ISO 27002:2022, Contrôle 7.10, Supports de stockage

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Gestion sécurisée des supports de stockage : protection des informations sensibles

L'utilisation de périphériques de stockage tels que des disques SSD, des clés USB, des disques externes et des téléphones mobiles est essentielle à de nombreuses opérations de traitement d'informations critiques telles que la sauvegarde, le stockage et le transfert d'informations.

Cependant, le stockage de données sensibles et critiques les informations sur ces appareils présentent des risques pour l'intégrité, la confidentialité et la disponibilité des actifs informationnels. Ces risques peuvent inclure la perte ou le vol de supports de stockage contenant des informations sensibles, la propagation de logiciels malveillants dans tous les réseaux informatiques d'entreprise via les supports de stockage, ainsi que la panne et la dégradation des supports de stockage utilisés pour la sauvegarde des données.

Le contrôle 7.10 explique comment les organisations peuvent établir des procédures, des politiques et des contrôles appropriés pour maintenir la sécurité des supports de stockage tout au long de leur cycle de vie, de leur acquisition à leur élimination.

Objectif du contrôle 7.10

Control 7.10 permet aux organisations d'éliminer et d'atténuer les risques d'accès, d'utilisation, de suppression, de modification et de transfert non autorisés d'informations sensibles hébergées sur des périphériques de stockage en définissant des procédures pour la gestion des supports de stockage tout au long de leur cycle de vie.

Attributs Table de contrôle 7.10

Le contrôle 7.10 est un type de contrôle préventif qui oblige les organisations à créer, mettre en œuvre et maintenir des procédures et des mesures pour assurer la sécurité des périphériques de stockage depuis leur acquisition jusqu'à leur élimination.

Type de contrôle	Propriétés de sécurité des informations	Concepts de cybersécurité	Capacités opérationnelles	Domaines de sécurité
#Préventif	#Confidentialité	#Protéger	#Sécurité physique	#Protection
	#Intégrité		#La gestion d'actifs
	#Disponibilité

La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo

Quels supports de stockage sont couverts par Control 7.10 ?

Le contrôle 7.10 s'applique à la fois aux supports de stockage numériques et physiques. Par exemple stockage d'informations sur des fichiers physiques est également couvert par le contrôle 7.10.

En outre, outre les supports de stockage amovibles, les supports de stockage fixes tels que les disques durs sont également soumis au contrôle 7.10.

Propriété du contrôle 7.10

Le contrôle 7.10 exige que les organisations créent et mettent en œuvre des procédures appropriées, des contrôles techniques et des politiques à l'échelle de l'organisation sur l'utilisation des supports de stockage, basées sur le propre système de classification de l'organisation et ses exigences en matière de traitement des données telles que les obligations légales et contractuelles.

Compte tenu de cela, les responsables de la sécurité de l’information devraient être responsables de l’ensemble du processus de conformité.

Orientations générales sur la conformité

Supports de stockage amovibles

Bien que les supports de stockage amovibles soient essentiels à de nombreuses opérations commerciales et qu'ils soient couramment utilisés par la plupart du personnel, ils présentent le plus haut degré de risque pour les informations sensibles.

Control 7.10 répertorie dix exigences que les organisations doivent respecter pour la gestion des supports de stockage amovibles tout au long de leur cycle de vie :

Les organisations doivent établir une politique thématique spécifique sur l’acquisition, l’autorisation, l’utilisation et l’élimination des supports de stockage amovibles. Cette politique doit être communiquée à tout le personnel et à toutes les parties concernées.
Si cela est pratique et nécessaire, les organisations doivent mettre en place des procédures d'autorisation sur la manière dont les supports de stockage amovibles peuvent être retirés des locaux de l'entreprise. En outre, les organisations doivent conserver des journaux de retrait des supports de stockage à des fins de piste d’audit.
Tous les supports de stockage amovibles doivent être stockés dans une zone sécurisée telle qu'un coffre-fort, en tenant compte du niveau de classification des informations attribué à l'information et des menaces environnementales et physiques pesant sur les supports de stockage.
Si la confidentialité et l'intégrité des informations contenues sur les supports de stockage amovibles revêtent une importance cruciale, des techniques cryptographiques doivent être utilisées pour protéger les supports de stockage contre tout accès non autorisé.
Contre le risque de dégradation des supports de stockage amovibles et de perte des informations stockées sur le support, les informations doivent être transférées vers un nouveau périphérique de stockage avant qu'un tel risque ne se produise.
Les informations critiques et sensibles doivent être copiées et stockées sur plusieurs supports de stockage afin de minimiser le risque de perte d'informations critiques.
Pour atténuer le risque de perte totale d’informations, l’enregistrement des périphériques de stockage amovibles peut être une option à envisager.
À moins qu’il n’y ait une raison professionnelle d’utiliser des ports de supports de stockage amovibles tels que des ports USB ou des emplacements pour carte SD, ils ne devraient pas être autorisés.
Un mécanisme de surveillance doit être mis en place pour le transfert d'informations vers des périphériques de stockage amovibles.
Lorsque des informations contenues sur des supports physiques tels que des papiers sont transférées par courrier ou par courrier, il existe un risque élevé d'accès non autorisé à ces informations. Des mesures appropriées doivent donc être appliquées.

Conseils sur la réutilisation et l'élimination sécurisées des supports de stockage

Control 7.10 fournit des conseils distincts sur la réutilisation et l'élimination sécurisées des supports de stockage afin que les organisations puissent atténuer et éliminer les risques de compromission de la confidentialité des informations.

Le contrôle 7.10 souligne que les organisations doivent définir et appliquer des procédures de réutilisation et d'élimination des supports de stockage, en tenant compte du niveau de sensibilité des informations contenues dans les supports de stockage.

En établissant ces procédures, les organisations doivent prendre en compte les éléments suivants :

Si un support de stockage doit être réutilisé par une partie interne au sein d'une organisation, les informations sensibles hébergées sur ce support de stockage doivent être supprimées ou reformatées de manière irréversible avant d'être autorisées à être réutilisées.
Les supports de stockage hébergeant des informations sensibles doivent être détruits de manière sécurisée lorsqu’ils ne sont plus nécessaires. Par exemple, les documents papier peuvent être déchiquetés et les équipements numériques peuvent être physiquement détruits.
Il devrait y avoir une procédure pour l'identification des éléments de support de stockage qui doivent être éliminés.
Lorsque les organisations choisissent de travailler avec une partie externe pour gérer la collecte et l'élimination des supports de stockage, elles doivent prendre les mesures nécessaires. diligence pour s’assurer que le fournisseur choisi est compétent et il met en œuvre des contrôles appropriés.
Tenir un registre de tous les articles éliminés pour Piste d'audit.
Lorsque plusieurs supports de stockage doivent être éliminés ensemble, l'effet d'accumulation doit être pris en compte : la combinaison de différents éléments d'information de chaque support de stockage peut transformer des informations non sensibles en informations sensibles.

Dernier point mais non le moindre, le Contrôle 7.10 exige que les organisations effectuent une évaluation des risques sur les équipements endommagés stockant des informations confidentielles décider si l'équipement doit être détruit au lieu d'être réparé.

Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo

Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/7.10 remplace 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Il y a quatre différences clés qui doivent être soulignées :

Changements structurels

Alors que la version 2013 contenait trois contrôles sur la gestion des médias, de l'élimination des médias et du transfert des médias physiques, la version 2022 combine ces trois contrôles sous le contrôle 7.10.

La version 2022 inclut des exigences pour la réutilisation des supports de stockage

Contrairement à la version 2013 qui traitait uniquement de l'élimination sécurisée des supports de stockage, la version 2022 traite également de la réutilisation sécurisée des supports de stockage.

La version 2013 contient des exigences plus complètes pour le transfert physique des supports de stockage

La version 2013 impliquait des exigences plus complètes pour le transfert physique des supports de stockage. Par exemple, la version 2013 comprenait des règles sur la vérification de l'identité des coursiers et des normes d'emballage.

En revanche, le contrôle 7.10 de la version 2022 indiquait uniquement que les organisations devaient agir avec diligence lors du choix des prestataires de services tels que les coursiers.

La version 2022 nécessite une politique spécifique à un sujet sur les supports de stockage amovibles

Alors que les versions 2022 et 2013 sont dans une large mesure similaires en termes d'exigences relatives aux supports de stockage amovibles, la version 2022 introduit l'exigence d'établir une politique thématique spécifique sur les supports de stockage amovibles. La version 2013, en revanche, ne répondait pas à cette exigence.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.7	Équipement	Intelligence de la menace
5.23	Équipement	Sécurité des informations pour l'utilisation des services cloud
5.30	Équipement	Préparation aux TIC pour la continuité des activités
7.4	Équipement	Surveillance de la sécurité physique
8.9	Équipement	Gestion de la configuration
8.10	Équipement	Suppression des informations
8.11	Équipement	Masquage des données
8.12	Équipement	Prévention des fuites de données
8.16	Équipement	Activités de surveillance
8.23	Équipement	filtrage web
8.28	Équipement	Codage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.1	05.1.1, 05.1.2	Politiques de sécurité des informations
5.2	06.1.1	Rôles et responsabilités en matière de sécurité de l'information
5.3	06.1.2	Séparation des tâches
5.4	07.2.1	Responsabilités de gestion
5.5	06.1.3	Contact avec les autorités
5.6	06.1.4	Contact avec des groupes d'intérêts particuliers
5.7	Équipement	Intelligence de la menace
5.8	06.1.5, 14.1.1	Sécurité de l'information dans la gestion de projet
5.9	08.1.1, 08.1.2	Inventaire des informations et autres actifs associés
5.10	08.1.3, 08.2.3	Utilisation acceptable des informations et autres actifs associés
5.11	08.1.4	Restitution des actifs
5.12	08.2.1	Classement des informations
5.13	08.2.2	Étiquetage des informations
5.14	13.2.1, 13.2.2, 13.2.3	Transfert d'information
5.15	09.1.1, 09.1.2	Contrôle d'accès
5.16	09.2.1	Gestion d'identité
5.17	09.2.4, 09.3.1, 09.4.3	Informations d'authentification
5.18	09.2.2, 09.2.5, 09.2.6	Des droits d'accès
5.19	15.1.1	Sécurité de l'information dans les relations avec les fournisseurs
5.20	15.1.2	Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21	15.1.3	Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22	15.2.1, 15.2.2	Suivi, revue et gestion du changement des services fournisseurs
5.23	Équipement	Sécurité des informations pour l'utilisation des services cloud
5.24	16.1.1	Planification et préparation de la gestion des incidents de sécurité de l’information
5.25	16.1.4	Évaluation et décision sur les événements liés à la sécurité de l'information
5.26	16.1.5	Réponse aux incidents de sécurité de l'information
5.27	16.1.6	Tirer les leçons des incidents de sécurité de l’information
5.28	16.1.7	Collecte de preuves
5.29	17.1.1, 17.1.2, 17.1.3	Sécurité des informations en cas de perturbation
5.30	Équipement	Préparation aux TIC pour la continuité des activités
5.31	18.1.1, 18.1.5	Exigences légales, statutaires, réglementaires et contractuelles
5.32	18.1.2	Droit de la propriété intellectuelle
5.33	18.1.3	Protection des dossiers
5.34	18.1.4	Confidentialité et protection des informations personnelles
5.35	18.2.1	Examen indépendant de la sécurité de l’information
5.36	18.2.2, 18.2.3	Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37	12.1.1	Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
6.1	07.1.1	Tamisage
6.2	07.1.2	Termes et conditions d'emploi
6.3	07.2.2	Sensibilisation, éducation et formation à la sécurité de l’information
6.4	07.2.3	Processus disciplinaire
6.5	07.3.1	Responsabilités après la cessation ou le changement d'emploi
6.6	13.2.4	Accords de confidentialité ou de non-divulgation
6.7	06.2.2	Travail à distance
6.8	16.1.2, 16.1.3	Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
7.1	11.1.1	Périmètres de sécurité physique
7.2	11.1.2, 11.1.6	Entrée physique
7.3	11.1.3	Sécurisation des bureaux, des locaux et des installations
7.4	Équipement	Surveillance de la sécurité physique
7.5	11.1.4	Se protéger contre les menaces physiques et environnementales
7.6	11.1.5	Travailler dans des zones sécurisées
7.7	11.2.9	Bureau clair et écran clair
7.8	11.2.1	Implantation et protection des équipements
7.9	11.2.6	Sécurité des actifs hors site
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Supports de stockage
7.11	11.2.2	Utilitaires pris en charge
7.12	11.2.3	Sécurité du câblage
7.13	11.2.4	La maintenance des équipements
7.14	11.2.7	Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
8.1	06.2.1, 11.2.8	Appareils de point de terminaison utilisateur
8.2	09.2.3	Droits d'accès privilégiés
8.3	09.4.1	Restriction d'accès aux informations
8.4	09.4.5	Accès au code source
8.5	09.4.2	Authentification sécurisée
8.6	12.1.3	Gestion de la capacité
8.7	12.2.1	Protection contre les logiciels malveillants
8.8	12.6.1, 18.2.3	Gestion des vulnérabilités techniques
8.9	Équipement	Gestion de la configuration
8.10	Équipement	Suppression des informations
8.11	Équipement	Masquage des données
8.12	Équipement	Prévention des fuites de données
8.13	12.3.1	Sauvegarde des informations
8.14	17.2.1	Redondance des installations de traitement de l'information
8.15	12.4.1, 12.4.2, 12.4.3	Journal
8.16	Équipement	Activités de surveillance
8.17	12.4.4	La synchronisation d'horloge
8.18	09.4.4	Utilisation de programmes utilitaires privilégiés
8.19	12.5.1, 12.6.2	Installation de logiciels sur les systèmes opérationnels
8.20	13.1.1	Sécurité des réseaux
8.21	13.1.2	Sécurité des services réseau
8.22	13.1.3	Ségrégation des réseaux
8.23	Équipement	filtrage web
8.24	10.1.1, 10.1.2	Utilisation de la cryptographie
8.25	14.2.1	Cycle de vie de développement sécurisé
8.26	14.1.2, 14.1.3	Exigences de sécurité des applications
8.27	14.2.5	Architecture de système sécurisée et principes d’ingénierie
8.28	Équipement	Codage sécurisé
8.29	14.2.8, 14.2.9	Tests de sécurité en développement et acceptation
8.30	14.2.7	Développement externalisé
8.31	12.1.4, 14.2.6	Séparation des environnements de développement, de test et de production
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestion du changement
8.33	14.3.1	Informations de test
8.34	12.7.1	Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

Votre partenaire Plateforme ISMS.online utilise une approche basée sur les risques combinée aux meilleures pratiques et modèles de pointe du secteur pour vous aider à identifier les risques auxquels votre organisation est confrontée et les contrôles nécessaires pour gérer ces risques. Cela vous permet de réduire systématiquement à la fois votre exposition aux risques et vos coûts de conformité.

Contactez-nous dès aujourd'hui pour réserver une démo.