Les configurations – qu'elles agissent comme un fichier de configuration unique ou un groupe de configurations liées entre elles – sont les paramètres sous-jacents qui régissent la façon dont le matériel, les logiciels et même des réseaux entiers sont gérés.
À titre d'exemple, le fichier de configuration d'un pare-feu contiendra les attributs de base que l'appareil utilise pour gérer le trafic vers et depuis le réseau d'une organisation, notamment les listes de blocage, la redirection de port, les réseaux locaux virtuels et les informations VPN.
La gestion de la configuration fait partie intégrante des opérations plus larges de gestion des actifs d'une organisation. Les configurations sont essentielles pour garantir qu'un réseau fonctionne non seulement comme il se doit, mais également pour protéger les appareils contre les modifications non autorisées ou les modifications incorrectes de la part du personnel de maintenance et/ou des fournisseurs.
Le contrôle 8.9 est un préventif contrôler cela maintient le risque en établissant une série de politiques qui régissent la manière dont une organisation documente, met en œuvre, surveille et examine l'utilisation des configurations sur l'ensemble de son réseau.
La gestion de la configuration est uniquement une tâche administrative qui traite de la maintenance et de la surveillance des informations et des données côté actif résidant sur une large gamme d'appareils et d'applications. En tant que tel, la propriété doit appartenir au responsable informatique ou à son équivalent organisationnel.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Configuration sécurisée | #Protection |
Dans l'ensemble, l'organisation doit rédiger et mettre en œuvre des politiques de gestion de configuration pour les nouveaux systèmes et matériels, ainsi que pour ceux déjà utilisés. Les contrôles internes doivent inclure des éléments critiques pour l'entreprise tels que les configurations de sécurité, tout le matériel contenant un fichier de configuration et toutes les applications ou systèmes logiciels pertinents.
Control 8.9 demande aux organisations de prendre en compte tous les rôles et responsabilités pertinents lors de la mise en œuvre d'une politique de configuration, y compris la propriété déléguée des configurations appareil par appareil ou application par application.
Dans la mesure du possible, les organisations doivent utiliser des modèles standardisés pour sécuriser tous les matériels, logiciels et systèmes. Les modèles doivent :
La sécurité est primordiale lors de l'application de modèles de configuration ou de la modification de modèles existants conformément aux instructions ci-dessus.
Lorsqu’elles envisagent des modèles standard à utiliser dans toute l’organisation, afin de minimiser les risques liés à la sécurité des informations, les organisations doivent :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Une organisation a la responsabilité de maintenir et de stocker les configurations, y compris de conserver une piste d'audit de toute modification ou nouvelle installation, conformément à un processus de gestion des modifications publié (voir Contrôle 8.32).
Les journaux doivent contenir des informations décrivant :
Les organisations doivent déployer un large éventail de techniques pour surveiller le fonctionnement des fichiers de configuration sur leur réseau, notamment :
Les organisations doivent configurer un logiciel spécialisé pour suivre toute modification dans la configuration d'un appareil et prendre les mesures appropriées pour traiter la modification dès que possible, soit en validant la modification, soit en ramenant la configuration à son état d'origine.
Aucun. Le contrôle 8.9 n'a pas de précédent dans la norme ISO 27002:2013 car il est nouveau.
ISMS.Online est une solution complète pour la mise en œuvre de la norme ISO 27002.
Il s'agit d'un système basé sur le Web qui vous permet de montrer que votre système de gestion de la sécurité de l'information (ISMS) est conforme aux normes approuvées à l'aide de processus, de procédures et de listes de contrôle bien pensés.
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |