Les menaces qui pèsent sur les actifs informationnels ne sont pas seulement numériques : l'infrastructure physique critique d'une organisation hébergeant les actifs informationnels est également exposée à des menaces environnementales et physiques qui peuvent entraîner la perte, la destruction, le vol et la compromission des actifs informationnels et des données sensibles.
Ces menaces peuvent inclure des événements naturels tels que des tremblements de terre, des inondations et des incendies de forêt. Elles peuvent également inclure des catastrophes d’origine humaine telles que des troubles civils et des activités criminelles.
Control 7.5 explique comment les organisations peuvent évaluer, identifier et atténuer les risques pesant sur les infrastructures physiques critiques en raison de menaces physiques et environnementales.
Control 7.5 permet aux organisations de mesurer effets négatifs potentiels des menaces environnementales et physiques et d'atténuer et/ou d'éliminer ces effets en mettant en place des mesures appropriées.
Le contrôle 7.5 est un type de contrôle préventif qui exige que les organisations éliminent et/ou atténuent les conséquences susceptibles de découler de risques externes tels que les catastrophes naturelles et les incidents d’origine humaine.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité physique | #Protection |
Le contrôle 7.5 exige que les organisations effectuer une évaluation approfondie des risques avant de commencer toute opération sur site physique et de mettre en œuvre les mesures nécessaires en fonction du niveau de risque identifié.
Les responsables de la sécurité devraient donc être responsables de la création, de la gestion, de la mise en œuvre et de l’examen de l’ensemble du processus.
Le contrôle 7.5 spécifie un processus en trois étapes pour identifier et éliminer les risques dus aux menaces physiques et environnementales :
Les organisations devraient procéder à une évaluation des risques identifier les catastrophes physiques et environnementales potentielles qui peuvent survenir sur chaque site physique spécifique, puis mesurer les effets susceptibles de survenir en raison des menaces physiques et environnementales identifiées.
Étant donné que chaque lieu physique et chaque infrastructure qui s'y trouve sera soumis à des conditions environnementales et à des facteurs de risque physiques différents, le type de menace et le niveau de risque identifié varieront en fonction de chaque lieu et de son emplacement.
Par exemple, même si un site peut être le plus vulnérable aux incendies de forêt, un autre site peut être situé dans une zone où les tremblements de terre se produisent fréquemment.
Une autre exigence essentielle énoncée par le contrôle 7.5 est que cette évaluation des risques doit être effectuée avant le lancement des opérations sur site physique.
En fonction du type de menace et du niveau de risque identifié lors de la première étape, les organisations doivent mettre en place des contrôles appropriés prenant en compte les conséquences probables des menaces environnementales et physiques.
À titre d'illustration, Control 7.5 fournit des exemples de contrôles qui peuvent être mis en place pour les menaces suivantes :
Feu: Les organisations doivent déployer des systèmes pour déclencher des alarmes lorsqu'un incendie est détecté ou pour activer des systèmes d'extinction d'incendie capables de protéger les supports de stockage et les systèmes d'information contre les dommages.
Inondation: Des systèmes doivent être déployés et configurés pour détecter les inondations dans les zones où les actifs informationnels sont stockés. De plus, des outils tels que des pompes à eau doivent être prêts à être utilisés en cas d'inondation.
Surtensions électriques : Serveurs et critiques systèmes de gestion de l'information doivent être entretenus et protégés contre les pannes électriques.
Explosifs et armes : Les organisations devraient effectuer des audits aléatoires et des inspections de toutes les personnes, objets et véhicules entrant dans des locaux abritant des infrastructures critiques.
Étant donné que le type de menaces et le niveau de risques peuvent évoluer avec le temps, les organisations doivent surveiller en permanence les évaluations des risques et reconsidérer les contrôles qu'elles ont mis en œuvre si nécessaire.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Le contrôle 7.5 énumère quatre considérations spécifiques que les organisations doivent prendre en compte.
Chaque type spécifique de menace environnementale et physique, qu'il s'agisse de déchets toxiques, de tremblements de terre ou d'incendies, est unique en termes de nature, de risques qu'elle présente et de contre-mesures qu'elle nécessite.
Par conséquent, les organisations doivent demander l’avis d’experts sur la manière d’identifier, d’éliminer et/ou d’atténuer les risques découlant de ces menaces.
La prise en compte de la topographie locale, des niveaux d’eau et des mouvements tectoniques de l’emplacement potentiel des locaux peut aider à identifier et éliminer les risques dès le début.
En outre, les organisations doivent prendre en compte les risques de catastrophes d'origine humaine dans la zone urbaine choisie, telles que les troubles politiques et les activités criminelles.
Outre les contrôles spécifiques mis en place, stockage sécurisé des informations des méthodes telles que les coffres-forts peuvent ajouter une couche de sécurité supplémentaire contre les catastrophes telles que les incendies et les inondations.
Contrôle 7.5 recommande aux organisations de prendre en compte ce concept lors de la mise en œuvre de contrôles visant à améliorer la sécurité des locaux. Cette méthode peut être utilisée pour éliminer les menaces urbaines telles que les activités criminelles, les troubles civils et le terrorisme.
27002:2022/7.5 replaces 27002:2013/(11.1.4)
Alors que la version 2013 abordait la manière dont les organisations devraient mettre en place des mesures préventives appropriées contre les menaces physiques et environnementales, la version 2022 est beaucoup plus complète en termes de mesures de conformité spécifiques que les organisations devraient prendre.
Globalement, il existe deux différences clés :
La version 2013 ne contenait aucune orientation sur la manière dont les organisations devraient identifier et éliminer les risques dus aux menaces environnementales et physiques.
La version 2022, sous forme contractuelle, décrit un processus en trois étapes que les organisations devraient suivre, y compris la réalisation d'une évaluation des risques.
Dans les orientations supplémentaires, la version 2022 fait référence à des mesures telles que l'utilisation de coffres-forts et la prévention du crime grâce à des concepts de conception environnementale qui peuvent être utilisés pour améliorer la protection contre les menaces.
La version de 2013, en revanche, ne prévoyait pas de telles mesures supplémentaires.
La Plateforme ISMS.online fournit une gamme d'outils puissants qui simplifient la façon dont vous pouvez documenter, mettre en œuvre, maintenir et améliorer votre système de gestion de la sécurité de l'information (ISMS) et atteindre la conformité à la norme ISO 27002.
L'ensemble complet d'outils vous offre un endroit central où vous pouvez créer un ensemble de politiques et de procédures sur mesure qui correspondent à votre les risques et les besoins spécifiques de l'organisation.
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Nous sommes économiques et rapides
