Le contrôle 7.3 de la nouvelle norme ISO 27002:2022 couvre la nécessité de concevoir et de mettre en œuvre la sécurité physique des bureaux, des chambres et des installations.
Ce contrôle a été conçu pour encourager les organisations à mettre en place des mesures appropriées pour empêcher l'accès non autorisé aux salles, bureaux et installations, en particulier là où la sécurité de l'information est gérée, par l'utilisation de serrures, d'alarmes, d'agents de sécurité ou d'autres moyens appropriés, pour empêcher l'information. les problèmes de sécurité.
La sécurité physique est un élément essentiel de la sécurité de l’information. Les deux vont de pair et doivent être considérés ensemble. La sécurité de l'information est la protection des informations et des systèmes d'information contre tout accès, utilisation, divulgation, perturbation, modification ou destruction non autorisés.
La sécurité physique fait référence aux mesures de protection prises pour protéger le personnel, les installations, les équipements et autres actifs contre les dangers naturels ou d'origine humaine en réduisant les risques liés au cambriolage, au sabotage, au terrorisme et à d'autres actes criminels.
La première étape de la sécurité physique des emplacements sensibles en termes d’informations consiste à déterminer si vous en avez un. Les emplacements sensibles en termes d'informations sont des pièces, des bureaux et des installations où se trouvent des ordinateurs contenant des données sensibles ou où se trouvent des personnes ayant accès à des données sensibles.
La sécurité physique peut inclure.
Verrouillage des portes, fenêtres et placards ; utiliser des sceaux de sécurité sur les ordinateurs portables et les appareils mobiles ; protection par mot de passe pour ordinateurs; cryptage des données sensibles.
Les caméras de télévision en circuit fermé constituent un excellent moyen de surveiller l'activité autour des locaux ou dans des zones spécifiques d'un bâtiment.
Ceux-ci peuvent être activés par le mouvement, la chaleur ou le son et servent à vous alerter des intrus ou des personnes qui ne devraient pas se trouver dans une zone particulière (par exemple, une alarme qui retentit lorsque quelqu'un tente de s'introduire par effraction dans le bureau).
Les attributs vous permettent de faire rapidement correspondre votre sélection de contrôle aux spécifications et à la terminologie typiques du secteur. Les contrôles suivants sont disponibles dans le contrôle 7.3.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité des relations avec les fournisseurs | #Gouvernance et #Protection des écosystèmes |
L'objectif du contrôle 7.3 est d'empêcher l'accès physique non autorisé, les dommages et les interférences aux informations de l'organisation et autres actifs associés dans les bureaux, salles et installations.
L'objectif principal du contrôle 7.3 est de réduire le niveau de risque d'accès physique non autorisé aux bureaux, aux chambres et aux installations à un niveau acceptable en :
Le contrôle 7.3 s'applique à tous les bâtiments utilisés par l'organisation pour des bureaux ou des fonctions administratives. Elle s’applique également aux salles dans lesquelles des informations confidentielles sont stockées ou traitées, y compris les salles de réunion où se déroulent des discussions sensibles.
Elle ne s'applique pas aux zones de réception ou autres espaces publics des locaux d'une organisation, sauf s'ils sont utilisés à des fins administratives (par exemple une zone de réception faisant également office de bureau).
Le contrôle 7.3 précise que les locaux et les installations doivent être sécurisés. Les mesures de sécurité suivantes peuvent être prises, conformément aux directives de contrôle de la norme ISO 27002:2022, pour garantir la sécurité des salles et des installations :
Vous pouvez obtenir plus d’informations sur ce qu’implique le respect des exigences de contrôle dans le document standard ISO 27002:2022.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Initialement publiée en 2013, la révision 2022 de la norme ISO 27002 a été publiée le 15 février 2022.
Le contrôle 7.3 n’est pas un nouveau contrôle. Il fait référence à une version modifiée du contrôle 11.1.3 dans la norme ISO 27002. Une différence majeure entre les versions 2013 et 2022 est le changement du numéro de contrôle. Le numéro de contrôle 11.1.3 a été remplacé par 7.3. En dehors de cela, le contexte et le sens sont en grande partie les mêmes, même si la phraséologie est différente.
Une autre différence entre les deux contrôles est que la version 2022 est livrée avec un tableau d'attributs et une déclaration d'intention. Ces sections ne sont pas disponibles dans la version 2013.
La première personne à prendre en compte lorsqu'il s'agit de sécuriser des bureaux, des chambres et des installations est celle qui a le plus de contrôle sur le bâtiment physique et son contenu. Cette personne est généralement le gestionnaire ou le directeur de l'établissement.
Ensuite, il y a le responsable de la sécurité. Le responsable de la sécurité est chargé de s'assurer que toutes les zones sont sécurisées, y compris les espaces de bureau et les installations. Le responsable de la sécurité est également chargé de garder une trace de tous les employés qui ont accès à ces zones et de s'assurer qu'ils utilisent leur accès de manière appropriée.
Dans certains cas, cependant, plusieurs personnes partagent les responsabilités en matière de sécurité. Par exemple, lorsqu'une personne a accès à des informations sensibles qui pourraient être utilisées contre les intérêts de votre entreprise ou contre la vie personnelle d'autres employés, il est important que plusieurs personnes soient impliquées dans sa protection.
Un service RH peut gérer les polices d'assurance et les avantages sociaux des employés tandis que le service informatique gère les systèmes et réseaux informatiques ; les deux départements peuvent contribuer à la gestion de la sécurité physique ainsi qu'aux problèmes de cybersécurité tels que les escroqueries par phishing et les tentatives d'accès non autorisées.
Aucun changement majeur n'est requis pour se conformer à la version la plus récente de la norme ISO 27002.
Vous devez cependant évaluer votre solution actuelle de sécurité des informations pour vous assurer qu’elle est conforme à la norme révisée. Si vous avez apporté des modifications depuis la sortie de la dernière édition en 2013, il vaut la peine de revoir ces ajustements pour déterminer s'ils sont toujours pertinents ou s'ils doivent être mis à jour.
Notre plateforme a été développée spécifiquement pour ceux qui débutent dans le domaine de la sécurité de l'information ou qui ont besoin d'un moyen simple de se familiariser avec la norme ISO 27002 sans avoir à passer du temps à apprendre à partir de zéro ou à lire de longs documents.
ISMS.Online est équipé de tous les outils nécessaires pour assurer la conformité, notamment des modèles de documents, des listes de contrôle et des politiques qui peuvent être personnalisées en fonction de vos besoins.
Vous voulez voir comment ça marche?
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
