L'accès non autorisé à des zones physiques restreintes telles que les salles de serveurs et les salles d'équipement informatique peut entraîner une perte de confidentialité, de disponibilité, d'intégrité et de confidentialité. sécurité des actifs informationnels.
Le contrôle 7.4 traite de la mise en œuvre de systèmes de surveillance appropriés pour empêcher tout accès non autorisé par des intrus dans des locaux physiques sensibles.
Control 7.4 est un nouveau type de contrôle qui exige que les organisations détectent et préviennent les risques externes et internes les intrus qui pénètrent dans des zones physiques restreintes sans autorisation en mettant en place des outils de surveillance adaptés.
Ces outils de surveillance surveillent et enregistrent en permanence les zones à accès restreint et protègent l'organisation contre les risques pouvant résulter d'un accès non autorisé, y compris, mais sans s'y limiter :
Le contrôle 7.4 est de nature détective et préventive. Il permet aux organisations de maintenir l'intégrité, la confidentialité, la disponibilité et sécurité des données sensibles et des informations critiques en surveillant en permanence l’accès aux locaux restreints.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif #Détective | #Confidentialité #Intégrité #Disponibilité | #Protéger #Détecter | #Sécurité physique | #Protection #La défense |
Le respect du contrôle 7.4 nécessite l'identification de toutes les zones réglementées et la détermination d'outils de surveillance appropriés à la zone physique concernée.
Par conséquent, les responsables de la sécurité devraient être responsables de la mise en œuvre, de la maintenance, de la gestion et de l’examen appropriés des systèmes de surveillance.
Le contrôle 7.4 exige que les organisations mettent en œuvre ces trois étapes pour détecter et dissuader tout accès non autorisé aux installations qui hébergent des informations critiques :
Les organisations doivent disposer d'un système de vidéosurveillance, par exemple une caméra de vidéosurveillance, pour surveiller en permanence l'accès aux zones restreintes qui hébergent des informations critiques. De plus, ce système de surveillance doit conserver une trace de toutes les entrées dans les locaux physiques.
Déclencher une alarme lorsqu'un intrus accède aux locaux physiques permet à l'équipe de sécurité de réagir rapidement aux failles de sécurité. De plus, cela peut également être efficace pour dissuader l’intrus.
Les organisations doivent utiliser des détecteurs de mouvement, de son et de contact qui déclenchent une alarme lorsqu'une activité inhabituelle est détectée dans les locaux physiques.
En particulier:
La troisième étape de conformité nécessite la configuration du système d'alarme pour garantir que toutes les zones sensibles, y compris toutes les portes extérieures, fenêtres, zones inoccupées et salles informatiques, sont à portée du système d'alarme afin qu'il n'y ait aucune vulnérabilité pouvant être exploitée.
Par exemple, si des locaux tels que des zones fumeurs ou encore des entrées de salles de sport ne sont pas surveillés, ceux-ci peuvent être utilisés comme vecteurs d’attaque par des intrus.
Notre récent succès dans l’obtention des certifications ISO 27001, 27017 et 27018 est dû en grande partie à ISMS.online.
Bien que le contrôle 7.4 n'indique pas que les organisations doivent choisir et mettre en œuvre un système de surveillance spécifique plutôt que d'autres alternatives, il répertorie une gamme d'outils de surveillance qui peuvent être utilisés séparément ou en combinaison avec d'autres :
Le contrôle 7.4 souligne que les organisations doivent prendre en compte les éléments suivants lors de la mise en œuvre de systèmes de surveillance de la sécurité physique :
Le contrôle 7.4 est a nouveau contrôle qui n'a pas été abordé dans la norme ISO 27002:2013 à quelque titre que ce soit.
Les Plateforme ISMS.online fournit une gamme d'outils puissants qui simplifient la façon dont vous pouvez documenter, mettre en œuvre, maintenir et améliorer votre système de gestion de la sécurité de l'information (ISMS) et atteindre la conformité à la norme ISO 27002.
L'ensemble complet d'outils vous offre un endroit central où vous pouvez créer un ensemble de politiques et de procédures sur mesure qui s'alignent sur les risques et les besoins spécifiques de votre organisation. Il permet également une collaboration entre collègues ainsi qu’avec des partenaires externes tels que des fournisseurs ou des auditeurs tiers.
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Nous sommes économiques et rapides