Qu'est-ce que le contrôle 7.1 ?
Le contrôle 7.1 de la nouvelle norme ISO 27002:2022 couvre la nécessité pour les organisations de définir et de définir des périmètres de sécurité et d'utiliser ces paramètres pour protéger les zones contenant des informations et d'autres actifs associés.
Informations et actifs de sécurité de l'information expliqués
Les informations peuvent être définies comme toute donnée, information ou connaissance ayant une valeur pour votre organisation ou entreprise. Cela inclut toutes les données collectées sur les individus, les clients, les partenaires, les employés et autres parties prenantes.
Les actifs de sécurité de l’information peuvent être globalement divisés en :
Date
Les données sont souvent confondues avec les informations, mais il existe une différence entre les données et les informations. Les données sont brutes, non traitées et souvent inutilisables dans leur état actuel, alors que les informations sont des données qui ont été transformées en informations utilisables telles qu'une adresse e-mail ou un numéro de téléphone.
Infrastructure
L'infrastructure fait référence à tous les composants qui composent un réseau, y compris les serveurs et autres périphériques tels que les imprimantes et les routeurs, etc.
L'infrastructure peut également inclure des logiciels tels que des systèmes d'exploitation et des applications qui doivent être protégés contre les cyberattaques tout autant que le matériel, car tous deux doivent être tenus à jour avec des correctifs et des correctifs pour les vulnérabilités découvertes par les pirates informatiques afin qu'elles ne puissent pas être mises à jour. exploité par des pirates malveillants qui souhaitent accéder à des données sensibles.
Explication des périmètres de sécurité physique
La sécurité physique fait référence à toutes les mesures physiques qui protègent les installations et les actifs d'une organisation. La sécurité physique est l’élément le plus fondamental et le plus important de la sécurité de l’information. Il ne s’agit pas seulement de verrouiller la porte, mais aussi de savoir qui a accès à quoi, quand, où et comment.
Les périmètres de sécurité physique sont utilisés pour identifier les limites physiques d'un bâtiment ou d'une zone et en contrôler l'accès. Les périmètres de sécurité physique peuvent inclure des clôtures, des murs, des portails et d'autres barrières qui empêchent l'accès non autorisé des personnes ou des véhicules. En plus des barrières physiques, des équipements de surveillance électronique tels que des caméras de télévision en circuit fermé peuvent être utilisés pour surveiller les activités à l'extérieur de l'établissement.
Les périmètres de sécurité physique constituent une première ligne de défense contre les intrus qui pourraient tenter de pénétrer dans votre système informatique via le câble réseau ou la connexion sans fil d'une organisation. Ils sont souvent utilisés conjointement avec d’autres types de contrôles de sécurité de l’information tels que les systèmes de gestion des identités, de contrôle d’accès et de détection d’intrusion.
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Attributs Table de contrôle 7.1
Les attributs sont un moyen de classer les contrôles. Les attributs vous permettent de faire rapidement correspondre votre sélection de contrôle aux spécifications et à la terminologie typiques du secteur. Les contrôles suivants sont disponibles dans le contrôle 7.1.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Sécurité physique | #Protection |
| #Intégrité | ||||
| #Disponibilité |
Le contrôle 7.1 garantit qu'une organisation peut démontrer qu'elle dispose de périmètres de sécurité physique adéquats pour empêcher tout accès physique non autorisé aux informations et autres actifs associés.
Cela inclut la prévention :
- Entrée non autorisée dans des bâtiments, des pièces ou des zones contenant des actifs informationnels ;
- Retrait non autorisé d'actifs des locaux ;
- Utilisation non autorisée d'actifs sur place (par exemple, ordinateurs et appareils informatiques) ; et
- Accès non autorisé à des équipements de communication électroniques tels que des téléphones, des télécopieurs et des terminaux informatiques (par exemple, falsification non autorisée).
Les périmètres de sécurité physique peuvent être mis en œuvre à travers les deux catégories suivantes :
Contrôle d'accès physique : assure le contrôle de l'entrée dans les installations et les bâtiments, ainsi que des déplacements à l'intérieur de ceux-ci. Ces contrôles incluent le verrouillage des portes, l'utilisation d'alarmes sur les portes, l'utilisation de clôtures ou de barrières autour des installations, etc.
Sécurité matérielle : fournit des contrôles sur les équipements physiques (par exemple, les ordinateurs) utilisés par une organisation pour traiter des données telles que les imprimantes et les scanners qui peuvent contenir des informations sensibles.
La mise en œuvre de ce contrôle peut également couvrir l'utilisation non autorisée de l'espace, de l'équipement et des fournitures des installations afin de protéger les informations et autres actifs associés, tels que les documents, dossiers et équipements confidentiels.
Qu'est-ce que cela implique et comment répondre aux exigences
Les lignes directrices suivantes doivent être prises en compte et mises en œuvre, le cas échéant, pour les périmètres de sécurité physique :
- Définir les périmètres de sécurité ainsi que l'emplacement et la solidité de chacun des périmètres conformément aux exigences de sécurité de l'information liées aux actifs à l'intérieur du périmètre.
- Avoir des périmètres physiquement sains pour un bâtiment ou un site contenant des installations de traitement de l'information (c'est-à-dire qu'il ne doit y avoir aucune lacune dans le périmètre ni aucune zone où une effraction peut facilement se produire).
- Les toits extérieurs, les murs, les plafonds et les sols du site doivent être de construction solide et toutes les portes extérieures doivent être convenablement protégées contre tout accès non autorisé par des mécanismes de contrôle (par exemple barres, alarmes, serrures).
- Les portes et fenêtres doivent être verrouillées lorsqu'elles ne sont pas surveillées et une protection externe doit être envisagée pour les fenêtres, en particulier au niveau du sol ; les points de ventilation doivent également être pris en compte.
Vous pouvez obtenir plus d’informations sur ce qu’implique le respect des exigences de contrôle dans le document standard ISO 27002:2022.
La conformité ne doit pas être compliquée.
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Modifications et différences par rapport à la norme ISO 27002:2013
La nouvelle révision 2022 de la norme ISO 27002 a été publiée le 15 février 2022 et constitue une mise à niveau de la norme ISO 27002:2013.
11 nouveaux contrôles ont été ajoutés à cette version de l'ISO 27002. Cependant, le contrôle 7.1 n'est pas un nouveau contrôle, il s'agit plutôt d'une version modifiée du contrôle 11.1.1 dans la version 2013 de l'ISO 27002. La différence majeure entre 2013 et 2022 la version est le changement de numéro de contrôle.
Le numéro de contrôle 11.1.1 a été remplacé par 7.1. En dehors de cela, le contexte et le sens sont largement similaires, même si la phraséologie est différente.
Une autre différence entre les deux contrôles est que les exigences de mise en œuvre ont été réduites dans la version 2022.
Les exigences suivantes qui sont disponibles dans le contrôle 11.1.1 de l'ISO 27002:2013 manquent dans le contrôle 7.1 :
- Une zone de réception gardée ou d'autres moyens permettant de contrôler l'accès physique au site ou au bâtiment doivent être en place.
- L'accès aux sites et aux bâtiments doit être limité au personnel autorisé uniquement.
- Des barrières physiques devraient, le cas échéant, être construites pour empêcher tout accès physique non autorisé et toute contamination de l'environnement.
- Des systèmes de détection d'intrusion appropriés doivent être installés conformément aux normes nationales, régionales ou internationales et régulièrement testés pour couvrir toutes les portes extérieures et fenêtres accessibles.
- Les zones inoccupées doivent être alertées à tout moment.
- Une couverture doit également être prévue pour d'autres zones, par exemple la salle informatique ou les salles de communication.
- Les installations de traitement de l'information gérées par l'organisation doivent être physiquement séparées de celles gérées par des parties externes.
Ces omissions ne rendent en aucun cas la nouvelle norme moins efficace, mais ont été supprimées pour rendre le nouveau contrôle plus convivial.
Qui est en charge de ce processus ?
Le directeur de l’information est la personne en charge de la sécurité de l’information. Cette personne est responsable de la mise en œuvre des politiques et procédures visant à protéger les données et les systèmes de l'entreprise. Le CIO travaille généralement avec d'autres dirigeants, tels que le directeur financier et le directeur général, pour garantir que les mesures de sécurité sont prises en compte lors des décisions commerciales.
Le directeur financier est également impliqué dans la prise de décisions concernant les périmètres de sécurité physique. Il ou elle travaille avec d'autres membres de la haute direction, y compris le CIO, pour déterminer le montant à allouer aux mesures de sécurité physique telles que les caméras de surveillance, les contrôles d'accès et les alarmes.
Gérez toute votre conformité en un seul endroit
ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.
Que signifient ces changements pour vous ?
La nouvelle norme ISO 27002:2022 ne constitue pas une révision majeure. Par conséquent, vous n’avez pas besoin de mettre en œuvre de modifications majeures pour être conforme à la dernière version de la norme ISO 27002.
Cependant, vous devriez envisager de revoir votre mise en œuvre actuelle et de vous assurer qu’elle correspond aux nouvelles exigences. En particulier, si vous avez apporté des modifications depuis la publication de la version précédente en 2013. Il vaut la peine de réexaminer ces modifications pour voir si elles sont toujours valables ou si elles doivent être modifiées.
Cela dit, vous pouvez obtenir plus d'informations sur la manière dont la nouvelle norme ISO 27002 affectera vos processus de sécurité de l'information et votre certification ISO 27001 en lisant notre guide ISO 27002:2022.
Nouveaux contrôles ISO 27002
Nouveaux contrôles
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Équipement | Intelligence de la menace |
| 5.23 | Équipement | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Équipement | Préparation aux TIC pour la continuité des activités |
| 7.4 | Équipement | Surveillance de la sécurité physique |
| 8.9 | Équipement | Gestion de la configuration |
| 8.10 | Équipement | Suppression des informations |
| 8.11 | Équipement | Masquage des données |
| 8.12 | Équipement | Prévention des fuites de données |
| 8.16 | Équipement | Activités de surveillance |
| 8.23 | Équipement | filtrage web |
| 8.28 | Équipement | Codage sécurisé |
Contrôles organisationnels
Contrôles des personnes
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Contrôles physiques
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Équipement | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Contrôles technologiques
Comment ISMS.Online aide
ISMS.online peut également vous aider à démontrer la conformité à la norme ISO 27002 en vous fournissant un système en ligne qui vous permet de stocker tous vos documents en un seul endroit et de les mettre à la disposition de toute personne qui en a besoin. Le système vous permet également de créer des listes de contrôle pour chaque document afin qu'il soit facile pour toutes les personnes impliquées dans la modification ou la révision des documents de voir ce qui doit être fait ensuite et quand cela doit être fait.
Vous voulez voir comment ça marche?
Contactez-nous dès aujourd'hui pour réserver une démo.
Aller au sujet
Obtenez une certification jusqu'à 5 fois plus rapidement
Remplissez simplement les blancs.
Demander demo Soumission
