L’ISO 27001 2022 est un standard international qui définit les exigences pour la mise en place, l’implémentation, l’opération, le suivi, l’examen, l’entretien et l’amélioration continue d’un système de gestion de la sécurité des informations (SGSI).
Le standard vise à aider les organisations à mettre en place des procédures et des processus pour gérer un système de gestion de la sécurité des informations efficace et à protéger les données sensibles.
La nouvelle version de la norme ISO 27001 2022 qui a été mise en ligne en octobre, ouvrant un cycle de ré-certification pour de nombreuses entreprises dans le monde, globalement, cette nouvelle version allège les exigences normatives mais resserre les exigences de performance.
Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l’information — Exigences
Quels sont les 4 critères de sécurité selon la norme iso iec 27001 ?
La norme ISO/IEC 27001:2013 établit 4 critères de sécurité: Confidentialité, Intégrité des données, Disponibilité et Résistance. Ces critères garantissent la protection des informations à travers des moyens techniques, administratifs et humains qui s’appuient sur le risque managé.
La norme ISO 27001 2022 assure une protection complète et systématique des données personnelles, ce qui contribue à la protection de la vie privée et de la sécurité des individus.
Ce qu’il faut savoir sur la dernière version de l’ISO 27001
ISO 27001:2022 spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la maintenance et à l’amélioration continue d’un système de management de la sécurité des informations dans le contexte de l’organisation.
Les meilleures pratiques de l’ISO 27001 2022 sont basées sur une méthodologie de gestion des risques et offrent une approche systématique et documentée pour assurer la sécurité des informations.
Elle comprend également des exigences pour l’évaluation et le traitement des risques de sécurité de l’information adaptés aux besoins de l’organisation.
Les exigences énoncées dans ce document sont génériques et sont destinées à être applicables à toutes les organisations, quels que soient leur type, leur taille ou leur nature.
L’exclusion de l’une quelconque des exigences spécifiées dans les clauses 4 à 10 n’est pas acceptable lorsqu’une organisation revendique la conformité au ce document. [Nouveau 2022]
Nombre de pages :
ISO/IEC 27001:2013 19 pages et ISO/IEC 27001:2022 23 pages
La norme iso 27001 2022 applique la structure de haut niveau, les titres de sous-clause identiques, le texte identique, les termes communs et les définitions de base définis dans l’Annexe SL des Directives ISO/CEI, Partie 1, Supplément ISO consolidé, et maintient donc la compatibilité avec les autres normes de systèmes de management qui ont adopté l’Annexe SL.
Quelle sont les nouveautés sur la version de la norme sécurité de l’information iso 27001 vesriosn 2022 ?
Bases de données terminologiques nouvelles
ISO/IEC 27001:2013 : 3 Termes et définitions :
Aux fins de la norme iso 27001 2022, les documents, les termes et définitions donnés dans l’ISO/CEI 27000 s’appliquent.
ISO/IEC 27001:2022 Termes et définitions
Aux fins du présent document, les termes et définitions donnés dans l’ISO/CEI 27000 s’appliquent.
L’ISO et la CEI tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation aux adresses suivantes :
– ISO Plate-forme de navigation en ligne : disponible à ttps://www.iso.org/obp
– CEI Electropedia : disponible à l’adresse https://www.electropedia.org
Nouvelles exigences pertinentes, 4.2
4.2 Comprendre les besoins et les attentes des parties intéressées L’organisme doit déterminer :
a) les parties intéressées qui sont pertinentes pour le système de management de la sécurité des informations ;
b) les exigences pertinentes de ces parties intéressées ;
c) quelles sont les exigences auxquelles le système de management de la sécurité des système de management de la sécurité de l’information.
Plus de focus sur les processus, 4.4 SMSI
4.4 Système de management de la sécurité de l’information
L’organisme doit établir, mettre en œuvre, maintenir et améliorer en permanence un système de management de la sécurité des informations, y compris les processus nécessaires et leurs interactions, conformément aux exigences du présent document.
Nouvelles exigences pour les objectifs du SI 6.2
6.2 Objectifs de sécurité de l’information et planification pour les atteindre
L’organisme doit établir des objectifs de sécurité de l’information aux fonctions et niveaux pertinents.
Les objectifs de sécurité des informations doivent :
- a) être cohérents avec la politique de sécurité de l’information ;
- b) être mesurables (si possible) ;
- c) tenir compte des exigences applicables en matière de sécurité de l’information, ainsi que des résultats de l’évaluation et du traitement des risques ; d) être mesurables (si possible) l’évaluation et du traitement des risques ;
- d) être surveillée ;
- e) être communiquées ;
- f) être mis à jour, le cas échéant ;
- g) être disponibles sous forme d’informations documentées.
Planification des changements (NOUVEAU)
Désormais, la clause 6.3 exigera que les changements apportés au SGSI soient mis en œuvre de manière planifiée.
6.3 Planification des changements
Lorsque l’organisme détermine qu’il est nécessaire de modifier le système de management de la sécurité de l’information, les modifications doivent être effectuées de manière planifiée.
Nouvelles exigences pour la communication 7.4
7.4. Communication
L’organisme doit déterminer le besoin de communications internes et externes relatives au système de management de la sécurité de l’information, y compris :
a) sur quoi communiquer
b) quand communiquer
c) avec qui communiquer ;
d) comment communiquer.
Nouvelles exigences pour la planification 8.1
8.1 Planification et contrôle opérationnels
L’organisme doit planifier, mettre en œuvre et maîtriser les processus nécessaires pour répondre aux exigences, et pour mettre en œuvre les actions déterminées dans la clause 6, en :
– établissant des critères pour les processus ;
– mettant en œuvre la maîtrise des processus conformément aux critères.
Des informations documentées doivent être disponibles dans la mesure nécessaire pour avoir la certitude que les processus ont été exécutés comme prévu.
L’organisme doit maîtriser les changements planifiés et examiner les conséquences des changements non intentionnels, en prenant des mesures pour atténuer tout effet négatif, le cas échéant.
L’organisme doit s’assurer que les processus, produits ou services fournis par des tiers qui sont pertinents pour le système de management de la sécurité des informations sont maîtrisés.
Nouvelles exigences pour la surveillance 9.1
9.1 Surveillance, mesure, analyse et évaluation
…
Des informations documentées doivent être disponibles comme preuve des résultats.
L’organisme doit évaluer les performances en matière de sécurité de l’information et l’efficacité du système de management de la sécurité de l’information.
Nouvelle structure de 9.2 et 9.3
La clause 9.2 est divisée en 9.2.1 et 9.2.2, et la clause 9.3 est divisée en trois subdivisions : 9.3.1, 9.3.2 et 9.3.3.
9.2 Audit interne
9.2.1 Généralités
9.2.2 Programme d’audit interne
9.3 Revue de direction
9.3.1 Généralités
9.3.2 Apports de la revue de direction
9.3.3 Résultats de la revue de direction
Plus de nouvelle contribution à la revue de direction :
c) les changements dans les besoins et les attentes des parties intéressées qui sont pertinents pour le système de management de la sécurité des informations.
Nouvelle structure de 10 Amélioration
10.1 Amélioration continue
10.2 Non-conformité et action corrective
La création de nouvelles catégories pour les contrôles : NOUVEAU Annexe A. Contrôles du SI
ISO 27001:2022 est la dernière version de la norme ISO pour la sécurité de l’information, la cybersécurité et la protection de la vie privée. Cette nouvelle version a consolidé et réduit le nombre de contrôles définis, passant de 14 sujets dans la version précédente à 4 catégories principales.
Ces catégories sont les mesures organisationnelles, les mesures sur les personnes, les mesures physiques et les mesures techniques ou technologiques, avec un total de 37, 8, 14 et 34 contrôles respectivement.
Référence des contrôles de sécurité de l’information (Annexe A) :
Nombre total de contrôles – 93, 11 nouveaux
Les contrôles sont classés par catégorie :
a) les mesures sur les personnes – humains, s’ils concernent des personnes individuelles
b) les mesures physiques, s’ils concernent des objets physiques
c) Les mesures techniques ou technologiques, s’ils concernent la technologie
d) autrement, ils sont classés dans la catégorie « organisationnel ».
Cinq attributs seulement dans la norme ISO 27002 2022, ces cinq attributs sont :
1. Type de contrôle (Préventif, Détective, Correctif)
2. Propriétés de sécurité de l’information (CIA)
3. Concepts de cybersécurité (Identifier, Protéger, Détecter, Répondre et Récupérer)
4. Les capacités opérationnelles
5. Domaines de sécurité
Autres nouveautés de la version 2022 Annex A
Référence des contrôles de sécurité de l’information : annexe A
A.5.7 Renseignements sur les menaces
A.5.23 Sécurité de l’information pour l’utilisation des services en nuage (cloud)
A.5.30 Préparation des TIC pour la continuité des activités
A.7.4 Surveillance de la sécurité physique
A.8.9 Gestion de la configuration
A.8.10 Suppression d’informations
A.8.11 Masquage des données
A.8.12 Prévention des fuites de données
A.8.16 Activités de surveillance
A.8.23 Filtrage Web
A.8.28 Codage sécurisé
Télécharger ISO 27002:2022 PDF Gratuit
ISO 27002:2022 Exemple d’attributs
Clause 5.1 Politiques de sécurité de l’information :
Contrôle :
La politique de sécurité de l’information et les politiques spécifiques à un sujet doivent être définies, approuvées par la direction, publiées, communiquées au personnel concerné et aux parties intéressées et reconnues par eux, et revues à intervalles planifiés et en cas de changements importants.
Objectif :
Assurer en permanence la pertinence, l’adéquation et l’efficacité de l’orientation et du soutien de la direction en matière de sécurité des informations, conformément aux exigences commerciales, juridiques, légales, réglementaires et contractuelles.
C’est quoi la certification iso 27001 ?
L’obtention de la certification est un point important pour assurer la sécurité des systèmes d’information et des données des entreprises, elle signifie que vous avez :
- Réaliser la mise en œuvre un système de management de la sécurité de l’information conforme à la norme ISO 27001
- Le faire certifier par un organisme certificateur accrédité
- Être prêt à le maintenir et à l’améliorer en permanence
Comment obtenir la certification iso 27001 ?
Pour être certifiées conformes à la norme ISO 27001, les organisations doivent démontrer qu’elles satisfont aux exigences de la norme. Comme il peut être difficile de le faire soi-même, il est judicieux d’engager un consultant expert pour vous guider tout au long du processus.
Iso 27001 revision 2022 : Si vous avez le SGSI, vous devrez faire
- 1. Réviser le plan de traitement des risques (RTP), l’aligner avec la nouvelle structure et la numérotation des contrôles.
- 2. Revoir et mettre à jour la déclaration d’applicabilité (SoA). Je recommande d’utiliser 2 feuilles de calcul (2013 et 2022) dans les 1-2 prochaines années.
- 3. Revoir et mettre à jour la procédure de révision de la gestion du SGSI (entrées).
- 4. Revoir et mettre à jour les objectifs du SI et la procédure de surveillance, mesure, analyse et évaluation.
- 5. Revoir et mettre à jour le plan de communication du SGSI.
- 6. Revoir et mettre à jour les autres politiques, normes et procédures (si nécessaire).
- 7. Revoir et mettre à jour les listes de contrôle et les questionnaires utilisés pour les audits (internes et externes).
- 8. Évaluer et éventuellement adapter les outils de sécurité tiers (par exemple, GRC, SIEM, VM) pour s’assurer que les enregistrements que vous utilisez pour démontrer la conformité supportent les nouvelles exigences.
Uune période de transition de deux ans pour réviser votre système de gestion afin de se conformer à la nouvelle version de la norme.
