- Voir ISO 27002:2022 Contrôle 8.8 pour en profiter.
- Voir ISO 27001:2013 Annexe A 12.6.1 pour en profiter.
- Voir ISO 27001:2013 Annexe A 18.2.3 pour en profiter.
Objet de la norme ISO 27001:2022 Annexe A 8.8
Aucun réseau informatique, système, logiciel ou appareil n’est entièrement sécurisé. L’exploitation d’un LAN ou d’un WAN moderne implique des vulnérabilités dans le cadre du processus. Il est donc essentiel que les organisations acceptent leur présence et s’efforcent de réduire les risques potentiels.
La norme ISO 27001:2022 Annexe A 8.8 fournit une multitude de conseils pour aider les organisations à protéger leurs réseaux contre l'exploitation interne et externe des vulnérabilités. Il utilise des procédures et des lignes directrices de plusieurs autres ISO 27001: 2022 Annexe A Contrôles, en particulier ceux pour La Gestion du changement (voir annexe A 8.32) et Contrôle d'Accès .
Propriété de l'annexe A 8.8
L'ISO 27001 :2022, Annexe A 8.8, traite de la gestion technique et administrative des logiciels, des systèmes et des actifs TIC. Il prescrit une approche globale pour la gestion des logiciels, la gestion d'actifset audit de sécurité du réseau.
La personne qui assume la responsabilité ultime de la maintenance de l'infrastructure TIC de l'organisation, telle que le responsable informatique ou équivalent, doit être le propriétaire de la norme ISO 27001:2022, annexe A 8.8.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Conseils sur l’identification des vulnérabilités
Avant d'effectuer des contrôles de vulnérabilité, il est essentiel d'acquérir une liste complète et à jour des actifs physiques et numériques (voir annexe A 5.9 et 5.14) détenus et exploités par l'organisation.
Les données sur les actifs logiciels doivent comprendre :
- Numéros de version actuellement en service.
- Où le logiciel est déployé dans tout le domaine.
- Nom du fournisseur.
- Nom de l'application.
Les organisations doivent s’efforcer d’identifier les vulnérabilités techniques en :
- Il est essentiel de définir clairement qui, au sein de l'organisation, est responsable de gestion des vulnérabilités par un technicien point de vue, remplissant ses diverses fonctions, qui comprennent (sans toutefois s'y limiter) :
- Surveillance.
- Mise à jour.
- La gestion d'actifs.
- L'évaluation des risques.
- Au sein de l'organisation, qui est responsable du logiciel.
- Tenir un registre des applications et des outils pour identifier les faiblesses techniques.
- Demander aux fournisseurs de divulguer toute susceptibilité avec les nouveaux systèmes et matériels lors de leur fourniture (conformément à l'annexe A 5.20 de la norme ISO 27001:2022), et le préciser clairement dans tous les contrats et accords de service applicables.
- Utilisez des outils d’analyse des vulnérabilités et des fonctionnalités de correction.
- Effectuez des tests d'intrusion périodiques et documentés, soit par le personnel interne, soit par un tiers authentifié.
- Soyez conscient du potentiel de vulnérabilités programmatiques sous-jacentes lors de l’utilisation de bibliothèques de code ou de code source tiers (reportez-vous à la norme ISO 27001:2022, annexe A 8.28).
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Orientations sur les activités publiques
Les organisations doivent créer des politiques et des procédures qui détectent les vulnérabilités de tous leurs produits et services et obtenir des évaluations de ces vulnérabilités liées à leur approvisionnement.
L'ISO conseille aux organisations de prendre des mesures pour identifier toute vulnérabilité et de motiver les tiers à participer aux activités de gestion des vulnérabilités en proposant des programmes de primes (dans lesquels les exploits potentiels sont recherchés et signalés à l'organisation en échange d'une récompense).
Les organisations doivent se rendre accessibles au public via des forums, des adresses e-mail publiques et des recherches afin de pouvoir exploiter les connaissances collectives du public pour protéger leurs produits et services.
Les organisations doivent examiner toute mesure corrective prise et envisager de divulguer les informations pertinentes aux personnes ou organisations concernées. En outre, ils devraient collaborer avec des organisations de sécurité spécialisées pour diffuser les connaissances sur les vulnérabilités et les vecteurs d’attaque.
Les organisations devraient penser à fournir un système de mise à jour automatisé en option que les clients peuvent choisir d'utiliser ou non, en fonction de leurs besoins commerciaux.
Conseils sur l'évaluation des vulnérabilités
Des rapports précis sont essentiels pour garantir une action corrective rapide et efficace lorsque des risques de sécurité sont détectés.
Les organisations doivent évaluer les vulnérabilités en :
- Examinez attentivement les rapports et déterminez quelle action est nécessaire, comme la modification, la mise à jour ou l'élimination des systèmes et/ou équipements concernés.
- Parvenir à une résolution qui prend en compte les autres contrôles ISO (en particulier ceux liés à la norme ISO 27001:2022) et reconnaît le niveau de risques.
Conseils pour contrer les vulnérabilités logicielles
Les vulnérabilités logicielles peuvent être corrigées efficacement grâce à une approche proactive des mises à jour logicielles et de la gestion des correctifs. Assurer des mises à jour et des correctifs réguliers peut aider à protéger votre système contre les menaces potentielles.
Les organisations doivent veiller à conserver les versions logicielles existantes avant d'apporter des modifications, effectuer des tests approfondis sur toutes les modifications et les appliquer à une copie désignée du logiciel.
Une fois les vulnérabilités identifiées, les organisations doivent prendre des mesures pour y remédier :
- Visez à corriger rapidement et efficacement toutes les faiblesses de sécurité.
- Dans la mesure du possible, respectez les protocoles organisationnels sur la gestion du changement (voir ISO 27001:2022 Annexe A 8.32) et la gestion des incidents (voir ISO 27001:2022 Annexe A 5.26).
- Appliquez uniquement des correctifs et des mises à jour provenant de sources fiables et certifiées, en particulier pour les logiciels et équipements de fournisseurs tiers :
- Les organisations doivent évaluer les données disponibles pour décider s'il est essentiel d'appliquer des mises à jour automatiques (ou des composants de celles-ci) aux logiciels et au matériel achetés.
- Avant l'installation, testez toutes les mises à jour pour éviter tout problème imprévu dans un environnement réel.
- Accordez la priorité absolue à la lutte contre les systèmes commerciaux vitaux et à haut risque.
- Assurez-vous que les mesures correctives sont efficaces et authentiques.
En cas d'absence de mise à jour disponible ou d'obstacles à l'installation d'une mise à jour (par exemple liés au coût), les organisations doivent envisager d'autres méthodes, telles que :
- Demander des conseils au fournisseur sur une solution temporaire pendant que les efforts correctifs sont intensifiés.
- Désactivez tous les services réseau affectés par la vulnérabilité.
- Mettre en œuvre des contrôles de sécurité au niveau des passerelles clés, tels que des réglementations de circulation et des filtres, pour protéger le réseau.
- Renforcer la surveillance proportionnellement au risque associé.
- Assurez-vous que toutes les parties concernées sont conscientes du défaut, y compris les vendeurs et les acheteurs.
- Retardez la mise à jour et évaluez les risques, en particulier en notant les coûts opérationnels potentiels.
Contrôles accompagnant l’Annexe A
- ISO 27001:2022 Annexe A 5.14
- ISO 27001:2022 Annexe A 5.20
- ISO 27001:2022 Annexe A 5.9
- ISO 27001:2022 Annexe A 8.20
- ISO 27001:2022 Annexe A 8.22
- ISO 27001:2022 Annexe A 8.28
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Orientations supplémentaires sur l'Annexe A 8.8
Les organisations devraient maintenir un Piste d'audit de toutes les activités pertinentes de gestion des vulnérabilités pour faciliter les actions correctives et faire progresser les protocoles en cas de faille de sécurité.
L'évaluation et la révision périodiques de l'ensemble du processus de gestion des vulnérabilités constituent un excellent moyen d'améliorer les performances et d'identifier de manière proactive les vulnérabilités.
Si l'organisation emploie un fournisseur de services cloud, elle doit s'assurer que l'approche du fournisseur en matière de gestion des vulnérabilités est compatible avec la leur et doit être incluse dans l'accord de service contraignant entre les deux parties, y compris toutes les procédures de reporting (voir ISO 27001:2022 Annexe A 5.32). .
Modifications et différences par rapport à la norme ISO 27001:2013
ISO 27001:2022 Annexe A 8.8 remplace deux contrôles de l'Annexe A de la norme ISO 27001:2013, ceux-ci sont:
- 12.6.1 – Gestion des vulnérabilités techniques
- 18.2.3 – Examen de la conformité technique
L'Annexe A 27001 de l'ISO 2022 :8.8 introduit une nouvelle approche distincte de la gestion des vulnérabilités par rapport à celle trouvée dans l'ISO 27001 :2013. Il s’agit d’une divergence notable par rapport à la norme antérieure.
L'annexe A 27001 de l'ISO 2013 :12.6.1 se concentre principalement sur la mise en place de mesures correctives une fois qu'une vulnérabilité est détectée, tandis que l'annexe A 18.2.3 ne s'applique qu'aux moyens techniques (en grande partie des tests d'intrusion).
ISO 27001:2022, l'Annexe A 8.8 introduit de nouvelles sections traitant des responsabilités publiques d'une organisation, des méthodes de reconnaissance des vulnérabilités et du rôle que jouent les fournisseurs de cloud pour maintenir les vulnérabilités au minimum.
ISO 27001:2022 met fortement l'accent sur le rôle de la gestion des vulnérabilités dans d'autres domaines (tels que la gestion du changement) et encourage l'adoption d'une approche holistique, intégrant plusieurs autres contrôles et processus de sécurité de l'information.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Comment l'aide d'ISMS.online
Nos la plateforme est conviviale et simple. Il s'adresse à tous les membres de l'organisation, pas seulement aux personnes expertes en technologie. Nous recommandons d'impliquer le personnel de tous les niveaux de l'entreprise dans construire votre SMSI car cela contribue à créer un système qui durera.
Contactez-nous dès maintenant pour organiser une démonstration.