ISO 27002: 2022 contrôle 5.3 — Séparation des tâches, anciennement connu sous le nom de contrôle 6.1.2 dans la norme ISO 27002 : 2013, définit le système par lequel les tâches et les domaines de responsabilité conflictuels sont séparés.
Chaque organisation dispose d'un ensemble de politiques et de procédures (P&P) qui régissent son fonctionnement interne. Les P&P sont censés être documentés, mais souvent ils ne le sont pas.
Si ces P&P ne sont pas claires ou bien communiquées, il en résulte une confusion parmi les employés quant à leurs domaines de responsabilités. Cela peut être encore pire lorsque les employés ont des responsabilités qui se chevauchent ou des domaines de responsabilité conflictuels.
Des conflits peuvent survenir lorsque deux employés ou plus ont des responsabilités similaires ou différentes face à une tâche particulière. Lorsque cela se produit, les employés peuvent finir par faire deux fois la même chose ou faire des choses différentes qui annulent les efforts de chacun. Cela gaspille les ressources de l'entreprise et réduit la productivité, ce qui affecte à la fois les résultats financiers et le moral de l'entreprise.
Afin de vous assurer que votre organisation ne souffre pas de ce problème, il est important de comprendre quels sont les domaines de responsabilités conflictuels, pourquoi ils se produisent et comment vous pouvez les empêcher de se produire dans votre organisation. Pour l'essentiel, cela signifie séparer les tâches afin que différentes personnes s'acquittent de différentes tâches. rôles dans l'organisation.
Les contrôles sont classés selon leurs attributs. Les attributs vous aident à aligner votre sélection de contrôles sur les normes et le langage du secteur. Dans le contrôle 5.3, ce sont :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Gouvernance #Gestion des identités et des accès | #Gouvernance et écosystème |
Nous sommes économiques et rapides
L'objectif du contrôle 5.3 Séparation des tâches dans la norme ISO 27002 est de réduire le risque de fraude, d'erreur et de contournement des contrôles de sécurité de l'information en garantissant que les tâches conflictuelles sont séparées.
Le contrôle 5.3 couvre les directives de mise en œuvre des tâches et fonctions de séparation dans une organisation conformément au cadre de ISO 27001.
Le principe consiste à décomposer les tâches clés en sous-tâches et à les attribuer à différentes personnes. Cela crée un système de freins et contrepoids qui peut réduire le risque d’erreurs ou de fraude.
Le contrôle est conçu pour empêcher qu'une seule personne puisse commettre, dissimuler et justifier des actions inappropriées, réduisant ainsi le risque de fraude ou d'erreur. Cela empêche également une seule personne de pouvoir contourner les contrôles de sécurité des informations.
Si un employé dispose de tous les droits requis pour une tâche particulière, le risque de fraude ou d’erreur est plus élevé puisqu’une seule personne peut tout faire sans aucun contrôle et contrepoids. Cependant, si aucune personne ne dispose de tous les droits d’accès requis pour une tâche particulière, cela réduit le risque qu’un employé puisse causer un préjudice important ou une perte financière.
Les tâches et les domaines de responsabilités qui ne sont pas séparés pourraient conduire à des fraudes, des abus, des accès inappropriés et d'autres incidents de sécurité.
En outre, la séparation des tâches est nécessaire pour atténuer les risques associés à une éventuelle collusion entre individus. Ces risques sont accrus lorsque les contrôles sont insuffisants pour prévenir ou détecter la collusion.
Afin de répondre aux exigences du contrôle 5.3 de la norme ISO 27002:2022, l'organisation doit déterminer quelles tâches et quels domaines de responsabilité doivent être séparés et des contrôles de séparation exploitables doivent être mis en place.
Lorsque de tels contrôles ne sont pas possibles, en particulier pour les petites organisations disposant d'un effectif minimal, le suivi des activités, pistes d’audit et contrôle de gestion peut être utilisé. Pour les grandes organisations, des outils automatisés peuvent être utilisés pour identifier et séparer les rôles afin que des rôles conflictuels ne soient pas attribués aux personnes.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Le numéro de contrôle 5.3 Séparation des tâches dans la norme ISO 27002:2022 n'est pas un nouveau contrôle. Il s'agit simplement d'une version améliorée du contrôle 6.1.2 Séparation des tâches trouvé dans la norme ISO 27002:2013.
Les bases de la séparation des tâches sont les mêmes dans le contrôle 5.3 ISO 27002:2022 et dans le contrôle 6.1.2 ISO 27002:2013. Cependant, la nouvelle version décrit un ensemble d'activités qui nécessitent une ségrégation lors de la mise en œuvre de ce contrôle.
Ces activités sont :
a) initier, approuver et exécuter un changement ;
b) demander, approuver et mettre en œuvre les droits d'accès ;
c) concevoir, mettre en œuvre et réviser le code ;
d) développer des logiciels et administrer des systèmes de production ;
e) utiliser et administrer des applications ;
f) utiliser des applications et administrer des bases de données ;
g) concevoir, auditer et assurer contrôles de sécurité de l'information.
Plusieurs personnes sont responsables de la séparation des tâches dans la norme ISO 27002. Premièrement, un membre senior de l'équipe de direction doit être impliqué pour s'assurer que le premier évaluation des risques a été complété.
Ensuite, les processus qui couvrent différentes parties de l'organisation doivent être attribués à différents groupes d'employés qualifiés. Pour empêcher des employés malveillants de porter atteinte à la sécurité de l'entreprise, cela se fait généralement en attribuant des tâches à différentes unités de travail et en départementalisant les activités d'exploitation et de maintenance liées à l'informatique.
Enfin, la séparation des tâches ne peut être établie correctement sans un programme d'audit informatique approprié, une stratégie efficace de gestion des risques, ainsi qu'un environnement de contrôle approprié.
La nouvelle norme ISO 27002:2022 ne vous oblige pas à faire grand-chose d'autre que améliorez votre SMSI processus pour refléter les contrôles améliorés. Et si votre équipe n'y parvient pas, ISMS.en ligne peut vous aider.
ISMS.online rationalise le processus de mise en œuvre de la norme ISO 27002 en fournissant un cadre sophistiqué basé sur le cloud pour documenter les procédures et les listes de contrôle du système de gestion de la sécurité de l'information afin de garantir la conformité aux normes reconnues.
Lorsque vous utilisez ISMS.online, vous pourrez :
Grâce à notre plateforme cloud, il est désormais possible de gérer de manière centralisée vos listes de contrôle, d'interagir avec vos collègues et d'utiliser un ensemble complet d'outils pour aider votre organisation à créer et exploiter un SMSI conformément aux meilleures pratiques mondiales.
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
