Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ÊTES-VOUS PRÊT ? SÉCURITÉ DE L’INFORMATION : LA NORME ISO 27001 A ÉTÉ MISE À JO

ÊTES-VOUS PRÊT ? SÉCURITÉ DE L’INFORMATION : LA NORME ISO 27001 A ÉTÉ MISE À JOUR Guide de comparaison des mesures : ISO 27001:2013 et ISO 7001:2022 En février 2022, la norme ISO 27002:2022, qui permet de contrôler les meilleures pratiques que les entreprises peuvent mettre en œuvre pour améliorer la sûreté, a été mise à jour. Par conséquent, une nouvelle version de la norme internationale ISO 27001 qui décrit les exigences d’un système de management de la sécurité de l’information (SMSI) a également été publiée le 25 octobre 2022. La nouvelle version de la norme comprend les mesures décrites par la norme ISO 27002:2022, et les entreprises devront revoir leur évaluation des risques pour déterminer si des mises à jour ou de nouvelles gestions des risques doivent être mises en œuvre. Les entreprises ayant déjà obtenu la certification ISO 27001:2013 disposeront de trois ans pour passer à la nouvelle norme. Changements majeurs 11 56 93 Il y a désormais mesures au lieu de 114 Au total, il y a nouvelles mesures. mesures de la norme ISO 27001:2013 ont été fusionnées en 24 mesures dans la norme ISO 27001:2022. Le texte de la majorité des mesures a été quelque peu modifié, ce qui pourrait avoir un impact sur la manière dont la norme est interprétée et mise en œuvre. Les mesures sont désormais réparties en quatre « nouveaux » thèmes. Organisationnelles : 28 fusions, 3 nouveaux Humaines : 2 fusions, 0 nouveau Physiques : 5 fusions, 1 nouveau Techniques : 21 fusions, 7 nouveaux Précédent Suivant LRQA | Guide de comparaison ISO 27001:2022 | Page 2 Comparaison des mesures : ISO 27001:2013 (Annexe A) vs ISO 27001:2022 (Annexe A) POLITIQUES DE SÉCURITÉ DE L’INFORMATION ORGANISATION DE L’INFORMATION A5.1.1 Politiques de sécurité de l’information A.5.1 Mesures organisationnelles Politiques de sécurité de l’information A.5.1.2 Examen des politiques de sécurité de l’information Fusionnées en A.5.1 A.6.1.1 Rôles et responsabilités en matière de sécurité de l’information A5.2 Mesures organisationnelles Rôles et responsabilités en matière de sécurité de l’information A.6.1.2 Séparation des tâches A.5.3 Mesures organisationnelles Séparation des tâches A.6.1.3 Contact avec les autorités A.5.5 Mesures organisationnelles Contact avec les autorités A.6.1.4 Contact avec des groupes d’intérêt spécifiques A.5.6 Mesures organisationnelles Contact avec des groupes d’intérêt spécifiques NOUVEAU A.5.7 Mesures organisationnelles Renseignement sur les menaces A.6.1.5 Sécurité de l’information dans le management de projet A.5.8 Mesures organisationnelles Sécurité de l’information dans le management de projet A.6.2.1 Politique relative aux appareils mobiles A.8.1 Techniques Terminaux pour les utilisateurs A.6.2.2 Télétravail A.6.7 Humaines Télétravail PRÉCÉDENT ISO 27001:2013 NOUVEAU ISO 27001:2022 MESURE INTITULÉ MESURE THÈME (NOUVEAU) INTITULÉ Les mesures décrites dans la norme ISO 27002:2022 seront incluses dans l’annexe A de la norme ISO 27001:2022, qui représente le principal champ de modification de la nouvelle norme. Les tableaux ci-dessous fournissent une comparaison utile de toutes les mesures disponibles et de leur correspondance avec celles de la version précédente, y compris les nouvelles mesures et les fusions qui sont mises en évidence. Précédent Suivant LRQA | Guide de comparaison ISO 27001:2022 | Page 3 SÉCURITÉ DES RESSOURCES HUMAINES GESTION D’ACTIFS A.7.1.1 Sélection A.6.1 Humaines Sélection A.7.1.2 Modalités et conditions de travail A.6.2 Humaines Modalités et conditions de travail A.7.2.1 Responsabilités de la direction A.5.4 Mesures organisationnelles Responsabilités de la direction A.7.2.2 Sensibilisation, éducation et formation à la sécurité de l’information A.6.3 Humaines Sensibilisation, éducation et formation à la sécurité de l’information A.7.2.3 Processus disciplinaire A.6.4 Humaines Processus disciplinaire A.7.3.1 Fin ou changement de responsabilités professionnelles A.6.5 Humaines Responsabilité après la fin ou le changement d’emploi A.8.1.1 Inventaire des actifs A.5.9 Mesures organisationnelles Inventaire des informations et autres actifs associés A.8.1.2 Propriété des actifs A.8.1.3 Utilisation acceptable des actifs A.5.10 Mesures organisationnelles Utilisation acceptable des informations et autres actifs associés A.8.1.4 Restitution des actifs A.5.11 Mesures organisationnelles Restitution des actifs A.8.2.1 Classification des informations A.5.12 Mesures organisationnelles Classification des informations A.8.2.2 Étiquetage des informations A.5.13 Mesures organisationnelles Étiquetage des informations A.8.2.3 Traitement des actifs Fusionnée dans A.5.10 A.8.3.1 Gestion des supports amovibles A.7.10 Physiques Supports de stockage A.8.3.2 Élimination des supports A.8.3.3 Transfert de support physique Fusionnée dans A.7.10 Fusionnée dans A.7.10 Fusionnée dans A.5.10 Fusionnée dans A.5.9 Précédent Suivant LRQA | Guide de comparaison ISO 27001:2022 | Page 4 CONTRÔLE D’ACCÈS A.9.1.1 Politique de contrôle d’accès A.5.15 Mesures organisationnelles Contrôle d’accès A.9.1.2 Accès aux réseaux et services réseau Fusionnée dans A.5.15 A.9.2.1 Enregistrement et désenregistrement des utilisateurs A.5.16 Mesures organisationnelles Gestion des identités A.9.2.2 Fourniture d’accès utilisateur A.5.18 Mesures organisationnelles Droits d’accès A.9.2.3 Gestion des droits d’accès privilégiés A.8.2 Techniques Droits d’accès privilégiés A.9.2.4 Gestion des informations secrètes d’authentification des utilisateurs A.5.17 Mesures organisationnelles Informations d’authentification A.9.2.5 Examen des droits d’accès des utilisateurs A.9.2.6 Suppression ou ajustement des droits d’accès A.9.3.1 Utilisation d’informations d’authentification secrètes A.9.4.1 Restriction d’accès aux informations A.8.3 Technique Restriction d’accès aux informations A.9.4.2 Procédures de connexion sécurisées A.8.5 Technique Authentification sécurisée A.9.4.3 Système de gestion des mots de passe A.9.4.4 Utilisation de programmes utilitaires privilégiés A.8.18 Techniques Utilisation de programmes utilitaires privilégiés A.9.4.5 Contrôle d’accès au code source du programme A.8.4 Techniques Accès au code source A.10.1.1 Politique d’utilisation des contrôles cryptographiques A.8.24 Technique Utilisation de la cryptographie A.10.1.2 Gestion des clés Fusionnée dans A.5.17 CRYPTOGRAPHIE Fusionnée dans A.8.24 avec A.10.1.1 Fusionnée dans A.5.17 Fusionnée dans A.5.18 Fusionnée dans A.5.18 Fusionnée dans A.5.15 Précédent Suivant LRQA | Guide de comparaison ISO 27001:2022 | Page 5 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE Fusionnée dans A.7.2 avec A.11.1.2 Fusionnée dans A.7.10 Fusionnée dans A.8.1 avec A.6.2.1 A.11.1.1 Périmètre de sécurité physique A.7.1 Physiques Périmètres de sécurité physique A.11.1.2 Contrôles d’entrée physiques A.7.2 Physiques Entrée physique A.11.1.3 Sécurisation des bureaux, locaux et installations A.7.3 Physiques Sécurisation des bureaux, locaux et installations NOUVEAU A.7.4 Physiques Surveillance de la sécurité physique A.11.1.4 Protection contre les menaces externes et environnementales A.7.5 Physiques Protection contre les menaces physiques et environnementales A.11.1.5 Travail dans des zones sécurisées A.7.6 Physiques Travail dans des zones sécurisées A.11.1.6 Zones de livraison et de chargement A.11.2.1 Emplacement et protection de l’équipement A.7.8 Physiques Emplacement et protection de l’équipement A.11.2.2 Services publics auxiliaires A.7.11 Physiques Services publics auxiliaires A.11.2.3 Sécurité du câblage A.7.12 Physiques Sécurité du câblage A.11.2.4 Maintenance de l’équipement A.7.13 Physiques Maintenance de l’équipement A.11.2.5 Suppression d’actifs A.11.2.6 Sécurité des équipements et des actifs hors locaux A.7.9 Physiques Sécurité des actifs hors locaux A.11.2.7 Mise au rebut ou réutilisation sécurisée de l’équipement A.7.14 Physiques Mise au rebut ou réutilisation sécurisée de l’équipement A.11.2.8 Équipement utilisateur autonome A.11.2.9 Politique du bureau et de l’écran dégagés A.7.7 Physiques Bureau et écran dégagés Précédent Suivant LRQA | Guide de comparaison ISO 27001:2022 | Page 6 SÉCURITÉ DES OPÉRATIONS Fusionnée dans A.8.1.5 Fusionnée dans A.8.1.5 A.12.1.1 Modes opératoires documentés A.5.37 Mesures organisationnelles Modes opératoires documentés A.12.1.2 Gestion du changement A.8.32 Techniques Gestion du changement A.12.1.3 Gestion des capacités A.8.6 Techniques Gestion des capacités A.12.1.4 Séparation des environnements de développement, de test et d’exploitation A.8.31 Techniques Séparation des environnements de développement, de test et de production A.12.2.1 Mesures contre les malwares A.8.7 Techniques Protection contre les malwares A.12.3.1 Sauvegarde des informations A.8.13 Techniques Sauvegarde des informations A.12.4.1 Journalisation des événements A.8.15 Techniques Journalisation A.12.4.2 Protection des informations du journal A.12.4.3 Journaux des administrateurs et des opérateurs NOUVEAU A.8.16 Techniques Activités de suivi A.12.4.4 Synchronisation de l’horloge A.8.17 Techniques Synchronisation de l’horloge A.12.5.1 Installation du logiciel sur les systèmes opérationnels A.8.19 Techniques Installation du logiciel sur les systèmes opérationnels A.12.6.1 Gestion des vulnérabilités techniques A.8.8 Techniques Gestion des vulnérabilités techniques NOUVEAU A.8.9 Techniques Gestion de la configuration NOUVEAU A.8.10 Techniques Suppression d’informations NOUVEAU A.8.11 Techniques Masquage de données NOUVEAU A.8.12 Techniques Prévention des fuites de données A.12.6.2 Restrictions relatives à l’installation du logiciel A.12.7.1 Contrôles d’audit des systèmes d’information A.8.34 Techniques Protection des systèmes d’information pendant les essais d’audit Fusionnée dans A.8.19 avec A.12.5.1 Précédent Suivant LRQA | Guide de comparaison ISO 27001:2022 | Page 7 SÉCURITÉ DES COMMUNICATIONS ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DU SYSTÈME Fusion avec A.8.26 Fusionnée dans A.5.8 avec A.6.1.5 Fusionnée dans A.8.32 avec A.12.1.2 Fusionnée dans A.8.32 avec A.12.1.2, A.14.2.2 et A.14.2.4 Fusionnée dans A.8.31 avec A.12.1.4 Fusionnée dans A.8.29 avec A.14.2.8 Fusionnée dans A.5.14 Fusionnée dans A.5.14 A.13.1.1 Contrôles du réseau A.8.20 Techniques Sécurité des réseaux A.13.1.2 Sécurité des services de réseau A.8.21 Techniques Sécurité des services de réseau A.13.1.3 Séparation dans les réseaux A.8.22 Techniques Séparation des réseaux NOUVEAU A.8.23 Techniques Filtrage Web A.13.2.1 Politiques et procédures de transfert d’informations A.5.14 Mesures organisationnelles Transfert d’informations A.13.2.2 Accords sur le transfert d’informations A.13.2.3 Messagerie électronique A.13.2.4 Accords de confidentialité ou de non-divulgation A.6.6 Humaines Accords de confidentialité ou de non-divulgation A.14.1.1 Analyse et spécification des exigences en matière de sécurité de l’information A.14.1.2 Sécurisation des services applicatifs sur les réseaux publics A.8.26 Techniques Exigence de sécurité des applications A.14.1.3 Protection des transactions des services applicatifs A.14.2.1 Politique de développement sécurisé A.8.2.5 Techniques Cycle de vie du développement sécurisé A.14.2.2 Procédures de contrôle des changements du système A.14.2.3 Revue technique des applications après des changements de plate-forme d’exploitation A.14.2.4 Restrictions sur les modifications apportées aux progiciels A.14.2.5 Principes d’ingénierie des uploads/Management/iso270012022comparisonguide-fr.pdf