Dans le cadre de la norme ISO 27001:2022, l'annexe A 5.1 précise que les organisations doivent disposer d'un sécurité de l'information document de politique en place. C'est pour se protéger contre les menaces liées à la sécurité de l'information.
Les besoins des entreprises, ainsi que les réglementations et lois applicables, doivent être pris en compte lors de l’élaboration des politiques.
Un document de politique de sécurité de l'information est essentiellement un recueil de contrôles de l'annexe A qui renforce les déclarations clés de l'organisation en matière de sécurité et les met à la disposition des parties prenantes.
Dans la version 2022 de la norme, les politiques devraient également être incluses dans le programme d'éducation, de formation et de sensibilisation, comme décrit dans la section Contrôles des personnes A.6.3.
Les politiques organisationnelles précisent les principes que les membres et les parties clés comme les fournisseurs doivent adhérer. Ces politiques doivent être révisées régulièrement et mises à jour si nécessaire.
An politique de sécurité de l'information vise à fournir aux employés, à la direction et aux parties externes (par exemple, les clients et les fournisseurs) un cadre pour gérer les informations électroniques, y compris les réseaux informatiques.
Une politique de sécurité doit être définie, approuvée par la direction, publiée et communiquée aux salariés et aux parties externes concernées.
En plus de réduire le risque de perte de données due à des menaces internes et externes, les politiques de sécurité de l’information garantissent que tous les employés comprennent leur rôle dans la protection des données de l'organisation.
En plus de respecter des normes telles que ISO 27001, une politique de sécurité des informations peut également démontrer la conformité aux lois et réglementations.
La cyber-sécurité Les menaces incluent les espions d’entreprise et les hacktivistes, les groupes terroristes, les États-nations hostiles et les organisations criminelles. Ces menaces visent à accéder illégalement aux données, à perturber les opérations numériques ou à endommager les informations.
Les menaces pour la cybersécurité et la sécurité des informations comprennent :
Les politiques de sécurité des informations sont conçues pour protéger les informations sensibles de votre entreprise contre le vol et l'accès non autorisé.
In conforme à la norme ISO 27001, L'annexe contrôle A 5.1 guide l'objectif et la mise en œuvre de l'établissement d'une politique de sécurité de l'information dans une organisation.
Une politique globale de sécurité de l’information est requise par Annexe A Contrôle 5.1 pour que les organisations gèrent la sécurité de leurs informations. La haute direction doit approuver les lignes directrices, qui doivent être révisées régulièrement si des changements surviennent dans l'environnement de sécurité de l'information.
L'approche appropriée consiste à se réunir régulièrement, au moins une fois par mois, avec des réunions supplémentaires si nécessaire. En plus de partager les politiques avec les parties prenantes internes et externes, la direction doit approuver tout changement avant qu'il ne soit mis en œuvre.
A procédure opérationnelle détaillée qui décrit la manière dont la politique de sécurité de l'information sera mise en œuvre doit être basée et soutenue par une politique de sécurité de l'information.
La politique doit être approuvée par le haut direction et communiqué au personnel et aux parties intéressées.
En plus de donner orientation vers l'approche de l'organisation Pour gérer la sécurité de l'information, la politique peut être utilisée pour développer des procédures opérationnelles plus détaillées.
Comme l'exige Normes ISO/CEI 27000, une politique est essentielle pour établir et maintenir un système de gestion de la sécurité de l’information (ISMS). Une politique bien définie reste essentielle même si l'organisation n'a pas l'intention de mettre en œuvre la norme ISO 27001 ou toute autre certification formelle.
Les politiques de sécurité de l’information doivent être revues régulièrement pour garantir leur adéquation, leur adéquation et leur efficacité.
Lorsque des changements sont apportés à l'entreprise, à ses risques, à sa technologie, à sa législation ou à ses réglementations, ou si des faiblesses de sécurité, des événements ou des incidents indiquent que des changements de politique sont nécessaires.
Dans le cadre de la norme ISO 27001 révision 2013, ce contrôle fusionne les contrôles de l'Annexe A 5.1.1 Politiques de sécurité des informations et 5.1.2 Révision des politiques de sécurité des informations.
Contrôle Annexe A 5.1 pouces La norme ISO 27001:2022 a été mise à jour avec une description de son objectif et des directives de mise en œuvre élargies, ainsi qu'un tableau d'attributs qui permet aux utilisateurs de réconcilier les contrôles de l'Annexe A avec la terminologie de l'industrie.
Selon l'annexe A 5.1, les politiques de sécurité de l'information et les politiques spécifiques à un sujet doivent être définies, approuvées par la direction, publiées, communiquées et reconnues par le personnel approprié.
La politique de sécurité des informations d'une organisation doit prendre en compte la taille, le type et la sensibilité des actifs informationnels, les normes industrielles et les exigences gouvernementales applicables.
Selon la clause 5.1.2 de la norme ISO 27001:2013, l'objectif de l'Annexe A est de garantir que les politiques de sécurité des informations sont régulièrement évaluées si des changements surviennent dans l'environnement de sécurité des informations.
Selon les normes ISO 27001 : 2013 et ISO 27001 : 2022, la haute direction doit élaborer une politique de sécurité qui est approuvée par la haute direction et décrit comment l'organisation protégera ses données. Néanmoins, les deux versions des politiques couvrent des exigences différentes.
Selon la norme ISO 27001 : 2013, les politiques de sécurité de l'information doivent répondre aux exigences suivantes :
Les politiques de sécurité des informations doivent inclure les déclarations suivantes :
En revanche, la norme ISO 27001:2022 comporte des exigences plus complètes.
Dans le cadre de la politique de sécurité de l’information, les exigences suivantes doivent être prises en considération :
Les déclarations concernant les éléments suivants doivent être incluses dans la politique de sécurité des informations :
En outre, la norme ISO 27001:2022 a été révisée pour inclure des politiques spécifiques à un sujet pour la gestion des incidents de sécurité de l'information, la gestion des actifs, la sécurité des réseaux, la gestion des incidents et le développement sécurisé en tant que politiques spécifiques à un sujet. Dans le but de créer un cadre plus holistique, certaines exigences de la norme ISO 27001:2013 ont été supprimées ou fusionnées.
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Avec ISMS.en ligne, vous aurez accès à un ensemble complet d'outils et de ressources pour vous aider à gérer votre propre système de gestion de la sécurité de l'information (ISMS) ISO 27001, que vous soyez un nouvel arrivant ou déjà certifié.
De plus, ISMS.online propose des processus automatisés pour simplifier l'ensemble du processus d'examen. Ces processus permettent de gagner un temps administratif considérable par rapport à d’autres méthodes de travail.
Vous aurez une longueur d'avance avec les politiques et les contrôles ISO 27001 d'ISMS.online.
Des flux de travail, des outils, des cadres, des politiques et des contrôles intuitifs, une documentation et des conseils exploitables, ainsi que des conseils exploitables facilitent la mise en œuvre de la norme ISO 27001 en définissant le champ d'application, en identifiant les risques et en mettant en œuvre des contrôles basés sur nos algorithmes, qu'ils soient créés à partir de zéro. ou sur la base de modèles de meilleures pratiques de l'industrie.
Contactez-nous aujourd'hui pour planifier une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo