Malgré le large éventail de mesures préventives disponibles pour les organisations ISO 27002: 2022 adhérent, des perturbations dans la continuité des activités et les opérations standard peuvent se produire et se produisent effectivement.
Le contrôle 5.29 décrit les ajustements opérationnels que les organisations doivent adopter en cas de perturbation, pour protéger informations et protéger les actifs de l’entreprise.
5.22 a un double objectif préventif ainsi que correctif contrôler cela maintient le risque en mettant en œuvre un plan qui améliore la sécurité des informations pendant les périodes de perturbation et atténue les dommages sur les actifs de l'organisation.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif #Correctif | #Confidentialité #Intégrité #Disponibilité | #Protéger #Répondre | #Continuité | #Protection #Résistance |
Le contrôle 5.29 fait référence aux opérations processus et procédures de sécurité de l'information qui sont activés lorsque des événements critiques ou une interruption des activités se produisent.
En tant que tel, la propriété du contrôle 5.29 doit appartenir à un membre des équipes de direction qui supervise les opérations quotidiennes de l'organisation et/ou les imprévus de la planification de la continuité, tels que le Chef de l'exploitation (COO).
Nous sommes économiques et rapides
Le contrôle 5.29 stipule que la sécurité de l'information doit faire partie intégrante de la stratégie plus large d'une organisation. procédure de gestion de la continuité des activités.
Les organisations devraient élaborer des plans visant à maintenir intégrité de la sécurité de l'information, puis restaurez-les si les informations sont compromises de quelque manière que ce soit suite à une interruption opérationnelle ou à une panne du système.
Les niveaux de sécurité doivent être rétablis aux niveaux d’avant l’interruption, et en temps opportun pour atténuer tout dommage supplémentaire.
Ce faisant, les organisations devraient :
Le contrôle 5.29 reconnaît la nature très variable de la planification de la continuité et donne les organisations disposent d'une marge de manœuvre importante pour mettre en œuvre la sécurité de l'information des contrôles spécifiques aux différents types de perturbations des activités que les organisations peuvent subir.
L'ISO demande aux organisations de se concentrer sur deux domaines clés élaborer un plan de continuité d’activité :
a) perte de confidentialité
b) l'intégrité des informations
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
27002:2022-5.29 remplace les trois contrôles suivants de 27002:2013 :
Consciente de la nature complexe des plans de continuité des activités – et de la façon dont ils diffèrent selon les différents types d'interruption – l'ISO a simplifié ses lignes directrices en s'éloignant d'une approche granulaire et en demandant aux organisations de plutôt prendre en compte quelques points fondamentaux lors de l'élaboration de plans de continuité d'activité spécifiques à un sujet. plans (voir ci-dessus).
Par exemple, une partie des orientations de la section 17.1.2 indique que :
« un personnel d'intervention en cas d'incident doté de la responsabilité, de l'autorité et compétence pour gérer un incident et maintenir la sécurité de l'information sont nommés ».
Malgré leur importance dans une planification efficace de la continuité, 5.29 ne fait aucune mention spécifique des équipes de réponse aux incidents et fait confiance à l'organisation pour les prendre en compte sous tous les points des notes d'orientation, plus spécifiquement :
Une plateforme basée sur le cloud pour ISO 27002 mise en œuvre, ISMS.online, vous aide à gérer vos processus de gestion des risques liés à la sécurité de l'information de manière simple et efficace.
La Plateforme ISMS.online fournit une gamme d'outils puissants qui simplifient la façon dont vous pouvez documenter, mettre en œuvre, maintenir et améliorer votre système de gestion de la sécurité de l'information (ISMS) et atteindre la conformité à la norme ISO 27002.
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
