- Voir ISO 27002:2022 Contrôle 5.4 pour en profiter.
- Voir ISO 27001:2013 Annexe A 7.2.1 pour en profiter.
Assurer la conformité : Guide de gestion pour le contrôle de la norme ISO 27001 5.4
ISO 27001:2022, Annexe A, contrôle 5.4, Responsabilités de la direction couvre la nécessité pour la direction de s'assurer que tout le personnel respecte toutes les politiques spécifiques à un sujet de sécurité de l'information et les procédures telles que définies dans la politique de sécurité de l'information établie de l'organisation.
Qu'est-ce que l'ISO 27001 : 2022, Annexe A 5.4, Responsabilités de la direction ?
Les employés et les sous-traitants doivent être conscients et respecter leurs responsabilités en matière de sécurité de l'information comme décrit dans la présente annexe.
L'Annexe A Contrôle 5.4 décrit comment les employés et les sous-traitants appliquent la sécurité des informations conformément aux politiques et procédures de l'organisation.
Les responsabilités confiées aux gestionnaires devraient inclure les exigences suivantes :
- Ils doivent comprendre les menaces, les vulnérabilités et les contrôles liés à la sécurité de l'information liés à leurs fonctions et recevoir une formation régulière (comme indiqué à l'annexe A 7.2.2).
- Renforcer les exigences des conditions d'emploi en garantissant l'adhésion à un soutien proactif et adéquat pour les politiques et contrôles de sécurité de l'information applicables décrits à l'annexe A.
Il est de la responsabilité des managers de veiller à ce que la conscience et la conscience de la sécurité imprègnent l’ensemble de l’organisation et d’établir une « culture de sécurité » appropriée.
Politiques de sécurité de l’information – Que sont-elles ?
An la politique de sécurité de l'information est un document formel qui fournit des orientations de gestion, des objectifs et des principes pour protéger les informations d'une organisation. Pour garantir une allocation appropriée des ressources, une politique de sécurité de l'information efficace doit être adaptée aux besoins spécifiques d'une organisation et soutenue par la haute direction.
Il précise comment l'entreprise protégera ses actifs informationnels et comment les employés doivent gérer les données sensibles.
pont les politiques de sécurité de l’information sont élaborées par la haute direction en collaboration avec le personnel de sécurité informatique et découlent des lois, des réglementations et des meilleures pratiques.
Un cadre permettant de définir les rôles et les responsabilités ainsi qu'une période d'examen devraient également être inclus dans les politiques.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Pourquoi l'Annexe A 27001 de l'ISO 2022:5.4 est-elle importante ?
L'annexe A, Contrôle 5.4, vise à garantir que la direction est consciente de ses responsabilités en matière de sécurité de l'information.
Il prend des mesures pour garantir que tous les employés sont conscients de ces responsabilités.
Comment fonctionne l'Annexe A 5.4
L'information est un atout précieux qui doit être protégé contre la perte, la détérioration ou l'utilisation abusive. La direction doit veiller à ce que des mesures adéquates soient prises pour protéger cet atout. À cette fin, elle doit s'assurer que l'ensemble du personnel respecte les politiques de sécurité de l'information, les politiques thématiques et les procédures de l'organisation.
Le contrôle 5.4 de l'annexe A définit la responsabilité de la direction concernant la sécurité de l'information dans une organisation sur la base du cadre ISO 27001.
La direction doit adhérer au programme de sécurité des informations, et tous les employés et sous-traitants doivent connaître la politique de sécurité des informations et la suivre. Les politiques de sécurité, les politiques spécifiques à un sujet et les procédures ne doivent jamais être exemptées de l'obligation de conformité de la part d'un employé ou d'un entrepreneur.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Le processus de l'annexe A 5.4 et à quoi s'attendre
Les politiques, normes et procédures de sécurité des informations d'une organisation doivent être appliquées par la direction pour se conformer à ce contrôle de l'annexe A.
Obtenir le soutien et l'adhésion de la direction est la première étape.
Pour démontrer son engagement, la direction doit suivre toutes ses politiques et procédures. Par exemple, si formation de sensibilisation à la sécurité est requis chaque année, les gestionnaires doivent suivre ces cours eux-mêmes.
Quel que soit son poste, chacun dans l’entreprise doit être conscient de l’importance de la sécurité de l’information. Comme indiqué dans le programme ISMS de l'entreprise, chacun doit comprendre son rôle dans le maintien de la sécurité des données sensibles. Cela inclut le conseil d’administration, les dirigeants et les gestionnaires ainsi que les employés.
Quels sont les changements et les différences par rapport à la norme ISO 27001:2013 ?
ISO 27001:2022 Annexe A 5.4 Responsabilités de la direction était auparavant connue sous le nom de Contrôle 7.2.1 Responsabilités de la direction. Il ne s'agit pas d'un contrôle nouvellement ajouté mais d'une interprétation plus robuste du contrôle correspondant dans ISO 27001: 2013.
Il existe quelques différences entre l'annexe A, le contrôle 5.4 et le contrôle 7.2.1. Ces différences sont documentées dans les directives de mise en œuvre des deux.
Comparaison des lignes directrices de mise en œuvre ISO 27001 pour l'annexe A 5.4
Il est de la responsabilité de la direction de s'assurer que les employés et les entrepreneurs respectent les normes suivantes :
- Avant d’accéder à des informations confidentielles ou à des systèmes d’information, les employés sont correctement formés aux rôles et responsabilités en matière de sécurité de l’information.
- Fournir des lignes directrices pour énoncer les attentes en matière de sécurité de l’information liées à leur rôle au sein de l’organisation.
Une organisation doit :
- Être motivé pour garantir que les politiques de sécurité des informations de l'organisation sont respectées.
- Connaître leurs rôles et responsabilités en matière de sécurité de l’information.
- Se conformer à la politique de sécurité de l'information de l'organisation et aux méthodes de travail appropriées.
- Assurez-vous que les employés possèdent les compétences et les qualifications appropriées et reçoivent une formation régulière.
- Signalement des violations de la sécurité de l'information les politiques ou procédures peuvent être appliquées de manière anonyme (« dénonciation »).
La direction doit soutenir les politiques, procédures et contrôles de sécurité de l’information de l’Annexe A.
Le contrôle 5.4 de l'annexe A est plus convivial et exige que la direction s'assure que les employés et les entrepreneurs suivent les lignes directrices suivantes :
A) Sont informés de leurs responsabilités et de leurs rôles en matière de sécurité de l'information avant que l'accès ne soit accordé aux informations de l'organisation.
B) Recevez des directives qui précisent le niveau attendu de sécurité des informations dans leurs rôles spécifiques.
C) Respecter la politique de sécurité des informations de l'organisation et les politiques spécifiques à un sujet.
D) Prendre conscience de leur rôle et de leurs responsabilités en matière de sécurité de l’information.
E) Respect des règles du lieu de travail, y compris la politique de sécurité des données et les méthodes de travail de l'organisation.
F) Renseignez-vous continuellement sur les compétences et les qualifications en matière de sécurité de l'information.
G) En cas de violation des politiques de sécurité de l’information, des politiques ou procédures spécifiques à un sujet (« dénonciation »), les employés doivent disposer d’un canal de communication confidentiel. Une option de signalement anonyme ou des dispositions garantissant que l'identité du déclarant n'est connue que de ceux qui doivent traiter ces signalements sont possibles.
H) Garantir des ressources et un temps de planification de projet adéquats pour mettre en œuvre les processus liés à la sécurité et les contrôles de l'annexe A.
La norme ISO 27001:2022 exige explicitement que les travailleurs et les sous-traitants aient accès aux ressources et au temps de planification de projet nécessaires pour mettre en œuvre les procédures et contrôles liés à la sécurité.
ISO 27001:2013 et ISO 27001:2022 utilisent une formulation différente pour certaines directives de mise en œuvre. Par exemple, la ligne directrice C de 2013 stipule que les employés et les sous-traitants doivent être « motivés » à adopter les politiques SMSI ; cependant, en 2022, le mot « mandaté » est utilisé.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Comment ce processus est-il géré ?
En termes simples, la direction d'une entreprise veille à ce qu'un SMSI (Système de gestion de la sécurité de l'information) est en place.
Un responsable de la sécurité de l'information qualifié, expérimenté et responsable du développement, de la mise en œuvre, de la gestion et de l'amélioration continue du SMSI doit être nommé.
ISMS.online : Comment nous pouvons vous aider
Lors de la mise en œuvre d'un SMSI aligné sur la norme ISO 27001, un défi majeur consiste à assurer le suivi de vos contrôles de sécurité des informations. Notre système simplifie ce processus.
Notre équipe comprend l’importance de protéger les données et la réputation de votre organisation. Par conséquent, notre plateforme basée sur le cloud simplifie le mise en œuvre de la norme ISO 27001, vous permet d'établir un cadre robuste pour les contrôles de sécurité des informations et vous aide à obtenir la certification rapidement et facilement.
En utilisant ISMS.en ligne, vous pouvez obtenir rapidement la certification ISO 27001 et la gérer par la suite. Notre plateforme dispose de diverses fonctionnalités conviviales et des boîtes à outils qui vous feront gagner du temps et garantiront que vous créez un SMSI robuste.
Contactez-nous aujourd'hui pour planifier une démo.
