- Voir ISO 27002:2022 Contrôle 8.27 pour en profiter.
- Voir ISO 27001:2013 Annexe A 14.2.5 pour en profiter.
ISO 27001:2022 Contrôle 8.27 – Renforcement de la sécurité du système de A à Z
ISO 27001: 2022 L'Annexe A 8.27 précise que les organisations doivent mettre en œuvre une architecture de système sécurisée et des principes d'ingénierie pour garantir que la conception, la mise en œuvre et la gestion du système d'information sont adaptées aux exigences de sécurité de l'organisation. Cela comprend l'établissement d'architectures de systèmes sécurisées, de principes d'ingénierie et de pratiques de conception sécurisées.
Les structures complexes des systèmes d’information contemporains, combinées à l’environnement des risques de cybersécurité en constante évolution, rendent les systèmes d’information plus vulnérables aux menaces de sécurité existantes et potentielles.
L'Annexe A 8.27 décrit comment les organisations peuvent protéger leurs systèmes d'information contre les menaces de sécurité grâce à la mise en œuvre de principes d'ingénierie de systèmes sécurisés à toutes les étapes du cycle de vie du système d'information.
Objet de la norme ISO 27001:2022 Annexe A 8.27
L'Annexe A 8.27 aide les organisations à sécuriser les systèmes d'information pendant les phases de conception, de déploiement et d'exploitation, via l'établissement et la mise en œuvre de principes d'ingénierie de systèmes sécurisés auxquels les ingénieurs système doivent adhérer.
Propriété de l'annexe A 8.27
L'espace Responsable de la sécurité de l'information doit être tenu responsable de l’établissement, du maintien et de la mise en œuvre des règles qui régissent l’ingénierie sûre des systèmes d’information.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Orientations générales sur la conformité à la norme ISO 27001:2022 Annexe A 8.27
La norme ISO 27001:2022 Annexe A 8.27 souligne la nécessité pour les organisations d'intégrer la sécurité dans l'intégralité de leurs systèmes d'information, y compris les processus métier, les applications et l'architecture des données.
Des pratiques d'ingénierie sécurisées doivent être mises en œuvre pour toutes les tâches associées aux systèmes d'information, régulièrement revues et mises à jour pour tenir compte des menaces et des modèles d'attaque émergents.
L'annexe A 8.27 s'applique également aux systèmes créés par des fournisseurs externes, en plus de ceux développés et gérés en interne.
Les organisations doivent garantir que les pratiques et les normes des prestataires de services sont conformes à leurs protocoles d'ingénierie sécurisés.
La norme ISO 27001:2022 Annexe A 8.27 nécessite des principes d'ingénierie de systèmes sécurisés pour aborder les huit sujets suivants :
- Méthodes d'authentification des utilisateurs.
- Conseils de contrôle de session sécurisé.
- Procédures de nettoyage et de validation des données.
- Les mesures de sécurité visant à protéger les actifs et les systèmes d'information contre les menaces connues sont analysées de manière approfondie.
- Mesures de sécurité analysées pour leur capacité à identifier, éliminer et répondre aux menaces de sécurité.
- Analyser les mesures de sécurité appliquées à des activités commerciales spécifiques, telles que le cryptage des informations.
- Où et comment les mesures de sécurité seront mises en œuvre. Un contrôle de sécurité spécifique de l’Annexe A peut être intégré au sein de l’infrastructure technique dans le cadre de ce processus.
- La manière dont différentes mesures de sécurité fonctionnent ensemble et fonctionnent comme un système combiné.
Conseils sur le principe Zero Trust
Les organisations doivent garder à l’esprit ces principes de confiance zéro :
- Basé sur l'hypothèse que les systèmes de l'organisation sont déjà compromis et que le périmètre de sécurité défini de son réseau ne peut pas fournir une protection adéquate.
- Une politique de « vérification avant confiance » devrait être adoptée lorsqu’il s’agit d’accorder l’accès aux systèmes d’information. Cela garantit que l’accès n’est accordé qu’après un examen minutieux, garantissant que les bonnes personnes l’obtiennent.
- Garantir que les demandes adressées aux systèmes d’information sont protégées avec un cryptage de bout en bout offre une assurance.
- Des mécanismes de vérification sont mis en œuvre en supposant des demandes d'accès de réseaux externes ouverts aux systèmes d'information.
- Mettez en œuvre le moindre privilège et le contrôle d’accès dynamique conformément à la norme ISO 27001:2022, annexes A 5.15, 5.18 et 8.2. Cela doit englober l'authentification et l'autorisation des informations et des systèmes d'information sensibles en tenant compte des aspects contextuels tels que l'identité des utilisateurs (ISO 27001:2022 Annexe A 5.16) et classification des informations (ISO 27001:2022 Annexe A 5.12).
- Authentifier l'identité du demandeur et vérifier les demandes d'autorisation pour accéder aux systèmes d'information conformément aux informations d'authentification de la norme ISO 27001 : 2022, annexe A 5.17, 5.16 et 8.5.
Que devraient couvrir les techniques d’ingénierie des systèmes sécurisés ?
Votre organisation doit garder à l’esprit les éléments suivants :
- Intégrer des principes d'architecture sécurisée tels que « sécurité dès la conception », « défense en profondeur », « échec sécurisé », « méfiance envers les entrées d'applications externes », « présumer une violation », « moindre privilège », « convivialité et facilité de gestion » et « moindre fonctionnalité » » est primordial.
- Effectuer un examen de conception axé sur la sécurité pour détecter tout problème de sécurité des informations et s'assurer que les mesures de sécurité sont établies et répondent aux besoins de sécurité.
- Il est essentiel de documenter et de reconnaître les mesures de sécurité qui ne répondent pas aux exigences.
- Le renforcement du système est essentiel pour la sécurité de tout système.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quels critères prendre en compte lors de la conception de principes d’ingénierie sécurisée ?
Les organisations doivent prendre en compte les points suivants lors de la mise en place de principes d’ingénierie de systèmes sécurisés :
- L’obligation de coordonner les contrôles de l’annexe A avec une architecture de sécurité particulière est indispensable.
- Infrastructure de sécurité technique existante d'une organisation, y compris l'infrastructure à clé publique, la gestion des identités et la prévention des fuites de données.
- L'organisation peut-elle construire et maintenir la technologie choisie.
- Le coût et le temps nécessaires pour remplir les exigences de sécurité, compte tenu de leur complexité, doivent être pris en compte.
- Il est essentiel d’adhérer aux meilleures pratiques actuelles.
Conseils sur l'application des principes d'ingénierie des systèmes sécurisés
La norme ISO 27001 : 2022, annexe A 8.27, indique que les organisations peuvent utiliser des principes d'ingénierie sécurisés lors de la configuration des éléments suivants :
- La tolérance aux pannes et d’autres stratégies de résilience sont essentielles. Ils contribuent à garantir que les systèmes restent opérationnels malgré la survenance d’événements inattendus.
- La ségrégation via la virtualisation est une technique qui peut être utilisée.
- L'inviolabilité garantit que les systèmes restent sécurisés et insensibles aux interférences malveillantes.
La technologie de virtualisation sécurisée peut réduire le risque d'interception entre les applications exécutées sur le même appareil.
Il est souligné que les systèmes de résistance à la falsification peuvent détecter les manipulations à la fois logiques et physiques des systèmes d'information, empêchant ainsi tout accès non autorisé aux données.
Changements et différences par rapport à la norme ISO 27001:2013
ISO 27001:2022 Annexe A 8.27 remplace l'ISO 27001:2013 Annexe A 14.2.5 dans la norme révisée 2022.
La version 2022 contient des exigences plus étendues que la version 2013, telles que :
- Par rapport à 2013, la version 2022 fournit des indications sur ce que devraient comprendre les principes d’ingénierie sécurisée.
- Contrairement à l'itération de 2013, la version 2022 prend en compte les critères que les organisations doivent prendre en compte lors de l'élaboration des principes d'ingénierie des systèmes sécurisés.
- La version 2022 fournit des orientations sur le principe de confiance zéro, qui n'était pas inclus dans la version 2013.
- L'édition 2022 du document comprend des recommandations sur les techniques d'ingénierie sécurisées, telles que la « sécurité dès la conception », qui n'étaient pas présentes dans la version 2013.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Comment l'aide d'ISMS.online
Notre liste de contrôle étape par étape facilite la mise en œuvre de la norme ISO 27001. Notre solution complète de conformité pour ISO/IEC 27001:2022 vous guidera tout au long du processus du début à la fin.
Une fois connecté, vous pouvez vous attendre à une progression allant jusqu'à 81 %.
Cette solution est totalement complète et simple.
Contactez-nous maintenant pour réserver une démonstration.