Qu'est-ce que le contrôle 7.3 ?
Le contrôle 7.3 de la nouvelle norme ISO 27002:2022 couvre la nécessité de concevoir et de mettre en œuvre la sécurité physique des bureaux, des chambres et des installations.
Ce contrôle a été conçu pour encourager les organisations à mettre en place des mesures appropriées pour empêcher l'accès non autorisé aux salles, bureaux et installations, en particulier là où la sécurité de l'information est gérée, par l'utilisation de serrures, d'alarmes, d'agents de sécurité ou d'autres moyens appropriés, pour empêcher l'information. les problèmes de sécurité.
La sécurité physique des bureaux, des chambres et des installations expliquée
La sécurité physique est un élément essentiel de la sécurité de l’information. Les deux vont de pair et doivent être considérés ensemble. La sécurité de l'information est la protection des informations et des systèmes d'information contre tout accès, utilisation, divulgation, perturbation, modification ou destruction non autorisés.
La sécurité physique fait référence aux mesures de protection prises pour protéger le personnel, les installations, les équipements et autres actifs contre les dangers naturels ou d'origine humaine en réduisant les risques liés au cambriolage, au sabotage, au terrorisme et à d'autres actes criminels.
La première étape de la sécurité physique des emplacements sensibles en termes d’informations consiste à déterminer si vous en avez un. Les emplacements sensibles en termes d'informations sont des pièces, des bureaux et des installations où se trouvent des ordinateurs contenant des données sensibles ou où se trouvent des personnes ayant accès à des données sensibles.
La sécurité physique peut inclure.
Serrures et clés
Verrouillage des portes, fenêtres et placards ; utiliser des sceaux de sécurité sur les ordinateurs portables et les appareils mobiles ; protection par mot de passe pour ordinateurs; cryptage des données sensibles.
CCTV
Les caméras de télévision en circuit fermé constituent un excellent moyen de surveiller l'activité autour des locaux ou dans des zones spécifiques d'un bâtiment.
Alarmes d'intrusion
Ceux-ci peuvent être activés par le mouvement, la chaleur ou le son et servent à vous alerter des intrus ou des personnes qui ne devraient pas se trouver dans une zone particulière (par exemple, une alarme qui retentit lorsque quelqu'un tente de s'introduire par effraction dans le bureau).
Attributs Table de contrôle 7.3
Les attributs vous permettent de faire rapidement correspondre votre sélection de contrôle aux spécifications et à la terminologie typiques du secteur. Les contrôles suivants sont disponibles dans le contrôle 7.3.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Sécurité des relations avec les fournisseurs | #Gouvernance et écosystème |
| #Intégrité | #Protection | |||
| #Disponibilité |
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Quel est le but du contrôle 7.3 ?
L'objectif du contrôle 7.3 est d'empêcher l'accès physique non autorisé, les dommages et les interférences aux informations de l'organisation et autres actifs associés dans les bureaux, salles et installations.
L'objectif principal du contrôle 7.3 est de réduire le niveau de risque d'accès physique non autorisé aux bureaux, aux chambres et aux installations à un niveau acceptable en :
- Empêcher l'accès physique non autorisé aux bureaux, aux chambres et aux installations par des personnes autres que le personnel autorisé.
- Prévenir les dommages ou les interférences avec les informations de l'organisation et autres actifs associés à l'intérieur des bureaux, des salles et des installations.
- Veiller à ce que toutes les zones sensibles en matière de sécurité des informations soient discrètes afin qu'il soit difficile pour les utilisateurs de déterminer leur objectif.
- Minimiser le risque de vol ou de perte de biens dans les bureaux, les chambres et les installations.
- Veiller à ce que les personnes disposant d'un accès physique autorisé soient identifiées (cela peut être réalisé en utilisant une combinaison de badges uniformes, de systèmes d'entrée électronique et de laissez-passer pour les visiteurs).
- Dans la mesure du possible, des systèmes de vidéosurveillance ou d'autres dispositifs de surveillance doivent être utilisés pour assurer la sécurité des zones clés telles que les entrées/sorties.
Le contrôle 7.3 s'applique à tous les bâtiments utilisés par l'organisation pour des bureaux ou des fonctions administratives. Elle s’applique également aux salles dans lesquelles des informations confidentielles sont stockées ou traitées, y compris les salles de réunion où se déroulent des discussions sensibles.
Elle ne s'applique pas aux zones de réception ou autres espaces publics des locaux d'une organisation, sauf s'ils sont utilisés à des fins administratives (par exemple une zone de réception faisant également office de bureau).
Qu'est-ce que cela implique et comment répondre aux exigences
Le contrôle 7.3 précise que les locaux et les installations doivent être sécurisés. Les mesures de sécurité suivantes peuvent être prises, conformément aux directives de contrôle de la norme ISO 27002:2022, pour garantir la sécurité des salles et des installations :
- Emplacement des installations critiques pour éviter l’accès du public.
- Le cas échéant, veiller à ce que les bâtiments soient discrets et donnent un minimum d'indications sur leur destination, sans aucun signe évident, à l'extérieur ou à l'intérieur du bâtiment, identifiant la présence d'activités de traitement de l'information.
- Configurer des installations pour empêcher que des informations ou des activités confidentielles soient visibles et audibles de l’extérieur. Un blindage électromagnétique doit également être considéré comme approprié.
- Ne pas mettre à la disposition de toute personne non autorisée des annuaires, des annuaires téléphoniques internes et des cartes accessibles en ligne identifiant les emplacements des installations de traitement d'informations confidentielles.
Vous pouvez obtenir plus d’informations sur ce qu’implique le respect des exigences de contrôle dans le document standard ISO 27002:2022.
Modifications et différences par rapport à la norme ISO 27002:2013
Initialement publiée en 2013, la révision 2022 de la norme ISO 27002 a été publiée le 15 février 2022.
Le contrôle 7.3 n’est pas un nouveau contrôle. Il fait référence à une version modifiée du contrôle 11.1.3 dans la norme ISO 27002. Une différence majeure entre les versions 2013 et 2022 est le changement du numéro de contrôle. Le numéro de contrôle 11.1.3 a été remplacé par 7.3. En dehors de cela, le contexte et le sens sont en grande partie les mêmes, même si la phraséologie est différente.
Une autre différence entre les deux contrôles est que la version 2022 est livrée avec un tableau d'attributs et une déclaration d'intention. Ces sections ne sont pas disponibles dans la version 2013.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Qui est en charge de ce processus ?
La première personne à prendre en compte lorsqu'il s'agit de sécuriser des bureaux, des chambres et des installations est celle qui a le plus de contrôle sur le bâtiment physique et son contenu. Cette personne est généralement le gestionnaire ou le directeur de l'établissement.
Ensuite, il y a le responsable de la sécurité. Le responsable de la sécurité est chargé de s'assurer que toutes les zones sont sécurisées, y compris les espaces de bureau et les installations. Le responsable de la sécurité est également chargé de garder une trace de tous les employés qui ont accès à ces zones et de s'assurer qu'ils utilisent leur accès de manière appropriée.
Dans certains cas, cependant, plusieurs personnes partagent les responsabilités en matière de sécurité. Par exemple, lorsqu'une personne a accès à des informations sensibles qui pourraient être utilisées contre les intérêts de votre entreprise ou contre la vie personnelle d'autres employés, il est important que plusieurs personnes soient impliquées dans sa protection.
Un service RH peut gérer les polices d'assurance et les avantages sociaux des employés tandis que le service informatique gère les systèmes et réseaux informatiques ; les deux départements peuvent contribuer à la gestion de la sécurité physique ainsi qu'aux problèmes de cybersécurité tels que les escroqueries par phishing et les tentatives d'accès non autorisées.
Que signifient ces changements pour vous ?
Aucun changement majeur n'est requis pour se conformer à la version la plus récente de la norme ISO 27002.
Vous devez cependant évaluer votre solution actuelle de sécurité des informations pour vous assurer qu’elle est conforme à la norme révisée. Si vous avez apporté des modifications depuis la sortie de la dernière édition en 2013, il vaut la peine de revoir ces ajustements pour déterminer s'ils sont toujours pertinents ou s'ils doivent être mis à jour.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.Online aide
Notre plateforme a été développée spécifiquement pour ceux qui débutent dans le domaine de la sécurité de l'information ou qui ont besoin d'un moyen simple de se familiariser avec la norme ISO 27002 sans avoir à passer du temps à apprendre à partir de zéro ou à lire de longs documents.
ISMS.Online est équipé de tous les outils nécessaires pour assurer la conformité, notamment des modèles de documents, des listes de contrôle et des politiques qui peuvent être personnalisées en fonction de vos besoins.
Vous voulez voir comment ça marche?
Contactez-nous dès aujourd'hui pour réserver une démo.
