Contrôle 7.8, Emplacement et protection des équipements

ISO 27002 :2022 – Contrôle 7.8 – Emplacement et protection des équipements

La norme ISO 27002 Contrôle 7.8 décrit les meilleures pratiques en matière d'implantation et de protection des équipements, garantissant ainsi la protection des actifs informatiques contre les risques physiques, environnementaux et d'accès non autorisés. Elle met l'accent sur le placement sécurisé, la surveillance environnementale et la protection électromagnétique pour maintenir la sécurité des informations.

ISO 27002 Contrôle 7.8 : Bonnes pratiques pour l'implantation et la protection des équipements

Alors que les cybermenaces telles que les attaques de logiciels malveillants, l'injection SQL et l'interception du trafic deviennent de plus en plus sophistiquées et représentent un risque important pour l'entreprise. sécurité des actifs informationnels.

Le paysage des risques ne se limite pas aux cyberattaques logicielles :

Les menaces physiques et environnementales pesant sur les équipements informatiques tels que les serveurs, les ordinateurs, les disques durs et les supports de stockage amovibles peuvent également compromettre la disponibilité, confidentialité et intégrité des actifs informationnels.

Par exemple, le déversement d'une boisson sur un serveur, l'arrêt d'un système informatique en raison d'une température élevée et l'accès non autorisé à un système informatique non situé dans une zone sécurisée sont autant d'exemples de menaces physiques contre le boîtier d'un équipement. actifs informationnels.

Control 7.8 explique comment les organisations peuvent éliminer et atténuer les risques découlant des menaces physiques et environnementales aux équipements hébergeant des actifs informationnels.

Objectif du contrôle 7.8

Contrôle 7.8 permet aux organisations d’éliminer et/ou d’atténuer deux types de risques pour les équipements contenant des actifs informationnels :

Menaces physiques et environnementales pesant sur les équipements telles que l'éclairage, les pannes de courant, le vol, les interférences de communication et les interférences électriques. Ces menaces incluent également des changements dans les conditions environnementales telles que les niveaux d'humidité et de température, qui peuvent perturber les activités de traitement de l'information.
Accès non autorisé, utilisation, endommagement et destruction d'équipements qui ne sont pas stockés dans des zones sécurisées.

Attributs Table de contrôle 7.8

Le contrôle 7.8 est un type de contrôle préventif qui oblige les organisations à maintenir l'intégrité, la disponibilité et la confidentialité des actifs informationnels en protégeant les équipements contenant des actifs informationnels contre les menaces physiques et environnementales.

Type de contrôle	Propriétés de sécurité des informations	Concepts de cybersécurité	Capacités opérationnelles	Domaines de sécurité
#Préventif	#Confidentialité	#Protéger	#Sécurité physique	#Protection
	#Intégrité		#La gestion d'actifs
	#Disponibilité

ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer

Propriété du contrôle 7.8

Le respect du contrôle 7.8 implique la création d'un inventaire des équipements hébergeant des actifs informationnels, l'implantation de tous les équipements dans des zones sécurisées et la mise en œuvre de mesures appropriées pour prévenir les menaces physiques et environnementales.

Par conséquent, les responsables de la sécurité de l'information devraient être responsables de l'établissement, de la mise en œuvre et du maintien des mesures nécessaires et des lignes directrices sur l’emplacement sécurisé et la protection des équipements.

Orientations générales sur la conformité

Le contrôle 7.8 prescrit neuf exigences spécifiques qui doivent être prises en compte pour la conformité :

L'équipement doit être placé dans des zones sécurisées afin que les personnes non autorisées ne puissent pas accéder à l'équipement.
Les outils utilisés pour traiter des informations sensibles, tels que les ordinateurs, les moniteurs et les imprimantes, doivent être positionnés de manière à ce qu'ils ne soient pas autorisés. les personnes ne peuvent pas voir les informations affichées sur les écrans sans autorisation.
Des mesures appropriées doivent être mises en place pour éliminer et/ou atténuer les risques découlant de menaces physiques et environnementales telles que les explosifs, les interférences de communication, le feu, la poussière et les rayonnements électromagnétiques.
Par exemple, un paratonnerre peut constituer un moyen efficace de lutte contre la foudre.
Des lignes directrices sur la consommation de boissons et de repas à proximité des équipements doivent être établies et communiquées à toutes les parties concernées.
Les conditions environnementales susceptibles de perturber les opérations de traitement de l'information doivent être surveillées en permanence. Ceux-ci peuvent inclure les niveaux de température et d’humidité.
Des mécanismes de protection contre la foudre doivent être mis en œuvre dans tous les bâtiments et bureaux. De plus, des filtres de protection contre la foudre doivent être intégrés à toutes les lignes électriques entrantes, y compris les lignes de communication.
Si l'équipement est situé dans un environnement industriel, des contrôles de protection spéciaux tels que des membranes de clavier doivent être utilisés si nécessaire.
L'émanation électromagnétique peut entraîner la fuite d'informations sensibles. Par conséquent, les équipements abritant des Les actifs informationnels doivent être sécurisés pour prévenir un tel risque.
Les équipements informatiques détenus et contrôlés par une organisation doivent être clairement séparés de ceux qui ne sont pas détenus et contrôlés par l'organisation.

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo

Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/7.8 replaces 27002:2013/(11.2.1)

Bien que les versions 2022 et 2013 soient dans une large mesure similaires, il y a une différence clé à souligner :

Contrairement à la version 2013, Control 7.8 dans la version 2022 introduit l'exigence suivante :

Les équipements informatiques détenus et contrôlés par une organisation doivent être clairement séparés de ceux qui ne sont pas détenus et contrôlés par l'organisation.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.7	NOUVEAU	Intelligence de la menace
5.23	NOUVEAU	Sécurité des informations pour l'utilisation des services cloud
5.30	NOUVEAU	Préparation aux TIC pour la continuité des activités
7.4	NOUVEAU	Surveillance de la sécurité physique
8.9	NOUVEAU	Gestion de la configuration
8.10	NOUVEAU	Suppression des informations
8.11	NOUVEAU	Masquage des données
8.12	NOUVEAU	Prévention des fuites de données
8.16	NOUVEAU	Activités de surveillance
8.23	NOUVEAU	filtrage web
8.28	NOUVEAU	Codage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.1	05.1.1, 05.1.2	Politiques de sécurité des informations
5.2	06.1.1	Rôles et responsabilités en matière de sécurité de l'information
5.3	06.1.2	Séparation des tâches
5.4	07.2.1	Responsabilités de gestion
5.5	06.1.3	Contact avec les autorités
5.6	06.1.4	Contact avec des groupes d'intérêts particuliers
5.7	NOUVEAU	Intelligence de la menace
5.8	06.1.5, 14.1.1	Sécurité de l'information dans la gestion de projet
5.9	08.1.1, 08.1.2	Inventaire des informations et autres actifs associés
5.10	08.1.3, 08.2.3	Utilisation acceptable des informations et autres actifs associés
5.11	08.1.4	Restitution des actifs
5.12	08.2.1	Classement des informations
5.13	08.2.2	Étiquetage des informations
5.14	13.2.1, 13.2.2, 13.2.3	Transfert d'information
5.15	09.1.1, 09.1.2	Contrôle d'accès
5.16	09.2.1	Gestion d'identité
5.17	09.2.4, 09.3.1, 09.4.3	Informations d'authentification
5.18	09.2.2, 09.2.5, 09.2.6	Des droits d'accès
5.19	15.1.1	Sécurité de l'information dans les relations avec les fournisseurs
5.20	15.1.2	Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21	15.1.3	Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22	15.2.1, 15.2.2	Suivi, revue et gestion du changement des services fournisseurs
5.23	NOUVEAU	Sécurité des informations pour l'utilisation des services cloud
5.24	16.1.1	Planification et préparation de la gestion des incidents de sécurité de l’information
5.25	16.1.4	Évaluation et décision sur les événements liés à la sécurité de l'information
5.26	16.1.5	Réponse aux incidents de sécurité de l'information
5.27	16.1.6	Tirer les leçons des incidents de sécurité de l’information
5.28	16.1.7	Collecte de preuves
5.29	17.1.1, 17.1.2, 17.1.3	Sécurité des informations en cas de perturbation
5.30	5.30	Préparation aux TIC pour la continuité des activités
5.31	18.1.1, 18.1.5	Exigences légales, statutaires, réglementaires et contractuelles
5.32	18.1.2	Droit de la propriété intellectuelle
5.33	18.1.3	Protection des dossiers
5.34	18.1.4	Confidentialité et protection des informations personnelles
5.35	18.2.1	Examen indépendant de la sécurité de l’information
5.36	18.2.2, 18.2.3	Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37	12.1.1	Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
6.1	07.1.1	Présélection
6.2	07.1.2	Termes et conditions d'emploi
6.3	07.2.2	Sensibilisation, éducation et formation à la sécurité de l’information
6.4	07.2.3	Processus disciplinaire
6.5	07.3.1	Responsabilités après la cessation ou le changement d'emploi
6.6	13.2.4	Accords de confidentialité ou de non-divulgation
6.7	06.2.2	Travail à distance
6.8	16.1.2, 16.1.3	Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
7.1	11.1.1	Périmètres de sécurité physique
7.2	11.1.2, 11.1.6	Entrée physique
7.3	11.1.3	Sécurisation des bureaux, des locaux et des installations
7.4	NOUVEAU	Surveillance de la sécurité physique
7.5	11.1.4	Se protéger contre les menaces physiques et environnementales
7.6	11.1.5	Travailler dans des zones sécurisées
7.7	11.2.9	Bureau clair et écran clair
7.8	11.2.1	Implantation et protection des équipements
7.9	11.2.6	Sécurité des actifs hors site
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Supports de stockage
7.11	11.2.2	Utilitaires pris en charge
7.12	11.2.3	Sécurité du câblage
7.13	11.2.4	La maintenance des équipements
7.14	11.2.7	Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
8.1	06.2.1, 11.2.8	Appareils de point de terminaison utilisateur
8.2	09.2.3	Droits d'accès privilégiés
8.3	09.4.1	Restriction d'accès aux informations
8.4	09.4.5	Accès au code source
8.5	09.4.2	Authentification sécurisée
8.6	12.1.3	Gestion de la capacité
8.7	12.2.1	Protection contre les logiciels malveillants
8.8	12.6.1, 18.2.3	Gestion des vulnérabilités techniques
8.9	NOUVEAU	Gestion de la configuration
8.10	NOUVEAU	Suppression des informations
8.11	NOUVEAU	Masquage des données
8.12	NOUVEAU	Prévention des fuites de données
8.13	12.3.1	Sauvegarde des informations
8.14	17.2.1	Redondance des installations de traitement de l'information
8.15	12.4.1, 12.4.2, 12.4.3	Journal
8.16	NOUVEAU	Activités de surveillance
8.17	12.4.4	La synchronisation d'horloge
8.18	09.4.4	Utilisation de programmes utilitaires privilégiés
8.19	12.5.1, 12.6.2	Installation de logiciels sur les systèmes opérationnels
8.20	13.1.1	Sécurité des réseaux
8.21	13.1.2	Sécurité des services réseau
8.22	13.1.3	Ségrégation des réseaux
8.23	NOUVEAU	filtrage web
8.24	10.1.1, 10.1.2	Utilisation de la cryptographie
8.25	14.2.1	Cycle de vie de développement sécurisé
8.26	14.1.2, 14.1.3	Exigences de sécurité des applications
8.27	14.2.5	Architecture de système sécurisée et principes d’ingénierie
8.28	NOUVEAU	Codage sécurisé
8.29	14.2.8, 14.2.9	Tests de sécurité en développement et acceptation
8.30	14.2.7	Développement externalisé
8.31	12.1.4, 14.2.6	Séparation des environnements de développement, de test et de production
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestion du changement
8.33	14.3.1	Informations de test
8.34	12.7.1	Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

Notre plateforme est intuitive et facile à utiliser. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre organisation. Nous vous encourageons à impliquer le personnel à tous les niveaux de votre entreprise dans le processus de création de votre SMSI, car cela vous aide à construire un système véritablement durable.

Une partie de la clé avantages de l'utilisation d'ISMS.online consistent à

Vous pouvez construire votre SMSI conforme à la norme ISO 27001 dans la plate-forme.
Les utilisateurs peuvent effectuer des tâches et soumettre des preuves pour démontrer leur conformité à la norme.
Il est facile de déléguer des responsabilités et de suivre les progrès vers la conformité.
Le vaste évaluation des risques L'ensemble d'outils permet d'économiser du temps et des efforts tout au long du processus.
Nous avons un une équipe de consultants à votre disposition pour vous accompagner vous tout au long de votre parcours vers la conformité.

Contactez-nous dès aujourd'hui pour réserver une démo.

Nous sommes un leader dans notre domaine