La politique de sécurité de l'information d'une organisation repose fortement sur l'accès interne et externe à l'information.
ISO 27001: 2022 L'Annexe A 8.3 est un mesure préventive à Gérer le risque en établissant des règles et des procédures pour empêcher l'accès non autorisé/l'utilisation abusive des informations et des actifs TIC d'une organisation.
L'Annexe A 27001 de l'ISO 2022 :8.3 concerne la capacité d'une organisation à réglementer l'accès à l'information. Il garantit que les informations ne sont accessibles que par le personnel autorisé.
La propriété des informations et des pratiques de sécurité des données doit appartenir au Responsable de la sécurité de l'information (ou leur équivalent organisationnel). Cette personne assume l'entière responsabilité de l'approche globale de sécurité de l'organisation.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
Pour maintenir un contrôle efficace sur les informations et les actifs TIC, les organisations doivent adopter une approche thématique spécifique en matière d'accès à l'information et soutenir des mesures de restriction d'accès, telles que :
La norme ISO 27001:2022, Annexe A 8.3, recommande d'adopter une approche dynamique de l'accès à l'information.
La gestion dynamique des accès a de nombreux effets positifs sur les activités organisationnelles qui impliquent le partage ou l'utilisation de données internes avec des utilisateurs externes, ce qui entraîne une résolution plus rapide des incidents.
Les techniques de gestion dynamique des accès protègent une variété de types d’informations, depuis les documents ordinaires jusqu’aux e-mails et aux informations des bases de données. De plus, ils peuvent être appliqués à des fichiers individuels, permettant aux organisations d'avoir un contrôle précis sur leurs données.
Les organisations doivent en tenir compte lorsque :
Toutes les tentatives visant à créer un système efficace de contrôle d'accès devraient aboutir à la protection des données par :
ISO 27001:2022 Annexe A 8.3 remplace ISO 27001:2013 L'Annexe A 9.4.1 (Restriction de l'accès à l'information), qui représente un changement majeur dans la façon dont l'ISO considère la gestion de l'accès à l'information.
Cette approche dynamique, qui n'était pas mentionnée dans la norme ISO 27001:2013 Annexe A 9.4.1, prend en compte la nature évolutive de la sécurité de l'information.
L'annexe 27001 de l'ISO 2022:8.3 fournit une multitude de notes d'orientation sur la gestion dynamique des accès que l'on ne trouve pas dans l'édition ISO 27001:2013. Par conséquent, les organisations doivent examiner ces suggestions sujet par sujet lorsqu’elles cherchent à obtenir une certification.
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
ISMS.Online est le principal logiciel de système de gestion ISO 27001 qui facilite la conformité à la norme ISO 27001 et permet aux entreprises d'aligner leurs politiques et procédures de sécurité sur la norme.
Ce plate-forme en nuage fournit aux organisations une suite complète d'outils pour les aider à créer un système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO 27001:2022.
Nous avons construit notre plateforme à partir de zéro, en collaboration avec des spécialistes internationaux de la sécurité de l'information. Nous l'avons conçu pour qu'il soit intuitif et simple pour les utilisateurs qui manquent d'expertise technique en Systèmes de gestion de la sécurité de l'information (ISMS).
Contactez-nous maintenant pour organiser une démonstration.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo