Qu'est-ce que le contrôle 5.4 ? Responsabilités de la direction
Qu’est-ce qu’une politique de sécurité de l’information ?
An la politique de sécurité de l'information est un document formel qui fournit des orientations de gestion, des objectifs et des principes pour protéger les informations d'une organisation. Un politique efficace de sécurité de l’information doit être adapté aux besoins spécifiques d’une organisation et soutenu par la haute direction pour garantir une allocation appropriée des ressources.
La politique communique les principes généraux sur la manière dont la direction souhaite que les employés traitent les données sensibles et sur la manière dont les l'entreprise protégera ses actifs informationnels.
La politique découle souvent de lois, de réglementations et de meilleures pratiques qui doivent être respectées par l'organisation. Les politiques de sécurité de l'information sont généralement créées par la haute direction d'une organisation, avec la contribution de son personnel de sécurité informatique.
Les politiques devraient également inclure un cadre pour définir les rôles et les responsabilités et un calendrier pour un examen périodique.
Tableau des attributs
Les attributs sont un moyen de catégoriser différents types de contrôles. Ces attributs vous permettent d'aligner vos contrôles sur les normes de l'industrie. Dans le contrôle 5.4, ce sont :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Identifier | #Gouvernance | #Gouvernance et écosystème |
| #Intégrité | ||||
| #Disponibilité |
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Quel est le but du contrôle 5.4 ?
Le contrôle 5.4 a été conçu pour s'assurer que la direction comprend sa responsabilité en matière de sécurité de l'information et qu'elle prend des mesures pour s'assurer que tous les employés en sont conscients et remplir leurs obligations en matière de sécurité des informations.
Contrôle 5.4 expliqué
L'information est un atout précieux et doit être protégé contre la perte, les dommages ou une mauvaise utilisation. L'organisation doit s'assurer que des mesures appropriées sont prises pour protéger cet actif. Pour que cela se produise, la direction doit s’assurer que tout le personnel applique toute la politique de sécurité de l’information, les politiques et procédures thématiques spécifiques de l’organisation.
Le contrôle 5.4 couvre l'objectif et les directives de mise en œuvre pour définir la responsabilité de la direction en matière de sécurité de l'information dans une organisation, conformément aux cadre de la norme ISO 27001.
Ce contrôle consiste à s'assurer que la direction est d’accord avec le programme de sécurité de l’information et que tous les employés et sous-traitants connaissent et suivent la politique de sécurité des informations de l'organisation. Personne ne devrait jamais être exempté du respect obligatoire des politiques de sécurité, des politiques et procédures spécifiques à des sujets spécifiques de l'organisation.
Qu'est-ce que cela implique et comment répondre aux exigences
La clé pour répondre aux exigences de ce contrôle est de garantir que la direction est en mesure d'obliger tout le personnel concerné à adhérer aux politiques, normes et procédures de sécurité de l'information de l'organisation.
La première étape est l’adhésion et le soutien de la direction. La direction doit démontrer son engagement en suivant toutes les politiques et procédures mises en place. Par exemple, si vous demandez aux employés de suivre chaque année un programme de sensibilisation à la sécurité des formations, les managers doivent montrer l’exemple et suivre ces cours en premier.
Vient ensuite la communication de l’importance de la sécurité des informations à tous les membres de l’entreprise, quel que soit leur rôle. Cela inclut le conseil d’administration, les dirigeants et la direction, ainsi que les employés. Chacun doit comprendre son rôle dans le maintien de la sécurité des données sensibles telle que couverte par le SMSI de l'entreprise programmes.
La conformité ne doit pas être compliquée.
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Différences entre ISO 27002:2013 et ISO 27002:2022
Contrôle ISO 27002:2022 5.4 Responsabilités de la direction était auparavant connu sous le nom de contrôle 7.2.1 Responsabilités de la direction dans la norme ISO 27002:2013. Il ne s'agit pas d'un nouveau contrôle mais d'une interprétation plus robuste de la version 2013.
Bien que les contrôles 5.4 et 7.2.1 couvrent globalement la même chose, il existe peu de différences que les organisations et les chefs d'entreprise devraient noter. Ces différences sont couvertes dans les directives de mise en œuvre du contrôle.
Contrôle 5.4 Comparaison des lignes directrices de mise en œuvre ISO 27002:2013-2022
Dans la norme ISO 27002 : 2013, les responsabilités de la direction consistent à garantir que les employés et les sous-traitants :
a) sont correctement informés de leur rôles et responsabilités en matière de sécurité de l'information avant d'avoir accès à des informations confidentielles ou à des systèmes d'information ;
b) reçoivent des lignes directrices pour énoncer les attentes en matière de sécurité de l'information concernant leur rôle au sein du
Organisme;
c) sont motivés à respecter les politiques de sécurité de l’information de l’organisation ;
d) atteindre un niveau de sensibilisation à la sécurité de l’information pertinent pour leurs rôles et responsabilités au sein de l’organisation ;
e) se conformer aux termes et conditions d'emploi, qui comprennent la politique de sécurité de l'information de l'organisation et les méthodes de travail appropriées ;
f) continuer à posséder les compétences et qualifications appropriées et à suivre une formation régulière ;
g) disposent d’un canal de signalement anonyme pour signaler les violations des politiques ou procédures de sécurité de l’information (« dénonciation »).
La direction doit démontrer son soutien aux politiques, procédures et contrôles de sécurité de l’information et servir de modèle.
Control 5.4 est une version plus conviviale et exige que les responsabilités de gestion veille à ce que les employés et les entrepreneurs :
a) Sont correctement informés de leurs rôles et responsabilités en matière de sécurité de l'information avant de se voir accorder l'accès aux informations de l'organisation et aux autres actifs associés ;
b) Bénéficient de lignes directrices qui énoncent les attentes en matière de sécurité de l'information liées à leur rôle au sein de l'organisation ;
c) Sont mandatés pour mettre en œuvre la politique de sécurité de l’information et les politiques thématiques spécifiques de l’organisation ;
d) Atteindre un niveau de sensibilisation à la sécurité de l’information pertinent pour leurs rôles et responsabilités au sein de l’organisation ;
e) Le respect des conditions générales d'emploi, du contrat ou de l'accord, y compris la politique de sécurité de l'information de l'organisation et les méthodes de travail appropriées ;
f) Continuer à posséder les compétences et qualifications appropriées en matière de sécurité de l’information grâce à une formation professionnelle continue ;
g) Dans la mesure du possible, nous disposons d'un canal confidentiel pour signaler les violations de la politique de sécurité de l'information, des politiques ou des procédures spécifiques à un sujet en matière de sécurité de l'information (« dénonciation »). Cela peut permettre des signalements anonymes, ou comporter des dispositions garantissant que la connaissance de l'identité du déclarant n'est connue que de ceux qui ont besoin de traiter de tels signalements ;
h) Bénéficient de ressources adéquates et d'un temps de planification de projet suffisant pour mettre en œuvre les processus et contrôles liés à la sécurité de l'organisation.
Comme vous pouvez le constater, la norme ISO 27002:2022 exige spécifiquement que, pour exécuter les procédures et contrôles de sécurité de l'organisation, les travailleurs et les sous-traitants disposent des ressources nécessaires ainsi que du temps de planification du projet.
Les formulations de certaines lignes directrices de mise en œuvre de la norme ISO 27002:2013 par rapport à la norme ISO 27002:2020 ont également été affectées. Là où la ligne directrice C de la version 2013 stipule que les employés et les sous-traitants doivent être « motivés » à adopter les politiques SMSI de l'entreprise, la version 2022 utilise le mot « mandaté ».
Gérez toute votre conformité en un seul endroit
ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.
Qui est en charge de ce processus ?
La réponse à cette question est assez simple : la gestion ! Il est de la responsabilité de la direction de s’assurer qu’un SMSI (système de gestion de la sécurité de l’information) approprié est mis en œuvre.
Ceci est normalement soutenu par la nomination d'un responsable de la sécurité de l'information dûment qualifié et expérimenté, qui sera responsable devant la haute direction du développement, de la mise en œuvre, de la gestion et de l'amélioration continue du SMSI.
Nouveaux contrôles ISO 27002
Nouveaux contrôles
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Équipement | Intelligence de la menace |
| 5.23 | Équipement | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Équipement | Préparation aux TIC pour la continuité des activités |
| 7.4 | Équipement | Surveillance de la sécurité physique |
| 8.9 | Équipement | Gestion de la configuration |
| 8.10 | Équipement | Suppression des informations |
| 8.11 | Équipement | Masquage des données |
| 8.12 | Équipement | Prévention des fuites de données |
| 8.16 | Équipement | Activités de surveillance |
| 8.23 | Équipement | filtrage web |
| 8.28 | Équipement | Codage sécurisé |
Contrôles organisationnels
Contrôles des personnes
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Contrôles physiques
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Équipement | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Contrôles technologiques
Comment ISMS.online vous aide
L'un des plus grands défis dans la mise en œuvre d'un SMSI aligné sur la norme ISO 27001 se tient au courant de vos contrôles de sécurité des informations. Notre système rend cela facile.
Nous comprenons l'importance de protéger les données de votre organisation et la réputation. C'est pourquoi notre plateforme cloud est conçue pour simplifier la mise en œuvre de la norme ISO 27001, vous fournir un cadre solide de contrôles de sécurité des informations et vous aider à obtenir la certification avec un minimum de ressources et de temps.
Nous avons inclus une variété de fonctionnalités conviviales fonctionnalités et boîtes à outils dans notre plateforme pour vous faire gagner du temps et garantir que vous créez un SMSI vraiment robuste. Avec ISMS.en ligne, vous pouvez facilement obtenir la certification ISO 27001 et ensuite la gérer facilement.
Demander demo dès aujourd’hui.
Aller au sujet
Obtenez une certification jusqu'à 5 fois plus rapidement
Remplissez simplement les blancs.
Demander demo Demande de Pro forma
