ISO 27001:2022 Annexe A Contrôle 8.26

Exigences de sécurité des applications

Demander demo

mélange,culturel,de,jeunes,personnes,travaillant,dans,une,entreprise

Les logiciels d'application tels que les applications Web, les programmes graphiques, les bases de données et le traitement des paiements sont essentiels à de nombreuses opérations commerciales.

Les applications sont souvent vulnérables à des problèmes de sécurité qui peuvent conduire à l'exposition de données confidentielles.

À titre d'exemple, l'agence d'évaluation du crédit Equifax, basée aux États-Unis, a négligé d'appliquer un correctif de sécurité au cadre d'application Web qu'elle utilisait pour gérer les plaintes des clients. Cette négligence a permis aux cyberattaquants d'exploiter les failles de sécurité de l'application Web, d'infiltrer les réseaux d'entreprise d'Equifax et de voler des informations sensibles à environ 145 millions de personnes.

ISO 27001:2022, l'Annexe A 8.26 décrit comment les organisations peuvent mettre en œuvre et mettre en œuvre sécurité de l'information exigences relatives aux applications lors de leur développement, de leur utilisation et de leur acquisition. Il garantit que les mesures de sécurité sont intégrées dans le cycle de vie des applications.

Objet de la norme ISO 27001:2022 Annexe A 8.26

ISO 27001: 2022 L'annexe A 8.26 permet aux organisations de défendre leurs actifs de données stockés ou traités par des applications grâce à la reconnaissance et à l'application de spécifications de sécurité des informations appropriées.

Propriété de l'annexe A 8.26

Les Responsable de la sécurité de l'information, soutenu par des experts en sécurité de l'information, devrait entreprendre l'identification, l'approbation et la mise en œuvre des demandes d'informations relatives à l'acquisition, à l'utilisation et au développement d'applications.

Aller au sujet

Orientations générales sur la conformité à la norme ISO 27001:2022 Annexe A 8.26

Les organisations doivent procéder à une évaluation des risques pour établir les exigences de sécurité des informations nécessaires pour une application particulière.

Le contenu et les types d'exigences en matière de sécurité des informations peuvent différer en fonction de l'application, mais celles-ci doivent couvrir :

  • Basé sur la norme ISO 27001:2022, annexe A 5.17, 8.2 et 8.5, le niveau de confiance attribué à l'identité d'une entité spécifique.

  • La classification des actifs informationnels à sauvegarder ou à gérer par le logiciel doit être identifiée.

  • Est-il nécessaire de séparer l'accès aux fonctionnalités et aux données stockées sur l'application ?

  • Évaluez si l'application est robuste contre les cyber-pénétrations telles que les injections SQL ou les interceptions involontaires comme le débordement de tampon.

  • Les exigences et normes juridiques, réglementaires et statutaires doivent être respectées lors du traitement des transactions traitées, générées, enregistrées ou terminées par l'application.

  • La confidentialité est de la plus haute importance pour toutes les personnes impliquées.

  • Il est essentiel de garantir la protection des données confidentielles.

  • Assurer la sécurité des informations lorsqu’elles sont utilisées, transférées ou stockées est primordial.

  • Il est essentiel que toutes les parties concernées aient cryptage sécurisé de leurs communications si nécessaire.

  • La mise en œuvre de contrôles d’entrée, comme la validation des entrées et l’exécution de contrôles d’intégrité, garantit l’exactitude.

  • Effectuer des contrôles automatisés.

  • Veiller à ce que les droits d'accès, ainsi que les personnes pouvant consulter les résultats, soient pris en compte pour le contrôle des résultats.

  • Il est essentiel d'imposer des limites à ce qui peut être inclus dans les champs de « texte libre » pour se prémunir contre la diffusion involontaire d'informations confidentielles.

  • Exigences réglementaires, telles que celles régissant la journalisation des transactions et la non-répudiation.

  • D'autres contrôles de sécurité peuvent nécessiter le respect d'exigences spécifiques ; par exemple, les systèmes de détection des fuites de données.

  • Comment votre organisation gère les messages d'erreur.

Conseils sur les services transactionnels

La norme ISO 27001 :2022, Annexe A 8.26, exige que les organisations prennent en compte les sept recommandations suivantes lorsqu'elles fournissent des services transactionnels entre elles et un partenaire :

  • Le degré de confiance que chaque partie doit avoir dans l'identité de l'autre est essentiel dans toute transaction.

  • La fiabilité des données envoyées ou traitées doit être assurée et un système approprié pour reconnaître tout déficit d'intégrité, y compris le hachage et les signatures numériques, doit être identifié.

  • L'entreprise doit mettre en place un système pour déterminer qui est autorisé à approuver, signer et signer les documents transactionnels critiques.

  • Assurer le secret et l'exactitude des documents essentiels, et vérifier la transmission et la réception de ces documents.

  • Préservant la confidentialité et l'exactitude des transactions, il peut s'agir de commandes et de factures.

  • Exigences sur la manière dont les transactions doivent rester confidentielles pendant une période de temps spécifiée.

  • Les obligations contractuelles et les besoins en matière d’assurance doivent être remplis.

Conseils sur les applications de commande et de paiement électroniques

Les organisations doivent prendre en compte les éléments suivants lorsqu’elles intègrent des fonctionnalités de paiement et de commande électronique dans leurs applications :

  • Assurer la confidentialité et l’intégrité des informations de commande est essentiel.

  • Établir un niveau de confirmation approprié pour confirmer les informations de paiement fournies par un client.

  • Éviter l'égarement ou la réplication des données de transaction.

  • Assurez-vous que les informations relatives à l'information sont conservées à l'écart d'une zone accessible au public, par exemple un support de stockage situé dans l'intranet de l'organisation.

  • Chaque fois qu'une organisation s'appuie sur une autorité externe pour émettre des signatures numériques, elle doit s'assurer que la sécurité est intégrée tout au long du processus.

Conseils sur les réseaux

Lorsque les applications sont accessibles via des réseaux, elles pourraient être exposées à des désaccords contractuels, à des comportements frauduleux, à des erreurs d'orientation, à des modifications non approuvées du contenu de la communication ou à une violation de la confidentialité des données sensibles.

La norme ISO 27001:2022 Annexe A 8.26 conseille aux organisations de mener des évaluations approfondies des risques afin d'identifier les contrôles appropriés, tels que la cryptographie, pour protéger la sécurité des transferts d'informations.

Changements et différences par rapport à la norme ISO 27001:2013

ISO 27001:2022 Annexe A 8.26 remplace l'ISO 27001:2013, annexe A 14.1.2 et 14.1.3 dans la norme révisée 2022.

Il existe trois distinctions majeures entre les deux versions.

Toutes les applications et applications passant par les réseaux publics

La norme ISO 27001:2013 présente une liste d'exigences en matière de sécurité de l'information à prendre en compte pour les applications devant être transmises via des réseaux publics.

En revanche, l'ISO 27001:2022 Annexe A 8.26 fournit une liste d'exigences en matière de sécurité des informations qui s'appliquent à toutes les applications.

Conseils supplémentaires sur les applications de commande et de paiement électroniques

L'Annexe A 27001 de l'ISO 2022 :8.26 fournit des conseils spécifiques sur les applications de commande et de paiement électroniques, ce qui n'a pas été abordé dans la version 2013.

Exigence relative aux services transactionnels

Alors que l’édition 2022 et l’édition 2013 sont quasiment les mêmes concernant les prérequis aux services transactionnels, l’édition 2022 introduit une exigence supplémentaire non prise en compte dans l’édition 2013 :

  • Les organisations doivent garder à l’esprit les obligations contractuelles et les stipulations d’assurance.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment l'aide d'ISMS.online

ISMS.online est un système basé sur le cloud qui aide les organisations à démontrer leur alignement avec la norme ISO 27001:2022. Ce système peut être utilisé pour superviser les exigences ISO 27001, garantissant ainsi que votre organisation reste conforme à la norme.

Notre la plateforme est conviviale et accessible à tous. Cela ne nécessite pas de connaissances techniques complexes ; n'importe qui dans votre entreprise peut en profiter.

Contactez-nous maintenant pour programmer une démonstration.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Dites bonjour au succès de la norme ISO 27001

Obtenez 81 % du travail effectué pour vous et obtenez une certification plus rapidement avec ISMS.online

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage