Des modifications apportées aux systèmes d'information, telles que le remplacement d'un périphérique réseau, la création d'une nouvelle instance de base de données ou la mise à niveau d'un logiciel, sont souvent nécessaires pour améliorer les performances, réduire les coûts et accroître l'efficacité.
Cependant, ces modifications apportées aux installations et systèmes de traitement de l'information, si elles ne sont pas mises en œuvre correctement, peuvent conduire à la compromission des actifs informationnels stockés ou traités par ces installations.
Le contrôle 8.32 explique comment les organisations peuvent établir et appliquer des procédures de gestion des changements pour surveiller, examiner et contrôler les modifications apportées aux installations et systèmes de traitement de l'information.
Control 8.32 permet aux organisations de maintenir la sécurité des actifs informationnels lors de l'exécution de modifications sur les installations et systèmes de traitement de l'information en établissant, en mettant en œuvre et en gérant les règles et procédures de gestion des changements.
Le contrôle 8.32 est de nature préventive. Cela oblige les organisations à définir, documenter, spécifier et appliquer des processus de contrôle des changements qui régissent l'ensemble du cycle de vie des systèmes d'information, depuis la conception initiale jusqu'au déploiement et à l'utilisation.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité des applications #Sécurité du système et des réseaux | #Protection |
Considérant que la conformité au contrôle 8.32 implique l'établissement et l'application de procédures de contrôle des modifications qui s'appliquent à toutes les étapes du cycle de vie des systèmes d'information, les responsables de la sécurité de l'information, avec le soutien d'experts du domaine, devraient être responsables de la conception et de l'application de ces procédures.
Tous les changements majeurs apportés aux systèmes d'information et l'introduction de nouveaux systèmes devraient être soumis à un ensemble convenu de règles et de procédures. Ces changements doivent être formellement spécifiés et documentés. De plus, ils doivent passer par les processus de test et de contrôle qualité.
Pour garantir que tous les changements sont conformes aux règles et normes de contrôle des changements, les organisations doivent attribuer des responsabilités de gestion à la direction appropriée et doivent définir les procédures nécessaires.
Le contrôle 8.32 énumère neuf éléments qui doivent être inclus dans la procédure de gestion du changement :
Enfin, il convient de noter que les organisations devraient intégrer autant que possible les procédures de contrôle des modifications relatives aux logiciels et à l'infrastructure TIC.
Les modifications apportées aux environnements de production tels que les systèmes d'exploitation et les bases de données peuvent compromettre l'intégrité et la disponibilité des applications, en particulier le transfert de logiciels de l'environnement de développement vers l'environnement de production.
Un autre risque contre lequel les organisations doivent se méfier est que la modification des logiciels dans l'environnement de production peut avoir des conséquences inattendues.
Pour prévenir ces risques, les organisations doivent effectuer des tests sur les composants TIC dans un environnement isolé des environnements de développement et de production.
Cela permettra aux organisations d'avoir un meilleur contrôle sur les nouveaux logiciels et fournira une couche de protection supplémentaire pour les données réelles utilisées à des fins de test. Cette protection supplémentaire peut être obtenue via des correctifs et des service packs.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
27002:2022/8.32 remplace 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
Dans l’ensemble, la version 2013 était plus prescriptive que la version 2022 en termes d’exigences relatives aux procédures de contrôle des modifications.
Il y a trois différences clés à souligner entre les deux versions.
Les versions 27002:2022 et 27002:2013 énumèrent de manière non exhaustive ce qu'une « procédure de modification » doit inclure.
Toutefois, la version 2013 contenait les éléments suivants qui n’étaient pas mentionnés dans la version 2022 :
Le contrôle 14.2.3 de la version 27002 : 2013 traitait de la manière dont les organisations peuvent minimiser les effets négatifs et les perturbations sur les opérations commerciales lorsque des modifications sont apportées aux systèmes d'exploitation.
En revanche, la version 27002 : 2022 n’inclut pas d’exigences relatives à de telles modifications.
Le contrôle 14.2.4 dans la version 27002:2013 traitait des « Modifications apportées aux progiciels ». Au contraire, la version 27002:2022 ne contient aucune exigence relative à de telles modifications.
Notre plate-forme basée sur le cloud vous offre un cadre robuste de contrôles de sécurité des informations afin que vous puissiez vérifier votre processus ISMS au fur et à mesure pour vous assurer qu'il répond aux exigences de la norme ISO 27000k.
Utilisé correctement, ISMS. en ligne peut vous aider à obtenir la certification avec le strict minimum de temps et de ressources.
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
