Aux fins de ISO 27002, Control 8.4 définit le « code source » comme le code sous-jacent, les spécifications et les plans utilisés pour créer des applications, des programmes et des processus qui sont la propriété de l'organisation elle-même.
Lorsqu'il évoque l'accès au code source, Control 8.4 attache une importance égale aux outils de développement (compilateurs, environnements de test, etc.).
La gestion du code source représente un risque unique à toute organisation qui a besoin de le stocker. Les éléments du code source critique pour l'entreprise incluent les données de production, les détails de configuration protégés et les aspects de l'adresse IP d'une organisation.
Le contrôle 8.4 est un contrôle préventif qui modifie le risque en établissant un ensemble de principes sous-jacents d'accès aux données (conformément à un ensemble plus large de contrôles d'accès de l'organisation) qui régissent l'accès en lecture/écriture à :
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Gestion des identités et des accès #Sécurité des applications #Configuration sécurisée | #Protection |
Control 8.4 traite de la capacité d'une organisation à contrôler l'accès aux données critiques de l'entreprise liées au code source, aux outils de développement et aux informations commercialement sensibles telles que les bibliothèques de logiciels.
En tant que tel, la propriété doit appartenir au responsable de la sécurité de l'information (ou à son équivalent organisationnel), qui détient responsabilité de la sécurité globale des informations et des données de l’organisation pratiques.
Control 8.4 préconise un système de gestion du code source qui permet aux organisations de gérer de manière centralisée l'accès et la modification du code source dans l'ensemble de son parc TIC.
Control 8.4 demande aux organisations d'envisager l'accès au code source selon un ensemble de privilèges de lecture et/ou d'écriture stricts, en fonction de la nature du code source, de l'endroit à partir duquel on y accède et de qui y accède.
Lorsqu’elles cherchent à contrôler l’accès au code source, les organisations doivent :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
27002:2022-8.4 replaces 27002:2014-9.4.5 (Accès au code source), et contient trois différences principales dans son approche pour établir un système de gestion de code source (un concept absent du 27002:2014-9.4.5)
ISMS.Online simplifie le processus de mise en œuvre ISO 27002 en fournissant toutes les ressources, informations et outils nécessaires en un seul endroit. Il vous permet de créer un SMSI en quelques clics de souris, ce qui autrement prendrait beaucoup de temps si cela était fait manuellement.
Vous voulez le voir en action?
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |