Les équipements informatiques tels que les serveurs, les ordinateurs portables, les périphériques réseau et les imprimantes sont essentiels à de nombreuses opérations de traitement de l'information telles que le stockage, l'utilisation et le transfert d'actifs informationnels.
Cependant, si cet équipement n’est pas entretenu en tenant compte des spécifications du produit et des risques environnementaux, sa qualité et ses performances peuvent se dégrader. Ce manque de maintenance peut compromettre la disponibilité, l'intégrité et confidentialité des actifs informationnels stockés sur cet équipement.
Par exemple, si une organisation ne parvient pas à effectuer une maintenance régulière sur le matériel du serveur, elle peut ne pas reconnaître que l'espace disque est plein. Cela peut entraîner une perte de données transmises vers ou hors du serveur.
Par ailleurs, des salariés ou des prestataires externes peuvent accéder aux équipements informatiques dans le cadre de la procédure de maintenance, ce qui peut également présenter des risques sur la confidentialité des informations sensibles.
Par exemple, un fournisseur de services de maintenance externe peut accéder aux informations sensibles stockées sur les ordinateurs portables ou installer des logiciels malveillants sur les appareils.
Le contrôle 7.13 traite de la manière dont les organisations peuvent établir et mettre en œuvre des procédures et des mesures appropriées pour la maintenance appropriée des équipements afin que le actifs informationnels stockés sur cet équipement ne sont pas compromis.
Le contrôle 7.13 permet aux organisations de mettre en place les mesures et procédures techniques nécessaires pour mener à bien les activités de maintenance sur les équipements utilisés pour stocker les actifs informationnels.
Ces mesures et procédures garantissent que les actifs informationnels ne sont pas perdus ou endommagés, et qu'ils ne sont pas exposés au risque de compromission tel qu'un accès non autorisé.
Le contrôle 7.13 est un type de contrôle préventif qui oblige les organisations à adopter une approche proactive en matière de maintenance des équipements.
Il s'agit de détecter les risques pouvant survenir du fait d'un manque de maintenance, d'établir des procédures de maintenance des équipements tenant compte des spécifications de chaque équipement et d'appliquer des procédures appropriées. contrôles qui protégeront les actifs informationnels hébergés sur cet équipement contre compromission.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité physique #La gestion d'actifs | #Protection #Résistance |
Le respect du contrôle 7.13 implique la création d'une liste d'équipements, effectuer une évaluation des risques sur la base de facteurs environnementaux et des spécifications du produit et en établissant et en mettant en œuvre des procédures et des mesures appropriées pour un entretien approprié.
Bien que le rôle des personnes manipulant quotidiennement cet équipement soit essentiel, le responsable de la sécurité de l'information doit assumer la responsabilité du respect du contrôle 7.13.
Le contrôle 7.13 énumère 11 recommandations spécifiques que les organisations doivent prendre en compte :
Le contrôle 7.13 indique que les éléments suivants sont considérés comme des équipements et relèvent de la portée du contrôle 7.13 :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
27002: 2022 / 7.13 remplace 27002:2013/(11.2.4)
Par rapport à la version 2013, le Control 7.13 de la version 2022 définit des exigences plus complètes. Alors que la version 2013 ne listait que six exigences spécifiques, le Control 7.13 contient 11 exigences.
Control 7.13 introduit les cinq exigences suivantes, qui n'ont pas été abordées dans la version 2013 :
Dans les orientations supplémentaires, le contrôle 7.13 définit ce qui entre dans le champ d'application de « Équipement ». En revanche, la version 2013 ne faisait pas référence à la signification du terme « équipement ».
ISMS.Online vous permet de :
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |