Annexe A 5.15 de la norme ISO 27001:2022 ; Votre guide étape par étape pour le comprendre et y répondre.
L'Annexe A 5.15 concerne les procédures de contrôle d'accès. L'objectif de l'annexe A.9 est de protéger l'accès à l'information et de garantir que les employés n'ont accès qu'aux informations dont ils ont besoin pour exercer leurs fonctions.
C'est l'un des éléments essentiels d'un système de gestion de la sécurité de l'information (ISMS), surtout si vous envisagez d'obtenir la certification ISO 27001.
Réussir cette partie est un élément essentiel de ISO 27001 certification et celle où de nombreuses entreprises ont besoin d’aide. Pour mieux comprendre ces exigences, examinons de plus près ce qu’elles impliquent.
Pour gérer l’accès aux actifs au sein d’une organisation, une politique de contrôle d’accès doit être développée, documentée et révisée périodiquement.
Le contrôle d'accès régit la manière dont les entités humaines et non humaines d'un réseau accèdent aux données, aux ressources informatiques et aux applications.
Les risques de sécurité de l'information associés aux informations et la volonté de l'organisation de les gérer doivent être reflétés dans les règles, les droits et les restrictions ainsi que dans l'étendue des contrôles utilisés. Il s’agit simplement de décider qui a accès à quoi, dans quelle mesure et qui n’y a pas accès.
Il est possible de mettre en place des contrôles d'accès numériques et physiques, tels que la limitation des autorisations des comptes d'utilisateurs ou la restriction de l'accès à des emplacements physiques spécifiques (conformément à l'annexe A.7 Sécurité physique et environnementale). La politique devrait prendre en considération les considérations suivantes :
Il est essentiel de revoir le contrôle d'accès à mesure que les rôles changent, en particulier lors des sorties, afin de se conformer à l'annexe A.7 Sécurité des ressources humaines.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
Une approche générale de la protection est celle du moindre accès plutôt que de l'accès illimité et des droits de superutilisateur sans examen attentif.
Par conséquent, les utilisateurs ne devraient avoir accès qu'à réseaux et services réseau nécessaires pour assumer leurs responsabilités. La politique doit aborder : Les réseaux et services de réseau concernés par l'accès ; Procédures d'autorisation pour montrer qui (en fonction du rôle) est autorisé à accéder à quoi et quand ; et Contrôles et procédures de gestion pour empêcher l'accès et le surveiller en cas d'incident.
L'intégration et la désintégration doivent également prendre en compte cette question, étroitement liée à la politique de contrôle d'accès.
En tant que contrôle préventif, l'Annexe A 5.15 améliore la capacité sous-jacente d'une organisation à contrôler l'accès aux données et aux actifs.
Un ensemble concret de sécurité commerciale et informationnelle les besoins doivent être satisfaits avant que l’accès aux ressources puisse être accordé et modifié conformément à l’Annexe A Contrôle 5.15.
La norme ISO 27001 Annexe A 5.15 fournit des lignes directrices pour faciliter l'accès sécurisé aux données et minimiser le risque d'accès non autorisé aux réseaux physiques et virtuels.
Comme le montre l'annexe A 5.15, le personnel de direction des différentes parties d'un l'organisation doit maintenir une compréhension approfondie dont les ressources doivent être accédées (par exemple, en plus des RH qui informent les employés sur leurs rôles professionnels, qui dictent leurs paramètres RBAC, les droits d'accès sont en fin de compte une fonction de maintenance contrôlée par les administrateurs réseau.
La propriété de l'Annexe A 5.15 d'une organisation doit appartenir à un membre de la haute direction qui a l'autorité technique globale sur les domaines, sous-domaines, applications, ressources et actifs de l'entreprise. Cela pourrait être le responsable informatique.
Une approche thématique spécifique du contrôle d'accès est requise pour la conformité à la norme ISO 27001:2022 Annexe A Contrôle 5.15 (plus communément appelée approche spécifique à un problème).
Plutôt que d'adhérer à une politique globale de contrôle d'accès qui s'applique à l'accès aux ressources et aux données dans l'ensemble de l'organisation, les approches thématiques encouragent les organisations à créer des politiques de contrôle d'accès ciblées sur des fonctions commerciales individuelles.
Dans tous les domaines spécifiques, l'Annexe A Contrôle 5.15 exige que les politiques concernant le contrôle d'accès prennent en compte les 11 points ci-dessous. Certaines de ces lignes directrices recoupent d’autres politiques.
À titre indicatif, les organisations doivent consulter les contrôles qui les accompagnent pour obtenir de plus amples informations au cas par cas :
Selon les lignes directrices supplémentaires, l'Annexe A Contrôle 27001 de la norme ISO 2022:5.15 mentionne (sans se limiter à) quatre types différents de contrôle d'accès, qui peuvent être globalement classés comme suit :
Nous avons discuté des règles de contrôle d'accès comme étant accordées à diverses entités (humaines et non humaines) opérant au sein d'un réseau, auxquelles sont attribués des rôles définissant leur fonction globale.
Lors de la définition et de la mise en œuvre des politiques de contrôle d'accès de votre organisation, l'Annexe A 5.15 vous demande de prendre en compte les quatre facteurs suivants :
Selon la norme ISO 27001:2022 Annexe A Contrôle 5.15, les organisations doivent développer et maintenir une liste structurée de responsabilités et de documentation. Il existe de nombreuses similitudes entre la liste complète des contrôles de la norme ISO 27001:2022, l'annexe A 5.15 contenant les exigences les plus pertinentes :
Le contrôle 5.15 de l'annexe A offre aux organisations une liberté importante dans la spécification de la granularité de leurs politiques de contrôle d'accès.
De manière générale, l'ISO conseille aux entreprises de faire preuve de jugement quant au degré de détail d'un ensemble de règles donné, employé par employé, et au nombre de variables qui doivent être appliquées à un élément d'information donné.
Plus précisément, l'annexe A 5.15 reconnaît que plus les politiques de contrôle d'accès d'une entreprise sont détaillées, plus le coût est élevé et plus le concept de contrôle d'accès devient complexe sur plusieurs sites, types de réseaux et variables d'application.
Le contrôle d’accès, s’il n’est pas soigneusement géré, peut devenir très rapidement incontrôlable. Il est sage de simplifier les règles de contrôle d’accès pour garantir qu’elles soient plus faciles à gérer et plus rentables.
L'annexe A 5.15 du 27001 :2022 est une fusion de deux contrôles similaires du 27001 :2013 – l'annexe A 9.1.1 (Politique de contrôle d'accès) et l'annexe A 9.1.2 (Accès aux réseaux et services réseau).
Les thèmes sous-jacents de A.9.1.1 et A.9.1.2 sont similaires à ceux de l'Annexe A 5.15, à l'exception de quelques différences opérationnelles subtiles.
Comme en 2022, les deux contrôles concernent la gestion de l’accès aux informations, aux actifs et aux ressources et fonctionnent sur le principe du « besoin de savoir », dans lequel les données de l’entreprise sont traitées comme un bien qui nécessite une gestion et une protection minutieuses.
Il y a 11 lignes directrices régissant l'Annexe A 27001 de la norme 2013 : 9.1.1, qui suivent toutes les mêmes principes généraux que l'Annexe A 27001 : 2022 Contrôle 5.15, avec un accent légèrement plus important sur la sécurité périmétrique et la sécurité physique.
Il existe généralement les mêmes directives de mise en œuvre pour le contrôle d'accès, mais le contrôle 2022 fournit des conseils beaucoup plus concis et pratiques à travers ses quatre directives de mise en œuvre.
Comme indiqué dans la norme ISO 27001 Annexe A 5.15, diverses formes de contrôle d'accès ont vu le jour au cours des neuf dernières années (MAC, DAC, ABAC), alors que dans la norme 27001 : 2013 Annexe A Contrôle 9.1.1, la principale méthode de contrôle d'accès commercial à cette époque. l’époque était RBAC.
Les contrôles de 2013 doivent contenir des lignes directrices significatives sur la manière dont une organisation doit aborder les contrôles d'accès granulaires à la lumière des changements technologiques qui offrent aux organisations un contrôle accru sur leurs données.
En revanche, l'annexe A 5.15 du 27001:2022 offre aux organisations une flexibilité considérable.
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
L'Annexe A 5.15 de la norme ISO 27001:2022 est probablement la clause la plus évoquée au sein de l'Annexe A, et certains soutiennent qu'elle est la plus importante.
Votre système de gestion de la sécurité de l'information (ISMS) vise à garantir que les personnes appropriées ont accès aux informations correctes au bon moment. L’une des clés du succès est de bien faire les choses, mais une mauvaise démarche peut nuire à votre entreprise.
Considérez le scénario dans lequel vous avez accidentellement révélé des informations confidentielles sur un employé aux mauvaises personnes, par exemple le salaire de tous les membres de l'organisation.
Si vous n’y prêtez pas attention, les conséquences d’une erreur sur cette pièce peuvent être graves. Il est donc impératif de prendre le temps de bien réfléchir à tous les aspects avant de se lancer.
À cet égard, notre plateforme peut être un véritable atout. En effet, il suit toute la structure de la norme ISO 27001 et vous permet d'adopter, d'adapter et d'enrichir le contenu que nous vous proposons, vous donnant ainsi une longueur d'avance considérable.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo