ISO 27002 :2022, Contrôle 7.1 – Périmètres de sécurité physique

Contrôles révisés ISO 27002 : 2022

Demander demo

Bleu, propre, verre, mur, de, moderne, gratte-ciel

Qu'est-ce que le contrôle 7.1 ?

Le contrôle 7.1 de la nouvelle norme ISO 27002:2022 couvre la nécessité pour les organisations de définir et de définir des périmètres de sécurité et d'utiliser ces paramètres pour protéger les zones contenant des informations et d'autres actifs associés.

Informations et actifs de sécurité de l'information expliqués

Les informations peuvent être définies comme toute donnée, information ou connaissance ayant une valeur pour votre organisation ou entreprise. Cela inclut toutes les données collectées sur les individus, les clients, les partenaires, les employés et autres parties prenantes.

Les actifs de sécurité de l’information peuvent être globalement divisés en :

Données

Les données sont souvent confondues avec les informations, mais il existe une différence entre les données et les informations. Les données sont brutes, non traitées et souvent inutilisables dans leur état actuel, alors que les informations sont des données qui ont été transformées en informations utilisables telles qu'une adresse e-mail ou un numéro de téléphone.

Infrastructure

L'infrastructure fait référence à tous les composants qui composent un réseau, y compris les serveurs et autres périphériques tels que les imprimantes et les routeurs, etc.

L'infrastructure peut également inclure des logiciels tels que des systèmes d'exploitation et des applications qui doivent être protégés contre les cyberattaques tout autant que le matériel, car tous deux doivent être tenus à jour avec des correctifs et des correctifs pour les vulnérabilités découvertes par les pirates informatiques afin qu'elles ne puissent pas être mises à jour. exploité par des pirates malveillants qui souhaitent accéder à des données sensibles.

Explication des périmètres de sécurité physique

La sécurité physique fait référence à toutes les mesures physiques qui protègent les installations et les actifs d'une organisation. La sécurité physique est l’élément le plus fondamental et le plus important de la sécurité de l’information. Il ne s’agit pas seulement de verrouiller la porte, mais aussi de savoir qui a accès à quoi, quand, où et comment.

Les périmètres de sécurité physique sont utilisés pour identifier les limites physiques d'un bâtiment ou d'une zone et en contrôler l'accès. Les périmètres de sécurité physique peuvent inclure des clôtures, des murs, des portails et d'autres barrières qui empêchent l'accès non autorisé des personnes ou des véhicules. En plus des barrières physiques, des équipements de surveillance électronique tels que des caméras de télévision en circuit fermé peuvent être utilisés pour surveiller les activités à l'extérieur de l'établissement.

Les périmètres de sécurité physique constituent une première ligne de défense contre les intrus qui pourraient tenter de pénétrer dans votre système informatique via le câble réseau ou la connexion sans fil d'une organisation. Ils sont souvent utilisés conjointement avec d’autres types de contrôles de sécurité de l’information tels que les systèmes de gestion des identités, de contrôle d’accès et de détection d’intrusion.

Aller au sujet
Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Tableau des attributs

Les attributs sont un moyen de classer les contrôles. Les attributs vous permettent de faire rapidement correspondre votre sélection de contrôle aux spécifications et à la terminologie typiques du secteur. Les contrôles suivants sont disponibles dans le contrôle 7.1.

Type de contrôlePropriétés de sécurité des informations Concepts de cybersécurité Capacités opérationnelles Domaines de sécurité
#Préventif#Confidentialité
#Intégrité
#Disponibilité		#Protéger#Sécurité physique#Protection

Le contrôle 7.1 garantit qu'une organisation peut démontrer qu'elle dispose de périmètres de sécurité physique adéquats pour empêcher tout accès physique non autorisé aux informations et autres actifs associés.

Cela inclut la prévention :

  • Entrée non autorisée dans des bâtiments, des pièces ou des zones contenant des actifs informationnels ;

  • Retrait non autorisé d'actifs des locaux ;

  • Utilisation non autorisée d'actifs sur place (par exemple, ordinateurs et appareils informatiques) ; et

  • Accès non autorisé à des équipements de communication électroniques tels que des téléphones, des télécopieurs et des terminaux informatiques (par exemple, falsification non autorisée).

Les périmètres de sécurité physique peuvent être mis en œuvre à travers les deux catégories suivantes :

Contrôle d'accès physique : assure le contrôle de l'entrée dans les installations et les bâtiments, ainsi que des déplacements à l'intérieur de ceux-ci. Ces contrôles incluent le verrouillage des portes, l'utilisation d'alarmes sur les portes, l'utilisation de clôtures ou de barrières autour des installations, etc.

Sécurité matérielle : fournit des contrôles sur les équipements physiques (par exemple, les ordinateurs) utilisés par une organisation pour traiter des données telles que les imprimantes et les scanners qui peuvent contenir des informations sensibles.

La mise en œuvre de ce contrôle peut également couvrir l'utilisation non autorisée de l'espace, de l'équipement et des fournitures des installations afin de protéger les informations et autres actifs associés, tels que les documents, dossiers et équipements confidentiels.

Qu'est-ce que cela implique et comment répondre aux exigences

Les lignes directrices suivantes doivent être prises en compte et mises en œuvre, le cas échéant, pour les périmètres de sécurité physique :

  • Définir les périmètres de sécurité ainsi que l'emplacement et la solidité de chacun des périmètres conformément aux exigences de sécurité de l'information liées aux actifs à l'intérieur du périmètre.

  • Avoir des périmètres physiquement sains pour un bâtiment ou un site contenant des installations de traitement de l'information (c'est-à-dire qu'il ne doit y avoir aucune lacune dans le périmètre ni aucune zone où une effraction peut facilement se produire).

  • Les toits extérieurs, les murs, les plafonds et les sols du site doivent être de construction solide et toutes les portes extérieures doivent être convenablement protégées contre tout accès non autorisé par des mécanismes de contrôle (par exemple barres, alarmes, serrures).

  • Les portes et fenêtres doivent être verrouillées lorsqu'elles ne sont pas surveillées et une protection externe doit être envisagée pour les fenêtres, en particulier au niveau du sol ; les points de ventilation doivent également être pris en compte.

Vous pouvez obtenir plus d’informations sur ce qu’implique le respect des exigences de contrôle dans le document standard ISO 27002:2022.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

Modifications et différences par rapport à la norme ISO 27002:2013

La nouvelle révision 2022 de la norme ISO 27002 a été publiée le 15 février 2022 et constitue une mise à niveau de la norme ISO 27002:2013.

11 nouveaux contrôles ont été ajoutés à cette version de l'ISO 27002. Cependant, le contrôle 7.1 n'est pas un nouveau contrôle, il s'agit plutôt d'une version modifiée du contrôle 11.1.1 dans la version 2013 de l'ISO 27002. La différence majeure entre 2013 et 2022 la version est le changement de numéro de contrôle.

Le numéro de contrôle 11.1.1 a été remplacé par 7.1. En dehors de cela, le contexte et le sens sont largement similaires, même si la phraséologie est différente.

Une autre différence entre les deux contrôles est que les exigences de mise en œuvre ont été réduites dans la version 2022.

Les exigences suivantes qui sont disponibles dans le contrôle 11.1.1 de l'ISO 27002:2013 manquent dans le contrôle 7.1 :

  • Une zone de réception gardée ou d'autres moyens permettant de contrôler l'accès physique au site ou au bâtiment doivent être en place.

  • L'accès aux sites et aux bâtiments doit être limité au personnel autorisé uniquement.

  • Des barrières physiques devraient, le cas échéant, être construites pour empêcher tout accès physique non autorisé et toute contamination de l'environnement.

  • Des systèmes de détection d'intrusion appropriés doivent être installés conformément aux normes nationales, régionales ou internationales et régulièrement testés pour couvrir toutes les portes extérieures et fenêtres accessibles.

  • Les zones inoccupées doivent être alertées à tout moment.

  • Une couverture doit également être prévue pour d'autres zones, par exemple la salle informatique ou les salles de communication.

  • Les installations de traitement de l'information gérées par l'organisation doivent être physiquement séparées de celles gérées par des parties externes.

Ces omissions ne rendent en aucun cas la nouvelle norme moins efficace, mais ont été supprimées pour rendre le nouveau contrôle plus convivial.

Qui est en charge de ce processus ?

Le directeur de l’information est la personne en charge de la sécurité de l’information. Cette personne est responsable de la mise en œuvre des politiques et procédures visant à protéger les données et les systèmes de l'entreprise. Le CIO travaille généralement avec d'autres dirigeants, tels que le directeur financier et le directeur général, pour garantir que les mesures de sécurité sont prises en compte lors des décisions commerciales.

Le directeur financier est également impliqué dans la prise de décisions concernant les périmètres de sécurité physique. Il ou elle travaille avec d'autres membres de la haute direction, y compris le CIO, pour déterminer le montant à allouer aux mesures de sécurité physique telles que les caméras de surveillance, les contrôles d'accès et les alarmes.

Que signifient ces changements pour vous ?

La nouvelle norme ISO 27002:2022 ne constitue pas une révision majeure. Par conséquent, vous n’avez pas besoin de mettre en œuvre de modifications majeures pour être conforme à la dernière version de la norme ISO 27002.

Cependant, vous devriez envisager de revoir votre mise en œuvre actuelle et de vous assurer qu’elle correspond aux nouvelles exigences. En particulier, si vous avez apporté des modifications depuis la publication de la version précédente en 2013. Il vaut la peine de réexaminer ces modifications pour voir si elles sont toujours valables ou si elles doivent être modifiées.

Cela dit, vous pouvez obtenir plus d'informations sur la manière dont la nouvelle norme ISO 27002 affectera vos processus de sécurité de l'information et votre certification ISO 27001 en lisant notre guide ISO 27002:2022.

Comment ISMS.Online aide

ISMS.online peut également vous aider à démontrer la conformité à la norme ISO 27002 en vous fournissant un système en ligne qui vous permet de stocker tous vos documents en un seul endroit et de les mettre à la disposition de toute personne qui en a besoin. Le système vous permet également de créer des listes de contrôle pour chaque document afin qu'il soit facile pour toutes les personnes impliquées dans la modification ou la révision des documents de voir ce qui doit être fait ensuite et quand cela doit être fait.

Vous voulez voir comment ça marche?

Contactez-nous dès aujourd'hui pour réserver une démo.

Êtes-vous prêt pour
la nouvelle ISO 27002

Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit
Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage