À notre humble avis, ISO 27001:2022 Annexe A Le contrôle 5.8 vise à garantir que la gestion du projet intègre des mesures de sécurité de l'information.
Selon la norme ISO 27001:2022, ce contrôle de l'annexe A vise à garantir que les risques de sécurité de l'information liés aux projets et aux livrables sont gérés efficacement pendant la gestion du projet.
La gestion et la sécurité du projet sont des considérations clés.
Parce que de nombreux projets impliquent des mises à jour des processus et des systèmes métiers qui impact sur la sécurité des informations, l'annexe A, contrôle 5.8, documente les exigences en matière de gestion de projet.
Étant donné que les projets peuvent s'étendre à plusieurs départements et organisations, les objectifs du contrôle 5.8 de l'Annexe A doivent être coordonnés entre les parties prenantes internes et externes.
À titre indicatif, les contrôles de l'annexe A identifient les problèmes de sécurité des informations dans les projets et assurer leur résolution tout au long du cycle de vie du projet.
Un aspect clé de la gestion de projet est la sécurité des informations, quel que soit le type de projet. La sécurité de l’information doit être ancrée dans le tissu d’une organisation, et la gestion de projet joue un rôle clé à cet égard. Une liste de contrôle simple et reproductible montrant que la sécurité des informations est prise en compte est recommandée pour les projets utilisant des cadres modèles.
Les auditeurs recherchent une sensibilisation à la sécurité de l’information à toutes les étapes du cycle de vie du projet. Cela devrait également faire partie de l’éducation et de la sensibilisation liées à la sécurité des RH pour A.6.6.
Démontrer le respect du Règlement Général sur la Protection des Données (RGPD) et la loi sur la protection des données de 2018, les organisations innovantes intégreront l'A.5.8 avec les obligations associées pour les données personnelles et prendront en compte la sécurité dès la conception, les évaluations d'impact sur la protection des données (DPIA) et les processus similaires.
Les exigences en matière de sécurité de l'information doivent être incluses si de nouveaux systèmes d'information sont en cours de développement ou si des systèmes d'information existants sont mis à niveau.
A.5.6 pourrait être utilisé conjointement avec A.5.8 comme mesure de sécurité des informations. Il tiendrait également compte de la valeur des informations à risque, qui pourrait s'aligner sur le système de classification des informations de A.5.12.
Une évaluation des risques doit être effectuée chaque fois qu'un tout nouveau système est en cours de développement ou qu'une modification est apportée à un système existant. Il s’agit de déterminer les exigences commerciales en matière de contrôles de sécurité.
Par conséquent, les considérations de sécurité doivent être prises en compte avant de sélectionner une solution ou de lancer son développement. Les exigences correctes doivent être identifiées avant qu'une réponse ne soit sélectionnée.
Les exigences de sécurité doivent être définies et convenues pendant le processus d'approvisionnement ou de développement pour servir de points de référence.
Ce n’est pas une bonne pratique de sélectionner ou de créer une solution, puis d’évaluer ultérieurement son niveau de capacité de sécurité. Il en résulte généralement des risques et des coûts plus élevés. Cela peut également entraîner des problèmes avec la législation applicable, comme RGPD, qui encourage une philosophie de conception sécurisée et des techniques telles que les évaluations d'impact sur la protection des données (DPIA). Le Centre national de cybersécurité (NCSC) a également approuvé certaines pratiques de développement et principes critiques comme lignes directrices à prendre en considération. ISO 27001 inclut également conseils de mise en œuvre. La documentation de toute réglementation suivie est nécessaire.
Il sera de la responsabilité de l'auditeur de s'assurer que les considérations de sécurité sont prises en compte à toutes les étapes du cycle de vie du projet. Et ce, peu importe si le projet concerne un système nouvellement développé ou la modification d'un système existant.
De plus, ils s’attendront à ce que la confidentialité, l’intégrité et la disponibilité soient prises en compte avant le début du processus de sélection ou de développement.
Vous pouvez trouver plus d'informations sur les exigences de la norme ISO 27001 et les contrôles de l'Annexe A dans le Coach virtuel ISMS.online, qui complète nos cadres, outils et documents politiques.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
Le nombre croissant d'entreprises menant leurs activités en ligne a accru l'importance de la sécurité de l'information dans la gestion de projet. En conséquence, les chefs de projet sont confrontés à un nombre croissant d’employés travaillant en dehors du bureau et utilisant leurs appareils personnels pour leur travail.
Créer une politique de sécurité pour votre entreprise vous permettra de minimiser le risque de violation ou de perte de données. De plus, vous serez en mesure de produire à tout moment des rapports précis sur l’état et les finances du projet.
Dans le cadre du processus de planification et d'exécution du projet, la sécurité de l'information doit être incluse des manières suivantes :
La clé pour assurer la sécurité de vos projets d'entreprise est de garantir que vos chefs de projet comprennent l'importance de la sécurité des informations et y adhèrent dans leurs fonctions.
Intégration de la sécurité de l'information dans la gestion de projet est essentiel car il permet aux organisations d'identifier, d'évaluer et de gérer les risques de sécurité.
Prenons l'exemple d'une organisation mettant en œuvre un système de développement de produits plus sophistiqué.
Un système de développement de produits nouvellement développé peut être évalué pour les risques liés à la sécurité des informations, y compris la divulgation non autorisée d'informations exclusives sur l'entreprise. Des mesures peuvent être prises pour atténuer ces risques.
Pour se conformer à la ISO 27001 : 2022 révisée, le responsable de la sécurité de l'information doit collaborer avec le chef de projet pour identifier, évaluer et traiter les risques de sécurité de l'information dans le cadre du processus de gestion de projet afin de répondre aux exigences de la norme ISO 27001:2022 révisée. La gestion de projet doit intégrer la sécurité de l'information afin qu'elle ne soit pas quelque chose fait « pour » le projet mais quelque chose qui fait « partie du projet ».
Selon l'annexe A, contrôle 5.8, le système de gestion de projet doit exiger les éléments suivants :
Tous les projets, quelle que soit leur complexité, leur taille, leur durée, leur discipline ou leur domaine d'application, y compris les projets de développement des TIC, doivent être évalués quant aux exigences en matière de sécurité de l'information par le chef de projet (PM). Les responsables de la sécurité de l'information devraient comprendre la politique de sécurité des informations et les procédures associées ainsi que l'importance de la sécurité de l'information.
La norme ISO 27001:2022 révisée contient plus de détails concernant les lignes directrices de mise en œuvre.
In ISO 27001: 2022, les lignes directrices de mise en œuvre de la sécurité de l'information dans la gestion de projet ont été révisées pour refléter davantage de précisions que dans la norme ISO 27001:2013. Selon la norme ISO 27001 :2013, chaque chef de projet doit connaître trois points liés à la sécurité de l'information. Cependant, cela a été étendu à quatre points dans la norme ISO 27001:2022.
Le contrôle 5.8 de l'annexe A de la norme ISO 27001:2022 n'est pas nouveau mais une combinaison des contrôles 6.1.5 et 14.1.1 de la norme ISO 27001:2013.
Les exigences liées à la sécurité de l'information pour les systèmes d'information nouvellement développés ou améliorés sont abordées dans l'annexe A, contrôle 14.1.1 de la norme ISO 27001:2013.
Les directives de mise en œuvre du contrôle 14.1.1 de l'annexe A sont similaires au contrôle 5.8, qui vise à garantir que l'architecture et la conception des systèmes d'information sont protégées contre les menaces connues dans l'environnement d'exploitation.
Bien qu'il ne s'agisse pas d'un nouveau contrôle, l'Annexe A Contrôle 5.8 apporte des changements importants à la norme. De plus, la combinaison des deux commandes rend la norme plus conviviale.
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
| Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
| Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Pour garantir que la sécurité des informations est mise en œuvre tout au long du cycle de vie de chaque projet, le chef de projet est responsable.
Néanmoins, le PM peut trouver utile de consulter un responsable de la sécurité de l'information (ISO) pour déterminer quelles exigences en matière de sécurité de l'information sont nécessaires pour chaque projet.
Grâce à ISMS.online, vous pouvez gérer vos processus de gestion des risques liés à la sécurité de l'information de manière efficace et efficiente.
Grâce à la Plateforme ISMS.online, vous pouvez accéder à divers outils puissants conçus pour simplifier le processus de documentation, de mise en œuvre, de maintenance et d'amélioration de votre système de gestion de la sécurité de l'information (ISMS) et pour assurer la conformité à la norme ISO 27001.
Il est possible de créer un ensemble de politiques et de procédures sur mesure à l'aide de l'ensemble complet d'outils fournis par l'entreprise. Ces politiques et pratiques seront adaptées pour répondre aux risques et aux besoins spécifiques de votre organisation. De plus, notre plateforme permet la collaboration entre collègues et partenaires externes, y compris les fournisseurs et les auditeurs tiers.
En plus de l'AIPD et d'autres évaluations de données personnelles connexes, par exemple les évaluations d'intérêt légitime (LIA), ISMS.online fournit des cadres et des modèles simples et pratiques pour la sécurité des informations dans la gestion de projet.
À planifier une démo, veuillez nous contacter dès aujourd'hui.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
