BLOG

ISO 27002 2022, un avant-gout de la prochaine version de l'ISO 27001
22mai

ISO 27002 2022, un avant-gout de la prochaine version de l'ISO 27001

Les fondamentaux de l’ISO sont bien sûr conservés et les exigences des chapitres 4 à 10 sont inchangées.
 
Quels sont les principaux changements de l’ISO/IEC 27002 : 2022 ?
 
Réduction et restructuration du nombre de contrôles de 114 à 93 regroupés en 4 sections (au lieu de 14) et deux annexes :
 
·       Mesures organisationnelles (clause 5)
·       Mesures humaines (clause 6)
·       Mesures physiques (clause 7)
·       Mesures technologiques (clause 8)
·       Annexe A - Utilisation des attributs
·       Annexe B - Correspondance avec ISO/IEC 27002:2013
 
Intégration de 11 nouveaux contrôles :
·       5.7 Renseignements sur les menaces
·       5.23 Sécurité de l'information pour l'utilisation des services en nuage (cloud)
·       5.30 Préparation des TIC pour la continuité des activités
·       7.4 Surveillance de la sécurité physique
·       8.9 Gestion de la configuration
·       8.10 Suppression d'informations
·       8.11 Masquage des données
·       8.12 Prévention des fuites de données
·       8.16 Activités de surveillance
·       8.23 Filtrage du Web
·       8.28 Codage sécurisé
 
 
Contrôles fusionnés :
Malgré la réduction du nombre de contrôles, aucun contrôle n'a été supprimé dans la dernière version de la norme ; toutefois, ils ont été fusionnés.
 
Trois exemples de clauses fusionnées sont présentés ci-dessous :
Les contrôles 5.1.1 Politiques de sécurité de l'information et 5.1.2 Examen des politiques de sécurité de l'information ont été fusionnés dans 5.1 Politiques de sécurité de l'information.
Les contrôles 8.3.1 Gestion des supports amovibles, 8.3.2 Mise au rebut des supports, 8.3.3 Transfert physique des supports, 11.2.5 Sortie des actifs sont fusionnés dans le contrôle 7.10 Supports de stockages.
Les contrôles 11.1.2 Contrôle d’accès physique et 11.1.6 Zones de livraison et de chargement, ont été fusionnés en 7.2 Entrées physiques.
 
 
Introduction d’attributs :
Héritée des systèmes d’évaluation des risques, cette annexe propose le classement des contrôles par attribut qui clarifie le mode de traitement du risque concerné à savoir :
 
Types de contrôle : Préventif, Détection et Correction.
Propriétés de sécurité de l'information : Confidentialité, intégrité et disponibilité
Concepts de cybersécurité : Identifier, protéger, détecter, répondre et récupérer
Capacités opérationnelles : Gouvernance, Gestion des actifs, Protection de l'information, Sécurité des ressources humaines, Sécurité physique, Sécurité des systèmes et des réseaux, Sécurité des applications, Configuration sécurisée, Gestion des identités et des accès, Gestion des menaces et des vulnérabilités, Continuité, Sécurité des relations avec les fournisseurs, Juridique et conformité, Gestion des évènements de sécurité de l'information et Assurance de la sécurité de l'information.
Domaines de sécurité : Gouvernance et écosystème, protection, défense et résilience.
 

Toutes nos actualités