ISO 27001:2022 Annexe A Contrôle 5.12

Classification des informations

Demander demo

jeunes,affaires,collègues,travaillant,dans,un,occupé,ouvert,plan,bureau

La classification des informations est un processus fondamental qui permet aux organisations de regrouper leurs actifs informationnels en catégories pertinentes en fonction du niveau de protection requis.

Selon ISO 27001: 2022 Annexe A 5.1.2, les informations doivent être classées en fonction de divers facteurs, notamment les exigences légales, la valeur, la criticité et la sensibilité à la divulgation ou à la modification non autorisée. Cette classification doit être conçue pour refléter l’activité commerciale unique de l’organisation sans l’entraver ni la compliquer.

Par exemple, les informations destinées à la consommation publique doivent être correctement marquées, tandis que les données confidentielles ou commercialement sensibles doivent bénéficier d'un marquage approprié. degré de sécurité plus élevé. Il est essentiel de noter que la classification des informations figure parmi les contrôles les plus importants de l'annexe A du s’assurer que les actifs de l’organisation sont protégés.

Objet de la norme ISO 27001:2022 Annexe A 5.12

L'Annexe A Le contrôle 5.12 est un contrôle préventif qui permet aux organisations d’identifier les risques en déterminant le niveau de protection approprié pour chaque actif informationnel en fonction de son importance et de sa sensibilité.

Dans les directives supplémentaires, l'annexe A, Contrôle 5.12, met explicitement en garde contre la sur- ou la sous-classification des informations. Les organisations doivent tenir compte des exigences de confidentialité, de disponibilité et d’intégrité lorsqu’elles attribuent des actifs à leurs catégories respectives. Cela permet de garantir que le système de classification équilibre les besoins commerciaux en informations et les exigences de sécurité pour chaque catégorie d'informations.

Propriété de l'annexe A 5.12

S'il est essentiel d'établir un système de classification des actifs informationnels dans l'ensemble de l'organisation, il incombe en fin de compte aux propriétaires des actifs de garantir qu'il est correctement mis en œuvre.

Conformément à la norme ISO 27001 : 2022, annexe A 5.12, ceux qui disposent d’actifs informationnels pertinents doivent être tenus responsables. Par exemple, le service comptable doit classer les informations sur la base du système de classification à l'échelle de l'organisation lorsqu'il accède aux dossiers contenant des rapports de paie et des relevés bancaires.

Lors de la classification des informations, il est crucial pour les propriétaires d'actifs de prendre en compte les besoins de l'entreprise et les impact potentiel qu’une compromission d’informations pourrait avoir sur l’organisation. De plus, ils doivent tenir compte de l'importance et des niveaux de sensibilité des informations.

Aller au sujet
Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

Orientations générales sur la norme ISO 27001:2022 Annexe A 5.12

Pour réussir à mettre en œuvre un système robuste de classification des informations, les organisations doivent adopter une approche thématique, prendre en compte les besoins d'information spécifiques de chaque unité commerciale et évaluer le niveau de sensibilité et de criticité des informations.

Conformément à l'Annexe A Contrôle 5.12, les organisations doivent évaluer les sept critères suivants lors de la mise en œuvre d'un système de classification :

Établir une politique spécifique à un sujet et répondre aux besoins commerciaux spécifiques

Annexe A Contrôle 5.12 du système de gestion de la sécurité de l'information fait référence à l’Annexe A Contrôle 5.1, qui concerne le contrôle d’accès. Il exige que les organisations adhèrent aux politiques spécifiques à un sujet stipulées dans l’Annexe A Contrôle 5.1. De plus, le système et les niveaux de classification doivent tenir compte des besoins spécifiques de l'entreprise lors de la classification des actifs informationnels.

Les organisations doivent prendre en compte leurs besoins commerciaux en matière de partage et d’utilisation des informations, ainsi que la nécessité de disponibilité de ces informations. Cependant, la classification d'un actif informationnel peut perturber les fonctions commerciales critiques en restreignant l'accès et l'utilisation des informations.

Par conséquent, les organisations doivent équilibrer leurs besoins commerciaux spécifiques en matière de disponibilité et d’utilisation des données et l’exigence de maintenir la confidentialité et l’intégrité de ces informations.

Tenir compte des obligations légales

Des lois spécifiques peuvent exiger que les organisations mettent l'accent sur la protection de la confidentialité, de l'intégrité et de la disponibilité des informations. Par conséquent, les obligations légales doivent avoir la priorité sur la classification interne de l'organisation lors de la catégorisation des actifs informationnels.

Adopter une approche basée sur les risques et évaluer l’impact potentiel d’une faille ou d’un compromis de sécurité sur actifs informationnels est conseillé. Cela aidera à prioriser et à mettre en œuvre des mesures de sécurité appropriées pour atténuer les risques identifiés.

Chaque forme d'information revêt un niveau d'importance unique pour les fonctions d'une organisation et possède différents degrés de sensibilité en fonction des circonstances particulières.

Lorsqu'une organisation met en œuvre un système de classification des informations, elle doit prendre en compte l'impact potentiel que la compromission de la confidentialité, de l'intégrité ou de la disponibilité des informations pourrait avoir sur l'organisation.

Par exemple, la sensibilité et l'impact potentiel d'une base de données contenant les adresses e-mail professionnelles de prospects qualifiés seraient très différents de ceux des dossiers médicaux des employés. Par conséquent, l’organisation doit examiner attentivement le niveau de protection requis par chaque catégorie d’informations et allouer les ressources en conséquence.

Mettre à jour et réviser régulièrement la classification

L'Annexe A, Contrôle 5.12, reconnaît que la valeur, l'importance et le niveau de sensibilité des informations peuvent changer au fil du temps, à mesure que les données suivent leur cycle de vie. En conséquence, les organisations doivent revoir régulièrement leur classification des informations et effectuer toutes les mises à jour nécessaires.

Le contrôle 27001 de l'annexe A de la norme ISO 5.12 concerne la réduction significative de la valeur et de la sensibilité des informations.

Il est essentiel de consulter d’autres organisations avec vous pour partager des informations et résoudre toute disparité.

Chaque organisation peut avoir une terminologie, des niveaux et des normes distincts pour ses systèmes de classification des informations.

Les divergences dans la classification des informations entre les organisations peuvent entraîner des risques potentiels lors de l'échange d'actifs informationnels.

Les organisations doivent collaborer avec leurs homologues pour établir un consensus afin de garantir l'uniformité de la classification des informations et une interprétation cohérente des niveaux de classification afin d'atténuer ces risques.

Cohérence au niveau organisationnel

Chaque département d'une organisation doit avoir une compréhension commune des niveaux et des protocoles de classification pour garantir l'uniformité des classifications dans l'ensemble de l'organisation.

Conseils sur la façon de mettre en œuvre le système de classification des informations

Bien que l'Annexe A 5.12 reconnaisse qu'il n'existe pas de système de classification universellement applicable et que les organisations ont la flexibilité d'établir et de définir leurs niveaux de classification, elle illustre un système de classification des informations :

  • La divulgation ne cause aucun préjudice.

  • La divulgation entraîne une atteinte mineure à la réputation ou un impact opérationnel mineur.

  • La divulgation a un impact significatif à court terme sur les opérations ou les objectifs commerciaux.

  • La divulgation a un impact sérieux sur les objectifs commerciaux à long terme ou met en danger la survie de l'organisation.

Changements et différences par rapport à la norme ISO 27002:2013

L'annexe A 8.2.1 de la version précédente traitait de la classification des informations.

Bien que les deux versions soient assez similaires, il existe deux différences principales :

  1. Premièrement, la version précédente ne mentionnait pas la nécessité d’une cohérence dans les niveaux de classification lorsque les informations sont partagées entre organisations. Cependant, la norme ISO 27001:2022 exige que les organisations collaborent avec leurs homologues pour garantir l'uniformité dans la classification et la compréhension des informations.

  2. Deuxièmement, la version mise à jour exige explicitement que les organisations élaborent des politiques adaptées à des sujets spécifiques. Seule une brève référence au contrôle d'accès était faite dans l'ancienne version.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque norme ISO 27001:2022. Annexe A Contrôle.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment l'aide d'ISMS.online

Notre la plateforme est conçue pour être conviviale et simple, s'adressant aux personnes hautement techniques et à tous les membres du personnel de votre organisation.

Nous préconisons d'impliquer les employés à tous les niveaux de l'entreprise dans la construction de votre SMSI, car cela contribue à l'établissement d'un système durable.

En savoir plus par réserver une démo.

J'ai suivi la certification ISO 27001 à mes dépens et j'apprécie vraiment le temps que cela nous a permis de gagner pour obtenir la certification ISO 27001.

Carl Vaughan
Responsable de la sécurité informatique, MetCloud

Réservez votre démo

100% de réussite ISO 27001

Votre chemin simple, pratique et rapide vers la première conformité ou certification ISO 27001

Réservez votre démo
Méthode de résultats assurés

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage