Quel est l’objectif de l’annexe F ?
L’annexe F a été introduite dans l’édition 2025 spécifiquement pour aider les organisations à effectuer la transition depuis la norme ISO 27701:2019. Elle assure la rétrocompatibilité en transposant chaque contrôle dans les deux sens :
- Tableau F.1 — Associe chaque contrôle de 2025 à son ou ses équivalents de 2019
- Tableau F.2 — Associe chaque contrôle de 2019 à son équivalent de 2025 (ou indique « N/A » s’il a été supprimé).
Voici la référence définitive pour votre analyse des écarts de transitionUtilisez le tableau F.2 pour vérifier ce qui est arrivé à chacun de vos contrôles existants et le tableau F.1 pour comprendre d'où provient chaque nouveau contrôle 2025.
Comment les contrôles de sécurité partagés de 2025 s'alignent-ils sur ceux de 2019 ?
Le 29 contrôles de sécurité partagés dans le tableau A.3 ont remplacé les plus de 90 sous-clauses de la clause 6 de l'édition 2019. De nombreux contrôles de 2019 ont été regroupés ou supprimés car ils ne contenaient pas de directives spécifiques aux informations personnelles identifiables.
| 2025 Contrôle | Équivalent(s) 2019 | Nom du contrôle |
|---|---|---|
| A.3.3 Politiques de sécurité de l'information | 6.2.1.1, 6.2.1.2 | Politiques de sécurité des informations |
| A.3.4 Rôles de sécurité | 6.3.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| A.3.5 Classification des informations | 6.5.2.1 | Classement des informations |
| A.3.6 Étiquetage des informations | 6.5.2.2 | Étiquetage des informations |
| A.3.7 Transfert d'informations | 6.10.2.1, 6.10.2.2, 6.10.2.3 | Transfert d'information |
| A.3.8 Gestion des identités | 6.6.2.1 | Gestion d'identité |
| A.3.9 Droits d'accès | 6.6.2.2, 6.6.2.5, 6.6.2.6 | Des droits d'accès |
| A.3.10 Accords avec les fournisseurs | 6.12.1.1, 6.12.1.2 | Accords avec les fournisseurs |
| A.3.11 Gestion des incidents | 6.13.1.4 | Planification de la gestion des incidents |
| A.3.12 Réponse aux incidents de sécurité | 6.13.1.5 | Réponse aux incidents de sécurité |
| A.3.13 Exigences légales et réglementaires | 6.15.1.1, 6.15.1.5 | Exigences légales et réglementaires |
| A.3.14 Protection des dossiers | 6.15.1.3 | Protection des dossiers |
| A.3.15 Examen indépendant | 6.15.2.1 | Examen indépendant |
| A.3.16 Conformité aux politiques | 6.15.2.2, 6.15.2.3 | Respect des politiques et des normes |
| A.3.17 Sensibilisation et formation à la sécurité | 6.4.2.2 | Sensibilisation, éducation et formation |
| A.3.18 Accords de confidentialité | 6.10.2.4 | Accords de confidentialité |
| A.3.19 Bureau dégagé et écran dégagé | 6.8.2.9 | Bureau clair et écran clair |
| A.3.20 Supports de stockage | 6.5.3.1, 6.5.3.2, 6.5.3.3, 6.8.2.5 | Supports de stockage |
| A.3.21 Élimination sécurisée des équipements | 6.8.2.7 | Élimination ou réutilisation sécurisée |
| A.3.22 Dispositifs terminaux utilisateur | 6.3.2.1, 6.8.2.8 | Appareils de point de terminaison utilisateur |
| A.3.23 Authentification sécurisée | 6.6.4.2 | Authentification sécurisée |
| A.3.24 Sauvegarde des informations | 6.9.3.1 | Sauvegarde des informations |
| A.3.25 Exploitation forestière | 6.9.4.1, 6.9.4.2, 6.9.4.3 | Journal |
| A.3.26 Utilisation de la cryptographie | 6.7.1.1, 6.7.1.2 | Utilisation de la cryptographie |
| A.3.27 Cycle de vie du développement sécurisé | 6.11.2.1 | Cycle de vie de développement sécurisé |
| A.3.28 Sécurité des applications | 6.11.1.2, 6.11.1.3 | Exigences de sécurité des applications |
| A.3.29 Architecture système sécurisée | 6.11.2.5 | architecture système sécurisée |
| A.3.30 Développement externalisé | 6.11.2.7 | Développement externalisé |
| A.3.31 Informations sur les tests | 6.11.3.1 | Informations de test |
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles commandes de 2019 ont été supprimées ?
Un nombre important de 2019 Article 6 Certaines mesures de contrôle n'ont pas d'équivalent direct dans l'édition 2025. Il s'agit de mesures pour lesquelles l'édition 2019 faisait référence à la norme ISO 27002, mais sans ajouter de recommandations spécifiques aux données personnelles. L'édition 2025 a choisi de n'inclure que les mesures de contrôle ayant une incidence directe sur la protection de la vie privée.
Les principales catégories de commandes supprimées sont les suivantes :
| Catégorie | Commandes supprimées en 2019 | Raison |
|---|---|---|
| Séparation des tâches | 6.3.1.2 | Aucune directive spécifique relative aux informations personnelles n'est nécessaire |
| Contact avec les autorités / groupes d'intérêt particuliers | 6.3.1.3, 6.3.1.4 | Couvert par les clauses du système de gestion |
| Inventaire et propriété des actifs | 6.5.1.1-6.5.1.4 | Aucun ajout spécifique aux informations personnelles n'est nécessaire |
| Politique de contrôle d'accès | 6.6.1.1, 6.6.1.2 | Couvert par A.3.9 Droits d'accès (Droits d'accès) |
| Sécurité physique | 6.8.1.1 – 6.8.1.6, 6.8.2.1 – 6.8.2.6 | Aucune directive spécifique relative aux informations personnelles identifiables (IPI) au-delà des supports/de l'élimination |
| Protection contre les logiciels malveillants | 6.9.2.1 | Aucune directive spécifique relative aux informations personnelles n'est nécessaire |
| Sécurité Internet | 6.10.1.1-6.10.1.3 | Aucune directive spécifique relative aux informations personnelles n'est nécessaire |
| Gestion des vulnérabilités | 6.9.6.1, 6.9.6.2 | Aucune directive spécifique relative aux informations personnelles n'est nécessaire |
| Continuité de l'activité | 6.14.1.1-6.14.2.1 | Aucune directive spécifique relative aux informations personnelles n'est nécessaire |
Important: Leur retrait de la norme ISO 27701 ne signifie pas qu'elles sont sans importance. Si votre organisme est également certifié ISO 27001, ces mesures restent pertinentes au regard de cette norme. Elles ont simplement été exclues de la norme ISO 27701:2025 car elles ne nécessitent pas de recommandations de mise en œuvre spécifiques aux données personnelles.
Comment utiliser l’annexe F pour votre transition ?
- Commencez par le tableau F.2 — Dressez la liste de tous vos contrôles 2019 actuels et recherchez chacun d'eux. Indiquez s'il correspond à un contrôle 2025 ou si la mention « N/A » apparaît.
- Pour les commandes mappées — Vérifiez que votre implémentation actuelle est conforme à la formulation de 2025. La plupart seront transposables avec des modifications mineures.
- Pour les commandes non applicables — Décider s’il convient de retirer la documentation ou de la conserver dans le cadre d’une autre norme (par exemple, ISO 27001).
- Consultez le tableau F.1 pour les nouvelles commandes — Tout contrôle de 2025 marqué « Nouveau » dans la colonne 2019 nécessite une nouvelle mise en œuvre
- Mettez à jour votre déclaration d'applicabilité — Reconstruisez-le en utilisant le modèle 2025 Annexe A structure avec les références de contrôle correctes
Pour une description complète du processus de transition, consultez notre Guide de transition ISO 27701.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Pourquoi nous choisir ISMS.en ligne pour votre transition ?
ISMS.en ligne fournit les outils nécessaires pour structurer et auditer votre transition :
- Cartographie de correspondance intégrée — Découvrez comment vos contrôles 2019 existants s'adaptent à la structure 2025 sans intervention manuelle sur tableur.
- Suivi de l'analyse des écarts — Indiquez pour chaque contrôle s'il est mappé, s'il nécessite une mise à jour ou s'il est nouveau, et suivez la progression jusqu'à son achèvement.
- Générateur de déclaration d'applicabilité — Générez votre nouvelle déclaration d'application (SoA) basée sur les 78 contrôles de l'annexe A, avec justifications pour les exclusions.
- Documentation contrôlée par version — Conservez vos documents de 2019 et de 2025 pendant la période de transition.
- La piste de vérification — Démontrez précisément à votre organisme de certification ce qui a changé et à quel moment pendant la transition
Questions fréquentes
Toutes les commandes de 2019 sont-elles incluses dans l'édition 2025 ?
Non. De nombreuses mesures de contrôle de l'article 6 de 2019 (notamment celles relatives à la sécurité physique, la sécurité du réseau, la protection contre les logiciels malveillants et la continuité des activités) n'ont pas d'équivalent direct en 2025, car elles ne contenaient pas de directives spécifiques aux données personnelles. Elles sont indiquées comme « N/A » dans le tableau de correspondance.
Y aura-t-il des commandes entièrement nouvelles en 2025 ?
Les contrôles de l'édition 2025 reprennent en grande partie le contenu de l'édition 2019 plutôt que d'être entièrement nouveaux. Cependant, les exigences relatives au système de management des articles 4 à 10 sont désormais autonomes (et non des extensions de la norme ISO 27001), ce qui signifie que certaines exigences, comme la politique de confidentialité et le processus d'évaluation des risques liés à la protection des données, peuvent être nouvelles pour les organisations qui s'appuyaient auparavant sur leur documentation SMSI.
Puis-je utiliser les deux éditions pendant la période de transition ?
Oui. Pendant la période de transition (d'octobre 2025 à octobre 2028), les deux éditions sont valides. Votre certification 2019 actuelle reste valide jusqu'à sa date d'expiration prévue ou jusqu'en octobre 2028, selon la première échéance. De nouvelles certifications peuvent être délivrées pour l'une ou l'autre édition.
Utilisez ce tableau de correspondance en parallèle de notre guide étape par étape. guide d'analyse des écarts pour identifier ce qui a changé pour votre PIMS.
