Accueil
ISO/IEC 27001:2022
L’ISO/IEC 27001 a été élaboré pour fournir les exigences en vue de l’établissement, de la mise en oeuvre, de la tenue à jour et de l’amélioration continue d’un système de management de la sécurité de l’information.
La nouvelle norme ISO/IEC 27001: 2022 est une mise à jour, en plus d’une restructuration générale, qui comprends des nouveaux points qui sont:
- Renseignements sur les menaces (5.7) : collectez des renseignements pertinents et exploitables sur les menaces à l’information, en les alimentant dans le processus de gestion des risques liés à l’information.
- Préparation des TIC pour la continuité des activités (5.30) : les organisations doivent se préparer à gérer des incidents graves qui affectent et/ou impliquent des processus critiques.
- Supervision de la sécurité physique (7.4) : Installer des alarmes anti-intrusion, CCTV, gardes, etc. pour les locaux commerciaux. Il s’agit d’un contrôle tellement basique et commun que vous ne pouvez pas croire qu’il manquait à l’édition précédente.
- Gestion de la configuration (8.9) : fait référence à la nécessité de gérer la sécurité et d’autres détails de configuration pour le hardware, les logiciels, les services et les réseaux.
- Suppression d’informations (8.10) : Il s’agit d’un autre contrôle « évident » indiquant que les données doivent être supprimées lorsqu’elles ne sont plus nécessaires pour éviter une divulgation inutile et pour des raisons de conformité. Cependant, les détails précis de la manière dont les informations sont supprimées sont importants dans la pratique.
- Masquage des données (8.11) : conformément à la politique de contrôle d’accès de l’organisation, en plus des autres exigences commerciales et obligations de conformité, les contrôles de sécurité sont appropriés pour atténuer le risque de divulgation d’informations personnelles sensibles.
- Prévention des fuites de données (8.12) : DLP est nécessaire pour protéger les informations sensibles contre la divulgation et l’extraction de données non autorisées (vol, surveillance, etc.).
- Activités de surveillance (8.16) : les « anomalies » dans les réseaux, systèmes et applications informatiques doivent être détectées et traitées pour atténuer les risques associés.
- Filtrage Web (8.23) : limiter l’accès aux sites Web inappropriés ou risqués est un contrôle de sécurité de l’information suffisamment important pour justifier son inclusion dans la norme ISO 27001.
- Codage sécurisé (8.28) : les logiciels doivent être conçus et programmés de manière sécurisée, ce qui réduit le nombre et la gravité des vulnérabilités exploitables résultant de défauts de conception et d’erreurs de programmation. Ce contrôle est presque entièrement piloté par le principe de « secure by design ».