Lorsque des appareils contenant des informations sont retirés des locaux d'une organisation, ils seront exposés à des risques plus élevés de dommages, de perte, de destruction, de vol ou de compromission.
Ceci est dû au fait contrôles de sécurité physique mises en œuvre dans les installations d'une organisation ne seront pas efficaces, laissant les actifs retirés du site vulnérables à des menaces telles que des risques physiques et un accès non autorisé par des parties malveillantes.
Par exemple, les employés travaillant hors site peuvent sortir des locaux de l'entreprise les ordinateurs de l'entreprise contenant des informations sensibles, travailler dans un café ou le hall d'un hôtel, se connecter à un réseau Wi-Fi public non sécurisé et laisser leurs appareils sans surveillance. Tous ces présents risques pour la sécurité, la confidentialité, l'intégrité et la disponibilité des informations hébergées sur ces appareils.
Par conséquent, les organisations doivent s’assurer que les appareils retirés du site restent sécurisés.
Adresses de contrôle 7.9 comment les organisations peuvent maintenir la sécurité des appareils hors site hébergeant des ressources informationnelles en établissant et en mettant en œuvre des contrôles et des procédures appropriés.
Control 7.9 permet aux organisations de maintenir la sécurité des équipements contenant des actifs informationnels en prévenant deux risques spécifiques :
Le contrôle 7.9 est de nature préventive. Il permet aux organisations de mettre en œuvre des contrôles et des procédures appropriés de manière préventive afin que les appareils retirés des locaux d'une organisation bénéficient du même niveau de protection que celui offert aux appareils hébergés sur site.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité physique #La gestion d'actifs | #Protection |
Le contrôle 7.9 exige que les organisations établissent et appliquent des procédures et des contrôles qui couvrent tous les appareils détenus par ou utilisés au nom de l'organisation. De plus, la création d'un inventaire des actifs et l'approbation par la haute direction de l'utilisation des appareils personnels sont essentielles à la protection efficace des appareils hors site.
Par conséquent, le responsable de la sécurité de l'information doit consulter la direction et les propriétaires des actifs concernés et doit être responsable de la création, de la mise en œuvre et du maintien des procédures et des mesures visant à maintenir la sécurité des appareils retirés des locaux de l'entreprise.
Le contrôle 7.9 énumère six exigences que les organisations doivent respecter lors de la conception et de la mise en œuvre de mesures et de lignes directrices pour la protection des actifs retirés du site :
Le contrôle 7.9 prescrit également des exigences pour la protection des équipements installés en permanence à l'extérieur des locaux de l'entreprise.
Cet équipement peut inclure des antennes et des ATM.
Considérant que cet équipement peut être soumis à des risques accrus de dommages et de perte, le contrôle 7.9 exige que les organisations prennent en compte les éléments suivants lors de la protection de cet équipement hors site :
De plus, le contrôle 7.9 recommande aux organisations de prendre en compte les contrôles 6.7 et 8.1 lors de la définition et de la mise en œuvre de mesures de protection des appareils et des équipements.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
27002:2022/ 7.9 remplace 27002:2013/(11.2.6)
Il y a trois différences clés qui doivent être soulignées :
Par rapport à la version 2013, Contrôle 7.9 dans la version 2022 introduit les deux exigences suivantes :
Contrairement à la version 2013, Control 7.9 dans la version 2022 contient des directives distinctes sur la protection des équipements installés de manière permanente dans un endroit hors site.
Ceux-ci peuvent inclure des antennes et des ATM.
La version de 2013 indiquait explicitement que les organisations peuvent interdire aux employés de travailler à distance lorsque cela est approprié au niveau de risque identifié. La version 2022 ne fait cependant pas référence à une telle mesure.
Vous pouvez utiliser ISMS.online pour pilotez votre mise en œuvre ISO 27002, car il a été conçu spécifiquement pour aider une entreprise à mettre en œuvre son système de gestion de la sécurité de l'information (ISMS) afin de répondre aux exigences de la norme ISO 27002.
La plateforme utilise une approche basée sur les risques combinée aux meilleures pratiques et modèles de pointe du secteur pour vous aider à identifier les risques auxquels votre organisation est confrontée et les contrôles nécessaires pour gérer ces risques. Cela vous permet de réduire systématiquement à la fois votre exposition aux risques et vos coûts de conformité.
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
