Qu'est-ce que le contrôle 6.3 ?
ISO 27002:2022, Contrôle 6.3. Sensibilisation, éducation et formation à la sécurité de l’information couvre la nécessité pour les employés d'une organisation de recevoir une sensibilisation, une éducation et une formation appropriées en matière de sécurité de l'information, ainsi que des mises à jour régulières de la politique de sécurité de l'information de l'organisation, en particulier en ce qui concerne leur fonction professionnelle.
Sensibilisation, éducation et formation à la sécurité de l'information expliquées
Sensibilisation à la sécurité de l'information, l'éducation et la formation (sensibilisation à la sécurité informatique) sont le processus consistant à informer les utilisateurs sur l'importance de la sécurité des informations et à les encourager à améliorer leurs propres habitudes en matière de sécurité informatique.
Les utilisateurs doivent être informés de la sécurité les risques qui peuvent découler de leurs activités et comment ils peuvent se protéger contre ces risques.
La sensibilisation, l'éducation et la formation à la sécurité de l'information sont des éléments essentiels du succès de toute organisation. Il est essentiel que tous les employés comprennent l’importance de la sécurité des informations et son impact sur chacun.
Plus les employés comprendront comment se protéger contre les cybermenaces, plus votre organisation sera sécurisée.
Attributs Table de contrôle 6.3
Les contrôles peuvent être regroupés à l’aide d’attributs. Lorsque vous examinez les attributs du contrôle, vous pouvez plus facilement le relier aux exigences et à la terminologie établies du secteur. Les attributs suivants sont sous le contrôle 6.3.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Sécurité des ressources humaines | #Gouvernance et écosystème |
| #Intégrité | ||||
| #Disponibilité |
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Quel est le but du contrôle 6.3 ?
L'objectif du contrôle 6.3 est de garantir que le personnel et les parties intéressées concernées sont conscients et correctement formés pour s'acquitter de leurs responsabilités en matière de sécurité de l'information.
Le contrôle 6.3 couvre une gamme d'activités qui contribuent à garantir que les personnes possèdent les connaissances et les compétences requises pour opérer au sein d'une organisation. sécurité de l'information cadre. L'objectif principal de ce le contrôle porte sur les activités de sensibilisation à l’importance de la sécurité de l’information, en encourageant les bonnes pratiques et en promouvant le respect des politiques et procédures pertinentes.
Contrôle 6.3 expliqué
La sensibilisation, l'éducation et la formation à la sécurité de l'information sont un élément essentiel de la stratégie globale de gestion des risques d'une organisation et doivent être considérées comme partie intégrante de la politique de sécurité de l'organisation.
Le contrôle 6.3 définit la nécessité pour les organisations de disposer d'un programme de sensibilisation à la sécurité de l'information qui fournit à tous les employés les connaissances et compétences nécessaires pour protéger les actifs informationnels. Il fournit des conseils sur ce qui devrait être inclus dans un programme de sensibilisation efficace.
Par exemple, l'organisation devra peut-être mettre en place une formation de sensibilisation à la sécurité au moins une fois par an, ou selon les exigences de l'évaluation des risques, pour tous les employés et sous-traitants auxquels ont été assignés des rôles dans lesquels ils ont accès à des informations sensibles ou à d'autres types d'informations. systèmes qui stockent, traitent ou transmettent des données sensibles.
Qu'est-ce que cela implique et comment répondre aux exigences
L'exigence du contrôle 6.3 est qu'une organisation doit disposer d'un processus pour garantir que les employés sont correctement formés sur la façon d'accomplir leurs tâches en toute sécurité, d'une manière qui ne compromet pas la sécurité des informations. Ceci peut être réalisé grâce à des séances de formation. Cela peut également être réalisé en utilisant des ressources en ligne telles que des vidéos ou des webinaires.
Les programmes de sensibilisation, d'éducation et de formation à la sécurité de l'information doivent être développés conformément à la politique de sécurité de l'information de l'organisation, aux politiques spécifiques à un sujet et aux procédures de sécurité de l'information pertinentes. Il convient également de prendre en compte les informations de l'organisation à protéger et les contrôles de sécurité des informations mis en œuvre pour les protéger. Cela devrait se produire périodiquement.
La sensibilisation, l'éducation et la formation d'introduction peuvent s'appliquer aux nouveaux employés ainsi qu'à ceux qui font la transition vers de nouveaux postes ou tâches qui nécessitent des niveaux de sécurité des informations très différents.
La campagne de sensibilisation doit intégrer diverses activités de sensibilisation. Cela comprend des campagnes, des brochures, des affiches, des bulletins d'information, des sites Web, des séances d'information, des briefings, des modules d'apprentissage en ligne et des e-mails.
Selon le contrôle 6.3, ce programme devrait couvrir :
- L'engagement de la direction envers la sécurité de l'information dans toute l'organisation ;
- Connaissance et respect des règles et obligations applicables en matière de sécurité de l'information, y compris la politique de sécurité de l'information et les politiques, normes, lois, statuts, réglementations, contrats et accords spécifiques à un sujet ;
- Responsabilité personnelle de ses propres actions et inaction, général responsabilités en matière de sécurisation ou de protection des informations appartenant à l’organisation et les parties intéressées ;
- Basic procédures de sécurité de l'information [par exemple, rapport sur les événements liés à la sécurité de l'information (6.8)] ainsi que les contrôles de base [par exemple, la sécurité des mots de passe] ;
- Points de contact supplémentaires et des ressources pour obtenir des informations supplémentaires et des conseils sur la sécurité de l’information questions, y compris d’autres documents de sensibilisation à la sécurité de l’information.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Modifications et différences par rapport à la norme ISO 27002:2013
ISO 27002: 2022 n'est pas un contrôle complètement nouveau. Cette version de l'ISO 27002, publiée en février 2022, est une mise à jour de la version précédente, publiée en 2013. Par conséquent, le contrôle 6.3 de l'ISO 27002:2022 n'est pas un tout nouveau contrôle. Il s'agit d'une version légèrement modifiée du contrôle 7.2.2 de la norme ISO 27002:2013.
Le contrôle 7.2.2 de la norme ISO 27002:2013 n'a pas de tableau d'attributs ni de déclaration d'objectif, qui sont inclus dans le contrôle 6.3 de la version ISO 27002:2022.
Cela dit, hormis le changement de numéro de contrôle, il n’y a pas d’autre différence perceptible entre les deux contrôles. Même si la phraséologie des deux contrôles diffère, la substance et le contexte des deux contrôles sont essentiellement les mêmes.
Le langage du contrôle 6.3 a été conçu pour être plus convivial, afin que les personnes qui utiliseront la norme soient mieux à même de s'identifier à son contenu.
Qui est en charge de ce processus ?
La réponse à cette question dépend de votre organisation. Dans de nombreuses organisations, les programmes de sensibilisation, d’éducation et de formation à la sécurité de l’information sont gérés par l’équipe de sécurité. Dans d'autres organisations, cela est géré par le service RH ou une autre fonction.
L'important est de vous assurer qu'une personne est responsable de la création et de la mise en œuvre du programme de sensibilisation à la sécurité de votre organisation. Cette personne ou ce service doit également être supervisé par le responsable de la sécurité de l'information (si une autre personne est en charge de ce rôle).
Cette personne doit avoir une bonne compréhension de la sécurité de l’information et être capable de communiquer avec les employés sur divers sujets liés aux meilleures pratiques en matière de sécurité. Cette personne doit également être en mesure d'élaborer le contenu de vos programmes de formation et d'animer des sessions de formation régulières pour les employés.
Il est important de comprendre que la sécurité des informations ne relève pas uniquement de la responsabilité du service informatique. C'est la responsabilité de chacun. Les organisations doivent disposer d’une équipe de personnes responsables de la sécurité, mais elles doivent également s’assurer que chacun comprend l’importance de la confidentialité et de l’intégrité.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Que signifient ces changements pour vous ?
Vous n’avez pas besoin de faire grand-chose car l’ISO 27002 : 2022 n’est pas une nouvelle norme mais une révision de la version 2013. On s’attend donc à ce que la plupart des organisations n’aient pas besoin d’apporter de changements.
Cependant, si vous avez déjà mis en œuvre la version 2013 de la norme ISO 27002, vous devrez évaluer si ces changements sont pertinents pour votre organisation. Vous devrez également revoir vos processus de sécurité si vous êtes planification de la certification ISMS. Cela garantira que vos processus sont conformes à la norme révisée.
Notre guide ISO 27002:2022, disponible en téléchargement gratuit sur notre site Web, contient des informations supplémentaires sur la façon dont la nouvelle norme ISO 27002 peut affecter vos opérations de sécurité de l'information et ISO 27001 certification.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.Online aide
ISMS.Online est une solution complète pour la mise en œuvre de la norme ISO 27002. Il s'agit d'un système basé sur le Web qui vous permet de montrer que votre système de gestion de la sécurité de l’information (ISMS) est conforme avec les normes approuvées en utilisant des processus, des procédures et des listes de contrôle bien pensés.
Il ne s'agit pas seulement d'une plateforme facile à utiliser pour gérer votre mise en œuvre de la norme ISO 27002, mais également d'un excellent outil pour former votre personnel aux meilleures pratiques et processus en matière de sécurité de l'information, ainsi que pour documenter tous vos efforts.
L'espace Avantages de l'utilisation du SMSI.En ligne:
- Plateforme en ligne facile à utiliser et accessible depuis n’importe quel appareil.
- Il est entièrement personnalisable pour répondre à vos besoins.
- Flux de travail et processus personnalisables pour répondre aux besoins de votre entreprise.
- Des outils de formation pour aider les nouvelles recrues à se mettre à niveau plus rapidement.
- Une bibliothèque de modèles pour des documents tels que des politiques, des procédures, des plans et des listes de contrôle.
ISMS.Online simplifie le processus de mise en œuvre de la norme ISO 27002 en fournissant toutes les ressources, informations et outils nécessaires en un seul endroit. Il vous permet de vérifier que votre SMSI répond à la norme en quelques clics de souris, ce qui autrement prendrait beaucoup de temps si cela était fait manuellement.
Vous voulez le voir en action?
Contactez-nous dès aujourd'hui pour réserver une démo.
