- Voir ISO 27002:2022 Contrôle 7.5 pour en profiter.
- Voir ISO 27001:2013 Annexe A 11.1.4 pour en profiter.
ISO 27001 Annexe A 7.5 : Renforcement de la sécurité contre les menaces physiques et environnementales
Les organisations doivent prendre en compte les risques posés par les menaces physiques sur leurs actifs informationnels.
Ces menaces peuvent inclure des dommages environnementaux, le vol, la destruction et la compromission des données. Ces problèmes peuvent tous entraîner une perte d’informations et la possibilité d’exposer des données sensibles.
Les événements naturels comme les tremblements de terre, les inondations et les incendies de forêt, ainsi que les catastrophes d’origine humaine comme les troubles civils et les actes criminels, constituent des menaces.
ISO 27001: 2022 L'Annexe A 7.5 exige que les organisations évaluent, reconnaissent et réduisent les risques pour les infrastructures physiques vitales dus aux dangers physiques et environnementaux.
Objet de la norme ISO 27001:2022 Annexe A 7.5
La norme ISO 27001:2022 Annexe A 7.5 permet aux organisations d'évaluer les risques potentiels posés par les menaces environnementales et physiques, et de réduire ou d'éliminer ces risques en mettant en œuvre des mesures appropriées.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Propriété de l'annexe A 7.5
ISO 27001: 2022 Annexe A 7.5 oblige les organisations à procéder à une évaluation complète des risques avant d'entreprendre toute opération physique dans les locaux et à mettre en œuvre des mesures appropriées proportionnelles au risque identifié.
Officiers en chef de la sécurité sont responsables de la création, de la gestion, de la mise en œuvre et de l’évaluation de l’ensemble du processus.
Guide sur la conformité à la norme ISO 27001:2022 Annexe A 7.5
L'Annexe A 27001 de l'ISO 2022 : 7.5 présente une stratégie en trois parties pour reconnaître et éliminer les dangers potentiels provenant de sources physiques et environnementales.
Étape 1 – Effectuer une évaluation des risques
Les organisations devraient effectuer une évaluation des risques pour identifier les dangers physiques et environnementaux potentiels pouvant survenir dans leurs locaux, puis évaluer les impacts possibles de ces risques physiques et environnementaux identifiés.
Compte tenu de la variété des conditions environnementales et des risques physiques auxquels chaque site et infrastructure peut être confronté, le type de menace et le niveau de risque identifié différeront en fonction de l'emplacement.
Une propriété peut être particulièrement vulnérable aux incendies de forêt tandis qu’une autre peut être située dans une zone sujette aux tremblements de terre.
Il est essentiel qu'une évaluation des risques soit effectuée avant de commencer les activités sur place, conformément à l'annexe A 7.5.
Étape 2 – Établir et utiliser des contrôles
Compte tenu du type de menace et du risque associé identifié initialement, les organisations doivent mettre en œuvre les contrôles appropriés en gardant à l'esprit les conséquences possibles des menaces environnementales et physiques.
L'Annexe A 27001 de la norme ISO 2022 : 7.5 propose des exemples de contrôles qui peuvent être mis en œuvre pour lutter contre différentes menaces :
- Les organisations doivent installer des systèmes capables de les alerter en cas d'incendie et d'activer des systèmes d'extinction d'incendie pour protéger les médias numériques et les systèmes d'information de la destruction.
- Des systèmes doivent être mis en œuvre et configurés pour identifier les inondations dans les endroits où les données sont stockées. De plus, les pompes à eau doivent être prêtes à être utilisées en cas d'inondation.
- Les serveurs et les systèmes de traitement de données doivent être protégés contre les surtensions électriques. Un entretien et une protection réguliers sont essentiels pour des performances optimales.
- Les organisations devraient auditer régulièrement et inspecter les personnes, les objets et les véhicules entrant dans les sites d’infrastructures critiques.
Étape 3 – Surveillance
Suivez les progrès et effectuez les ajustements nécessaires. Évaluer régulièrement les résultats et apporter des modifications pour garantir que les objectifs sont atteints. Assurez-vous de documenter toute modification pour référence future.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Orientations supplémentaires sur l'Annexe A 7.5
L'Annexe A 27001 de l'ISO 2022 :7.5 présente quatre considérations que les organisations doivent garder à l'esprit.
Consultation avec des experts
Chaque menace environnementale et physique, telle que les déchets toxiques, les tremblements de terre et les incendies, est distincte en termes de caractéristiques, de péril qu'elle représente et des mesures qui doivent être prises.
Les organisations doivent consulter des conseils spécialisés sur la manière de détecter, réduire et/ou gérer les risques posés par ces menaces.
Choix de l'emplacement des locaux
La prise en compte du terrain local, des niveaux d’eau et de l’activité tectonique d’un site potentiel pour un bâtiment peut aider à identifier et à éliminer rapidement les risques potentiels.
Les organisations doivent tenir compte des risques de catastrophes d'origine humaine dans la zone urbaine sélectionnée, par exemple les troubles politiques et les comportements criminels.
Couche de sécurité supplémentaire
L'utilisation de méthodes de stockage sécurisées, telles que des coffres-forts, offre une couche supplémentaire de protection contre les catastrophes telles que les incendies et les inondations, en plus des mesures de sécurité existantes.
Prévention du crime par la conception environnementale
L'Annexe A 27001 de la norme ISO 2022 :7.5 suggère que les organisations envisagent ce concept lorsqu'elles introduisent des contrôles pour renforcer la sécurité des locaux. Cette approche peut être utilisée pour lutter contre les menaces urbaines telles que les activités criminelles, les troubles civils et le terrorisme.
Changements et différences par rapport à la norme ISO 27001:2013
ISO 27001:2022 Annexe A 7.5 remplace ISO 27001:2013 Annexe A 11.1.4 de la norme révisée.
La version 2013 se concentrait sur la manière dont les organisations devraient mettre en place des mesures préventives contre les menaces physiques et environnementales, tandis que la version 2022 est plus complète, décrivant les étapes spécifiques que les organisations devraient suivre pour se conformer.
En conclusion, deux distinctions principales se dégagent.
La version 2022 offre des conseils sur le règlement des réunions
L'édition 2013 ne fournissait aucune orientation sur la manière dont les organisations pouvaient reconnaître et réduire les risques causés par les dangers environnementaux et physiques.
La version 2022 décrit un processus en trois étapes que les organisations doivent mettre en œuvre, en commençant par une évaluation des risques.
La révision de 2022 encourage les organisations à introduire un niveau supplémentaire de mesures
Les orientations supplémentaires pour 2022 incluent l’utilisation de coffres-forts et la prévention du crime grâce à la conception environnementale comme moyens de renforcer la sécurité contre les menaces.
En 2013, aucune mesure supplémentaire n’a toutefois été prise.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Comment l'aide d'ISMS.online
La plateforme ISMS.online offre une variété d'outils puissants pour documenter, mettre en œuvre, préserver et améliorer votre système de gestion de la sécurité de l'information (ISMS) et devenir plus facilement conforme à la norme ISO 27001:2022.
Cette collection complète d'outils fournit un emplacement unique où vous pouvez personnaliser un ensemble de politiques et de procédures en fonction des risques et des nécessités particuliers de votre organisation.
Contactez-nous aujourd'hui pour organiser une démonstration.