Les logiciels opérationnels peuvent être décrits au sens large comme tout logiciel que l'entreprise utilise activement pour mener à bien ses opérations, par opposition aux logiciels de test ou aux projets de développement.
Il est d'une importance vitale de garantir que les logiciels sont installés et gérés sur un réseau donné conformément à un ensemble strict de règles et d'exigences qui minimisent les risques, améliorent l'efficacité et maintiennent la sécurité au sein des réseaux et services internes et externes.
Le contrôle 8.19 est un contrôle préventif qui maintient le risque en établissant un ensemble de règles qui régissent l'installation de logiciels sur les systèmes opérationnels.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Configuration sécurisée #Sécurité des applications | #Protection |
Le contrôle 8.19 traite des concepts techniques relatifs à la maintenance et à la gestion des systèmes informatiques opérationnels. En tant que tel, la propriété devrait incomber au responsable informatique ou à son équivalent organisationnel.
Afin de gérer en toute sécurité les modifications et les installations sur leur réseau, les organisations doivent :
Lorsqu'il s'agit d'un logiciel fourni par le fournisseur (par exemple, tout logiciel utilisé dans le fonctionnement de machines ou pour une fonction commerciale sur mesure), ce logiciel doit toujours être maintenu en bon état de fonctionnement en se référant aux directives du fournisseur pour un fonctionnement sûr et sécurisé.
Il est important de noter que même lorsque les logiciels ou modules logiciels sont fournis et gérés en externe (c'est-à-dire que l'organisation n'est pas responsable des mises à jour), des mesures doivent être prises pour garantir que les mises à jour tierces ne compromettent pas l'intégrité du réseau de l'organisation.
Les organisations doivent éviter d'utiliser des logiciels de fournisseurs non pris en charge, sauf en cas d'absolue nécessité, et prendre en compte les risques de sécurité associés à l'utilisation d'applications redondantes plutôt qu'à une mise à niveau vers des systèmes plus récents et plus sécurisés.
Si un fournisseur a besoin d'accéder au réseau d'une organisation pour effectuer une installation ou une mise à jour, l'activité doit être surveillée et validée conformément à toutes les procédures d'autorisation pertinentes (voir Contrôle 5.22).
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Le logiciel doit être mis à niveau, installé et/ou corrigé conformément aux procédures de gestion des changements publiées par l'organisation, afin de garantir l'uniformité avec les autres domaines de l'entreprise.
Chaque fois qu'un correctif est identifié qui élimine totalement une vulnérabilité (ou une série de vulnérabilités) ou contribue d'une manière ou d'une autre à améliorer le fonctionnement de la sécurité des informations de l'organisation, de tels changements doivent presque toujours être appliqués (bien qu'il soit toujours nécessaire d'évaluer ces changements sur au cas par cas).
Lorsqu'il est nécessaire d'utiliser un logiciel open source, il doit toujours s'agir de la dernière version publiquement disponible et activement maintenue. Par conséquent, les organisations doivent prendre en compte les risques inhérents à l’utilisation de logiciels non entretenus dans toutes les fonctions commerciales.
ISO 27002:2022-8.19 remplace ISO 27002:2003-12.5.1 (Installation de logiciels sur les systèmes d'exploitation) et 12.6.2 (Restrictions sur l'installation de logiciels).
27002:2022-8.19 est un amalgame de la plupart des conseils contenus dans 27002:2003-12.5.1 et 12.6.2, avec plusieurs concepts clés brièvement développés et avec l'ajout de nouveaux principes directeurs :
ISMS.Online est une solution complète pour la mise en œuvre de la norme ISO 27002. Il s'agit d'un système basé sur le Web qui vous permet de montrer que votre système de gestion de la sécurité de l'information (ISMS) est conforme aux normes approuvées à l'aide de processus, de procédures et de listes de contrôle bien pensés.
Il ne s'agit pas seulement d'une plateforme facile à utiliser pour gérer votre mise en œuvre de la norme ISO 27002, mais également d'un excellent outil pour former votre personnel aux meilleures pratiques et processus en matière de sécurité de l'information, ainsi que pour documenter tous vos efforts.
Les avantages de l’utilisation d’ISMS.Online :
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |