L'ISO 27001 :2022, Annexe A 7.2, met l'accent sur l'obligation pour les organisations de sécuriser les zones grâce à l'emploi de contrôles d'entrée et de points d'accès appropriés.
Les contrôles d'entrée et les points d'accès sont essentiels au système de sécurité de tout bâtiment. Ils permettent aux occupants d'entrer et de sortir tout en maintenant la sécurité, et peuvent empêcher ceux qui ne sont pas autorisés ou souhaités d'entrer.
Les systèmes de contrôle d'entrée permettent d'accéder à un bâtiment au moyen de portes et de portails, notamment des claviers, des lecteurs de cartes, des scanners biométriques et des porte-clés. De plus, ils fournissent des mécanismes de verrouillage pour les portes et portails, en plus des tourniquets et des portes tournantes.
Un point d'accès est un appareil électronique qui assure la sécurité dans les grands bâtiments commerciaux. Il utilise la technologie RFID pour suivre tous les mouvements à l’intérieur et à l’extérieur des locaux. Le point d'accès renvoie des données au siège, permettant au personnel de sécurité d'observer quand une personne entre ou sort de l'établissement et à quelles zones elle accède pendant son séjour.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
ISO 27001:2022 Annexe A Le contrôle 7.2 garantit uniquement l'accès physique autorisé aux données de l'organisation et aux autres actifs associés.
La sécurité physique est primordiale pour garantir la confidentialité, l’intégrité et l’accessibilité des ressources informationnelles. Annexe A Contrôle 7.2 de ISO 27001: 2022 est principalement concerné par la préservation des données et autres actifs connexes contre tout accès non autorisé, vol ou perte. Ainsi, les points d'entrée et d'accès nécessaires doivent être mis en place pour garantir que seul le personnel autorisé puisse accéder zones sécurisées.
Des contrôles doivent être mis en œuvre pour garantir raisonnablement que seules les personnes autorisées ont un accès physique et qu'elles sont identifiées avec précision.
L'utilisation de serrures, de clés (manuelles et électroniques), d'agents de sécurité, de systèmes de surveillance et d'autres barrières aux entrées et aux points d'accès doit être mise en œuvre. Des systèmes de contrôle d'accès tels que des mots de passe, des cartes-clés ou des dispositifs biométriques doivent être utilisés pour sécuriser les zones sensibles de l'établissement.
Les organisations doivent contrôler et, si possible, séparer les points d'accès tels que les zones de livraison et de chargement et les autres points d'entrée dans les locaux de leurs installations informatiques pour empêcher tout accès non autorisé, afin de répondre aux exigences de la mise en œuvre de l'Annexe A 7.2. Ces zones doivent être limitées au personnel autorisé uniquement.
Le document ISO 27001:2022 fournit des conseils de mise en œuvre pour l'annexe A 7.2, qui aide à répondre aux exigences relatives au personnel, aux visiteurs et aux livreurs. Pour consulter ces lignes directrices, accédez à la version révisée de la norme.
L'Annexe A 7.2 de la norme ISO 27001:2022 n'est pas une nouvelle mesure, mais plutôt une combinaison des contrôles 11.1.2 et 11.1.6 de l'Annexe A de la norme ISO 27001:2013. Ces deux contrôles de l'Annexe A ont été révisés dans la norme ISO 27001:2022 pour la rendre plus intuitive que la norme ISO 27001:2013.
Annexe A Contrôle 11.1.2 – Les contrôles physiques des entrées exigent que les zones sécurisées soient protégées par des contrôles d'entrée appropriés, afin que seul le personnel autorisé puisse y accéder. Cette partie de la norme décrit les mesures que les organisations peuvent prendre pour garantir que seules les personnes autorisées peuvent entrer à des fins spécifiques.
La réglementation exige qu'une authentification à deux facteurs soit mise en œuvre pour que le personnel autorisé puisse accéder aux zones sensibles en matière de sécurité des informations, avec un journal de bord physique ou une piste d'audit électronique à l'appui.
Annexe A Contrôle 11.1.6 – Zones de livraison et de chargement stipule que l’accès à ces zones doit être limité au personnel autorisé uniquement. Il est conseillé qu'ils soient conçus de manière à être séparés des zones opérationnelles, empêchant ainsi le personnel de livraison d'accéder aux autres parties du bâtiment.
En fin de compte, les contrôles 7.2 de l’annexe A et les contrôles 11.1.2 et 11.1.6 de l’annexe A sont essentiellement comparables. La principale distinction est que l'annexe A 11.1.2 et l'annexe A 11.1.6 ont été fusionnées pour une plus grande convivialité.
Dans la version 2022 de la norme ISO 27001, un tableau d'attributs et un objectif de contrôle étaient inclus, qui étaient absents des contrôles de la version 2013.
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
| Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
| Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Le contrôle de l’accès physique est primordial pour la sécurité de toute organisation ou entreprise. Il est essentiel de s’assurer qu’aucun personnel non autorisé ne pénètre dans les locaux. Par conséquent, la mise en œuvre de mesures strictes est essentielle.
Le service de sécurité supervise tous les aspects de la sécurité physique, comme le contrôle des entrées. S'ils ne disposent pas de l'expertise ou des ressources nécessaires pour gérer cela, ils peuvent confier l'autorité à un autre département.
Les équipes informatiques sont également cruciales pour la sécurité physique. Ils garantissent que les systèmes technologiques utilisés pour la sécurité physique sont actuels et sécurisés. Par exemple, si votre organisation dispose d'un système de détection d'intrusion (IDS) à l'entrée mais que le logiciel n'a pas été renouvelé depuis des mois, il se peut qu'il ne soit pas efficace contre les intrus.
Votre organisation n'a pas besoin de modifier de manière significative ses pratiques de sécurité des informations, car la norme ISO 27001:2022 révisée n'a été que très peu ajustée.
Si vous possédez une certification ISO 27001:2013, vous découvrirez que votre approche actuelle de gestion de la sécurité de l'information est conforme aux nouvelles normes.
Si vous commencez depuis le début, vous devez vous familiariser avec les directives de conformité de la nouvelle norme.
Notre plateforme donne aux utilisateurs l'accès à toute la documentation et aux ressources pertinentes, telles que les politiques, procédures, normes, lignes directrices et informations sur les processus de conformité.
ISMS.online est parfait pour les entreprises qui cherchent à :
Notre plateforme propose des tableaux de bord personnalisés qui vous donnent un aperçu en temps réel de votre état de conformité.
Surveillez et gérez votre parcours de conformité ISO 27001:2022 en un seul endroit : audits, analyse des écarts, gestion de la formation, évaluation des risques, et bien plus encore.
Contactez-nous maintenant pour programmer une démonstration.
J'ai suivi la certification ISO 27001 à mes dépens et j'apprécie vraiment le temps que cela nous a permis de gagner pour obtenir la certification ISO 27001.
