ISO 27001:2022 Annexe A Contrôle 8.27

Architecture de système sécurisée et principes d’ingénierie

Demander demo

Fermer,haut,image,de,femme,mains,en tapant,sur,ordinateur portable,ordinateur

ISO 27001: 2022 L'Annexe A 8.27 précise que les organisations doivent mettre en œuvre une architecture de système sécurisée et des principes d'ingénierie pour garantir que la conception, la mise en œuvre et la gestion du système d'information sont adaptées aux exigences de sécurité de l'organisation. Cela comprend l'établissement d'architectures de systèmes sécurisées, de principes d'ingénierie et de pratiques de conception sécurisées.

Les structures complexes des systèmes d’information contemporains, combinées à l’environnement des risques de cybersécurité en constante évolution, rendent les systèmes d’information plus vulnérables aux menaces de sécurité existantes et potentielles.

L'Annexe A 8.27 décrit comment les organisations peuvent protéger leurs systèmes d'information contre les menaces de sécurité grâce à la mise en œuvre de principes d'ingénierie de systèmes sécurisés à toutes les étapes du cycle de vie du système d'information.

Objet de la norme ISO 27001:2022 Annexe A 8.27

L'Annexe A 8.27 aide les organisations à sécuriser les systèmes d'information pendant les phases de conception, de déploiement et d'exploitation, via l'établissement et la mise en œuvre de principes d'ingénierie de systèmes sécurisés auxquels les ingénieurs système doivent adhérer.

Propriété de l'annexe A 8.27

Les Responsable de la sécurité de l'information doit être tenu responsable de l’établissement, du maintien et de la mise en œuvre des règles qui régissent l’ingénierie sûre des systèmes d’information.

Aller au sujet

Orientations générales sur la conformité à la norme ISO 27001:2022 Annexe A 8.27

La norme ISO 27001:2022 Annexe A 8.27 souligne la nécessité pour les organisations d'intégrer la sécurité dans l'intégralité de leurs systèmes d'information, y compris les processus métier, les applications et l'architecture des données.

Des pratiques d'ingénierie sécurisées doivent être mises en œuvre pour toutes les tâches associées aux systèmes d'information, régulièrement revues et mises à jour pour tenir compte des menaces et des modèles d'attaque émergents.

L'annexe A 8.27 s'applique également aux systèmes créés par des fournisseurs externes, en plus de ceux développés et gérés en interne.

Les organisations doivent garantir que les pratiques et les normes des prestataires de services sont conformes à leurs protocoles d'ingénierie sécurisés.

La norme ISO 27001:2022 Annexe A 8.27 nécessite des principes d'ingénierie de systèmes sécurisés pour aborder les huit sujets suivants :

  1. Méthodes d'authentification des utilisateurs.

  2. Conseils de contrôle de session sécurisé.

  3. Procédures de nettoyage et de validation des données.

  4. Les mesures de sécurité visant à protéger les actifs et les systèmes d'information contre les menaces connues sont analysées de manière approfondie.

  5. Mesures de sécurité analysées pour leur capacité à identifier, éliminer et répondre aux menaces de sécurité.

  6. Analyser les mesures de sécurité appliquées à des activités commerciales spécifiques, telles que le cryptage des informations.

  7. Où et comment les mesures de sécurité seront mises en œuvre. Un contrôle de sécurité spécifique de l’Annexe A peut être intégré au sein de l’infrastructure technique dans le cadre de ce processus.

  8. La manière dont différentes mesures de sécurité fonctionnent ensemble et fonctionnent comme un système combiné.

Conseils sur le principe Zero Trust

Les organisations doivent garder à l’esprit ces principes de confiance zéro :

  • Basé sur l'hypothèse que les systèmes de l'organisation sont déjà compromis et que le périmètre de sécurité défini de son réseau ne peut pas fournir une protection adéquate.

  • Une politique de « vérification avant confiance » devrait être adoptée lorsqu’il s’agit d’accorder l’accès aux systèmes d’information. Cela garantit que l’accès n’est accordé qu’après un examen minutieux, garantissant que les bonnes personnes l’obtiennent.

  • Garantir que les demandes adressées aux systèmes d’information sont protégées avec un cryptage de bout en bout offre une assurance.

  • Des mécanismes de vérification sont mis en œuvre en supposant des demandes d'accès de réseaux externes ouverts aux systèmes d'information.

  • Mettez en œuvre le moindre privilège et le contrôle d’accès dynamique conformément à la norme ISO 27001:2022, annexes A 5.15, 5.18 et 8.2. Cela doit englober l'authentification et l'autorisation des informations et des systèmes d'information sensibles en tenant compte des aspects contextuels tels que l'identité des utilisateurs (ISO 27001:2022 Annexe A 5.16) et classification des informations (ISO 27001:2022 Annexe A 5.12).

  • Authentifier l'identité du demandeur et vérifier les demandes d'autorisation pour accéder aux systèmes d'information conformément aux informations d'authentification de la norme ISO 27001 : 2022, annexe A 5.17, 5.16 et 8.5.

Que devraient couvrir les techniques d’ingénierie des systèmes sécurisés ?

Votre organisation doit garder à l’esprit les éléments suivants :

  • Intégrer des principes d'architecture sécurisée tels que « sécurité dès la conception », « défense en profondeur », « échec sécurisé », « méfiance envers les entrées d'applications externes », « présumer une violation », « moindre privilège », « convivialité et facilité de gestion » et « moindre fonctionnalité » » est primordial.

  • Effectuer un examen de conception axé sur la sécurité pour détecter tout problème de sécurité des informations et s'assurer que les mesures de sécurité sont établies et répondent aux besoins de sécurité.

  • Il est essentiel de documenter et de reconnaître les mesures de sécurité qui ne répondent pas aux exigences.

  • Le renforcement du système est essentiel pour la sécurité de tout système.

Quels critères prendre en compte lors de la conception de principes d’ingénierie sécurisée ?

Les organisations doivent prendre en compte les points suivants lors de la mise en place de principes d’ingénierie de systèmes sécurisés :

  • L’obligation de coordonner les contrôles de l’annexe A avec une architecture de sécurité particulière est indispensable.

  • Infrastructure de sécurité technique existante d'une organisation, y compris l'infrastructure à clé publique, la gestion des identités et la prévention des fuites de données.

  • L'organisation peut-elle construire et maintenir la technologie choisie.

  • Le coût et le temps nécessaires pour remplir les exigences de sécurité, compte tenu de leur complexité, doivent être pris en compte.

  • Il est essentiel d’adhérer aux meilleures pratiques actuelles.

Conseils sur l'application des principes d'ingénierie des systèmes sécurisés

La norme ISO 27001 : 2022, annexe A 8.27, indique que les organisations peuvent utiliser des principes d'ingénierie sécurisés lors de la configuration des éléments suivants :

  • La tolérance aux pannes et d’autres stratégies de résilience sont essentielles. Ils contribuent à garantir que les systèmes restent opérationnels malgré la survenance d’événements inattendus.

  • La ségrégation via la virtualisation est une technique qui peut être utilisée.

  • L'inviolabilité garantit que les systèmes restent sécurisés et insensibles aux interférences malveillantes.

La technologie de virtualisation sécurisée peut réduire le risque d'interception entre les applications exécutées sur le même appareil.

Il est souligné que les systèmes de résistance à la falsification peuvent détecter les manipulations à la fois logiques et physiques des systèmes d'information, empêchant ainsi tout accès non autorisé aux données.

Changements et différences par rapport à la norme ISO 27001:2013

ISO 27001:2022 Annexe A 8.27 remplace l'ISO 27001:2013 Annexe A 14.2.5 dans la norme révisée 2022.

La version 2022 contient des exigences plus étendues que la version 2013, telles que :

  • Par rapport à 2013, la version 2022 fournit des indications sur ce que devraient comprendre les principes d’ingénierie sécurisée.

  • Contrairement à l'itération de 2013, la version 2022 prend en compte les critères que les organisations doivent prendre en compte lors de l'élaboration des principes d'ingénierie des systèmes sécurisés.

  • La version 2022 fournit des orientations sur le principe de confiance zéro, qui n'était pas inclus dans la version 2013.

  • L'édition 2022 du document comprend des recommandations sur les techniques d'ingénierie sécurisées, telles que la « sécurité dès la conception », qui n'étaient pas présentes dans la version 2013.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment l'aide d'ISMS.online

Notre liste de contrôle étape par étape facilite la mise en œuvre de la norme ISO 27001. Notre solution complète de conformité pour ISO/IEC 27001:2022 vous guidera tout au long du processus du début à la fin.

Une fois connecté, vous pouvez vous attendre à une progression allant jusqu'à 81 %.

Cette solution est totalement complète et simple.

Contactez-nous maintenant pour réserver une démonstration.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage