5.23 est un nouveau contrôle qui décrit les processus requis pour l'acquisition, l'utilisation, la gestion et la sortie des services cloud, en relation avec les caractéristiques uniques de l'organisation. exigences en matière de sécurité de l'information.
Control 5.23 permet aux organisations de spécifier d'abord, puis de gérer et administrer la sécurité des informations concepts liés aux services cloud, en leur qualité de « client de services cloud ».
5.23 est un contrôle préventif qui maintient le risque en spécifiant les politiques et les procédures qui régir la sécurité de l’information, dans le domaine des services cloud commerciaux.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité des relations avec les fournisseurs | #Gouvernance et #Protection des écosystèmes |
Nous sommes économiques et rapides
Telle est la prolifération des services cloud au cours de la dernière décennie, Control 5.23 contient une multitude de procédures qui englobent de nombreux éléments distincts du fonctionnement d'une organisation.
Étant donné que tous les services cloud ne sont pas spécifiques aux TIC – même si l'on pourrait raisonnablement affirmer que la plupart le sont – la propriété de Control 5.22 devrait être répartie entre les différents départements d'une organisation. CTO or COO, en fonction des circonstances opérationnelles du moment.
La conformité au contrôle 5.23 implique le respect de ce que l'on appelle un approche « thématique » aux services cloud et à la sécurité des informations.
Compte tenu de la variété des services cloud proposés, les approches thématiques encouragent les organisations à créer des politiques de services cloud adaptées aux fonctions commerciales individuelles, plutôt que d'adhérer à une politique globale. politique qui s'applique à la sécurité de l'information et les services cloud à tous les niveaux.
Il convient de noter que l'ISO considère l'adhésion au contrôle 5.23 comme un effort de collaboration entre l'organisation et son partenaire de services cloud. Le contrôle 5.23 devrait également être étroitement aligné sur les contrôles 5.21 et 5.22, qui traitent des informations gestion dans la chaîne d'approvisionnement et la gestion des services fournisseurs respectivement.
Quelle que soit la manière dont une organisation choisit de fonctionner, le contrôle 5.23 ne doit pas être pris isolément et doit compléter les efforts existants pour gérer les relations avec les fournisseurs.
Avec la sécurité des informations au premier plan, l'organisation doit définir :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Control 5.23 reconnaît que, contrairement aux autres relations avec les fournisseurs, les contrats de services cloud sont des documents rigides qui ne sont pas modifiables dans la grande majorité des cas.
Dans cette optique, les organisations doivent examiner attentivement les contrats de services cloud et s’assurer que quatre exigences opérationnelles principales sont respectées :
Comme pour les autres contrats de fournisseurs, avant acceptation, les contrats de services cloud doivent faire l'objet d'une évaluation approfondie des risques qui met en évidence les problèmes potentiels à la source.
Au strict minimum, l'organisation ne doit conclure un accord de services cloud que lorsqu'elle est convaincue que les 10 dispositions suivantes ont été respectées :
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
En plus des orientations ci-dessus, le contrôle 5.23 suggère que les organisations établissent une relation de travail étroite avec les fournisseurs de services cloud, conformément au service important qu'ils fournissent non seulement en termes de sécurité de l'information, mais dans l'ensemble des opérations commerciales d'une organisation.
Dans la mesure du possible, les organisations doivent rechercher les stipulations suivantes auprès des fournisseurs de services cloud pour améliorer la résilience opérationnelle et bénéficier de niveaux améliorés de sécurité des informations :
Le contrôle 5.23 est un nouveau contrôle cela ne figure pas dans la norme ISO 27002:2013 à quelque titre que ce soit.
ISMS.online rationalise le ISO 27002 processus de mise en œuvre en fournissant un cadre sophistiqué basé sur le cloud pour documenter les procédures et les listes de contrôle du système de gestion de la sécurité de l'information afin de garantir la conformité aux normes reconnues.
Lorsque vous utilisez ISMS.online, vous pourrez :
Contactez-nous et réserver une démo.
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
