- Voir ISO 27002:2022 Contrôle 5.12 pour en profiter.
- Voir ISO 27001:2013 Annexe A 8.2.1 pour en profiter.
Créer un SMSI plus solide grâce à la classification des informations – ISO 27001:2022 Annexe A 5.12
La classification des informations est un processus fondamental qui permet aux organisations de regrouper leurs actifs informationnels en catégories pertinentes en fonction du niveau de protection requis.
Selon ISO 27001: 2022 Annexe A 5.1.2, les informations doivent être classées en fonction de divers facteurs, notamment les exigences légales, la valeur, la criticité et la sensibilité à la divulgation ou à la modification non autorisée. Cette classification doit être conçue pour refléter l’activité commerciale unique de l’organisation sans l’entraver ni la compliquer.
Par exemple, les informations destinées à la consommation publique doivent être correctement marquées, tandis que les données confidentielles ou commercialement sensibles doivent bénéficier d'un marquage approprié. degré de sécurité plus élevé. Il est essentiel de noter que la classification des informations figure parmi les contrôles les plus importants de l'annexe A du s’assurer que les actifs de l’organisation sont protégés.
Objet de la norme ISO 27001:2022 Annexe A 5.12
L'Annexe A Le contrôle 5.12 est un contrôle préventif qui permet aux organisations d’identifier les risques en déterminant le niveau de protection approprié pour chaque actif informationnel en fonction de son importance et de sa sensibilité.
Dans les directives supplémentaires, l'annexe A, Contrôle 5.12, met explicitement en garde contre la sur- ou la sous-classification des informations. Les organisations doivent tenir compte des exigences de confidentialité, de disponibilité et d’intégrité lorsqu’elles attribuent des actifs à leurs catégories respectives. Cela permet de garantir que le système de classification équilibre les besoins commerciaux en informations et les exigences de sécurité pour chaque catégorie d'informations.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Propriété de l'annexe A 5.12
S'il est essentiel d'établir un système de classification des actifs informationnels dans l'ensemble de l'organisation, il incombe en fin de compte aux propriétaires des actifs de garantir qu'il est correctement mis en œuvre.
Conformément à la norme ISO 27001 : 2022, annexe A 5.12, ceux qui disposent d’actifs informationnels pertinents doivent être tenus responsables. Par exemple, le service comptable doit classer les informations sur la base du système de classification à l'échelle de l'organisation lorsqu'il accède aux dossiers contenant des rapports de paie et des relevés bancaires.
Lors de la classification des informations, il est crucial pour les propriétaires d'actifs de prendre en compte les besoins de l'entreprise et les impact potentiel qu’une compromission d’informations pourrait avoir sur l’organisation. De plus, ils doivent tenir compte de l'importance et des niveaux de sensibilité des informations.
Orientations générales sur la norme ISO 27001:2022 Annexe A 5.12
Pour réussir à mettre en œuvre un système robuste de classification des informations, les organisations doivent adopter une approche thématique, prendre en compte les besoins d'information spécifiques de chaque unité commerciale et évaluer le niveau de sensibilité et de criticité des informations.
Conformément à l'Annexe A Contrôle 5.12, les organisations doivent évaluer les sept critères suivants lors de la mise en œuvre d'un système de classification :
Établir une politique spécifique à un sujet et répondre aux besoins commerciaux spécifiques
Annexe A Contrôle 5.12 du système de gestion de la sécurité de l'information fait référence à l’Annexe A Contrôle 5.1, qui concerne le contrôle d’accès. Il exige que les organisations adhèrent aux politiques spécifiques à un sujet stipulées dans l’Annexe A Contrôle 5.1. De plus, le système et les niveaux de classification doivent tenir compte des besoins spécifiques de l'entreprise lors de la classification des actifs informationnels.
Les organisations doivent prendre en compte leurs besoins commerciaux en matière de partage et d’utilisation des informations, ainsi que la nécessité de disponibilité de ces informations. Cependant, la classification d'un actif informationnel peut perturber les fonctions commerciales critiques en restreignant l'accès et l'utilisation des informations.
Par conséquent, les organisations doivent équilibrer leurs besoins commerciaux spécifiques en matière de disponibilité et d’utilisation des données et l’exigence de maintenir la confidentialité et l’intégrité de ces informations.
Tenir compte des obligations légales
Des lois spécifiques peuvent exiger que les organisations mettent l'accent sur la protection de la confidentialité, de l'intégrité et de la disponibilité des informations. Par conséquent, les obligations légales doivent avoir la priorité sur la classification interne de l'organisation lors de la catégorisation des actifs informationnels.
Adopter une approche basée sur les risques et évaluer l’impact potentiel d’une faille ou d’un compromis de sécurité sur actifs informationnels est conseillé. Cela aidera à prioriser et à mettre en œuvre des mesures de sécurité appropriées pour atténuer les risques identifiés.
Chaque forme d'information revêt un niveau d'importance unique pour les fonctions d'une organisation et possède différents degrés de sensibilité en fonction des circonstances particulières.
Lorsqu'une organisation met en œuvre un système de classification des informations, elle doit prendre en compte l'impact potentiel que la compromission de la confidentialité, de l'intégrité ou de la disponibilité des informations pourrait avoir sur l'organisation.
Par exemple, la sensibilité et l'impact potentiel d'une base de données contenant les adresses e-mail professionnelles de prospects qualifiés seraient très différents de ceux des dossiers médicaux des employés. Par conséquent, l’organisation doit examiner attentivement le niveau de protection requis par chaque catégorie d’informations et allouer les ressources en conséquence.
Mettre à jour et réviser régulièrement la classification
L'Annexe A, Contrôle 5.12, reconnaît que la valeur, l'importance et le niveau de sensibilité des informations peuvent changer au fil du temps, à mesure que les données suivent leur cycle de vie. En conséquence, les organisations doivent revoir régulièrement leur classification des informations et effectuer toutes les mises à jour nécessaires.
Le contrôle 27001 de l'annexe A de la norme ISO 5.12 concerne la réduction significative de la valeur et de la sensibilité des informations.
Il est essentiel de consulter d’autres organisations avec vous pour partager des informations et résoudre toute disparité.
Chaque organisation peut avoir une terminologie, des niveaux et des normes distincts pour ses systèmes de classification des informations.
Les divergences dans la classification des informations entre les organisations peuvent entraîner des risques potentiels lors de l'échange d'actifs informationnels.
Les organisations doivent collaborer avec leurs homologues pour établir un consensus afin de garantir l'uniformité de la classification des informations et une interprétation cohérente des niveaux de classification afin d'atténuer ces risques.
Cohérence au niveau organisationnel
Chaque département d'une organisation doit avoir une compréhension commune des niveaux et des protocoles de classification pour garantir l'uniformité des classifications dans l'ensemble de l'organisation.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Conseils sur la façon de mettre en œuvre le système de classification des informations
Bien que l'Annexe A 5.12 reconnaisse qu'il n'existe pas de système de classification universellement applicable et que les organisations ont la flexibilité d'établir et de définir leurs niveaux de classification, elle illustre un système de classification des informations :
- La divulgation ne cause aucun préjudice.
- La divulgation entraîne une atteinte mineure à la réputation ou un impact opérationnel mineur.
- La divulgation a un impact significatif à court terme sur les opérations ou les objectifs commerciaux.
- La divulgation a un impact sérieux sur les objectifs commerciaux à long terme ou met en danger la survie de l'organisation.
Changements et différences par rapport à la norme ISO 27002:2013
L'annexe A 8.2.1 de la version précédente traitait de la classification des informations.
Bien que les deux versions soient assez similaires, il existe deux différences principales :
- Premièrement, la version précédente ne mentionnait pas la nécessité d’une cohérence dans les niveaux de classification lorsque les informations sont partagées entre organisations. Cependant, la norme ISO 27001:2022 exige que les organisations collaborent avec leurs homologues pour garantir l'uniformité dans la classification et la compréhension des informations.
- Deuxièmement, la version mise à jour exige explicitement que les organisations élaborent des politiques adaptées à des sujets spécifiques. Seule une brève référence au contrôle d'accès était faite dans l'ancienne version.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque norme ISO 27001:2022. Annexe A Contrôle.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Comment l'aide d'ISMS.online
Nos la plateforme est conçue pour être conviviale et simple, s'adressant aux personnes hautement techniques et à tous les membres du personnel de votre organisation.
Nous préconisons d'impliquer les employés à tous les niveaux de l'entreprise dans la construction de votre SMSI, car cela contribue à l'établissement d'un système durable.
En savoir plus par réserver une démo.
