ISO 27001:2022 Annexe A Contrôle 5.1

Politiques de sécurité des informations

Demander demo

affaires,homme,utilisation,mobile,intelligent,téléphone,,occupé,travail,sur,ordinateur portable

Dans le cadre de la norme ISO 27001:2022, l'annexe A 5.1 précise que les organisations doivent disposer d'un sécurité de l'information document de politique en place. C'est pour se protéger contre les menaces liées à la sécurité de l'information.

Les besoins des entreprises, ainsi que les réglementations et lois applicables, doivent être pris en compte lors de l’élaboration des politiques.

Un document de politique de sécurité de l'information est essentiellement un recueil de contrôles de l'annexe A qui renforce les déclarations clés de l'organisation en matière de sécurité et les met à la disposition des parties prenantes.

Dans la version 2022 de la norme, les politiques devraient également être incluses dans le programme d'éducation, de formation et de sensibilisation, comme décrit dans la section Contrôles des personnes A.6.3.

Les politiques organisationnelles précisent les principes que les membres et les parties clés comme les fournisseurs doivent adhérer. Ces politiques doivent être révisées régulièrement et mises à jour si nécessaire.

Que sont les politiques de sécurité des informations ?

An politique de sécurité de l'information vise à fournir aux employés, à la direction et aux parties externes (par exemple, les clients et les fournisseurs) un cadre pour gérer les informations électroniques, y compris les réseaux informatiques.

Une politique de sécurité doit être définie, approuvée par la direction, publiée et communiquée aux salariés et aux parties externes concernées.

En plus de réduire le risque de perte de données due à des menaces internes et externes, les politiques de sécurité de l’information garantissent que tous les employés comprennent leur rôle dans la protection des données de l'organisation.

En plus de respecter des normes telles que ISO 27001, une politique de sécurité des informations peut également démontrer la conformité aux lois et réglementations.

Menaces liées à la sécurité de l'information et à la cybersécurité expliquées

La cyber-sécurité Les menaces incluent les espions d’entreprise et les hacktivistes, les groupes terroristes, les États-nations hostiles et les organisations criminelles. Ces menaces visent à accéder illégalement aux données, à perturber les opérations numériques ou à endommager les informations.

Les menaces pour la cybersécurité et la sécurité des informations comprennent :

  • Les virus, logiciels espions et autres programmes malveillants sont considérés comme des logiciels malveillants.

  • Un e-mail qui semble provenir d'une source fiable mais contient des liens et des pièces jointes qui installent des logiciels malveillants sur votre ordinateur.

  • Les virus empêchent les utilisateurs d'accéder à leurs données jusqu'à ce qu'ils paient une rançon.

  • Le processus de manipulation des personnes pour qu'elles divulguent des informations sensibles est connu sous le nom d'ingénierie sociale.

  • Les e-mails de phishing qui semblent provenir de personnes haut placées au sein d’une organisation sont connus sous le nom d’attaques de baleines.
Aller au sujet
Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

Comment fonctionne la norme ISO 27001 : 2022, annexe A 5.1 ?

Les politiques de sécurité des informations sont conçues pour protéger les informations sensibles de votre entreprise contre le vol et l'accès non autorisé.

In conforme à la norme ISO 27001, L'annexe contrôle A 5.1 guide l'objectif et la mise en œuvre de l'établissement d'une politique de sécurité de l'information dans une organisation.

Une politique globale de sécurité de l’information est requise par Annexe A Contrôle 5.1 pour que les organisations gèrent la sécurité de leurs informations. La haute direction doit approuver les lignes directrices, qui doivent être révisées régulièrement si des changements surviennent dans l'environnement de sécurité de l'information.

L'approche appropriée consiste à se réunir régulièrement, au moins une fois par mois, avec des réunions supplémentaires si nécessaire. En plus de partager les politiques avec les parties prenantes internes et externes, la direction doit approuver tout changement avant qu'il ne soit mis en œuvre.

Commencer et répondre aux exigences de l’Annexe A 5.1

A procédure opérationnelle détaillée qui décrit la manière dont la politique de sécurité de l'information sera mise en œuvre doit être basée et soutenue par une politique de sécurité de l'information.

La politique doit être approuvée par le haut direction et communiqué au personnel et aux parties intéressées.

En plus de donner orientation vers l'approche de l'organisation Pour gérer la sécurité de l'information, la politique peut être utilisée pour développer des procédures opérationnelles plus détaillées.

Comme l'exige Normes ISO/CEI 27000, une politique est essentielle pour établir et maintenir un système de gestion de la sécurité de l’information (ISMS). Une politique bien définie reste essentielle même si l'organisation n'a pas l'intention de mettre en œuvre la norme ISO 27001 ou toute autre certification formelle.

Les politiques de sécurité de l’information doivent être revues régulièrement pour garantir leur adéquation, leur adéquation et leur efficacité.

Lorsque des changements sont apportés à l'entreprise, à ses risques, à sa technologie, à sa législation ou à ses réglementations, ou si des faiblesses de sécurité, des événements ou des incidents indiquent que des changements de politique sont nécessaires.

Quels sont les changements et les différences par rapport à la norme ISO 27001:2013 ?

Dans le cadre de la norme ISO 27001 révision 2013, ce contrôle fusionne les contrôles de l'Annexe A 5.1.1 Politiques de sécurité des informations et 5.1.2 Révision des politiques de sécurité des informations.

Contrôle Annexe A 5.1 pouces La norme ISO 27001:2022 a été mise à jour avec une description de son objectif et des directives de mise en œuvre élargies, ainsi qu'un tableau d'attributs qui permet aux utilisateurs de réconcilier les contrôles de l'Annexe A avec la terminologie de l'industrie.

Selon l'annexe A 5.1, les politiques de sécurité de l'information et les politiques spécifiques à un sujet doivent être définies, approuvées par la direction, publiées, communiquées et reconnues par le personnel approprié.

La politique de sécurité des informations d'une organisation doit prendre en compte la taille, le type et la sensibilité des actifs informationnels, les normes industrielles et les exigences gouvernementales applicables.

Selon la clause 5.1.2 de la norme ISO 27001:2013, l'objectif de l'Annexe A est de garantir que les politiques de sécurité des informations sont régulièrement évaluées si des changements surviennent dans l'environnement de sécurité des informations.

Selon les normes ISO 27001 : 2013 et ISO 27001 : 2022, la haute direction doit élaborer une politique de sécurité qui est approuvée par la haute direction et décrit comment l'organisation protégera ses données. Néanmoins, les deux versions des politiques couvrent des exigences différentes.

Analyse comparative de l'Annexe A 5.1 Lignes directrices de mise en œuvre

Selon la norme ISO 27001 : 2013, les politiques de sécurité de l'information doivent répondre aux exigences suivantes :

  • La stratégie commerciale.

  • Contrats, réglementations et législation.

  • Une description de l'environnement de menace actuel et prévu pour la sécurité de l'information.

Les politiques de sécurité des informations doivent inclure les déclarations suivantes :

  • Toutes les activités liées à la sécurité de l'information doit être guidée par une définition de la sécurité de l’information, des objectifs et des principes.

  • Les responsabilités de gestion de la sécurité de l’information sont attribuées à des rôles définis de manière générale et spécifique.

  • Le processus de gestion des écarts et des exceptions.

En revanche, la norme ISO 27001:2022 comporte des exigences plus complètes.

Dans le cadre de la politique de sécurité de l’information, les exigences suivantes doivent être prises en considération :

  • Stratégie et exigences de l'entreprise.

  • Législation, réglementation et contrats.

  • Risques et menaces en matière de sécurité de l’information qui existent aujourd’hui et à l’avenir.

Les déclarations concernant les éléments suivants doivent être incluses dans la politique de sécurité des informations :

  • Définition de la sécurité de l’information.

  • Un cadre pour établir des objectifs de sécurité de l’information.

  • Les principes de sécurité de l’information devraient guider toutes les activités.

  • Un engagement à se conformer à toutes les exigences applicables en matière de sécurité des informations.

  • Un engagement continu à améliorer système de gestion de la sécurité de l'information.

  • Attribution des responsabilités en fonction des rôles pour la gestion de la sécurité de l'information.

  • Les exceptions et exemptions sont traitées conformément à ces procédures.

En outre, la norme ISO 27001:2022 a été révisée pour inclure des politiques spécifiques à un sujet pour la gestion des incidents de sécurité de l'information, la gestion des actifs, la sécurité des réseaux, la gestion des incidents et le développement sécurisé en tant que politiques spécifiques à un sujet. Dans le but de créer un cadre plus holistique, certaines exigences de la norme ISO 27001:2013 ont été supprimées ou fusionnées.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment ISMS.Online aide

Avec ISMS.en ligne, vous aurez accès à un ensemble complet d'outils et de ressources pour vous aider à gérer votre propre système de gestion de la sécurité de l'information (ISMS) ISO 27001, que vous soyez un nouvel arrivant ou déjà certifié.

De plus, ISMS.online propose des processus automatisés pour simplifier l'ensemble du processus d'examen. Ces processus permettent de gagner un temps administratif considérable par rapport à d’autres méthodes de travail.

Vous aurez une longueur d'avance avec les politiques et les contrôles ISO 27001 d'ISMS.online.

Des flux de travail, des outils, des cadres, des politiques et des contrôles intuitifs, une documentation et des conseils exploitables, ainsi que des conseils exploitables facilitent la mise en œuvre de la norme ISO 27001 en définissant le champ d'application, en identifiant les risques et en mettant en œuvre des contrôles basés sur nos algorithmes, qu'ils soient créés à partir de zéro. ou sur la base de modèles de meilleures pratiques de l'industrie.

Contactez-nous aujourd'hui pour planifier une démo.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Méthode de résultats assurés
100% de réussite ISO 27001

Votre chemin simple, pratique et rapide vers la première conformité ou certification ISO 27001

Réservez votre démo

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage