ISO 27002:2022, Contrôle 5.35 – Examen indépendant de la sécurité de l'information

Propriété du contrôle 5.35

Le contrôle 5.35 traite principalement des questions opérationnelles. En tant que tel, la propriété doit appartenir au COO ou au RSSI (le cas échéant).

Orientations générales sur le contrôle 5.35

L’objectif primordial est de la direction pour créer et mettre en œuvre des processus permettant des examens indépendants de la sécurité de leurs informations pratiques.

Les examens doivent se concentrer sur tous les changements qui sont nécessaire pour améliorer l’approche d’une organisation en matière de sécurité de l’information, comprenant:

1. Les politique de sécurité de l'information.
2. Politiques spécifiques à un sujet.
3. Contrôles associés.

Tout examen doit être mené par une personne à l'intérieur ou à l'extérieur de l'organisation qui n'a pas d'intérêt direct dans l'objet de l'enquête, par exemple :

1. Auditeurs internes.
2. Gestionnaires de département indépendants.
3. Organisations tierces.

Celui qui effectue l'examen doit disposer des informations pertinentes compétence opérationnelle de porter un jugement éclairé sur leurs conclusions et (dans le cas du personnel interne) leur rôle professionnel ne doit pas les empêcher de procéder à une évaluation valable et légitime.

Les résultats de l'examen doivent être minutieusement enregistrés, stockés et communiqués au gestionnaire (ou aux groupes de gestionnaires) qui en ont fait la demande et, dans certains cas, au niveau de la direction ou de la propriété.

Les évaluateurs doivent chercher à établir si les pratiques de sécurité de l'information sont conformes ou non aux « objectifs et exigences documentés » de l'organisation énoncés dans la politique de sécurité de l'information ou dans toute politique spécifique à un sujet.

Parallèlement aux examens périodiques, il peut être nécessaire de lancer des examens ponctuels. Ces examens peuvent être justifiés dans 5 domaines clés :

1. Toutes les lois, directives ou réglementations qui affectent le fonctionnement de la sécurité des informations de l'organisation sont modifiées.
2. Majeurs des incidents se produisent et ont un impact sur la sécurité des informations (perte de données, intrusion etc).
3. Une nouvelle entreprise est créée ou des changements majeurs sont apportés à l'entreprise actuelle.
4. Les l'organisation adopte un nouveau produit ou service doté d'une sécurité des informations implications ou apporte des modifications sous-jacentes à un produit ou un service actuel.
5. Des changements majeurs sont apportés à la banque de contrôles, politiques et procédures de sécurité de l’information de l’organisation.

Conseils supplémentaires

ISO / IEC 27007 et ISO/IEC TS 27008 contiennent des indications supplémentaires sur la pratique des examens indépendants.

Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022-5.35 remplace 27002:2013-18.1.2 (Examen indépendant de la sécurité de l'information).

27002:2022-5.35 contient les mêmes orientations générales que 27002:2013-18.1.2, mais va plus loin en stipulant des exemples spécifiques de cas dans lesquels une organisation doit effectuer des examens ad hoc, parallèlement à ses examens périodiques.

Comment ISMS.online vous aide

ISMS.online rationalise le ISO 27002 processus de mise en œuvre en fournissant un cadre sophistiqué basé sur le cloud pour documenter les procédures et les listes de contrôle du système de gestion de la sécurité de l'information afin de garantir la conformité aux normes reconnues.

Lorsque vous utiliser ISMS.online, vous serez en mesure de:

créer un SMSI compatible avec ISO 27001
effectuer des tâches et soumettre une preuve indiquant qu’ils satisfont aux exigences de la norme.
répartir les tâches et suivre les progrès vers le respect de la loi.
accédez à une équipe de conseillers spécialisés qui vous accompagneront tout au long de votre cheminement vers la conformité.

Contactez-nous dès aujourd'hui pour réserver une démo.