Bien que les environnements de test hors production, tels que les environnements de test, soient essentiels à la création de produits logiciels et d'applications de haute qualité exempts de bogues ou d'erreurs, l'utilisation de données réelles et le manque de mesures de sécurité dans ces environnements exposent les actifs informationnels à des risques accrus.
Par exemple, les développeurs peuvent utiliser des informations d'identification faciles à retenir (par exemple « admin » pour le nom d'utilisateur et le mot de passe) pour tester des environnements dans lesquels des données sensibles sont stockées.
Cela peut être exploité par des cyberattaquants pour accéder facilement aux environnements de test et voler des informations sensibles.
Par conséquent, les organisations doivent mettre en place des contrôles et des procédures appropriés pour protéger les données réelles utilisées pour les tests.
Control 8.33 permet aux organisations d’atteindre deux objectifs :
Le contrôle 8.33 est un type de contrôle préventif qui oblige les organisations à sélectionner et à protéger les informations les plus appropriées pour la phase de test afin de maintenir la confidentialité et l'intégrité des informations.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité | #Protéger | #Protection des informations | #Protection |
Étant donné que le contrôle 8.33 implique la sélection, la protection et la gestion des informations de test les plus appropriées à utiliser pour les tests, les responsables de la sécurité de l'information, en coopération avec l'équipe de développement, devraient être responsables en dernier ressort de l'établissement des contrôles et des procédures appropriés.
Les organisations ne doivent pas utiliser d'informations sensibles, y compris les données personnelles, dans les environnements de développement et de test.
Pour protéger les informations des tests contre la perte de confidentialité et d’intégrité, les organisations doivent se conformer aux éléments suivants :
En outre, les organisations doivent appliquer des mesures appropriées pour garantir le stockage sécurisé des actifs informationnels.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Il est à noter que les tests de système et d'acceptation peuvent nécessiter une énorme quantité d'informations de test, équivalentes à des informations opérationnelles.
27002:2022/8.33 replace 27002:2013/(14.3.1)
Bien que la version 2022 soit dans une large mesure similaire à la version 2013, la version 2022 introduit l’exigence suivante :
En revanche, la version 27002:2013 n’incluait pas cette exigence.
ISMS.online est une solution basée sur le cloud qui aide les entreprises à démontrer leur conformité à la norme ISO 27002. La solution ISMS.online peut être utilisée pour gérer les exigences de la norme ISO 27002 et garantir que votre organisation reste conforme à la nouvelle norme.
La norme ISO 27002 a été mise à jour pour refléter les cybermenaces croissantes auxquelles nous sommes confrontés en tant que société. La norme actuelle a été publiée pour la première fois en 2005 et révisée en 2013 pour refléter les changements technologiques, réglementaires et industriels. La nouvelle version de la norme ISO 27002 intègre ces mises à jour dans un seul document et ajoute de nouvelles exigences pour les organisations afin de les aider à mieux protéger leurs données contre les cyberattaques.
La solution ISMS.online aide les organisations à mettre en œuvre la norme ISO 27002 : 2022 en fournissant un cadre facile à utiliser pour documenter les politiques et procédures de sécurité des informations. Il fournit également un emplacement centralisé où vous pouvez stocker toute votre documentation de conformité afin qu'elle soit facilement accessible par les différentes parties prenantes de l'entreprise (par exemple RH, informatique).
Notre plateforme est conviviale et simple. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre entreprise.
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
