ISO 27002, Contrôle 7.9, Sécurité des actifs hors site

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002 Contrôle 7.9 : Sécurisation des actifs au-delà du bureau

Lorsque des appareils contenant des informations sont retirés des locaux d'une organisation, ils seront exposés à des risques plus élevés de dommages, de perte, de destruction, de vol ou de compromission.

Ceci est dû au fait contrôles de sécurité physique mises en œuvre dans les installations d'une organisation ne seront pas efficaces, laissant les actifs retirés du site vulnérables à des menaces telles que des risques physiques et un accès non autorisé par des parties malveillantes.

Par exemple, les employés travaillant hors site peuvent sortir des locaux de l'entreprise les ordinateurs de l'entreprise contenant des informations sensibles, travailler dans un café ou le hall d'un hôtel, se connecter à un réseau Wi-Fi public non sécurisé et laisser leurs appareils sans surveillance. Tous ces présents risques pour la sécurité, la confidentialité, l'intégrité et la disponibilité des informations hébergées sur ces appareils.

Par conséquent, les organisations doivent s’assurer que les appareils retirés du site restent sécurisés.

Adresses de contrôle 7.9 comment les organisations peuvent maintenir la sécurité des appareils hors site hébergeant des ressources informationnelles en établissant et en mettant en œuvre des contrôles et des procédures appropriés.

Objectif du contrôle 7.9

Control 7.9 permet aux organisations de maintenir la sécurité des équipements contenant des actifs informationnels en prévenant deux risques spécifiques :

Éliminer et/ou minimiser les risques de perte, de dommage, de destruction ou de compromission des appareils hébergeant des actifs informationnels lorsqu'ils sont retirés des locaux.
Empêcher la risque d’interruption du traitement des informations par l’organisation activités en raison de la compromission des appareils hors site.

Attributs Table de contrôle 7.9

Le contrôle 7.9 est de nature préventive. Il permet aux organisations de mettre en œuvre des contrôles et des procédures appropriés de manière préventive afin que les appareils retirés des locaux d'une organisation bénéficient du même niveau de protection que celui offert aux appareils hébergés sur site.

Type de contrôle	Propriétés de sécurité des informations	Concepts de cybersécurité	Capacités opérationnelles	Domaines de sécurité
#Préventif	#Confidentialité	#Protéger	#Sécurité physique	#Protection
	#Intégrité		#La gestion d'actifs
	#Disponibilité

Obtenez une longueur d'avance de 81 %

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo

Propriété du contrôle 7.9

Le contrôle 7.9 exige que les organisations établissent et appliquent des procédures et des contrôles qui couvrent tous les appareils détenus par ou utilisés au nom de l'organisation. De plus, la création d'un inventaire des actifs et l'approbation par la haute direction de l'utilisation des appareils personnels sont essentielles à la protection efficace des appareils hors site.

Par conséquent, le responsable de la sécurité de l'information doit consulter la direction et les propriétaires des actifs concernés et doit être responsable de la création, de la mise en œuvre et du maintien des procédures et des mesures visant à maintenir la sécurité des appareils retirés des locaux de l'entreprise.

Orientations générales sur la conformité

Le contrôle 7.9 énumère six exigences que les organisations doivent respecter lors de la conception et de la mise en œuvre de mesures et de lignes directrices pour la protection des actifs retirés du site :

Les équipements informatiques et les supports de stockage retirés du site, tels que les ordinateurs d'entreprise, les clés USB, les disques durs et les moniteurs, ne doivent pas être laissés sans surveillance dans les espaces publics tels que les cafés ou dans toute zone non sécurisée.
Les directives et spécifications du fabricant de l'appareil concernant la protection physique de l'appareil concerné doivent être respectées à tout moment. Par exemple, les instructions du fabricant de l'appareil peuvent inclure la manière de protéger l'appareil/équipement contre l'eau, la chaleur, les champs électromagnétiques et la poussière.
Les employés et/ou autres organisations qui transportent du matériel informatique en dehors des locaux de l'entreprise peuvent transférer cet équipement à d'autres employés ou à des tiers. Pour maintenir la sécurité de cet équipement, les organisations doivent tenir un journal qui définit la chaîne de traçabilité. Cet enregistrement de journal doit au moins contenir les noms des personnes responsable de l'appareil et de leur organisation.
Si une organisation estime qu'un processus d'autorisation est nécessaire et pratique pour le retrait d'équipements hors des locaux de l'entreprise, elle doit établir et appliquer une procédure d'autorisation pour le retrait de certains équipements hors site. Cette procédure d'autorisation doit également inclure la tenue d'un enregistrement de toutes les actions de suppression de l'appareil afin que le l'organisation dispose d'une piste d'audit.
Des mesures appropriées devraient être mises en œuvre pour éliminer le risque de visualisation non autorisée d’informations affichées à l’écran dans les transports publics.
Des outils de suivi de localisation et un accès à distance doivent être en place afin que l'appareil puisse être suivi et que les informations contenues dans l'appareil puissent être effacées à distance si nécessaire.

Orientations supplémentaires sur le contrôle 7.9

Le contrôle 7.9 prescrit également des exigences pour la protection des équipements installés en permanence à l'extérieur des locaux de l'entreprise.

Cet équipement peut inclure des antennes et des ATM.

Considérant que cet équipement peut être soumis à des risques accrus de dommages et de perte, le contrôle 7.9 exige que les organisations prennent en compte les éléments suivants lors de la protection de cet équipement hors site :

Le contrôle 7.4, à savoir la surveillance de la sécurité physique, doit être pris en compte.
Le contrôle 7.5, à savoir la protection contre les menaces environnementales et physiques, doit être pris en compte
Contrôles d'accès doivent être établis et des mesures appropriées doivent être mises en œuvre pour empêcher toute falsification.
Des contrôles d’accès logiques doivent être créés et appliqués.

De plus, le contrôle 7.9 recommande aux organisations de prendre en compte les contrôles 6.7 et 8.1 lors de la définition et de la mise en œuvre de mesures de protection des appareils et des équipements.

Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo

Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/ 7.9 remplace 27002:2013/(11.2.6)

Il y a trois différences clés qui doivent être soulignées :

Le contrôle 7.9 prescrit des exigences plus complètes

Par rapport à la version 2013, Contrôle 7.9 dans la version 2022 introduit les deux exigences suivantes :

Des mesures appropriées devraient être mises en œuvre pour éliminer le risque de visualisation non autorisée d’informations affichées à l’écran dans les transports publics.
Des outils de suivi de localisation et un accès à distance doivent être en place afin que l'appareil puisse être suivi et que les informations contenues dans l'appareil puissent être effacées à distance si nécessaire.

Control 7.9 introduit de nouvelles exigences pour les appareils hors site installés en permanence

Contrairement à la version 2013, Control 7.9 dans la version 2022 contient des directives distinctes sur la protection des équipements installés de manière permanente dans un endroit hors site.

Ceux-ci peuvent inclure des antennes et des ATM.

Interdiction du travail à distance pour éliminer les risques

La version de 2013 indiquait explicitement que les organisations peuvent interdire aux employés de travailler à distance lorsque cela est approprié au niveau de risque identifié. La version 2022 ne fait cependant pas référence à une telle mesure.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.7	Équipement	Intelligence de la menace
5.23	Équipement	Sécurité des informations pour l'utilisation des services cloud
5.30	Équipement	Préparation aux TIC pour la continuité des activités
7.4	Équipement	Surveillance de la sécurité physique
8.9	Équipement	Gestion de la configuration
8.10	Équipement	Suppression des informations
8.11	Équipement	Masquage des données
8.12	Équipement	Prévention des fuites de données
8.16	Équipement	Activités de surveillance
8.23	Équipement	filtrage web
8.28	Équipement	Codage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.1	05.1.1, 05.1.2	Politiques de sécurité des informations
5.2	06.1.1	Rôles et responsabilités en matière de sécurité de l'information
5.3	06.1.2	Séparation des tâches
5.4	07.2.1	Responsabilités de gestion
5.5	06.1.3	Contact avec les autorités
5.6	06.1.4	Contact avec des groupes d'intérêts particuliers
5.7	Équipement	Intelligence de la menace
5.8	06.1.5, 14.1.1	Sécurité de l'information dans la gestion de projet
5.9	08.1.1, 08.1.2	Inventaire des informations et autres actifs associés
5.10	08.1.3, 08.2.3	Utilisation acceptable des informations et autres actifs associés
5.11	08.1.4	Restitution des actifs
5.12	08.2.1	Classement des informations
5.13	08.2.2	Étiquetage des informations
5.14	13.2.1, 13.2.2, 13.2.3	Transfert d'information
5.15	09.1.1, 09.1.2	Contrôle d'accès
5.16	09.2.1	Gestion d'identité
5.17	09.2.4, 09.3.1, 09.4.3	Informations d'authentification
5.18	09.2.2, 09.2.5, 09.2.6	Des droits d'accès
5.19	15.1.1	Sécurité de l'information dans les relations avec les fournisseurs
5.20	15.1.2	Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21	15.1.3	Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22	15.2.1, 15.2.2	Suivi, revue et gestion du changement des services fournisseurs
5.23	Équipement	Sécurité des informations pour l'utilisation des services cloud
5.24	16.1.1	Planification et préparation de la gestion des incidents de sécurité de l’information
5.25	16.1.4	Évaluation et décision sur les événements liés à la sécurité de l'information
5.26	16.1.5	Réponse aux incidents de sécurité de l'information
5.27	16.1.6	Tirer les leçons des incidents de sécurité de l’information
5.28	16.1.7	Collecte de preuves
5.29	17.1.1, 17.1.2, 17.1.3	Sécurité des informations en cas de perturbation
5.30	Équipement	Préparation aux TIC pour la continuité des activités
5.31	18.1.1, 18.1.5	Exigences légales, statutaires, réglementaires et contractuelles
5.32	18.1.2	Droit de la propriété intellectuelle
5.33	18.1.3	Protection des dossiers
5.34	18.1.4	Confidentialité et protection des informations personnelles
5.35	18.2.1	Examen indépendant de la sécurité de l’information
5.36	18.2.2, 18.2.3	Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37	12.1.1	Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
6.1	07.1.1	Tamisage
6.2	07.1.2	Termes et conditions d'emploi
6.3	07.2.2	Sensibilisation, éducation et formation à la sécurité de l’information
6.4	07.2.3	Processus disciplinaire
6.5	07.3.1	Responsabilités après la cessation ou le changement d'emploi
6.6	13.2.4	Accords de confidentialité ou de non-divulgation
6.7	06.2.2	Travail à distance
6.8	16.1.2, 16.1.3	Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
7.1	11.1.1	Périmètres de sécurité physique
7.2	11.1.2, 11.1.6	Entrée physique
7.3	11.1.3	Sécurisation des bureaux, des locaux et des installations
7.4	Équipement	Surveillance de la sécurité physique
7.5	11.1.4	Se protéger contre les menaces physiques et environnementales
7.6	11.1.5	Travailler dans des zones sécurisées
7.7	11.2.9	Bureau clair et écran clair
7.8	11.2.1	Implantation et protection des équipements
7.9	11.2.6	Sécurité des actifs hors site
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Supports de stockage
7.11	11.2.2	Utilitaires pris en charge
7.12	11.2.3	Sécurité du câblage
7.13	11.2.4	La maintenance des équipements
7.14	11.2.7	Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
8.1	06.2.1, 11.2.8	Appareils de point de terminaison utilisateur
8.2	09.2.3	Droits d'accès privilégiés
8.3	09.4.1	Restriction d'accès aux informations
8.4	09.4.5	Accès au code source
8.5	09.4.2	Authentification sécurisée
8.6	12.1.3	Gestion de la capacité
8.7	12.2.1	Protection contre les logiciels malveillants
8.8	12.6.1, 18.2.3	Gestion des vulnérabilités techniques
8.9	Équipement	Gestion de la configuration
8.10	Équipement	Suppression des informations
8.11	Équipement	Masquage des données
8.12	Équipement	Prévention des fuites de données
8.13	12.3.1	Sauvegarde des informations
8.14	17.2.1	Redondance des installations de traitement de l'information
8.15	12.4.1, 12.4.2, 12.4.3	Journal
8.16	Équipement	Activités de surveillance
8.17	12.4.4	La synchronisation d'horloge
8.18	09.4.4	Utilisation de programmes utilitaires privilégiés
8.19	12.5.1, 12.6.2	Installation de logiciels sur les systèmes opérationnels
8.20	13.1.1	Sécurité des réseaux
8.21	13.1.2	Sécurité des services réseau
8.22	13.1.3	Ségrégation des réseaux
8.23	Équipement	filtrage web
8.24	10.1.1, 10.1.2	Utilisation de la cryptographie
8.25	14.2.1	Cycle de vie de développement sécurisé
8.26	14.1.2, 14.1.3	Exigences de sécurité des applications
8.27	14.2.5	Architecture de système sécurisée et principes d’ingénierie
8.28	Équipement	Codage sécurisé
8.29	14.2.8, 14.2.9	Tests de sécurité en développement et acceptation
8.30	14.2.7	Développement externalisé
8.31	12.1.4, 14.2.6	Séparation des environnements de développement, de test et de production
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestion du changement
8.33	14.3.1	Informations de test
8.34	12.7.1	Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

Vous pouvez utiliser ISMS.online pour pilotez votre mise en œuvre ISO 27002, car il a été conçu spécifiquement pour aider une entreprise à mettre en œuvre son système de gestion de la sécurité de l'information (ISMS) afin de répondre aux exigences de la norme ISO 27002.

La plateforme utilise une approche basée sur les risques combinée aux meilleures pratiques et modèles de pointe du secteur pour vous aider à identifier les risques auxquels votre organisation est confrontée et les contrôles nécessaires pour gérer ces risques. Cela vous permet de réduire systématiquement à la fois votre exposition aux risques et vos coûts de conformité.

Contactez-nous dès aujourd'hui pour réserver une démo.