ISO 27001:2022 Annexe A Contrôle 8.1

Orientations générales sur la conformité à la norme ISO 27001:2022 Annexe A 8.1

Les organisations doivent, conformément à la norme ISO 27001 : 2022 Annexe Al 8.1, créer une politique qui couvre la configuration et l’utilisation sécurisées des appareils des utilisateurs.

Le personnel doit être informé de cette politique qui comprend :

• Quels types de données, notamment en termes de niveau de sécurité, peuvent être traitées, enregistrées ou utilisées dans les points de terminaison des utilisateurs ?
• Les appareils doivent être enregistrés.
• La protection physique des appareils est obligatoire.
• Il est interdit d'installer des logiciels sur les appareils.
• Les règles d'installation des logiciels sur les appareils et de mise à jour des logiciels doivent être respectées.
• Les règles régissant la connexion des terminaux des utilisateurs au réseau public ou à des réseaux situés hors site.
• Contrôles d'accès.
• Les supports de stockage hébergeant les actifs informationnels doivent être cryptés.
• Les appareils doivent être protégés contre les intrusions de logiciels malveillants.
• Les appareils peuvent être désactivés ou interdits d'utilisation, et les données qui y sont stockées peuvent être supprimées à distance.
• Des plans et protocoles de secours doivent être en place.
• Règles concernant l'utilisation des applications et services Web.
• Analyser le comportement des utilisateurs finaux pour mieux comprendre comment ils interagissent avec le système.
• Les supports de stockage amovibles, tels que les clés USB, peuvent être utilisés à bon escient. De plus, les ports physiques, par exemple les ports USB, peuvent être désactivés.
• Les capacités de séparation peuvent être utilisées pour distinguer les actifs informationnels de l'organisation des autres actifs enregistrés sur l'appareil utilisateur.

Les organisations devraient penser à interdire le stockage de données délicates sur les appareils finaux des utilisateurs via des contrôles techniques, selon les orientations générales.

La désactivation des fonctions de stockage local telles que les cartes SD peut faire partie des contrôles techniques utilisés.

Les organisations doivent mettre en œuvre la gestion de la configuration comme indiqué dans la norme ISO 27001 : 2022, Annexe A, Contrôle 8.9 et utiliser des outils automatisés.

Conseils supplémentaires sur la responsabilité de l'utilisateur

Le personnel doit être informé des mesures de sécurité les mesures pour les terminaux des utilisateurs et leurs obligations pour s'y conformer. De plus, ils doivent comprendre leur rôle dans la mise en œuvre de ces mesures et procédures.

Les organisations doivent demander au personnel de respecter les réglementations et processus suivants :

• Une fois qu'un service n'est plus nécessaire ou qu'une session est terminée, les utilisateurs doivent se déconnecter et mettre fin au service.
• Le personnel ne doit pas laisser ses appareils sans surveillance. Lorsqu'il n'est pas utilisé, le personnel doit assurer la sécurité de leurs appareils en utilisant des mesures physiques telles que des verrous à clé et des mesures techniques telles que des mots de passe forts.
• Le personnel doit faire preuve d'une prudence particulière lorsqu'il utilise des terminaux contenant des données confidentielles dans des lieux publics non sécurisés.
• Les terminaux des utilisateurs doivent être protégés contre le vol, en particulier dans les endroits dangereux tels que les chambres d'hôtel, les salles de réunion ou les transports en commun.

Les organisations doivent concevoir un système spécial pour gérer la perte ou le vol des terminaux des utilisateurs. Ce système doit être construit en tenant compte des besoins juridiques, contractuels et de sécurité.

Conseils supplémentaires sur l'utilisation des appareils personnels (BYOD)

Permettre au personnel d'utiliser ses propres appareils pour des activités liées au travail peut faire économiser de l'argent aux organisations, mais cela expose les données confidentielles à des risques potentiels.

L'Annexe A 27001 de la norme ISO 2022:8.1 suggère cinq éléments que les organisations doivent prendre en compte lorsqu'elles autorisent le personnel à utiliser ses appareils personnels pour des activités liées au travail :

1. Des mesures techniques telles que des outils logiciels doivent être mises en place pour séparer l'utilisation personnelle et professionnelle des appareils, protégeant ainsi les informations de l'organisation.
2. Le personnel peut avoir accès à son propre appareil à condition d'accepter ce qui suit :
• Le personnel reconnaît son devoir de protéger physiquement les appareils et d'effectuer les mises à jour logicielles essentielles.
• Le personnel s'engage à ne faire valoir aucun droit de propriété sur les données de l'entreprise.
• Le personnel convient que les données de l'appareil peuvent être effacées à distance en cas de perte ou de vol, conformément aux directives légales relatives aux informations personnelles.
3. Définissez des directives concernant les droits de propriété intellectuelle générés à l’aide des gadgets des points de terminaison des utilisateurs.
4. Concernant les restrictions légales sur un tel accès, la manière dont les appareils privés du personnel seront accessibles.
5. Permettre au personnel d'utiliser ses gadgets individuels peut entraîner une responsabilité juridique causée par l'application de logiciels tiers sur ces gadgets. Les entreprises devraient réfléchir aux accords de licence de logiciels qu'elles possèdent avec leurs fournisseurs.

Conseils supplémentaires sur les connexions sans fil

Les organisations doivent créer et maintenir des pratiques pour :

• La configuration des connexions sans fil sur les appareils doit être effectuée avec soin. Assurez-vous que chaque connexion est sécurisée et fiable.
• Des connexions sans fil ou filaires, avec une bande passante conforme aux politiques spécifiques à un sujet, doivent être utilisées.

Orientations supplémentaires sur l'Annexe A 8.1

Lorsque les employés retirent leurs terminaux de l'organisation, les données qui y sont stockées risquent davantage d'être compromises. Par conséquent, les organisations doivent mettre en œuvre différentes mesures de protection pour les appareils utilisés en dehors de leurs locaux.

La norme ISO 27001 :2022, Annexe A 8.1, avertit les organisations de deux risques associés aux connexions sans fil qui pourraient entraîner une perte de données :

1. Les connexions sans fil avec une capacité limitée peuvent entraîner une interruption de la sauvegarde des données.
2. Les points finaux des utilisateurs peuvent parfois perdre la connexion au réseau sans fil et les sauvegardes planifiées peuvent échouer. Pour garantir la sécurité et la fiabilité des données, des sauvegardes régulières doivent être effectuées et la connexion au réseau sans fil doit être régulièrement surveillée.

Modifications et différences par rapport à la norme ISO 27001:2013

L'ISO 27001:2022 Annexe A 8.1 remplace l'ISO 27001:2013 Annexe A 6.2.1 et l'Annexe A 12.2.8 dans la norme révisée 2022.

Différences structurelles

Contrairement à la norme ISO 27001:2022 qui dispose d'un contrôle unique couvrant les terminaux des utilisateurs (8.1), la norme ISO 27001:2013 présentait deux contrôles distincts : la politique relative aux appareils mobiles (annexe A, contrôle 6.2.1) et l'équipement utilisateur sans surveillance (contrôle 11.2.8). ).

Alors que la norme ISO 27001:2022 Annexe A Contrôle 8.1 couvre tous les appareils terminaux des utilisateurs tels que les ordinateurs portables, les tablettes et les téléphones mobiles, la version 2013 ne concernait que les appareils mobiles.

La norme ISO 27001:2022 prescrit des exigences supplémentaires concernant la responsabilité des utilisateurs

Les deux versions de l'accord exigent un certain niveau de responsabilité personnelle de la part des utilisateurs ; cependant, la version 2022 comporte une exigence supplémentaire :

• Le personnel doit faire preuve d'une prudence particulière lorsqu'il utilise des terminaux contenant des données sensibles dans des espaces publics qui peuvent ne pas être sécurisés.

La norme ISO 27001 : 2022 est plus complète en termes de BYOD

Par rapport à 2013, l'Annexe A 8.1 introduit en 2022 trois nouvelles exigences pour l'utilisation du BYOD (Bring Your Own Device) par le personnel :

1. Il est nécessaire d’établir des politiques concernant les droits de propriété intellectuelle des créations réalisées à l’aide des terminaux des utilisateurs. Ces politiques doivent être précises et claires, garantissant que toutes les parties concernées reconnaissent leurs droits et responsabilités.
2. Compte tenu des limites légales d’accès aux appareils privés du personnel, comment cela sera-t-il géré ?
3. Permettre au personnel d'utiliser ses propres appareils peut entraîner une responsabilité légale en raison de l'utilisation de logiciels tiers sur ces appareils. Les organisations devraient réfléchir aux accords de licence logicielle qu’elles détiennent avec leurs fournisseurs.

ISO 27001:2022 nécessite une politique thématique plus détaillée

Par rapport à la norme ISO 27001:2013, les organisations doivent désormais mettre en œuvre une politique spécifique à chaque sujet sur les appareils des utilisateurs.

L'annexe A 27001 de l'ISO 2022:8.1 est plus complète et contient trois nouveaux éléments à inclure :

1. Une analyse du comportement des utilisateurs finaux a été entreprise.
2. Les clés USB sont un excellent moyen de transférer des données, et les ports USB physiques peuvent être désactivés pour empêcher de tels transferts.
3. La séparation des actifs informationnels de l'organisation peut être obtenue en tirant parti des capacités technologiques. Cela permet de séparer les actifs des autres actifs stockés sur la machine utilisateur.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

Comment l'aide d'ISMS.online

ISMS.online est le logiciel de système de gestion ISO 27001:2022 incontournable. Il facilite la conformité à la norme et aide les organisations à aligner leurs politiques et procédures de sécurité.

Ce plate-forme en nuage propose une gamme complète d'outils pour aider les entreprises à créer un ISMS (Information Security Management System) conforme à la norme ISO 27001.

Contactez-nous maintenant pour organiser une démonstration.