ISO 27001:2013 et ISO 27001:2017, quelle est la différence ?

La différence entre les versions ISO 27001

IEn pratique, très peu de choses ont changé entre 2013 et 2017. ISO 27001 normes à l'exception de quelques points cosmétiques mineurs et d'un petit changement de nom.

La dernière version publiée de la norme ISMS est – BS EN ISO/IEC 27001 : 2017.

La ISO La version de la norme (2013) n'a pas été affectée par la publication de 2017 et les changements n' introduire de nouvelles exigences.

Pour ceux qui recherchent un Accrédité UKAS Certification ISO 27001, UKAS est accrédité selon la norme ISO, aucune modification n'affecte donc votre statut de certification et aucune activité de transition supplémentaire n'est donc introduite par cette révision.

Le changement de 2017 a été introduit pour indiquer l'approbation par le CEN/CENELEC de la désignation EN (« Norme européenne »).

La mise à jour BS intègre cependant deux rectificatifs/amendements à la norme ISO 27001:2013 publiés précédemment, en particulier dans la clause 6.1.3 et la clause 8.1 de l'annexe A.

Jetons un coup d'œil à ce que couvraient ces rectificatifs :

Corrigendum 1 : ISO/CEI 27001:2013/Cor.1:2014(fr) – publié en 2014

A.8.1.1 (Inventaire des biens), remplace le texte objectif du contrôle de :

"Les actifs associés aux installations d'information et de traitement de l'information doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à jour."

à:

«Les informations et autres actifs associés aux informations et aux installations de traitement de l'information doivent être identifiés et un inventaire de ces actifs sera dressé et tenu.

Le changement a rendu explicite que d'information lui-même doit également être considéré comme un atout et être inclus dans l’inventaire.

Pour ceux qui utilisent ISMS.en ligne, les notes d'orientation fournies dans Le paragraphe A.8.1.1, ainsi que notre Coach virtuel ISO 27001, prenez cela pleinement en considération.

Contrairement à certains des outils les plus anciens du marché, ISMS.en ligne utilise un approche de la gestion des risques basée sur les actifs informationnels vous pouvez donc être sûr que cet amendement important a été pris en compte.

Découvrez notre article sur Comment développer un inventaire des actifs.

Cliquez pour voir une image plus grande de la façon dont nous utilisons la plateforme ISMS.online pour ISO 27001

Corrigendum 2 : ISO/CEI 27001:2013/Cor.2:2015(fr) – publié le 1/12/2015

Cela impliquait des modifications au paragraphe. 6.1.3 (Traitement des risques liés à la sécurité de l'information), et plus particulièrement au point d), concernant la déclaration d'applicabilité (SoA). Il s'agissait simplement d'un ajustement cosmétique, séparant le contenu requis pour une SoA du paragraphe principal en puces séparées, indiquant plus clairement qu'une SoA doit contenir au moins quatre éléments :

• Les contrôles nécessaires à la mise en œuvre du traitement des risques liés à la sécurité de l'information, en tenant compte non seulement de ceux de l'Annexe A, mais également des contrôles conçus par l'organisation selon les besoins, ainsi que d'autres identifiés à partir de n'importe quelle source (par exemple, les contrôles de la série de documents NIST SP 800)

• Justification de l’inclusion de ces contrôles

• L'état des contrôles (par exemple mis en œuvre ou non)

• La justification de l'exclusion de l'un des Contrôles de l'Annexe A

La déclaration d'applicabilité de la norme ISO 27001 est souvent considérée comme l'une des tâches les plus ardues de la norme, tant à créer qu'à maintenir à jour. Vous pouvez lire notre article, Déclaration d'applicabilité simplifiée pour en savoir plus.

Cliquez pour voir une image plus grande de la façon dont nous entretenons notre Déclaration d'applicabilité dans la plateforme ISMS.online

Comment aborder les changements

/caractéristiques-du-logiciel/Avec ISMS.en ligne, les éléments du Corrigendum ont été intégrés, à la fois en termes de conseils et d'outils que vous utiliserez pour accélérer votre mise en œuvre ISO 27001. et réduisez le temps de gestion continue de votre SMSI.