- Voir ISO 27002:2022 Contrôle 5.13 pour en profiter.
- Voir ISO 27001:2013 Annexe A 8.2.2 pour en profiter.
Le rôle de l’étiquetage dans la norme ISO 27001:2022 – Annexe A 5.13 expliquée
Les organisations postulent étiquettes de classification aux informations pertinentes actifs pour mettre en œuvre leur système de classification des informations.
Conformément au système de classification des informations adopté par l'organisation, l'ISO 27001:2022 Annexe A 5.13 définit un ensemble de procédures pour l'étiquetage des informations.
Outre l'identification des actifs physiques et électroniques, des procédures d'identification des informations devront être développées pour refléter le système de classification décrit au point 5.12.
Rendre les étiquettes faciles à reconnaître et à gérer ; sinon, ils ne seront pas suivis. Plutôt que de demander au personnel d'étiqueter chaque mise à jour du CRM avec une déclaration de confidentialité commerciale, il pourrait être plus facile de décider de facto que tout ce qui se trouve dans les systèmes numériques est confidentiel, sauf indication contraire expresse !
En utilisant le système de classification adopté dans l'Annexe A Contrôle 5.12, l'Annexe A Contrôle 5.13 détaille comment les organisations doivent développer, mettre en œuvre et gérer une procédure robuste d'étiquetage des informations.
Quel est l’objectif de la norme ISO 27001 : 2022, annexe A 5.13 ?
L’objectif de l’annexe A 5.13 est double : pour protéger les actifs informationnels contre les risques de sécurité :
- Les actifs informationnels peuvent être classés de manière simple lorsqu'ils sont communiqués en interne et en externe. C'est à ce moment-là que les employés et les tiers peuvent accéder et utiliser les informations.
- Le traitement et la gestion des informations peuvent être rationalisés grâce à l’automatisation.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Qui est propriétaire de l’annexe A 5.13 ?
Les actifs informationnels peuvent être étiquetés en ajoutant des métadonnées, les gestionnaires de métadonnées doivent donc être responsables de la mise en œuvre correcte du processus d'étiquetage.
Tous les actifs de données doivent être étiquetés de manière appropriée et les propriétaires des actifs doivent apporter toute modification à l'étiquetage avec des autorisations d'accès et de modification.
Lignes directrices générales sur la façon de se conformer à la norme ISO 27001:2022, annexe A 5.13
À l’aide de l’Annexe A Contrôle 5.13, les organisations peuvent étiqueter les informations conformément à quatre étapes spécifiques.
Établir une procédure pour les informations d'étiquetage
Le système de classification des informations créé selon l'Annexe A Contrôle 5.12 doit être respecté par les procédures d'étiquetage des informations des organisations.
5.13 exige également que cette procédure s'applique à tous les actifs informationnels, qu'ils soient numériques ou papier et que les étiquettes soient facilement reconnaissables.
Il n'y a aucune limite à ce que ce document de procédure peut contenir, mais l'Annexe A Contrôle 5.13 exige que les procédures incluent les éléments suivants :
- Une explication des méthodes d'apposition d'étiquettes sur les actifs informationnels en fonction du type de support de stockage et de la manière dont les données sont accessibles.
- Pour chaque type d’actif informationnel, où les étiquettes doivent être apposées.
- Par exemple, une organisation peut omettre de publier des données publiques dans le cadre de son processus d'étiquetage des informations.
- Des limitations techniques, légales ou contractuelles empêchent l'étiquetage de certains types d'informations.
- Les règles régissent la manière dont les informations doivent être étiquetées lorsqu'elles sont transmises en interne ou en externe.
- Des instructions doivent accompagner les actifs numériques sur la manière d'insérer des métadonnées.
- Tous les actifs doivent être étiquetés avec les mêmes noms.
Fournir une formation adéquate sur les procédures d’étiquetage aux employés
Le personnel et les autres parties prenantes concernées doivent comprendre comment étiqueter informations correctement et gérer les actifs informationnels étiquetés avant que la procédure d'étiquetage des informations puisse être effective.
En conséquence, les organisations devraient former le personnel et les autres parties concernées à la procédure.
Les actifs d'information numérique doivent être étiquetés avec des métadonnées
Les actifs d'information numérique doivent être étiquetés à l'aide de métadonnées conformément à 5.13.
Le déploiement des métadonnées devrait également faciliter l’identification et la recherche d’informations et rationaliser la prise de décision entre les systèmes liés aux informations étiquetées.
Des précautions supplémentaires doivent être prises pour étiqueter les données sensibles susceptibles de quitter le système
La recommandation 5.13 de l'Annexe A se concentre sur l'identification de l'étiquette la plus appropriée pour les transferts d’informations critiques et sensibles actifs, compte tenu des risques encourus.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Annexe A 5.13 Orientations supplémentaires
Pour que les opérations de partage de données soient sécurisées, il est essentiel d’identifier et d’étiqueter avec précision les informations classifiées.
L'annexe A 5.13 recommande également aux organisations d'insérer des points de métadonnées supplémentaires. C’est-à-dire le nom du processus qui a créé l’actif informationnel et l’heure à laquelle il a été créé.
De plus, l'annexe A 5.13 décrit les techniques d'étiquetage standard que les organisations peuvent utiliser :
- Étiquettes physiques
- En-têtes et pieds de page
- Métadonnées
- Filigrane
- Tampons en caoutchouc
Enfin, l'annexe A 5.13 souligne que le fait de qualifier les actifs informationnels de « confidentiels » et de « classifiés » peut avoir des conséquences inattendues. Cela peut permettre aux acteurs malveillants de découvrir et de trouver plus facilement des informations sensibles.
Quels sont les changements et les différences par rapport à la norme ISO 27001:2013 ?
ISO 27001: 2022 L'Annexe A 5.13 remplace l'ISO 27001:2013 Annexe A 8.2.2 (Étiquetage des informations).
Les deux contrôles de l'Annexe A sont similaires dans une certaine mesure, mais deux différences clés rendent la version ISO 27001:2022 plus complète.
L'utilisation de métadonnées est devenue nécessaire pour répondre à de nouvelles exigences
Même si la version de 2013 faisait référence aux métadonnées comme technique d’étiquetage, elle n’imposait aucune obligation spécifique de conformité lors de l’utilisation des métadonnées.
En revanche, la version 2022 intègre des différences et des modifications par rapport à la norme ISO 27001:2013.
L'utilisation des métadonnées est désormais une nécessité
En 2013, les métadonnées étaient évoquées comme une technique d’étiquetage, mais aucune obligation de conformité spécifique n’était imposée.
Contrairement à cela, la version 2022 inclut des exigences strictes concernant les techniques de métadonnées. Par exemple, la version 2022 nécessite les éléments suivants :
- L'ajout de métadonnées aux informations facilite leur identification, leur gestion et leur découverte.
- Il est nécessaire d'insérer des métadonnées pour le nom et la date du processus qui a créé l'actif.
Il est nécessaire de fournir plus de détails dans la procédure d'étiquetage des informations
Les procédures d'étiquetage des informations dans la version 2013 n'étaient pas tenues d'inclure le contenu minimum comme dans la version 2022.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Comment ISMS.online vous aide
Mise en œuvre de la norme ISO 27001 est plus facile grâce à notre liste de contrôle étape par étape, qui vous guide depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles de l'Annexe A.
L'utilisation de notre plateforme est intuitif et facile. Il ne s'adresse pas uniquement aux employés hautement techniques, mais à tous les membres de votre entreprise. Nous vous encourageons à impliquer l’ensemble de votre personnel dans la construction de votre ISMS, car cela vous aide à construire un système véritablement durable.
Contactez-nous dès aujourd'hui pour réserver une démo.
