Sélectionner une page

Qu’est-ce que la norme ISO 27002:2022

Blog, Blogs populaires

Qu’est-ce que la norme ISO 27002:2022 ?

 

La norme ISO/IEC 27002:2022 est une mise à jour de la norme ISO/IEC 27002:2013 publiée précédemment. Cette référence à la norme de sécurité de l’information est utilisée pour soutenir l’ISO 27001. Cette norme est publiée par l’Organisation internationale de normalisation (ISO) et la Commission internationale de l’électricité (CEI). La norme ISO 27002 est étroitement associée à la norme ISO 27001 en tant qu’ensemble de contrôles de soutien utilisés pour les ISMS et la manière dont les organisations peuvent choisir de les mettre en œuvre.

Il est important de noter que la norme ISO 27002 n’est pas une norme certifiable en soi. Elle sert de point de référence pour les contrôles de la sécurité de l’information, de la cybersécurité et de la protection de la vie privée qui sont fondés sur des normes de bonnes pratiques reconnues au niveau international pour les organisations qui envisagent d’obtenir la certification ISO 27001.

Pour une comparaison détaillée entre les normes ISO 27001 et ISO 27002, cliquez ici.

Les contrôles ISO 27002 se trouvent dans l’annexe A de l’ISO/CEI 27001. Il s’agit de la section à laquelle la plupart des experts en sécurité de l’information se réfèrent lorsque le sujet des contrôles de sécurité est abordé. Il est important de noter que si la description de chaque contrôle dans l’annexe A ne comporte que quelques phrases, la norme ISO 27002 fait référence à chaque contrôle avec une moyenne d’une page par contrôle. Cela s’explique par le fait que la norme ISO 27002 doit expliquer comment fonctionne chaque contrôle, quel est l’objectif de ce contrôle et comment ce contrôle particulier peut être mis en œuvre.

Mise à jour de la norme ISO 27002:2022

Des changements radicaux ont été apportés à la structure de ce cadre ISMS en février 2022, en remplacement de la version précédente publiée en 2013. Malgré les modifications structurelles, l’objectif du document reste le même : fournir un ensemble de référence générique des contrôles de sécurité de l’information utilisés dans le contexte du système de gestion de la sécurité de l’information (ISMS) ISO 27001.

Principales mises à jour – ISO 27002:2022

conformité et risque

14 catégories réduites à 4 domaines

  • A.5 Contrôles organisationnels
  • A.6 Contrôle des personnes
  • A.7 Contrôles physiques
  • A.8 Contrôles technologiques

En outre, il y a 2 annexes référencées :

  • Annexe A – Utilisation des attributs
  • Annexe B – Correspondance avec ISO/IEC 27002:2013

L’impact ultime de la norme ISO 27002 réside dans sa contribution à la stabilité du ISMS d’une organisation. Une différence essentielle est que la norme ISO 27002 n’est pas destinée à faire la distinction entre les contrôles applicables utilisés ou non au sein d’une organisation. La norme ISO 27002 doit être utilisée comme une référence pour la sélection des contrôles de sécurité plutôt que comme un processus de certification.

Réduction des contrôles de sécurité en raison de la consolidation

Avec la consolidation des contrôles dans la norme ISO 27002, le nombre de contrôles de sécurité passe de 114 à 93. Plus précisément, sur les 93 contrôles, 58 ont été mis à jour, 24 ont été fusionnés et 11 nouveaux contrôles ont été créés.

Aperçu des onze nouveaux contrôles

Bien qu’ils soient déjà référencés dans de multiples contrôles, la dernière version de la norme ISO 27002 a donné à ces sujets un détail plus précis et des orientations dans leur propre contrôle.

Sur les onze contrôles, il y en a trois qui ont le plus d’impact :

  • 7 – Renseignements sur les menaces : Le maintien de la sécurité de votre organisation n’est possible qu’en identifiant les possibilités de menaces. Ce n’est qu’en procédant ainsi que vous serez en mesure de calculer les risques éventuels pour l’entreprise et de mettre en œuvre des mesures pour les atténuer. Ce contrôle organisationnel offre une orientation pour la collecte et l’analyse des données concernant les menaces à la sécurité de l’information. Une attention particulière est accordée à la stratégie, à la mise en œuvre tactique et aux opérations de renseignement sur les menaces.

 

  • 23 – Sécurité de l’information pour l’utilisation des services en nuage : Les organisations migrent vers les services en nuage à un rythme toujours plus rapide. En raison de ce rythme, la plupart des entreprises partent du principe que l’identification et le contrôle des risques de sécurité relèvent de la responsabilité du fournisseur de services cloud. Or, ce n’est pas souvent le cas. Ce contrôle fournit des orientations pour l’acquisition, l’utilisation, la gestion et la sortie des services cloud tiers. Elle stipule clairement que votre organisation doit définir en détail les responsabilités de votre organisation et de votre fournisseur de services cloud.

 

  • 28 – Codage sécurisé : Les entreprises qui développent des logiciels étant en constante augmentation, des sections mal codées peuvent entraîner des vulnérabilités importantes. Par exemple, l’absence de validation des paramètres d’entrée peut entraîner des injections SQL, des attaques XSS, etc. Les conseils de contrôle technique fournis ici garantissent les principes de codage sécurisé qui doivent être appliqués dans le développement de logiciels.

Introduction de valeurs d’attributs pour les contrôles

 

La dernière modification majeure introduit cinq attributs, avec des valeurs pour chacun d’eux.

 

  • Concepts de cybersécurité : #Identifier, #Protéger, #Détecter, etc.
  • Propriétés de la sécurité de l’information : #Confidentialité, #Intégrité et #Disponibilité
  • Domaines de la sécurité : #Gouvernance_et_Ecosystème, #Protection, #Défense, etc.
  • Types de contrôle : #Préventif, #Détective et #Correctif
  • Capacités opérationnelles : #Gouvernance, #Gestion des actifs, #Protection de l’information, etc.

Désormais, en faisant référence à l’annexe A, les attributs lieront une ou plusieurs valeurs de chaque attribut à l’un des contrôles de sécurité. Cette modification a pour effet de faciliter le regroupement et le tri. Par exemple, si une organisation souhaite renforcer les contrôles préventifs, le filtrage à l’aide de la valeur #preventative dans l’attribut Types de contrôle présentera une liste de références de contrôles préventifs.

L’annexe B de cette version reste rétroactive à l’ISO/CEI 27002:2013 et permet une transition facile vers la version actualisée de l’ISO 27002.

Les changements de la norme ISO 27002 et leur impact sur votre organisation

Lors de la planification de votre projet de système de gestion de la sécurité de l’information ISO 27001, il serait prudent de supposer que les normes ISO 27001 et ISO 27002 constituent la pierre angulaire de votre ISMS. L’utilisation des contrôles de sécurité inclus dans la nouvelle norme ISO 27002 permettra de s’aligner sur les meilleures pratiques actuelles du secteur. Votre infrastructure peut bénéficier davantage des nouvelles introductions en tant qu’intégration renforcée aux cadres, règlements ou normes existants.

Comment Interfacing peut aider à alléger le fardeau de la documentation ISO/IEC 27002:2022

Avec la complexité croissante de la gestion des exigences de la série ISO 27000, l’organisation des informations dans un lieu central devient de plus en plus importante. Lorsqu’un auditeur se rendra sur place, il évaluera la surveillance exercée par la direction sur ses fournisseurs de services tiers ainsi que les propres contrôles de l’entreprise. La majorité de cette surveillance tourne principalement autour de la documentation et de la capacité de l’examiner. Pour le prouver à un auditeur, il faut lui fournir un système de gestion des documents qui peut s’appuyer sur la précision et la rapidité d’accès au qui, au quand et au comment des objectifs opérationnels de l’organisation.

 

La solution de plateforme numérique Enterprise Process Center® d’Interfacing maintient une bibliothèque complète de :

  • Processus
  • Procédures
  • Rôles et responsabilités
  • Risques
  • Toutes les exigences
  • Politiques internes
  • Indicateurs alignés (KPI)
  • Indicateurs contrôlés (suivi)

 

Tout cela au sein d’un système de gestion intégré (IMS) centralisé, permettant à votre organisation d’accélérer la certification et de simplifier la création, la communication (nouveautés et modifications) et la mise à jour des contrôles de sécurité de l’information, des processus et de la documentation associée/relative.

De plus, l’IMS d’Interfacing offre également un système de gestion de la qualité pour automatiser la formation de vos différents contrôles et audits (action item management/CAPA) ainsi que la gestion de toute votre documentation, vos fichiers, vos processus, vos procédures, vos rôles, vos risques et vos contrôles.

Nous proposons une bibliothèque complète de contenu pour lancer votre programme ou l’utiliser comme bibliothèque de référence pour les contrôles opérationnels utilisés pour valider la maturité de votre documentation ISO 27001 actuelle.

conformité et risque

Pourquoi Interfacing?

L’Enterprise Process Center® (EPC) d’Interfacing vous fournit un outil pour contrôler vos processus de conformité en vous aidant à gérer l’audit, l’évaluation et l’exécution de la gestion de vos processus commerciaux sous-jacents. La conformité sera ainsi plus facile et plus transparente dans toute votre organisation.

Enterprise Process Center®donnera à votre entreprise la possibilité de surveiller et de gérer automatiquement et en permanence vos initiatives de conformité. La mise en œuvre de contrôles associés aux processus et aux tâches garantit que les exigences de conformité sont respectées, tandis que le suivi et la documentation automatiques de tous les changements de processus donnent à la direction une surveillance complète.

Si vous souhaitez en savoir plus ou discuter de la manière dont Interfacing peut aider votre organisation, assurez-vous de cliquer ci-dessous.

Nous contacter pour plus d’informations.

développement rapide d'application low-code

Audit et conformité

Gérez efficacement la complexité de votre entreprise et la transformation continue grâce à des solutions de gestion de la qualité, des performances et de la conformité basées sur les processus.

conformité et risque

Services de gestion de la conformité

La conformité est un élément essentiel du processus de contrôle interne de toute organisation, aidant à contrôler le contenu et à réduire les coûts.

développement rapide d'application low-code

Gagnez en transparence avec Enterprise Process Center®

Le logiciel Digital Twin Organization d’Interfacing fournit la transparence et la gouvernance pour améliorer la qualité, l’efficacité et assurer la conformité réglementaire.

développement rapide d'application low-code

Lisez nos blogs

Prenez un moment pour lire les blogs sur GXP, la conformité réglementaire, les tendances actuelles et bien plus encore!

Découvrez comment votre organisation bénéficie d’une solution d’Interfacing.

L’un des principaux facteurs de différenciation d’Interfacing par rapport aux autres sociétés de conseil en transformation numérique et d’affaire est qu’Interfacing propose sa propre solution technologique innovante pour soutenir les programmes de transformation. Les solutions logicielles d’Interfacing offrent la transparence nécessaire pour réduire la complexité, améliorer l’exécution et faciliter l’agilité et le changement.

Le système de gestion intégré d’Interfacing est un guichet unique pour la gestion des programmes de transformation. Nous savons que c’est un environnement très concurrentiel. C’est pour cette raison que notre force réside dans notre engagement à maintenir la flexibilité tout au long du cycle de vie du projet que ce soit dans nos produits innovants ou dans notre équipe d’experts.

Essayez-le maintenant gratuitement!

Documentez, améliorez, standardisez et surveillez vos processus d’affaires, risques et performances avec le logiciel de gestion des processus d’affaires (BPM) d’Interfacing, l’Enterprise Process Center® !