révisions iso 27002 2022

ISO 27002 : 2022 Modifications, mises à jour et comparaison

ISO / IEC 27002 a été révisé pour mettre à jour les contrôles de sécurité de l'information afin de refléter les développements et les pratiques actuelles en matière de sécurité de l'information dans divers secteurs des entreprises et des gouvernements.

Dans cet article, nous expliquerons les principales modifications apportées à la norme et comment vous pouvez les aborder avec succès.

Il existe un grand nombre de normes et d'autres cadres de sécurité similaires liés ou basés sur la norme ISO 27002:2013. Le changement de cette norme vers une nouvelle version les impactera.

Prenez une longueur d'avance sur la norme ISO 27002
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites jusqu'à 81 % de progrès à partir de la minute où vous vous connectez
  • Simple et facile à utiliser

Réservez votre démo

Portée d'origine ISO 27002 2013

L'objectif principal de la norme ISO 27002:2013 était de fournir un programme complet de sécurité de l'information et de gestion des actifs à toute organisation ayant besoin d'un nouveau programme de gestion de la sécurité de l'information ou souhaitant améliorer ses politiques et pratiques de sécurité de l'information existantes. Le code de bonnes pratiques donne des recommandations pour gérer la sécurité des informations aux personnes responsables de l’initiation, de la mise en œuvre et du maintien de la sécurité de l’information dans une organisation.

Qu'est-ce qui a changé dans la norme ISO 27002 2022 ?

Dans la norme ISO 27002:2022, le nom de la norme a été modifié. Au lieu de "Informatique – Techniques de sécurité – Code de bonnes pratiques pour les contrôles de sécurité de l’information », le nom est désormais « Sécurité de l’information, cybersécurité et protection de la vie privée – Contrôles de sécurité de l’information » dans la révision 2022.

Changements dans le paysage de la conformité, par exemple des réglementations telles que GDPR (Règlement général sur la protection des données), POPIA (Protection of Personal Information Act), APPs (Australian Privacy Principles), l'évolution de la continuité des activités, les cyber-risques et les défis de conformité auxquels sont confrontées les organisations du monde entier et l'introduction de la norme ISO 27701 ont conduit à la nécessité d'élargir le champ d'application de la norme ISO 27002. de ses contrôles de son orientation initiale sur la sécurité de l'information, pour tenir compte de la cybersécurité, de la confidentialité des informations et de la gestion des vulnérabilités.

L'organisation ISO espère améliorer cette intention en fournissant un ensemble de référence pour sécurité de l'information objectifs de contrôle à utiliser dans la gestion des risques liés à la sécurité de l’information, à la confidentialité et à la cybersécurité spécifiques au contexte.

Quand a-t-il été mis en ligne ?

La nouvelle révision ISO 27002 2022 a été publiée le 15 février 2022.

Interpréter les changements

Notre première impression de la norme révisée est qu'elle fournit une structure plus simple qui peut être appliquée dans l'ensemble d'une organisation et peut désormais également être utilisée pour gérer un profil de risque plus large. Cela peut inclure des informations la sécurité et les aspects plus techniques de la sécurité physique, la gestion des actifs, la cybersécurité et les éléments de sécurité des ressources humaines qui accompagnent la protection de la vie privée.

Le premier changement important apporté à la norme consiste à s'éloigner d'un « code de bonnes pratiques » et à le positionner comme un ensemble de contrôles qui peuvent soit stand alone ou existent dans le cadre d'un système de gestion de la sécurité de l'information ISO 27001.

Qu'est ce qui a changé?

Le nombre de contrôles dans la nouvelle version ISO 27002 2022 est passé de 114 contrôles dans 14 articles dans l'édition 2013 à 93 contrôles dans l'édition 2022. Ces contrôles sont désormais classés en quatre « thèmes » de contrôle : « Contrôles organisationnels », « Contrôles des personnes », « Contrôles physiques » et « Contrôles technologiques ».

Qu'est-ce qu'un contrôle ?

Un « contrôle » est défini comme une mesure qui modifie ou maintient le risque. Un politique de sécurité de l'information, par exemple, ne peut que maintenir le risque, alors que le respect de la politique de sécurité de l'information peut modifier le risque. De plus, certains contrôles décrivent la même mesure générique dans différents contextes de risque.

Conseils de contrôle

La section Conseils pour chaque contrôle a été revue et mise à jour (si nécessaire) pour refléter les développements et les pratiques actuels. De plus, chaque contrôle est désormais doté d'une déclaration « Objectif » et d'un ensemble d'« Attributs » également liés aux concepts de cybersécurité et à d'autres bonnes pratiques de sécurité.

Quels contrôles ont changé ?

Parmi les 93 contrôles (et par rapport à l'édition 2013), 11 contrôles sont nouveaux, 24 sont fusionnés et 58 sont mis à jour (principalement pour la section Orientation).

Les ensembles de contrôle sont désormais organisés en quatre (4) catégories ou thèmes au lieu de quatorze (14) domaines de contrôle. Les quatre catégories comprennent :

  • Organisationnel

  • Personnes

  • Physique

  • technologique

Le nombre total de contrôles a été réduit : il y a 21 contrôles de moins dans la nouvelle version de la norme ISO 27002:2022.

Un effort concerté a été déployé pour éviter la redondance des contrôles. La version 2022 comprend 24 contrôles fusionnés à partir de la version 2013.

La norme compte désormais 11 nouveaux contrôles pour refléter la sécurité actuelle de l’information, le paysage de la sécurité physique et de la cybersécurité.

L’objectif de contrôle d’un groupe de contrôles a été remplacé par un élément « finalité » dans la version 2022.

Afin d'améliorer le processus d'atténuation, d'évaluation et de traitement des risques, le concept d'« attributs des contrôles » a été introduit. De plus, vous pourrez créer différentes vues des contrôles, c'est-à-dire des catégorisations des contrôles dans une perspective différente de celle des thèmes de contrôle.

Nouveaux contrôles

Le champ d’application de la norme ISO/IEC 27002:2022 répertorie désormais 11 nouveaux contrôles. Ceux-ci sont:

  1. Intelligence de la menace – comprendre les attaquants et leurs méthodes dans le contexte de votre paysage informatique.

  2. Sécurité des informations pour l'utilisation des services cloud – la stratégie d’introduction jusqu’à la sortie des initiatives cloud doit désormais être envisagée de manière globale.

  3. Préparation aux TIC pour la continuité des activités – les exigences relatives au paysage informatique doivent découler des processus métier globaux et de la capacité à récupérer les capacités opérationnelles.

  4. Surveillance de la sécurité physique – l’utilisation de systèmes d’alarme et de surveillance pour empêcher tout accès physique non autorisé a gagné en importance.

  5. configuration gestion – durcissement et configuration sécurisée des systèmes informatiques.

  6. Suppression des informations – le respect des exigences externes, telles que les concepts de suppression de la protection des données, doit être mis en œuvre.

  7. Masquage des données – utiliser des techniques qui masquent les données, telles que l'anonymisation et la pseudonymisation, pour renforcer votre protection des données.

  8. Prévention des fuites de données – prendre des mesures pour empêcher la fuite de données sensibles.

  9. Activités de surveillance – votre organisation devrait surveiller la sécurité du réseau et le comportement des applications pour détecter toute anomalie du réseau.

  10. filtrage web – aide à empêcher les utilisateurs de consulter des URL spécifiques contenant du code malveillant.

  11. Codage sécurisé – utiliser des outils, commenter, suivre les modifications et éviter les méthodes de programmation non sécurisées sont des moyens de garantir un codage sécurisé.

Cela nous donne :

  • 93 contrôles dans la nouvelle version du 27002.

  • 11 commandes sont nouvelles.

  • Un total de 24 contrôles ont été fusionnés à partir de deux, trois contrôles ou plus de la version 2013 ; et

  • 58 contrôles de la version 2013 ont été examinés et révisés pour s'aligner sur l'environnement actuel à des fins d'information. sécurité et cybersécurité.

  • Annexe A, qui comprend des conseils pour l’application des attributs, et

  • Annexe B, qui correspond à la norme ISO/IEC 27001 2013. Il s'agit essentiellement de deux tableaux qui croisent les numéros de contrôle/identifiants pour faciliter la référence, détaillant ce qui est nouveau et ce qui a fusionné.

Quels sont les attributs ?

La nouvelle version de la norme ISO 27002 introduit une section d'attributs pour chaque contrôle. Les attributs sont un moyen de catégoriser les contrôles. Ceux-ci vous permettent d’aligner rapidement votre sélection de contrôles sur le langage et les normes courants du secteur. Ces attributs identifient les points clés :

  • Type de commande

  • Propriétés InfoSec

  • La cyber-sécurité concepts

  • Capacités opérationnelles

  • Domaines de sécurité

L'utilisation d'attributs soutient le travail que de nombreuses entreprises effectuent déjà dans le cadre de leur évaluation des risques et déclaration d'applicabilité (SOA).

Par exemple, la Concepts de cybersécurité du NIST et les contrôles CIS peuvent être clairement distingués et les capacités opérationnelles liées à d'autres normes peuvent être reconnues.

Comment cela vous affecte-t-il ?

La révision ISO 27002 2022 affectera une organisation comme suit :

  • Si vous êtes déjà certifié ISO 27001 2013

  • Êtes-vous à mi-certification

  • Si vous êtes sur le point de recertifier

La certification ISO 27001 dure trois ans. Si votre organisation est déjà certifiée, vous n'avez rien à faire maintenant, la norme ISO 27002 2022 révisée sera applicable lors du renouvellement/recertification. Il va donc de soi que tous les organismes certifiés devront à un moment donné se préparer à la norme révisée.

Comment cela affecte-t-il votre (re)certification

Supposons qu'une organisation soit actuellement en cours de certification ou de recertification ISO 27001 2013. Dans ce cas, ils devront revoir leur évaluation des risques, identifier les nouveaux contrôles applicables et réviser leurs " Déclaration d'applicabilité' en comparant les contrôles révisés de l’Annexe A. Étant donné qu'il existe de nouveaux contrôles et des directives modifiées ou supplémentaires pour d'autres contrôles, les organisations doivent revoir la norme ISO 27002 révisée pour tout changement de mise en œuvre.

Même si la révision 27001 de l'ISO 2022 n'a pas encore été publiée, l'annexe B de l'ISO 27002 cartographie les contrôles entre les versions 2013 et 2022 de la norme.

Votre déclaration d'applicabilité (SOA) doit toujours faire référence à l'annexe A de la norme ISO 27001, tandis que les contrôles doivent faire référence à la norme révisée ISO 27002 : 2022, qui constituera un ensemble de contrôles alternatif.

Avez-vous besoin de modifier votre documentation

Le respect de ces changements devrait inclure :

  • Une mise à jour de votre processus de traitement des risques avec des contrôles mis à jour

  • Une mise à jour de votre déclaration d'applicabilité

  • Mettez à jour vos politiques et procédures actuelles avec des conseils pour chaque contrôle si nécessaire.

Téléchargez notre guide gratuit pour une certification rapide et durable

image CTA

Comment cela affecte-t-il la norme ISO 27001 2013

Jusqu'à ce qu'une nouvelle norme ISO 27001 2022 soit publiée, les programmes de certification ISO actuels continueront, bien qu'une correspondance avec les nouveaux contrôles ISO 27002 2022 soit requise via les annexes B et B1.2.

Modifications à venir de la norme ISO 27001

La plupart des personnes qui suivent la sécurité de l'information s'attendent à ce que les modifications apportées à la norme ISO 27001 soient des modifications textuelles mineures avec une mise à jour mineure de l'annexe A pour s'aligner sur la révision ISO 27002 2022.

Quand la norme ISO 27001 sera-t-elle mise à jour ?

La norme ISO 27001 est largement attendue cette année (octobre 2022). Cette date est spéculative et doit être confirmée.

Les 27000 XNUMX autres normes sont-elles concernées ?

Les normes et cadres de systèmes de gestion liés et/ou basés sur la version ISO/IEC 27002:2013 ressentiront le changement. Normes et cadres couramment utilisés tels que ISO 27701 (confidentialité), ISO 27017 (services cloud) et ISO 27018 (confidentialité dans le cloud) devraient suivre, et un impact supplémentaire peut être attendu sur les normes et cadres locaux.

Êtes-vous prêt pour les changements ?

Vous pouvez commencer à préparer le plan de votre organisation Système de gestion contre la version DIS 27001 (DIS signifiant Draft International Standard) ou attendez que la norme révisée soit rendue définitive.

Voici quelques mesures que votre organisation peut prendre pour se préparer à la norme révisée :

  • Effectuez une analyse des écarts de vos contrôles actuels par rapport aux nouveaux contrôles.

  • Effectuer une analyse des risques conformément aux contrôles 27002 2022 mis à jour.

  • Contrôles cartographiques via l'Annexe B entre ISO 27002:2013 et ISO 27002:2022.

  • Comprenez quels contrôles sont applicables et mettez à jour votre sécurité de l'information système de gestion en conséquence.

  • Effectuez des mises à jour de votre déclaration d’applicabilité.

  • Faites réviser et mettre à jour votre Audit interne programme pour identifier les contrôles mis à jour requis.

  • Assurez votre les mesures de sécurité sont mises à jour conformément à votre nouvelle évaluation des risques et contrôles.

  • Mettre à jour et réviser les normes, procédures et politiques en fonction des changements dans votre environnement.

  • Prenez des mesures pour mettre à jour les informations de votre organisation Évaluation des risques , car vous mettrez à jour vos contrôles existants.

  • Évaluez tous les outils tiers que vous utilisez actuellement pour démontrer leur conformité afin de vous assurer qu’ils peuvent prendre en charge les nouvelles révisions.

Cela vous aidera à prendre une longueur d'avance en matière de recertification ou d'adoption de normes supplémentaires. Famille ISO 27000 normes/cadres, par exemple ISO 27018, 27017, 27032, qui devraient largement être mis à jour peu de temps après la révision ISO 27001 2022.

ISMS.online peut-il vous aider à passer à la nouvelle révision ISO 27002:2022 ?

Oui nous pouvons. Si vous êtes déjà client, nous vous contacterons sous peu pour vous proposer un ensemble d'options de migration. Si vous n'êtes pas client, nous disposons de plusieurs options pour vous aider migrez votre système de gestion de la sécurité de l'information au SMSI en ligne.

Prêt à passer à l'action?

Réservez votre démo

image CTA

Dernière modification : 30 juin 2022
Auteur

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Voir tous les messages de Max Edwards

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage