- Voir ISO 27002:2022 Contrôle 5.11 pour en profiter.
- Voir ISO 27001:2013 Annexe A 8.1.4 pour en profiter.
Restitution sécurisée et conforme des actifs avec contrôle ISO 27001 5.11
Le contrôle ISO 27001:2022 5.11 de l'annexe A stipule que le personnel et les autres parties intéressées doivent restituer tous les actifs appartenant à l'organisation en cas de changement d'emploi, de contrat ou d'accord.
En cas de cessation d'emploi, de contrat ou d'accord, les employés et les utilisateurs externes sont tenus de restituer toutes les informations et tous les actifs de l'organisation.
Les employés, sous-traitants et autres doivent être obligés de remplacer tous les actifs. Cette obligation serait incluse dans les accords pertinents avec le personnel, les sous-traitants et autres.
Un processus solide et documenté doit gérer le retour des actifs. Ce processus peut être documenté pour chaque individu ou fournisseur qui le traverse. L'annexe A.6.5 pour la sécurité des ressources humaines, l'annexe 6.6 pour les accords de confidentialité et l'annexe A.5.20 pour l'activité des fournisseurs alignent cela sur les contrôles de sortie.
Les organisations doivent avoir des politiques écrites qui définissent quels actifs doivent être restitués en cas de résiliation et du personnel pour confirmer la réception et assurer l'inventaire et la comptabilité des actifs.
Quel est l’objectif de l’annexe A 5.11 ?
Les éléments suivants sont exemples d'actifs informationnels pour une organisation :
- Documents physiques.
- Fichiers numériques et bases de données.
- Programmes logiciels.
- Même les éléments intangibles comme les secrets commerciaux et propriété intellectuelle.
Les actifs informationnels d’une entreprise peuvent être précieux à bien des égards. Cela inclut le fait de contenir des informations sensibles sur ses clients, employés ou autres parties prenantes que des acteurs malveillants peuvent exploiter à des fins de gain financier ou d'usurpation d'identité. En plus des informations financières, de recherche et opérationnelles, ils pourraient offrir à vos concurrents un avantage concurrentiel s’ils pouvaient y accéder.
Pour cette raison, tous les actifs et actifs des employés et entrepreneurs qui mettent fin à leur emploi au sein d'une organisation doivent être restitués.
Dans le cadre du processus de sortie, les actifs doivent être restitués conformément au processus, sauf accord contraire et documenté :
- L'annexe A.5 décrit les mesures à prendre si le non-retour est enregistré comme un incident de sécurité.
- Pour assurer une protection continue, audits périodiques des actifs sont également nécessaires pour garantir que la procédure de restitution des avoirs soit infaillible.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Changement de statut d'emploi selon ISO 27001:2022 Annexe a 5.11
Dans le cadre d'un changement ou d'une résiliation d'emploi, de contrats ou d'accords, le contrôle 5.11 protège les actifs de l'organisation. Il est interdit aux personnes non autorisées de conserver les actifs de l'organisation (y compris l'équipement, les informations, les logiciels, etc.) sous le contrôle de cette annexe A.
Vous devez vous assurer que vos employés et sous-traitants ne prennent pas de données sensibles en identifiant les menaces potentielles et en surveillant l'activité des utilisateurs avant leur départ.
Lorsqu'un individu est licencié, ce contrôle de l'annexe A l'empêche d'accéder aux systèmes et réseaux informatiques. Un processus de résiliation formel devrait être établi par les organisations afin que les individus ne puissent plus accéder à aucun système informatique. Vous pouvez y parvenir en révoquant toutes les autorisations, en désactivant les comptes et en supprimant l'accès aux locaux du bâtiment.
Il est nécessaire d'établir des procédures pour garantir que tous les employés, sous-traitants et autres parties concernées restituent tous les actifs qui ne sont plus nécessaires à des fins commerciales. Ces actifs doivent être remplacés dès que possible.
En outre, les organisations doivent vérifier la zone de travail de l'individu pour s'assurer que toutes les informations sensibles ont été restituées.
Considérez, par exemple :
- Le matériel de l'organisation (ordinateurs portables et supports amovibles) est récupéré lors de la séparation.
- Une fois le contrat terminé, les entrepreneurs sont tenus de restituer tout l'équipement et toutes les informations.
Construire un processus de sortie et ce que vous devez faire
Une organisation doit formaliser son processus de changement ou de résiliation, qui comprend la restitution de tous les actifs physiques et électroniques précédemment émis qui lui appartiennent ou qui lui sont confiés.
Tous les droits d'accès, comptes, certificats numériques et mots de passe doivent également être supprimés dans le cadre du processus. Cette formalisation est particulièrement critique lorsqu'un changement ou une résiliation survient de manière inattendue, comme un décès ou une démission. L'accès non autorisé aux actifs de l'organisation peut entraîner une violation de données s'il n'est pas empêché.
Un processus sécurisé d’élimination/retour doit garantir que tous les actifs sont comptabilisés.
La norme ISO 27001:2022 exige que l'organisation identifie et documente toutes les informations et actifs associés à restituer, notamment :
- Appareils de point de terminaison utilisateur.
- Périphériques de stockage portables.
- Équipement spécialisé.
- Matériel d'authentification (par exemple clés mécaniques, jetons physiques et cartes à puce) pour les systèmes d'information, les sites et les archives physiques.
- Copies physiques des informations.
Après la résiliation, l'utilisateur doit remplir une liste de contrôle formelle contenant tous les éléments qui doivent être retournés ou éliminés. Cette liste de contrôle doit inclure toutes les signatures requises pour confirmer que les actifs ont été correctement restitués ou éliminés.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Quels sont les changements et les différences par rapport à la norme ISO 27001:2013 ?
La norme ISO 27001:2013 a été mise à jour en octobre 2022 à la norme ISO 27001:2022.
Le contrôle 5.11 de l’Annexe A n’est pas nouveau mais une modification du contrôle 8.1.4 de l’Annexe A – la restitution des actifs.
Dans les lignes directrices de mise en œuvre, les contrôles de l’annexe A sont essentiellement les mêmes, avec un langage et une phraséologie similaires. Cependant, Annexe A de la norme ISO 27001:2022 Control 5.11 dispose d'une table d'attributs qui permet aux utilisateurs de la faire correspondre à ce qu'ils implémentent. Le contrôle 5.11 de la norme ISO 27001:2022 précise quels actifs peuvent être restitués à la fin de l'emploi ou de la résiliation du contrat.
Voici des exemples :
- Appareils de point de terminaison utilisateur.
- Périphériques de stockage portables.
- Équipement spécialisé.
- Matériel d'authentification (par exemple clés mécaniques, jetons physiques et cartes à puce) pour les systèmes d'information, les sites et les archives physiques.
- Copies physiques des informations.
Dans la version ISO 27001:2013, cette liste n'est pas disponible.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Comment ces changements vous affectent-ils ?
ISO 27001:2022 est une mise à jour de la norme 2013. Le comité qui supervise la norme n’a apporté aucun changement significatif.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Comment l'aide d'ISMS.online
Vous pouvez mettre en œuvre et gérer un système de gestion de la sécurité de l'information ISO 27001/27001 avec ISMS.online, quelle que soit votre expérience avec la norme.
La fusion parfaite des connaissances et de la technologie pour une réussite rapide à la norme ISO 27001. ISMS.online comprend une politique et un outil pour la gestion d'actifs.
Avec notre système, vous serez guidé étape par étape dans la mise en place d'un SMSI et sa gestion :
- ISMS.online fournit un guide étape par étape pour mettre en œuvre la norme ISO 27001/27002 dans toute organisation.
- Un outil d'évaluation des risques qui vous guide tout au long du processus d'identification et d'évaluation des risques.
- Nous offrons une ensemble de politiques qui peut être personnalisé en ligne pour répondre à vos besoins.
- La gestion des documents et des enregistrements dans le cadre de votre SMSI est plus facile avec un système de contrôle des documents.
- Meilleure prise de décision grâce au reporting automatique.
- Grâce à notre plateforme basée sur le cloud, vous serez en mesure de documenter la preuve de conformité aux Cadre ISO 27001 avec une liste de contrôle de vos processus.
Contactez-nous dès aujourd'hui pour réserver une démo.
