Un élément clé pour fonctionner avec un système robuste, ensemble sécurisé de pratiques de sécurité des informations est la nécessité de rester conforme à toutes les politiques et procédures publiées.
Le contrôle 5.36 exige que les organisations adoptent une approche descendante vue de la sécurité de l'information conformité, relative à ses différentes politiques (à la fois uniques et thématiques), règles et normes.
Le contrôle 5.36 est un préventif ainsi que correctif contrôler cela modifie le risque en maintenant le respect des acquis préexistants politiques et procédures dans le cadre de la sécurité de l’information.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Identifier #Protéger | #Juridique et Conformité #Assurance de la sécurité de l'information | #Gouvernance et écosystème |
Le contrôle 5.36 traite principalement des questions opérationnelles. En tant que tel, la propriété doit appartenir au COO ou au RSSI (le cas échéant).
Gestionnaires et propriétaires d’informations (y compris les propriétaires de services et de produits) devraient être en mesure de vérifier la conformité de l'ensemble des politiques, règles et normes de sécurité des informations d'une organisation.
Les responsables doivent mettre en œuvre des méthodes de reporting spécifiques à l'entreprise (incorporant tous les outils techniques requis) sur la conformité en matière de sécurité de l'information, dans le but général de mener des examens périodiques – qui sont minutieusement enregistrés, stockés et rapportés – qui mettent en évidence les domaines à améliorer.
Si des problèmes sont découverts et des cas de non-conformité sont détectés, les gestionnaires doivent être en mesure de procéder comme suit :
Des mesures correctives doivent être prises « en temps opportun », et idéalement avant le prochain examen. Si les actions ne sont pas terminées au moment du prochain examen, les gestionnaires devraient au moins être en mesure de prouver les progrès réalisés.
27002:2022-5.36 remplace deux contrôles de 27002:2013, à savoir :
27002:2022-5.36 condense toutes les orientations techniques complexes proposées dans 27002:2013-18.2.3, en indiquant simplement que les gestionnaires devraient être en mesure de vérifier la conformité chaque fois que cela est nécessaire.
27002:2022-5.36 contient exactement le même ensemble de points d'orientation que 27002:2013-18.2.2, relatifs à la les actions nécessaires lorsqu'un examen signale des cas de non-conformité.
ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
