information et planification pour les atteindre 
L’organisme doit Ă©tablir des objectifs de sĂ©curitĂ© de l’information aux fonctions et niveaux pertinents.

Les objectifs de sécurité des informations doivent :

  • a) ĂŞtre cohĂ©rents avec la politique de sĂ©curitĂ© de l’information ;
  • b) ĂŞtre mesurables (si possible) ;
  • c) tenir compte des exigences applicables en matière de sĂ©curitĂ© de l’information, ainsi que des rĂ©sultats de l’Ă©valuation et du traitement des risques ; d) ĂŞtre mesurables (si possible) l’Ă©valuation et du traitement des risques ;
  • d) ĂŞtre surveillĂ©e ;
  • e) ĂŞtre communiquĂ©es ;
  • f) ĂŞtre mis Ă  jour, le cas Ă©chĂ©ant ;
  • g) ĂŞtre disponibles sous forme d’informations documentĂ©es.

Planification des changements (NOUVEAU)

DĂ©sormais, la clause 6.3 exigera que les changements apportĂ©s au SGSI soient mis en Ĺ“uvre de manière planifiĂ©e.

6.3 Planification des changements
Lorsque l’organisme dĂ©termine qu’il est nĂ©cessaire de modifier le système de management de la sĂ©curitĂ© de l’information, les modifications doivent ĂŞtre effectuĂ©es de manière planifiĂ©e.

Nouvelles exigences pour la communication 7.4

7.4. Communication
L’organisme doit dĂ©terminer le besoin de communications internes et externes relatives au système de management de la sĂ©curitĂ© de l’information, y compris :

a) sur quoi communiquer
b) quand communiquer
c) avec qui communiquer ;
d) comment communiquer.

Nouvelles exigences pour la planification 8.1

8.1 Planification et contrôle opérationnels
L’organisme doit planifier, mettre en Ĺ“uvre et maĂ®triser les processus nĂ©cessaires pour rĂ©pondre aux exigences, et pour mettre en Ĺ“uvre les actions dĂ©terminĂ©es dans la clause 6, en :

– Ă©tablissant des critères pour les processus ;
– mettant en Ĺ“uvre la maĂ®trise des processus conformĂ©ment aux critères.

Des informations documentées doivent être disponibles dans la mesure nécessaire pour avoir la certitude que les processus ont été exécutés comme prévu.

L’organisme doit maĂ®triser les changements planifiĂ©s et examiner les consĂ©quences des changements non intentionnels, en prenant des mesures pour attĂ©nuer tout effet nĂ©gatif, le cas Ă©chĂ©ant.

L’organisme doit s’assurer que les processus, produits ou services fournis par des tiers qui sont pertinents pour le système de management de la sĂ©curitĂ© des informations sont maĂ®trisĂ©s.

Nouvelles exigences pour la surveillance 9.1

9.1 Surveillance, mesure, analyse et Ă©valuation

Des informations documentées doivent être disponibles comme preuve des résultats.
L’organisme doit Ă©valuer les performances en matière de sĂ©curitĂ© de l’information et l’efficacitĂ© du système de management de la sĂ©curitĂ© de l’information.

Nouvelle structure de 9.2 et 9.3

La clause 9.2 est divisĂ©e en 9.2.1 et 9.2.2, et la clause 9.3 est divisĂ©e en trois subdivisions : 9.3.1, 9.3.2 et 9.3.3.

9.2 Audit interne
9.2.1 Généralités
9.2.2 Programme d’audit interne
9.3 Revue de direction
9.3.1 Généralités
9.3.2 Apports de la revue de direction
9.3.3 RĂ©sultats de la revue de direction

Plus de nouvelle contribution Ă  la revue de direction :

c) les changements dans les besoins et les attentes des parties intéressées qui sont pertinents pour le système de management de la sécurité des informations.

Nouvelle structure de 10 Amélioration

10.1 Amélioration continue
10.2 Non-conformitĂ© et action corrective 

La création de nouvelles catégories pour les contrôles : NOUVEAU Annexe A. Contrôles du SI

ISO 27001 2022 est la dernière version de la norme ISO pour la sĂ©curitĂ© de l’information, la cybersĂ©curitĂ© et la protection de la vie privĂ©e. Cette nouvelle version a consolidĂ© et rĂ©duit le nombre de contrĂ´les dĂ©finis, passant de 14 sujets dans la version prĂ©cĂ©dente Ă  4 catĂ©gories principales.

Ces catégories sont les mesures organisationnelles, les mesures sur les personnes, les mesures physiques et les mesures techniques ou technologiques, avec un total de 37, 8, 14 et 34 contrôles respectivement.

Nouveaux ContrĂ´les Iso 27001 2022
Nouveaux contrĂ´les iso 27001 2022

RĂ©fĂ©rence des contrĂ´les de sĂ©curitĂ© de l’information (Annexe A) :

Nombre total de contrĂ´les – 93, 11 nouveaux
Les contrôles sont classés par catégorie :
a) les mesures sur les personnes – humains, s’ils concernent des personnes individuelles
b) les mesures physiques, s’ils concernent des objets physiques
c) Les mesures techniques ou technologiques, s’ils concernent la technologie
d) autrement, ils sont classés dans la catégorie « organisationnel ».

Cinq attributs seulement dans la norme ISO 27002 2022, ces cinq attributs sont :

1. Type de contrôle (Préventif, Détective, Correctif)
2. PropriĂ©tĂ©s de sĂ©curitĂ© de l’information (CIA)
3. Concepts de cybersécurité (Identifier, Protéger, Détecter, Répondre et Récupérer)
4. Les capacités opérationnelles
5. Domaines de sĂ©curitĂ© 

Autres nouveautés de la version 2022 Annex A

RĂ©fĂ©rence des contrĂ´les de sĂ©curitĂ© de l’information : annexe A

A.5.7 Renseignements sur les menaces
A.5.23 SĂ©curitĂ© de l’information pour l’utilisation des services en nuage (cloud)
A.5.30 Préparation des TIC pour la continuité des activités
A.7.4 Surveillance de la sécurité physique
A.8.9 Gestion de la configuration
A.8.10 Suppression d’informations
A.8.11 Masquage des données
A.8.12 Prévention des fuites de données
A.8.16 Activités de surveillance
A.8.23 Filtrage Web
A.8.28 Codage sécurisé

Télécharger ISO 27002:2022 et 27001:2022 PDF Gratuit

Iso 27002 2022 Afnor
ISO 27002 2022 PDF Gratuit
ISO 27001 2022 PDF Gratuit

ISO 27002:2022 Exemple d’attributs

Clause 5.1 Politiques de sĂ©curitĂ© de l’information :

ContrĂ´le :

La politique de sĂ©curitĂ© de l’information et les politiques spĂ©cifiques Ă  un sujet doivent ĂŞtre dĂ©finies, approuvĂ©es par la direction, publiĂ©es, communiquĂ©es au personnel concernĂ© et aux parties intĂ©ressĂ©es et reconnues par eux, et revues Ă  intervalles planifiĂ©s et en cas de changements importants.

Objectif :

Assurer en permanence la pertinence, l’adĂ©quation et l’efficacitĂ© de l’orientation et du soutien de la direction en matière de sĂ©curitĂ© des informations, conformĂ©ment aux exigences commerciales, juridiques, lĂ©gales, rĂ©glementaires et contractuelles.

C’est quoi la certification iso 27001 ?

L’obtention de la certification est un point important pour assurer la sĂ©curitĂ© des systèmes d’information et des donnĂ©es des entreprises, elle signifie que vous avez :

  • RĂ©aliser la mise en Ĺ“uvre un système de management de la sĂ©curitĂ© de l’information conforme Ă  la norme ISO 27001
  • Le faire certifier par un organisme certificateur accrĂ©ditĂ©
  • ĂŠtre prĂŞt Ă  le maintenir et Ă  l’amĂ©liorer en permanence

Comment obtenir la certification iso 27001 ?

Pour ĂŞtre certifiĂ©es conformes Ă  la norme ISO 27001, les organisations doivent dĂ©montrer qu’elles satisfont aux exigences de la norme. Comme il peut ĂŞtre difficile de le faire soi-mĂŞme, il est judicieux d’engager un consultant expert pour vous guider tout au long du processus.

Passer ISO 27001 Certification – Un pas vers la sĂ©curitĂ© informatique

Iso 27001 revision 2022 : Si vous avez le SGSI, vous devrez faire 

  • 1. RĂ©viser le plan de traitement des risques (RTP), l’aligner avec la nouvelle structure et la numĂ©rotation des contrĂ´les.
  • 2. Revoir et mettre Ă  jour la dĂ©claration d’applicabilitĂ© (SoA). Je recommande d’utiliser 2 feuilles de calcul (2013 et 2022) dans les 1-2 prochaines annĂ©es.
  • 3. Revoir et mettre Ă  jour la procĂ©dure de rĂ©vision de la gestion du SGSI (entrĂ©es).
  • 4. Revoir et mettre Ă  jour les objectifs du SI et la procĂ©dure de surveillance, mesure, analyse et Ă©valuation.
  • 5. Revoir et mettre Ă  jour le plan de communication du SGSI.
  • 6. Revoir et mettre Ă  jour les autres politiques, normes et procĂ©dures (si nĂ©cessaire).
  • 7. Revoir et mettre Ă  jour les listes de contrĂ´le et les questionnaires utilisĂ©s pour les audits (internes et externes).
  • 8. Évaluer et Ă©ventuellement adapter les outils de sĂ©curitĂ© tiers (par exemple, GRC, SIEM, VM) pour s’assurer que les enregistrements que vous utilisez pour dĂ©montrer la conformitĂ© supportent les nouvelles exigences.

Uune pĂ©riode de transition de deux ans pour rĂ©viser votre système de gestion afin de se conformer Ă  la nouvelle version de la norme.

Articles associés

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut