- Voir ISO 27002:2022 Contrôle 8.26 pour en profiter.
- Voir ISO 27001:2013 Annexe A 14.1.2 pour en profiter.
- Voir ISO 27001:2013 Annexe A 14.1.3 pour en profiter.
Comprendre la norme ISO 27001:2022 Annexe A 8.26 – Principes fondamentaux de la sécurité des applications
Les logiciels d'application tels que les applications Web, les programmes graphiques, les bases de données et le traitement des paiements sont essentiels à de nombreuses opérations commerciales.
Les applications sont souvent vulnérables à des problèmes de sécurité qui peuvent conduire à l'exposition de données confidentielles.
À titre d'exemple, l'agence d'évaluation du crédit Equifax, basée aux États-Unis, a négligé d'appliquer un correctif de sécurité au cadre d'application Web qu'elle utilisait pour gérer les plaintes des clients. Cette négligence a permis aux cyberattaquants d'exploiter les failles de sécurité de l'application Web, d'infiltrer les réseaux d'entreprise d'Equifax et de voler des informations sensibles à environ 145 millions de personnes.
ISO 27001:2022, l'Annexe A 8.26 décrit comment les organisations peuvent mettre en œuvre et mettre en œuvre sécurité de l'information exigences relatives aux applications lors de leur développement, de leur utilisation et de leur acquisition. Il garantit que les mesures de sécurité sont intégrées dans le cycle de vie des applications.
Objet de la norme ISO 27001:2022 Annexe A 8.26
ISO 27001: 2022 L'annexe A 8.26 permet aux organisations de défendre leurs actifs de données stockés ou traités par des applications grâce à la reconnaissance et à l'application de spécifications de sécurité des informations appropriées.
Propriété de l'annexe A 8.26
Responsable de la sécurité de l'information, soutenu par des experts en sécurité de l'information, devrait entreprendre l'identification, l'approbation et la mise en œuvre des demandes d'informations relatives à l'acquisition, à l'utilisation et au développement d'applications.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Orientations générales sur la conformité à la norme ISO 27001:2022 Annexe A 8.26
Les organisations doivent procéder à une évaluation des risques pour établir les exigences de sécurité des informations nécessaires pour une application particulière.
Le contenu et les types d'exigences en matière de sécurité des informations peuvent différer en fonction de l'application, mais celles-ci doivent couvrir :
- Basé sur la norme ISO 27001:2022, annexe A 5.17, 8.2 et 8.5, le niveau de confiance attribué à l'identité d'une entité spécifique.
- La classification des actifs informationnels à sauvegarder ou à gérer par le logiciel doit être identifiée.
- Est-il nécessaire de séparer l'accès aux fonctionnalités et aux données stockées sur l'application ?
- Évaluez si l'application est robuste contre les cyber-pénétrations telles que les injections SQL ou les interceptions involontaires comme le débordement de tampon.
- Les exigences et normes juridiques, réglementaires et statutaires doivent être respectées lors du traitement des transactions traitées, générées, enregistrées ou terminées par l'application.
- La confidentialité est de la plus haute importance pour toutes les personnes impliquées.
- Il est essentiel de garantir la protection des données confidentielles.
- Assurer la sécurité des informations lorsqu’elles sont utilisées, transférées ou stockées est primordial.
- Il est essentiel que toutes les parties concernées aient cryptage sécurisé de leurs communications si nécessaire.
- La mise en œuvre de contrôles d’entrée, comme la validation des entrées et l’exécution de contrôles d’intégrité, garantit l’exactitude.
- Effectuer des contrôles automatisés.
- Veiller à ce que les droits d'accès, ainsi que les personnes pouvant consulter les résultats, soient pris en compte pour le contrôle des résultats.
- Il est essentiel d'imposer des limites à ce qui peut être inclus dans les champs de « texte libre » pour se prémunir contre la diffusion involontaire d'informations confidentielles.
- Exigences réglementaires, telles que celles régissant la journalisation des transactions et la non-répudiation.
- D'autres contrôles de sécurité peuvent nécessiter le respect d'exigences spécifiques ; par exemple, les systèmes de détection des fuites de données.
- Comment votre organisation gère les messages d'erreur.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Conseils sur les services transactionnels
La norme ISO 27001 :2022, Annexe A 8.26, exige que les organisations prennent en compte les sept recommandations suivantes lorsqu'elles fournissent des services transactionnels entre elles et un partenaire :
- Le degré de confiance que chaque partie doit avoir dans l'identité de l'autre est essentiel dans toute transaction.
- La fiabilité des données envoyées ou traitées doit être assurée et un système approprié pour reconnaître tout déficit d'intégrité, y compris le hachage et les signatures numériques, doit être identifié.
- L'entreprise doit mettre en place un système pour déterminer qui est autorisé à approuver, signer et signer les documents transactionnels critiques.
- Assurer le secret et l'exactitude des documents essentiels, et vérifier la transmission et la réception de ces documents.
- Préservant la confidentialité et l'exactitude des transactions, il peut s'agir de commandes et de factures.
- Exigences sur la manière dont les transactions doivent rester confidentielles pendant une période de temps spécifiée.
- Les obligations contractuelles et les besoins en matière d’assurance doivent être remplis.
Conseils sur les applications de commande et de paiement électroniques
Les organisations doivent prendre en compte les éléments suivants lorsqu’elles intègrent des fonctionnalités de paiement et de commande électronique dans leurs applications :
- Assurer la confidentialité et l’intégrité des informations de commande est essentiel.
- Établir un niveau de confirmation approprié pour confirmer les informations de paiement fournies par un client.
- Éviter l'égarement ou la réplication des données de transaction.
- Assurez-vous que les informations relatives à l'information sont conservées à l'écart d'une zone accessible au public, par exemple un support de stockage situé dans l'intranet de l'organisation.
- Chaque fois qu'une organisation s'appuie sur une autorité externe pour émettre des signatures numériques, elle doit s'assurer que la sécurité est intégrée tout au long du processus.
Conseils sur les réseaux
Lorsque les applications sont accessibles via des réseaux, elles pourraient être exposées à des désaccords contractuels, à des comportements frauduleux, à des erreurs d'orientation, à des modifications non approuvées du contenu de la communication ou à une violation de la confidentialité des données sensibles.
La norme ISO 27001:2022 Annexe A 8.26 conseille aux organisations de mener des évaluations approfondies des risques afin d'identifier les contrôles appropriés, tels que la cryptographie, pour protéger la sécurité des transferts d'informations.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Changements et différences par rapport à la norme ISO 27001:2013
ISO 27001:2022 Annexe A 8.26 remplace l'ISO 27001:2013, annexe A 14.1.2 et 14.1.3 dans la norme révisée 2022.
Il existe trois distinctions majeures entre les deux versions.
Toutes les applications et applications passant par les réseaux publics
La norme ISO 27001:2013 présente une liste d'exigences en matière de sécurité de l'information à prendre en compte pour les applications devant être transmises via des réseaux publics.
En revanche, l'ISO 27001:2022 Annexe A 8.26 fournit une liste d'exigences en matière de sécurité des informations qui s'appliquent à toutes les applications.
Conseils supplémentaires sur les applications de commande et de paiement électroniques
L'Annexe A 27001 de l'ISO 2022 :8.26 fournit des conseils spécifiques sur les applications de commande et de paiement électroniques, ce qui n'a pas été abordé dans la version 2013.
Exigence relative aux services transactionnels
Alors que l’édition 2022 et l’édition 2013 sont quasiment les mêmes concernant les prérequis aux services transactionnels, l’édition 2022 introduit une exigence supplémentaire non prise en compte dans l’édition 2013 :
- Les organisations doivent garder à l’esprit les obligations contractuelles et les stipulations d’assurance.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Comment l'aide d'ISMS.online
ISMS.online est un système basé sur le cloud qui aide les organisations à démontrer leur alignement avec la norme ISO 27001:2022. Ce système peut être utilisé pour superviser les exigences ISO 27001, garantissant ainsi que votre organisation reste conforme à la norme.
Nos la plateforme est conviviale et accessible à tous. Cela ne nécessite pas de connaissances techniques complexes ; n'importe qui dans votre entreprise peut en profiter.
Contactez-nous maintenant pour programmer une démonstration.