Le contrôle 5.37 traite du concept de sécurité de l'information comme une activité opérationnelle, dont les éléments constitutifs sont réalisés et/ou gérés par une ou plusieurs personnes.
Le contrôle 5.37 décrit une série de procédures opérationnelles qui garantissent un la sécurité des informations de l'organisation l’installation reste efficace et sécurisée, et conforme à leurs exigences documentées.
Le contrôle 5.37 est un préventif ainsi que correctif contrôler cela maintient le risque par la création d'une banque de procédures associées à un la sécurité des informations de l'organisation activités.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif #Correctif | #Confidentialité #Intégrité #Disponibilité | #Protéger #Récupérer | #La gestion d'actifs #Sécurité physique #Sécurité du système et des réseaux #Sécurité des applications #Configuration sécurisée #Gestion des identités et des accès #Gestion des menaces et des vulnérabilités #Continuité #Gestion des événements de sécurité de l'information | #Gouvernance et écosystème #Protection #La défense |
Le contrôle 5.37 traite d'un ensemble diversifié de circonstances qui peuvent potentiellement inclure plusieurs départements et postes dans le cadre de procédures opérationnelles documentées. Cela étant dit, on peut supposer sans risque que la plupart des procédures affecteront le personnel, les équipements et les systèmes TIC.
Lorsque cela se produit, la propriété doit appartenir à un membre senior de l'équipe de direction responsable de toutes les activités liées aux TIC, tel qu'un responsable informatique.
Nous sommes économiques et rapides
Des procédures doivent être créées pour les activités liées à la sécurité de l'information conformément à 5 considérations opérationnelles clés :
Lorsque de tels cas se produisent, les procédures opérationnelles documentées doivent clairement indiquer :
Toutes les procédures ci-dessus doivent être soumises à des examens périodiques et/ou ad hoc, selon les besoins, et tous les changements doivent être ratifiés par la direction en temps opportun pour protéger les activités de sécurité de l'information dans l'ensemble de l'organisation.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
27002:2022-5.37 remplace 27002:2013-12.1.1 (procédures opérationnelles documentées).
27002:2022-5.37 développe 27002:2013-12.1.1 en offrant un ensemble beaucoup plus large de circonstances qui justifieraient le respect d'une procédure documentaire.
27002:2013-12.1.1 répertorie les activités de traitement de l'information telles que les procédures de démarrage et d'arrêt de l'ordinateur, la sauvegarde, la maintenance des équipements, la gestion des supports, tandis que 27002:2022-5.37 étend la portée du contrôle à des activités généralisées non limitées à des activités spécifiques. fonctions techniques.
Hormis quelques ajouts mineurs – tels que la catégorisation des personnes responsables d'une activité – le 27002:2022-5.37 contient les mêmes points d'orientation généraux que le 27002:2013-12.1.1.
ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.
Contactez-nous dès aujourd'hui pour réserver une démo.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
