La gestion de la capacité, dans le contexte des TIC, ne se limite pas à garantir que les organisations disposent d'un espace suffisant sur les serveurs et les supports de stockage associés pour l'accès aux données et à des fins de sauvegarde et de reprise après sinistre (BUDR).
Les organisations doivent s'assurer qu'elles ont la capacité de fonctionner avec un ensemble de ressources répondant à un large éventail de fonctions commerciales, notamment les ressources humaines, le traitement de l'information, la gestion des bureaux physiques et des installations annexes.
Toutes ces fonctions peuvent avoir un impact négatif sur les contrôles de gestion de l'information d'une organisation.
Control 8.6 est à double usage préventif ainsi que contrôle de détective qui maintient le risque en mettant en œuvre des contrôles de détection qui identifient et maintiennent une capacité adéquate de traitement des informations dans l’ensemble de l’organisation.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif #Détective | #Intégrité #Disponibilité | #Protéger #Identifier #Détecter | #Continuité | #Gouvernance et écosystème #Protection |
Le contrôle 8.6 traite de la capacité d'une organisation à fonctionner en tant qu'entreprise de manière continue.
En tant que tel, la propriété devrait incomber au directeur de l'exploitation (ou à son équivalent organisationnel), responsable de l'intégrité et de l'efficacité quotidiennes des fonctions commerciales d'une organisation.
En termes généraux qui ne sont pas propres à un type particulier de ressource, Control 8.6 contient 7 points d'orientation généraux :
27002:2022-8.6 préconise une approche à double front de la gestion des capacités qui soit augmente la capacitéou réduit la demande sur une ressource ou un ensemble de ressources.
Lorsqu’elles tentent d’augmenter leur capacité, les organisations doivent :
Lorsqu’elles tentent de réduire la demande, les organisations doivent :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
27002:2022-8.6 remplace 27002:2013-12.1.3 (Gestion de capacité).
27002:2022-8.6 contient un ensemble de lignes directrices beaucoup plus complètes qui expliquent aux organisations comment augmenter leur capacité ou réduire la demande.
De plus, le 27002:2013-12.1.3 ne contient aucune directive spécifique sur la manière d'augmenter la capacité, contrairement au 27002:2022-8.6 qui décrit des plans d'action spécifiques conduisant à une plus grande marge de manœuvre opérationnelle.
27002:2013-12.1.3 ne contient également aucune directive sur la manière de tester la capacité opérationnelle sous contrainte, ou sinon, auditer la capacité d'une organisation gérer la capacité de façon continue, en dehors de recommander un plan de gestion de la capacité.
Conformément à l'essor fulgurant du cloud computing au cours de la dernière décennie, 27002:2022-8.6 conseille explicitement aux organisations d'utiliser des ressources basées sur le cloud qui s'adaptent automatiquement aux besoins de l'entreprise.
27002:2013-12.1.3 ne fait aucune mention de ce type des installations de stockage ou de calcul hors site.
ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus. Votre solution complète de conformité pour ISO/IEC 27002:2022 .
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |