À tel point qu'il est nécessaire d'éliminer toute complaisance en effectuant régulièrement des examens indépendants de la manière dont une organisation gère les personnes, les processus et les technologies impliqués dans le maintien d'un sécurité efficace des informations fonctionnement.
Le contrôle 5.35 exige que les organisations effectuent des examens indépendants de leurs pratiques en matière de sécurité de l'information – à la fois à intervalles planifiés et lorsque des changements opérationnels majeurs surviennent – pour garantir que les politiques de gestion de la sécurité de l'information sont :
Le contrôle 5.35 est un préventif ainsi que correctif contrôler cela maintient le risque en créant des processus qui facilitent les examens réguliers des pratiques de gestion de la sécurité de l'information d'une organisation.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif #Correctif | #Confidentialité #Intégrité #Disponibilité | #Identifier #Protéger | #Assurance de la sécurité de l'information | #Gouvernance et écosystème |
Le contrôle 5.35 traite principalement des questions opérationnelles. En tant que tel, la propriété doit appartenir au COO ou au RSSI (le cas échéant).
L’objectif primordial est de la direction pour créer et mettre en œuvre des processus permettant des examens indépendants de la sécurité de leurs informations pratiques.
Les examens doivent se concentrer sur tous les changements qui sont nécessaire pour améliorer l’approche d’une organisation en matière de sécurité de l’information, comprenant:
Tout examen doit être mené par une personne à l'intérieur ou à l'extérieur de l'organisation qui n'a pas d'intérêt direct dans l'objet de l'enquête, par exemple :
Celui qui effectue l'examen doit disposer des informations pertinentes compétence opérationnelle de porter un jugement éclairé sur leurs conclusions et (dans le cas du personnel interne) leur rôle professionnel ne doit pas les empêcher de procéder à une évaluation valable et légitime.
Les résultats de l'examen doivent être minutieusement enregistrés, stockés et communiqués au gestionnaire (ou aux groupes de gestionnaires) qui en ont fait la demande et, dans certains cas, au niveau de la direction ou de la propriété.
Les évaluateurs doivent chercher à établir si les pratiques de sécurité de l'information sont conformes ou non aux « objectifs et exigences documentés » de l'organisation énoncés dans la politique de sécurité de l'information ou dans toute politique spécifique à un sujet.
Parallèlement aux examens périodiques, il peut être nécessaire de lancer des examens ponctuels. Ces examens peuvent être justifiés dans 5 domaines clés :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
ISO / IEC 27007 et ISO/IEC TS 27008 contiennent des indications supplémentaires sur la pratique des examens indépendants.
27002:2022-5.35 remplace 27002:2013-18.1.2 (Examen indépendant de la sécurité de l'information).
27002:2022-5.35 contient les mêmes orientations générales que 27002:2013-18.1.2, mais va plus loin en stipulant des exemples spécifiques de cas dans lesquels une organisation doit effectuer des examens ad hoc, parallèlement à ses examens périodiques.
ISMS.online rationalise le ISO 27002 processus de mise en œuvre en fournissant un cadre sophistiqué basé sur le cloud pour documenter les procédures et les listes de contrôle du système de gestion de la sécurité de l'information afin de garantir la conformité aux normes reconnues.
Lorsque vous utiliser ISMS.online, vous serez en mesure de:
créer un SMSI compatible avec ISO 27001
effectuer des tâches et soumettre une preuve indiquant qu’ils satisfont aux exigences de la norme.
répartir les tâches et suivre les progrès vers le respect de la loi.
accédez à une équipe de conseillers spécialisés qui vous accompagneront tout au long de votre cheminement vers la conformité.
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Nous sommes très heureux d'avoir trouvé cette solution, elle a permis à tout de s'assembler plus facilement.