ISO 27001:2022 Annexe A Contrôle 8.20

Network Security

Demander demo

bas,vue,de,gratte-ciel,modernes,dans,quartier,des,affaires,contre,bleu

La sécurité du réseau est un élément essentiel de la stratégie d'une organisation. sécurité de l'information stratégie.

Elles doivent être gérées avec soin et précision pour garantir la sécurité de toutes les données.

ISO 27001:2022 Annexe A 8.20 est un ensemble de protocoles complets qui couvrent la sécurité des réseaux en tant que concept directeur sous toutes ses formes. Il s'appuie sur les conseils de nombreux contrôles importants de sécurité de l'information de ISO 27001: 2022.

Objet de la norme ISO 27001:2022 Annexe A 8.20

ISO 27001 : 2022 Annexe A 8.20 est un contrôle préventif et de détection qui maintient les risques à distance en mettant en œuvre des contrôles qui sécurisent le réseau TIC d'une organisation de haut en bas. Cela se fait en s'assurant que l'activité du réseau est enregistrée, compartimentée et effectuée par du personnel autorisé.

Propriété de l'annexe A 8.20

L’Annexe A 8.20 couvre bien plus que le simple fonctionnement quotidien des outils et procédures de mise en réseau back-end, de maintenance et de diagnostic. La propriété de ce contrôle doit être attribuée au propriétaire de l'organisation. Responsable de la sécurité de l'information (RSSI) ou similaire.

Aller au sujet

Orientations générales sur la conformité à la norme ISO 27001:2022 Annexe A 8.20

L'Annexe A 8.20 met l'accent sur deux aspects fondamentaux de la sécurité des réseaux dans ses orientations générales :

  1. Assurer la sécurité des informations est une priorité absolue.

  2. La protection contre les accès non autorisés (en particulier lorsqu'il s'agit de services liés) est essentielle.

L'Annexe A 8.20 exige que les organisations atteignent ses deux objectifs (ci-dessus) en effectuant ce qui suit :

  • Organisez les données sur un réseau en fonction de leur type et de leur catégorisation pour une gestion et un entretien efficaces.

  • Assurez-vous que le personnel dont les rôles et les responsabilités sont documentés entretient l’équipement de réseau.

  • Conservez des données récentes, y compris des documents à version contrôlée, sur les diagrammes de réseau LAN et WAN et les fichiers de micrologiciel/configuration des équipements réseau critiques tels que les routeurs, les pare-feu, les points d'accès et les commutateurs.

  • Distinguer les responsabilités pour le réseau de l'organisation des opérations ordinaires du système TIC et des applications (conformément à la norme ISO 27001:2022 Annexe A 5.3), y compris la division du trafic administratif du trafic réseau normal.

  • Assurer le stockage et le transfert sécurisés des données sur tous les réseaux applicables (y compris ceux de tiers) et assurer le bon fonctionnement de toutes les applications connectées (voir ISO 27001:2022 Annexe A 5.22, 8.24, 5.14 et 6.6).

  • Gardez une trace et observez toutes les activités influençant la sécurité globale des informations sur l'ensemble du réseau ou au sein de composants individuels (consultez la norme ISO 27001:2022, annexes A 8.16 et 8.15).

  • Coordonner les opérations de gestion du réseau pour qu'elles s'intègrent aux processus d'affaires habituels de l'entreprise. Assurer la précision et l’efficacité afin d’atteindre les objectifs.

  • Assurez-vous que tous les systèmes et applications nécessitant une utilisation sont authentifiés avant leur utilisation.

  • Filtrez tout le trafic transitant par le réseau en définissant une séquence de réglementations, de principes de filtrage de contenu et de réglementations en matière de données.

  • Assurez-vous que tous les équipements connectés au réseau sont visibles, authentiques et peuvent être gérés par le personnel TIC.

  • Maintenir l’aptitude à séparer les sous-réseaux commerciaux essentiels en cas d’incident de sécurité.

  • Arrêtez ou désactivez temporairement les protocoles réseau qui ont été violés ou qui sont devenus peu fiables ou faibles.

Contrôles accompagnant l’Annexe A

  • ISO 27001:2022 Annexe A 5.14

  • ISO 27001:2022 Annexe A 5.22

  • ISO 27001:2022 Annexe A 5.3

  • ISO 27001:2022 Annexe A 6.6

  • ISO 27001:2022 Annexe A 8.15

  • ISO 27001:2022 Annexe A 8.16

  • ISO 27001:2022 Annexe A 8.24

Modifications et différences par rapport à la norme ISO 27001:2013

L'ISO 27001:2022 Annexe A 8.20 remplace l'ISO 27001:2013 Annexe A 13.1.1 (Contrôles de réseau) dans la norme révisée 2022.

L'Annexe A 8.20 appelle à une approche approfondie de la sécurité des réseaux, offrant plusieurs conseils clés pour couvrir des éléments tels que :

  • Isoler les sous-réseaux.

  • Maintenir les appareils visibles.

  • Enregistrements du micrologiciel.

  • Filtrage du trafic.

  • Suspendre les protocoles.

  • Catégoriser les informations du réseau.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque norme ISO 27001:2022. Annexe A Contrôle.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment l'aide d'ISMS.online

Les Plateforme ISMS.online assiste à toutes les étapes de la mise en œuvre de la norme ISO 27001:2022, depuis la réalisation des activités d'évaluation des risques jusqu'à l'élaboration de politiques, de procédures et d'instructions pour répondre aux spécifications de la norme.

ISMS.online propose une méthode pour documenter les découvertes et les partager en ligne avec les membres de l'équipe. De plus, il offre la possibilité de générer et de sauvegarder des listes de contrôle pour toutes les activités liées à la norme ISO 27001, afin que vous puissiez facilement suivre le développement du système de sécurité de votre organisation.

ISMS.online simplifie le processus de démonstration du respect du critère ISO 27001 pour les organisations via son ensemble d'outils automatisés.

Contactez-nous dès aujourd'hui pour organiser une manifestation.

Notre récent succès dans l’obtention des certifications ISO 27001, 27017 et 27018 est dû en grande partie à ISMS.online.

Karen Burton
Analyste de sécurité, S'épanouir en santé

Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage