ISO 27001 : 2022, l'Annexe A 6.8 exige que les organisations créent un système permettant au personnel de signaler sécurité de l'information les événements qu’ils observent ou soupçonnent rapidement et par les canaux appropriés.
Les atteintes à la sécurité des informations (également appelées incidents de sécurité des informations) sont en augmentation, avec une fréquence et une intensité croissantes. Malheureusement, bon nombre de ces événements passent inaperçus.
De nombreux facteurs peuvent déclencher des événements liés à la sécurité des informations :
Quel que soit le niveau de sécurité de votre réseau, il existe toujours un risque qu'un événement de sécurité des informations se produise. Pour minimiser ce risque, utilisez divers outils et techniques, tels que le reporting, pour identifier les menaces potentielles avant qu'elles ne puissent causer des dommages.
Le reporting des événements de sécurité de l’information est un élément clé de toute stratégie de cybersécurité. Mettre en œuvre la meilleure technologie pour protéger les données est une chose, mais comprendre ce qui se passe en est une autre.
Le reporting des événements de sécurité de l'information est le processus consistant à noter les incidents, les violations et autres événements cybernétiques qui se produisent dans une organisation afin de les examiner et de concevoir des stratégies pour éviter que des répétitions ne se produisent. Les stratégies de documentation, d’analyse et de prévention sont autant d’éléments essentiels.
Le reporting des événements liés à la sécurité des informations est essentiel pour toute organisation ; sans cela, on ne saura pas si le réseau a été infiltré ou s'il existe d'autres risques potentiels. Sans cette compréhension, des mesures visant à éviter de futurs incidents ne peuvent être mises en place, ni des attaques antérieures ne peuvent être identifiées et corrigées.
Il est essentiel de traiter tout incident rapidement et efficacement. Le temps de réponse est essentiel pour protéger l’entreprise et minimiser les effets sur les clients et les autres parties prenantes.
L'annexe A 6.8 de la norme ISO 27001:2022 a été créée à cet effet.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
Le but de ISO 27001:2022 Annexe A Le contrôle 6.8 vise à faciliter le reporting rapide, cohérent et efficace des événements de sécurité de l'information détectés par le personnel.
Il est essentiel de veiller à ce que les incidents soient rapidement signalés et documentés avec précision pour garantir que les activités de réponse aux incidents et les autres responsabilités de gestion de la sécurité soient correctement prises en charge.
Les organisations doivent disposer d'un programme de reporting des événements liés à la sécurité des informations conformément à la norme ISO 27001:2022, Annexe A, Contrôle 6.8, pour détecter et atténuer les incidents susceptibles d'affecter la sécurité des informations. Le programme devrait permettre de recevoir, d'évaluer et de répondre aux incidents signalés.
ISO 27001: 2022 L'Annexe A Contrôle 6.8 décrit l'objectif et les instructions pour la construction d'un système de rapport d'événements de sécurité de l'information conformément au cadre ISO 27001.
Ce contrôle a pour objectif :
Examiner régulièrement les incidents et les tendances pour détecter les problèmes avant qu'ils ne deviennent graves (par exemple en suivant le nombre d'incidents ou la durée de chaque incident) devrait être un élément clé de la mise en œuvre de l'Annexe A 6.8.
La norme ISO 27001 : 2022, Annexe A 6.8, exige ce qui suit :
Conformément à l'annexe A 6.8, les événements nécessitant un rapport sur la sécurité des informations comprennent :
De plus, il n'incombe pas au personnel concerné de tester la vulnérabilité ou l'efficacité de l'événement de sécurité de l'information. Cette tâche doit être confiée à un personnel qualifié, car cela peut entraîner une responsabilité juridique pour l'employé.
Premièrement, l'Annexe A 6.8 de la norme ISO 27001:2022 n'est pas un nouveau contrôle, mais plutôt il s'agit d'une fusion de l'Annexe A 16.1.2 et de l'Annexe A 16.1.3 de la norme ISO 27001:2013.. Ces deux contrôles ont été révisés dans la norme ISO 27001:2022 pour la rendre plus accessible que la norme ISO 27001:2013.
Les employés et les sous-traitants doivent être conscients de leur responsabilité de signaler rapidement les événements liés à la sécurité des informations et du processus à suivre, y compris la personne de contact à laquelle les rapports doivent être adressés.
Les employés et les sous-traitants doivent signaler rapidement toute faiblesse en matière de sécurité des informations au point de contact, afin de prévenir les incidents de sécurité des informations. Le système de reporting doit être aussi simple, accessible et réalisable que possible.
Vous pouvez constater que les recommandations six et huit ont été regroupées en une seule dans la norme ISO 27001:2022 révisée.
L'annexe A 6.8 présente deux considérations supplémentaires non présentes dans l'annexe A 16.1.2 et l'annexe A 16.1.3. Ceux-ci sont:
Au final, les deux itérations sont assez similaires. Les différences les plus importantes résident dans la modification du numéro de contrôle, du nom du contrôle et de la langue plus accessible aux utilisateurs. De plus, la norme ISO 27001:2022 comprend un tableau d'attributs et un objectif de contrôle, fonctionnalités négligées dans la version 2013.
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
La sécurité de l'information est un effort de collaboration et tous les membres de l'organisation doivent être impliqués. Néanmoins, plusieurs individus agissent comme première ligne de défense lors d’événements de sécurité. Ces personnes sont chargées de déterminer le bon interlocuteur pour signaler et gérer la réponse à l'événement afin d'éviter toute récidive.
Qui sont les premiers intervenants ? Cela varie en fonction de l'organisation, mais comprend généralement :
Les Responsable de la sécurité de l'information (RSSI) est responsable de la sécurité des informations dans son organisation. Ils travaillent en collaboration avec la haute direction pour réduire et gérer tous les risques.
Les Gestionnaire de la sécurité de l'information supervise régulièrement les activités quotidiennes, telles que la surveillance des systèmes et la gestion des incidents, y compris le dépôt de tickets auprès d'autres équipes.
Les Directeur des Ressources Humaines (DRH) a la responsabilité globale des questions de ressources humaines, couvrant le recrutement, la fidélisation des employés, la gestion des avantages sociaux et les programmes de formation des employés. Ils jouent un rôle clé dans la prise de décisions d’embauche et dans la sensibilisation du personnel au reporting des événements de sécurité.
Pour vous conformer à la révision ISO 27001:2022, assurez-vous simplement que vos processus de sécurité des informations restent à jour. Aucun changement substantiel n’a été apporté.
Si vous avez acquis un Certification ISO 27001, votre approche actuelle de la gestion de la sécurité des informations doit être conforme aux nouvelles normes. Vérifiez que le signalement des incidents de sécurité des informations est intégré à la stratégie de votre entreprise.
En recommençant, vous devrez vous référer aux détails fournis dans la norme révisée.
Reportez-vous à notre guide ISO 27001:2022 pour plus d'informations sur l'impact des modifications de l'annexe A 6.8 sur votre entreprise.
ISO 27001 est un cadre de gestion de la sécurité de l'information qui aide les organisations à établir un SMSI efficace. Cette norme décrit les exigences pour la construction d'un SMSI au sein d'une organisation.
Chez ISMS.online, notre plateforme basée sur le cloud aide à construire, maintenir et évaluer un Système de gestion de la sécurité de l'information basé sur les normes ISO 27001 (SMSI). Nous proposons des modèles et des outils personnalisables pour nous conformer à la réglementation ISO 27001.
Cette plateforme vous permet de construire un SMSI conforme à la norme internationale et d'utiliser les listes de contrôle fournies pour garantir que la gestion de la sécurité de vos informations est conforme aux normes. De plus, vous pouvez exploiter ISMS.online pour évaluer les risques et les vulnérabilités afin de détecter les points faibles de votre infrastructure existante qui nécessitent une attention urgente.
ISMS.online fournit les ressources nécessaires pour démontrer votre adhésion à la norme ISO 27001. En utilisant ces outils, vous pouvez prouver votre conformité à la norme internationalement reconnue.
Contactez-nous maintenant pour réserver une démonstration.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo