Qu'est-ce que le contrôle 5.2 : Rôles et responsabilités en matière de sécurité de l'information ?
ISO 27002: 2022, le contrôle 5.2 — rôles et responsabilités en matière de sécurité de l'information — est l'un des contrôles les plus importants de la norme ISO 27002:2022. Il s'agit d'une modification du contrôle 6.1.1 de la norme ISO 27002:2013 et définit la manière dont les organisations doivent définir et attribuer les rôles et responsabilités en matière de sécurité de l'information.
Rôles et responsabilités en matière de sécurité de l'information expliqués
Le responsable de l'organisation, les responsables de la sécurité de l'information (RSSI), la direction des services informatiques (ITSM), les propriétaires du système et les utilisateurs du système contribuent tous à la robustesse de la sécurité de l'information. Cette section résume et discute des responsabilités de ceux qui occupent ces rôles.
Le leader de l’organisation porte le poids des responsabilités
La sécurité des informations relève de votre responsabilité en tant que PDG de votre agence. De plus, vous êtes l'organisme d'accréditation de l'organisation.
La sécurité de l’information relève de la responsabilité du RSSI
Les bonnes pratiques dans le secteur de la sécurité et en matière de gouvernance relèvent de la responsabilité des RSSI. Avoir ce poste en place garantit que la sécurité de l'information est correctement gérée aux plus hauts niveaux de l’organisation.
La gestion des services informatiques (ITSM) est chargée de mettre en œuvre les mesures de sécurité ainsi que de fournir une expertise
Un ITSM est un haut fonctionnaire de l’entreprise. Les administrateurs système travaillent en collaboration avec le responsable de la sécurité de l'information pour mettre en œuvre les directives stratégiques du directeur général.
Les propriétaires des systèmes sont responsables de leur maintenance et de leur exploitation
Un propriétaire est requis pour chaque système. En conséquence, il incombe à chaque propriétaire de système de garantir le respect des règles de gouvernance informatique et la satisfaction des besoins de l'entreprise.
Les utilisateurs du système protègent les systèmes en adhérant aux politiques et procédures
Les utilisateurs du système sont plus susceptibles d’adhérer aux règles et procédures de sécurité s’il existe une solide culture de sécurité. Chaque système comporte des dangers inhérents, et il appartient aux utilisateurs de prendre la responsabilité d'atténuer ces dangers.
Aborder ce contrôle est essentiel pour garantir que chaque employé comprend ce qu'il fait. responsable en matière de protection des données, systèmes et réseaux. Il s’agit certes d’un défi pour de nombreuses entreprises, notamment les petites où les employés portent généralement plusieurs casquettes.
Attributs Table de contrôle 5.2
Une section d'attributs est désormais incluse dans le dernière version de la norme ISO 27002. Définir des attributs est un moyen de classer les contrôles. Ceux-ci vous permettent de faire facilement correspondre votre sélection de commandes avec la terminologie typique de l’industrie. Les attributs du contrôle 5.2 sont :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Identifier | #Gouvernance | #Gouvernance et écosystème |
| #Intégrité | #Résistance | |||
| #Disponibilité |
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Quel est le but du contrôle 5.2 ?
L'objectif du contrôle 5.2 est d'établir une structure définie, approuvée et comprise pour la mise en œuvre, le fonctionnement et la gestion de la sécurité de l'information au sein de l'organisation. Ceci est une formalité structure organisationnelle qui attribue la responsabilité de la sécurité de l'information dans toute l’organisation.
Contrôle 5.2 expliqué
Le contrôle 5.2 traite de la mise en œuvre, du fonctionnement et de la gestion des rôles et responsabilités en matière de sécurité de l'information dans une organisation selon le cadre défini par la norme ISO 27001.
Le contrôle stipule que les rôles et responsabilités en matière de sécurité de l'information doivent être bien définis et que toutes les personnes impliquées doivent comprendre leur rôle. En règle générale, les actifs sont attribués à un propriétaire désigné qui assume la responsabilité de leurs soins quotidiens.
Cependant, en fonction de la taille de l'organisation et des ressources disponibles, la sécurité des informations peut être gérée par une équipe dédiée ou des responsabilités supplémentaires attribuées aux employés actuels.
Qu'est-ce que cela implique et comment répondre aux exigences
L'attribution des rôles et des responsabilités en matière de sécurité de l'information est cruciale pour garantir que la sécurité de l'information de l'organisation est maintenue et renforcée. Pour répondre aux exigences de ce contrôle, la répartition des rôles doit être formalisée et documentée, par exemple sous forme de tableau ou sous forme d'organigramme.
- L'organisation doit définir les responsabilités et les responsabilités en matière de sécurité de l'information au sein de l'organisation et les attribuer à des fonctions ou des rôles de gestion spécifiques.
- Ce contrôle doit garantir la clarté des différents rôles et responsabilités au sein de l'organisation, afin de garantir que la direction accorde une attention appropriée à la sécurité de l'information.
- Le cas échéant, une formation complémentaire pour les sites individuels et les installations de traitement de l'information devrait être dispensée pour les aider à remplir ces tâches.
L’objectif ici est de garantir que des rôles, responsabilités et autorités clairs soient attribués et compris dans toute l’organisation. Afin de garantir une séparation efficace des tâches, les rôles et responsabilités doivent être documentés, communiqués et appliqués de manière cohérente dans toute l’organisation.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Différences entre ISO 27002:2013 et 27002:2022
Comme nous l'avons déjà souligné, le contrôle 5.2 de la norme ISO 27002:2022, Rôles et responsabilités en matière de sécurité de l'information, n'est pas un nouveau contrôle. Il s'agit simplement d'un contrôle modifié trouvé dans la norme ISO 27002:2013 sous le nom de contrôle 6.1.1.
L'objectif du contrôle 5.2 a été défini et de nouvelles instructions de mise en œuvre ont été incluses dans la dernière révision de la norme ISO 27002. Bien que l'essence des deux contrôles soit fondamentalement la même, de légères améliorations ont été apportées à la version 2022.
Par exemple, la norme ISO 27002:2022 stipule que les personnes qui assument une fonction spécifique en matière de sécurité des informations doivent être compétent dans les connaissances et les compétences requis par le rôle et soutenus pour rester au courant des avancées liées au rôle et nécessaires pour remplir les obligations du rôle. Ce point ne fait pas partie de la version 2013.
De plus, les directives de mise en œuvre des deux versions sont légèrement différentes. Comparons les sections des deux ci-dessous :
La norme ISO 27002:2013 indique que les domaines dont les individus sont responsables doivent être indiqués. Ces domaines sont :
a) les actifs et les processus de sécurité de l'information doivent être identifiés et définis ;
b) l'entité responsable de chaque processus de sécurité des actifs ou des informations doit être désignée et les détails de cette responsabilité doivent être documentés ;
c) les niveaux d'autorisation doivent être définis et documentés ;
d) pour pouvoir assumer des responsabilités dans le domaine de la sécurité de l'information, les personnes nommées doivent être compétentes dans le domaine et avoir la possibilité de se tenir au courant des évolutions ;
e) coordination et surveillance des aspects de la sécurité de l'information Les relations avec les fournisseurs doivent être identifiées et documentées.
La norme ISO 27002:2022 est plus condensée. Il stipule simplement que l'organisation doit définir et gérer les responsabilités pour :
a) protection des informations et autres actifs associés ;
b) mettre en œuvre des processus spécifiques de sécurité de l'information ;
c) gestion des risques liés à la sécurité de l'information activités et notamment acceptation des risques résiduels (par exemple envers les propriétaires des risques) ;
d) tout le personnel utilisant les informations d’une organisation et d’autres actifs associés.
Les deux versions de contrôle suggèrent cependant que les organisations peuvent nommer un responsable de la sécurité de l'information pour assumer la responsabilité globale du développement et de la mise en œuvre de la sécurité de l'information et pour soutenir l'identification des contrôles.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Qui est en charge de ce processus ?
Un responsable de la sécurité de l'information est souvent nommé par les entreprises pour superviser la création et l'exécution des mesures de sécurité et pour aider à la détection des menaces et des contrôles potentiels.
Ressources et mettre les contrôles en place incombera généralement aux gestionnaires individuels. Une pratique fréquente consiste à désigner une personne pour chaque actif, qui est ensuite responsable de la sécurité continue de l'actif.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.online vous aide
On ne s'attend pas à ce que vous fassiez grand-chose pour répondre aux exigences de la nouvelle norme ISO 27002:2022, sauf mise à niveau de votre SMSI processus pour refléter les contrôles améliorés, si votre équipe interne ne peut pas gérer cela, ISMS.online peut vous aider.
En plus de fournir un cadre cloud sophistiqué pour documenter les procédures et les listes de contrôle ISMS afin de garantir la conformité aux normes établies, ISMS.online rationalise également le processus de certification ISO 27001 et le processus de mise en œuvre ISO 27002.
Tous vos Solutions SMSI peuvent être gérés dans un emplacement centralisé grâce à notre logiciel basé sur le cloud. Vous pouvez utiliser notre application facile à utiliser pour suivre tout ce qui se passe requis pour vérifier la conformité à l’ISO Spécifications 2K7.
La mise en œuvre de la norme ISO 27002 est simplifiée grâce à notre flux de travail intuitif étape par étape et à nos outils qui incluent des cadres, des politiques et des contrôles, une documentation et des conseils exploitables. Vous pouvez définir le portée du SMSI, identifiez les risques et mettez en œuvre des contrôles via notre plateforme, en quelques clics seulement.
Nous disposons également d'une équipe interne de spécialistes en technologies de l'information qui vous fourniront des conseils et une assistance afin que vous puissiez démontrer à vos clients votre conformité aux normes et votre dévouement à la sécurité des informations.
Afin d'en savoir plus sur la manière dont ISMS.online peut vous aider à atteindre vos objectifs ISO 2K7, veuillez nous appeler au +44 (0)1273 041140.
Contactez-nous dès aujourd'hui pour réserver une démo.
