- See ISO 27002:2022 Contrôle 7.13 pour plus d'informations.
- See ISO 27001:2013 Annexe A 11.2.4 pour plus d'informations.
ISO 27001:2022 Annexe A 7.13 – Explication de la maintenance sécurisée des équipements
L'ISO 27001:2022 Annexe A 7.13 concerne l'établissement et la mise en œuvre de procédures et de mesures appropriées pour la maintenance appropriée de l'équipement afin de garantir que les actifs informationnels stockés sur cet équipement ne seront pas compromis.
Pour le stockage, l'utilisation et le transfert de actifs informationnels, les équipements informatiques tels que les serveurs, les ordinateurs portables, les périphériques réseau et les imprimantes sont essentiels. Le fait de ne pas entretenir cet équipement conformément à ses spécifications et aux risques environnementaux peut entraîner une mauvaise qualité et une dégradation des performances. En raison de ce manque de maintenance, l’intégrité, la confidentialité et la disponibilité des informations peuvent être compromises.
Par exemple, une organisation peut ne pas se rendre compte que son espace disque est plein si elle ne parvient pas à effectuer une maintenance régulière sur son matériel serveur. En conséquence, le serveur peut perdre les données transmises vers ou depuis lui.
Quel est l’objectif de la norme ISO 27001 : 2022, annexe A 7.13 ?
L'ISO 27001 :2022, Annexe A 7.13, décrit comment effectuer une maintenance appropriée des équipements utilisés pour stocker les actifs informationnels, sur la base de mesures et de procédures techniques.
Des mesures et des procédures sont mises en place pour garantir que les actifs informationnels sont protégés contre la perte, les dommages et l'accès non autorisé, entre autres préoccupations.
ISO 27001: 2022 L'annexe A 7.13 décrit un type de contrôle préventif dans le cadre duquel les organisations doivent adopter une approche active de la maintenance de leurs équipements.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Qui est propriétaire de l’annexe A 7.13 ?
Le respect de l'annexe A 7.13 stipule qu'une liste d'équipement doit être préparée, une évaluation des risques doit être menée sur la base de facteurs environnementaux et des spécifications du produit, ainsi que l'établissement et la mise en œuvre de procédures et de mesures appropriées pour assurer un bon entretien de l'équipement.
Gestionnaire de la sécurité de l'information devrait être chargé d'assurer la conformité à la norme ISO 27001:2022 Annexe A 7.13 malgré l'importance pour les personnes de manipuler cet équipement quotidiennement.
Orientations générales sur la norme ISO 27001:2022 Annexe A 7.13 pour la conformité
L’annexe A 7.13 fournit aux organisations 11 recommandations spécifiques :
- Il est recommandé de suivre les spécifications du fabricant de l'équipement concernant les procédures de maintenance, telles que les intervalles d'entretien recommandés.
- Pour tous les équipements, les organisations doivent établir et mettre en œuvre un programme de maintenance.
- L'entretien ou la réparation de l'équipement ne doit être effectué que par du personnel autorisé ou des tiers autorisés.
- Tous les dysfonctionnements et défauts des équipements doivent être enregistrés par les organisations. De plus, toutes les activités de maintenance sur ledit équipement doivent également être enregistrées.
- Il est essentiel que les organisations appliquent des procédures de maintenance adaptées, que la maintenance soit effectuée par leurs salariés ou par des tiers. En outre, accords de confidentialité doit être signé par le personnel concerné.
- Tout le personnel de maintenance doit être surveillé à tout moment.
- Les procédures d'accès et d'autorisation doivent être strictement appliquées pour les travaux de maintenance à distance.
- Les organisations doivent appliquer des mesures de sécurité appropriées conformément à l'annexe A 7.9 chaque fois que l'équipement est retiré des locaux pour maintenance.
- Les exigences d'entretien imposées par les assureurs doivent être respectées par les organisations.
- Pour s’assurer que l’équipement n’a pas été altéré et fonctionne correctement, les entreprises doivent l’inspecter après la maintenance.
- Les organisations doivent établir et mettre en œuvre des mesures et des procédures appropriées pour l'élimination ou la réutilisation des équipements conformément à l'annexe A 7.14.
Orientations supplémentaires sur l'Annexe A 7.13
L'annexe A 27001 de l'ISO 2022 :7.13 indique que les éléments suivants sont considérés comme des équipements et relèvent du champ d'application de l'annexe A 7.13 :
- Convertisseurs de puissance.
- Climatiseurs.
- Des atouts similaires.
- Composants techniques de installations de traitement de l'information.
- Batteries.
- Extincteurs.
- Ascenseurs.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Quels sont les changements et les différences par rapport à la norme ISO 27001:2013 ?
ISO 27001:2022 Annexe A 7.13 remplace ISO 27001:2013 Annexe A 11.2.4 (« Entretien de l'équipement »).
La version ISO 27001:2022 contient des exigences plus complètes
Par rapport à la version ISO 27001:2013, l'annexe A 7.13 de la version 2022 définit des exigences plus complètes.
Alors que la version ISO 27001:2013 ne répertorie que six exigences spécifiques, l'ISO 27001:2022, annexe A 7.13, contient 11 exigences.
L'Annexe A 7.13 introduit les cinq exigences suivantes, qui n'ont pas été abordées dans la version ISO 27001:2013 :
- Pour tous les équipements, les organisations doivent établir et mettre en œuvre un programme de maintenance.
- Tout le personnel de maintenance doit être surveillé à tout moment.
- Les travaux de maintenance effectués à distance doivent être soumis à des contrôles d’accès et d’autorisation stricts.
- Selon l'annexe A 7.14, les organisations doivent établir et mettre en œuvre des mesures et des procédures appropriées pour l'élimination ou la réutilisation des équipements.
- Les organisations doivent appliquer des mesures de sécurité appropriées conformément à l'annexe A 7.9 chaque fois que l'équipement est retiré des locaux pour maintenance.
La révision ISO 27001:2022 définit le terme « équipement »
Les lignes directrices supplémentaires définissent le terme « équipement » à l'annexe A 7.13. En revanche, la version ISO 27001:2013 ne faisait pas référence à la signification du terme « Équipement ».
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Comment l'aide d'ISMS.online
Vous pouvez effectuer les opérations suivantes avec ISMS.online :
- Assurez-vous que vos processus sont documentés. Grâce à cette interface intuitive, vous pouvez documenter vos processus sans installer de logiciel.
- Évaluez les risques plus efficacement en automatisant le processus.
- Grâce aux rapports et aux listes de contrôle en ligne, vous pouvez facilement démontrer votre conformité.
- Tout en travaillant vers la certification, gardez une trace de vos progrès.
ISMS.online propose une gamme complète de fonctionnalités pour aider les organisations et les entreprises à se conformer à la norme ISO 27001:2022.
Contactez-nous aujourd'hui pour planifier une démo.