ISO 27001:2022 Annexe A Contrôle 8.14

Redondance des installations de traitement de l'information

Demander demo

Bleu, propre, verre, mur, de, moderne, gratte-ciel
  • See ISO 27002:2022 Contrôle 8.14 pour plus d'information.

  • See ISO 27001:2013 Annexe A 17.2.1 pour plus d'information.

    • Objet de la norme ISO 27001:2022 Annexe A 8.14

    An 'installation de traitement de l'information' (IPF) est un terme général utilisé pour désigner toute infrastructure de technologies de l'information et des communications (TIC) qui gère le traitement des données, comme les équipements informatiques, les logiciels et les installations physiques.

    Les IPF sont essentiels pour maintenir la continuité des activités et garantir le fonctionnement efficace du ou des réseaux TIC d'une organisation. Pour renforcer la résilience, les organisations doivent mettre en œuvre des stratégies qui améliorent la redondance de leurs IPF – par exemple, des techniques et des procédures de sécurité qui diminuent le risque de panne, d'utilisation abusive ou d'intrusion dans les systèmes et les données.

    Propriété de l'annexe A 8.14

    L'ISO 27001:2022 Annexe A 8.14 concerne la capacité d'une organisation à poursuivre ses opérations en cas de défaillances critiques ou mineures pouvant affecter la résilience. Par conséquent, la Directeur des Opérations, ou un équivalent, devrait être responsable de ce contrôle.

Aller au sujet

Guide sur la conformité à la norme ISO 27001:2022 Annexe A 8.14

L'objectif principal de l'annexe A 8.14 est d'améliorer l'accessibilité des services commerciaux et des systèmes d'information, qui peuvent être interprétés comme toute partie d'un réseau facilitant les opérations de l'entreprise.

La norme ISO 27001:2022 Annexe A 8.14 recommande la duplication comme principal moyen d'acquérir une redondance entre ses différents IPF, notamment en conservant un stock de pièces de rechange, de composants en double (matériel et logiciel) et de périphériques supplémentaires.

Les organisations doivent s'assurer que tout IPF défaillant est rapidement détecté et que des mesures correctives sont prises rapidement, soit en basculant vers le matériel de sauvegarde, soit en réparant rapidement l'IPF défectueux.

Les organisations doivent prendre en compte les éléments suivants lors de la conception et de l’installation de mesures de redondance :

  • Nouer des relations commerciales avec deux fournisseurs de services distincts peut contribuer à minimiser le risque de panne totale en cas d'incident critique, comme un FAI ou un fournisseur VoIP.

  • Adhérer aux meilleures pratiques de redondance lors de la conception de réseaux de données (tels que les DC secondaires et les systèmes BUDR redondants).

  • Il est essentiel de tirer parti d’emplacements géographiquement disparates lors de l’externalisation des services de données, en particulier pour le stockage de fichiers et/ou les équipements du centre de données.

  • Achetez des systèmes d’alimentation qui offrent une redondance totale ou partielle selon les besoins.

  • L'utilisation de l'équilibrage de charge et du basculement automatique entre des composants logiciels ou des systèmes en double et redondants augmente les performances et la résilience en temps réel après un événement critique. Cela est particulièrement pertinent lors de l’utilisation d’un modèle opérationnel avec à la fois des services de cloud public et sur site. Tester régulièrement les systèmes redondants en mode production garantit que les systèmes de basculement fonctionnent comme prévu.

  • Dupliquer les composants physiques des TIC, à la fois au sein des serveurs et des emplacements de stockage de fichiers (matrices RAID, processeurs) et dans tout dispositif fonctionnant comme un périphérique réseau (pare-feu, commutateurs redondants), pour assurer la continuité du service. Les mises à jour du micrologiciel doivent être effectuées sur tous les appareils liés et redondants.

Orientations supplémentaires sur l'Annexe A 8.14

ISO 27001:2022 Annexe A Le contrôle 8.14 reconnaît le lien entre des systèmes fiables et redondants et la planification de la continuité des activités (voir ISO 27001:2022 Annexe A 5.30), encourageant les organisations à les considérer comme une partie de la réponse aux difficultés courantes.

Il est essentiel de considérer qu’en ce qui concerne les applications métiers, il est extrêmement difficile de corriger les erreurs majeures au sein de l’application elle-même (en particulier lors de l’utilisation d’applications gérées).

Contrôles accompagnant l’Annexe A

  • ISO 27001:2022 Annexe A 5.30

Modifications et différences par rapport à la norme ISO 27001:2013

ISO 27001:2022 Annexe A 8.14 remplace ISO 27001:2013 Annexe A 17.2.1 (Disponibilité des installations de traitement de l'information).

27001:2022 Annexe A 8.14 marque une avancée majeure par rapport à 27001:2013 Annexe A 17.2.1, la différence entre les deux contrôles constituant le changement le plus important de toute la révision de la norme ISO 27001:2022.

27001:2013, l'annexe A 17.2.1 offre un bref aperçu du besoin de redondance, tandis que 27001:2022, l'annexe A 8.14 fournit des instructions détaillées sur la façon de la mettre en œuvre sur des composants logiques et physiques sur site, basés sur le cloud.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

Chez ISMS.online, nous avons créé un système complet et simple pour vous aider à réaliser ISO 27001: 2022 contrôle et gère l’ensemble de votre SMSI.

ISMS.online facilite l'adoption de la norme ISO 27001:2022, proposant un ensemble d'instruments pour faciliter la gestion de la sécurité de l'information dans votre organisation. Il identifiera les risques, concevra des contrôles pour réduire ces risques, puis démontrera la mise en œuvre de ces contrôles dans l'organisation.

Contactez-nous dès aujourd'hui pour réserver une démonstration.

Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.

Peter Risdon
RSSI, Vital

Réservez votre démo

Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
Mark Wightman
Chief Technical Officer Aluma
100 % de nos utilisateurs réussissent la certification du premier coup
Réservez votre démo

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage