Renforcement de la sécurité physique grâce à la conformité à la norme ISO 27001:2022
Dans le cas où un accès non autorisé est accordé à des zones physiques restreintes telles que les salles de serveurs et les salles d'équipement informatique, actifs informationnels peuvent être compromis en termes de confidentialité, de disponibilité, d’intégrité et de sécurité.
Dans la norme ISO 27001 : 2022, annexe A 7.4, il est interdit aux intrus de pénétrer dans des locaux physiques sensibles sans autorisation.
L’objectif de la norme ISO 27001 : 2022, annexe A 7.4 ?
L'Annexe A, Contrôle 7.4, exige que les organisations mettent en œuvre des outils de surveillance appropriés. Il s’agit de détecter et d’empêcher les intrus externes et internes de pénétrer dans des zones physiques restreintes sans autorisation.
Les outils de surveillance capables de surveiller et d'enregistrer les zones à accès restreint protègent contre les risques résultant d'un accès non autorisé aux zones à accès restreint, y compris, mais sans s'y limiter :
- Le vol de données.
- La perte des actifs informationnels.
- Dommage financier.
- Suppression des ressources de supports amovibles à des fins malveillantes.
- Infection par des logiciels malveillants des actifs informatiques.
- Les attaques sont menées par un intrus utilisant un ransomware.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Qui est propriétaire de l’annexe A 7.4 ?
Selon ISO 27001 Annexe A Contrôle 7.4, le respect de ce contrôle nécessite l'identification de toutes les zones réglementées. Cela nécessite également l’identification d’outils de surveillance adaptés à la zone physique spécifique à surveiller.
Par conséquent, le chef de la sécurité doit être responsable de la mise en œuvre, de la maintenance, de la gestion et de l’examen des systèmes de surveillance de manière efficace.
Conseils sur la façon de se conformer à la norme ISO 27001:2022, Annexe A 7.4
Selon la norme ISO 27001 Annexe A Contrôle 7.4, les organisations doivent mettre en œuvre les trois étapes suivantes pour détecter et dissuader tout accès non autorisé aux installations qui hébergent des informations critiques et empêcher qu'elles ne soient compromises.
Mettre en place un système de surveillance vidéo pour garder un œil sur la situation
Pour surveiller en permanence l'accès aux zones restreintes qui hébergent des informations critiques, une organisation doit disposer d'un système de vidéosurveillance, tel que des caméras de vidéosurveillance. Ceci est un exemple d'un tel système. En outre, il est également essentiel que ce système de surveillance conserve une trace de toutes les entrées et sorties dans les locaux.
Installation de détecteurs pour déclencher une alarme
La possibilité de déclencher une alarme lorsqu'un intrus pénètre dans les locaux physiques permet à l'équipe de sécurité de réagir rapidement à toute faille de sécurité. Cela peut également être un moyen efficace de dissuader les intrus d’entrer dans votre maison.
Il est recommandé aux organisations d'acheter des détecteurs de mouvement, de son et de contact qui les alerteront lorsqu'une activité anormale est détectée dans les locaux physiques de l'organisation.
Cela comprend, mais sans s'y limiter:
- Un détecteur de contact doit être installé dans l'environnement. Lorsqu'un objet ou un individu inconnu entre en contact avec un objet spécifique ou rompt le contact avec un certain objet, une alarme doit être activée. Un détecteur de contact peut, par exemple, être configuré pour déclencher une alarme lorsque le détecteur de contact entre en contact avec une fenêtre ou une porte.
- Les détecteurs de mouvement peuvent être configurés pour vous alerter s'ils détectent un mouvement dans leur champ de vision d'un objet se déplaçant dans leur champ de vision.
- Un détecteur sonore, tel qu'un détecteur de bris de vitre, peut être activé lorsqu'il détecte un son, ce qui peut aider à prévenir les accidents de voiture.
Configuration des alarmes pour tous les locaux internes
Il est impératif de s'assurer que le système d'alarme a été correctement configuré. Cela garantira que toutes les zones sensibles, y compris toutes les portes extérieures, fenêtres, zones inoccupées et salles informatiques, sont à portée du système d'alarme. Cela empêchera l’exploitation de toute vulnérabilité.
Par exemple, les intrus peuvent utiliser les zones fumeurs ou les entrées de gymnases comme vecteurs d’attaque s’ils ne sont pas surveillés.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Les types de systèmes de surveillance disponibles
Bien que ISO 27001 L'Annexe A Contrôle 7.4 n'exige pas que les organisations choisissent un système de surveillance plutôt qu'un autre, elle répertorie plusieurs outils de surveillance qui peuvent être utilisés séparément ou en combinaison avec d'autres, notamment :
- Caméra de surveillance.
- Gardes de sécurité.
- Systèmes d'alarme anti-intrusion.
- Logiciel de gestion de la sécurité physique.
ISO 27001:2022 Annexe A 7.4 Lignes directrices supplémentaires
Les considérations suivantes doivent être prises en compte lors de la mise en œuvre de systèmes de surveillance de la sécurité physique conformément à l'Annexe A, Contrôle 7.4 :
- Il est essentiel de maintenir la confidentialité sur la conception et le fonctionnement interne des systèmes de surveillance.
- Pour éliminer le risque de désactivation à distance des systèmes de surveillance par des parties malveillantes, des mesures appropriées doivent être mises en œuvre. Ces mesures devraient être mises en œuvre pour empêcher la divulgation de activités de surveillance, et des flux vidéo vers des parties non autorisées.
- Il est essentiel que la centrale d'alarme soit située dans une zone équipée d'alarme. De plus, il est essentiel que la personne qui déclenche l’alarme dispose d’un accès sûr et facile pour sortir de la zone.
- Un détecteur inviolable et un panneau de contrôle d'alarme doivent être utilisés.
- Les individus doivent être surveillés et enregistrés à l’aide de systèmes de surveillance uniquement à des fins légitimes. Cette surveillance et cet enregistrement doivent être conformes à toutes les lois et réglementations applicables, y compris les lois sur la protection des données. Par exemple, l'UE et le Royaume-Uni GDPR peut exiger que les organisations effectuent une évaluation d’impact avant de déployer des caméras de vidéosurveillance. De plus, l'enregistrement des flux vidéo doit respecter les périodes de conservation des données établies par les lois locales applicables.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quels sont les changements par rapport à la norme ISO 27001:2013 ?
Il est pertinent de noter que le contrôle 7.4 est un tout nouveau contrôle de l'Annexe A non abordé dans la norme ISO 27001:2013.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Les avantages d’ISMS.online
ISMS.online propose une large gamme d'outils puissants qui simplifient la mise en œuvre, la maintenance et l'amélioration de votre système de gestion de la sécurité de l'information (ISMS) pour répondre aux exigences de conformité ISO 27001.
En plus de fournir des outils complets, ISMS.online vous permet de créer des politiques et procédures sur mesure adaptées aux risques et aux exigences de votre organisation. Il permet également la collaboration entre collègues et partenaires externes tels que des fournisseurs ou des auditeurs tiers.
Contactez-nous dès aujourd'hui pour réserver une démo.