Samedi, le 10 Avril 2021

 

 

NOUVEAUTÉS SUR LA NORME ISO 27001 version 2013


Dernière mise à jour : 15 janvier 2021

La norme ISO 22000 version 2013 est publiée en 2013 et remplace la version 2005.

Choisir de mettre en place un système de management de la sécurité de l'information permet de :

  • garantir la confidentialité, l'intégrité, la disponibilité et la traçabilité de l'information
  • réduire les risques liés à la sécurité de l'information
  • saisir des opportunités d'amélioration continue

Les exigences de la norme ISO 27001 version 2013

Quiz des exigences ISO 27001 version 2013

La formation F 24v13 Préparation à l'ISO 27001 et sa démo gratuite sans inscription

La formation F 44v13 Audit interne ISO 27001 et sa démo gratuite sans inscription

Le lot de formations F 74v13 Lot de formations ISO 27001 préparation et audit interne

1. LES ARTICLES SONT 10 SELON LA STRUCTURE DE NIVEAU SUPÉRIEUR (ET LEUR PLACE DANS LE CYCLE PDCA) :

 

  1. Domaine d'application
  2. Références normatives
  3. Termes et définitions
  4. Contexte de l'organisation (P)
  5. Leadership (P, D, C, A)
  6. Planification (P)
  7. Support (P)
  8. Fonctionnement (D)
  9. Évaluation des performances (C)
  10. Amélioration (A)

Annexe A (normative) Objectifs et mesures de référence

2. DIFFÉRENCES AVEC LA VERSION DE 2005

  • structure de niveau supérieur (10 articles dont 4 à 10 avec des exigences)
  • cycle PDCA non explicite
  • approche processus non explicite
  • terme organisation remplace le terme organisme
  • les besoins et attentes des parties intéressées sont explicites
  • leadership et engagement
  • efficacité du SMSI
  • politique et engagement
  • approche fondée sur les risques
  • planifier les actions pour atteindre les objectifs de sécurité de l'information
  • évaluation de l'efficacité des actions
  • sensibilisation explicite
  • communication explicite
  • apprécier les risques
  • évaluer les performances de sécurité de l'information et l'efficacité du SMSI
  • pas d'action préventive

3. LES INFORMATIONS DOCUMENTÉES (PROCÉDURES, politiques ET ENREGISTREMENTS) EXIGÉS

  • informations documentées à maintenir (procédures, disponibles) : procédure
    • domaine d'application du SMSI (§ 4.3)
    • informations documentées (§ 7.5)
    • formation et sensibilisation (A.7.2.2 ; 7.2, 7.3)
    • classification et marquage (A.8.2.1 ; A.8.2.2)
    • traitement de l'information (A.8.2.3)
    • supports amovibles (A.8.3.1)
    • mise au rebut (A.8.3.2 ; A.11.2.7)
    • connexion sécurisée (A.9.4.2)
    • zones sécurisées (A.11.1.2 ; A.11.1.5 ; A.11.1.6)
    • changements (A.12.1.2 ; A.14.2.2)
    • installation de logiciels (A.12.5.1 ;  A.12.6.2)
    • transfert d'information (A.13.2.1)
    • incidents (A.16.1)
    • continuité d'activité (A.17.1)
    • veille réglementaire (A.18.1.1)
    • droits de propriété intellectuelle (A.18.1.2)
  • politiques : politique 
    • sécurité de l'information (§ 5.2, A.5.1.1)
    • appareils mobiles (A.6.2.1) 
    • télétravail (A.6.2.2)
    • gestion des actifs (A.8.1)
    • contrôle d'accès (A.9)
    • mesures cryptographiques (A.10.1 ; A.18.1.5)
    • bureau propre et écran verrouillé (A.11.2.9)
    • protection contre les logiciels malveillants (A.11.1.4 ; A.12.2.1 ; A.13.2.1)
    • sauvegarde (A.12.3.1)
    • gestion des vulnérabilités (A.12.6.1)
    • gestion des réseaux (A.13.1.1)
    • développement (A.14.2)
    • relations avec les fournisseurs (A.15.1 ; A.15.2)
    • conformité (A.18.1.1 ; A.18.2.2 ; A.18.2.3)
    • données personnelles (A.18.1.4)
  • informations documentées à conserver (enregistrements, identifiés et maîtrisés, instructions) : enregistrement
    • enjeux externes et internes de l'organisation (§ 4.1)
    • liste des parties intéressées (§ 4.2)
    • descriptions de fonction (§ 5.3)
    • critères d'acceptation des risques (§ 6.1.2)
    • critères de réalisation d'appréciations des risques (§ 6.1.2)
    • déclaration d'applicabilité (§ 6.1.3)
    • plan de traitement des risques (§ 6.1.3)
    • plan d'atteinte des objectifs (§ 6.2)
    • ressources fournies (§ 7.1)
    • plan de développement des compétences (§ 7.2)
    • plan d'augmentation de la sensibilité (§ 7.3)
    • plan d'amélioration de la communication (§ 7.4)
    • liste des informations documentées (§ 7.5.3)
    • informations documentées d'origine externe (§ 7.5.3)
    • codification des documents (§ 7.5.3)
    • suivi des processus (§ 8.1)
    • plan de gestion des changements (§ 8.1)
    • résultats d'appréciation des risques (§ 8.2)
    • résultats du traitement des risques (§ 8.3)
    • résultats des surveillances et des mesures (§ 9.1)
    • programme d'audit (§ 9.2)
    • rapport d'audit (§ 9.2)
    • conclusions de la revue de direction (§ 9.3)
    • nature des non-conformités (§ 10.1)
    • résultats des actions correctives (§ 10.1)
    • plan d'amélioration du SMSI (§ 10.2)
    • fonctions et responsabilités (A.6.1.1)
    • notification des autorités (A.6.1.3)
    • sécurité des appareils mobiles (A.6.2.1)
    • sécurité pour le télétravail (A.6.2.2)
    • termes et conditions d'embauche (A.7.1.1)
    • engagement des règles sécurité (A.7.2.1)
    • attestation de présence (A.7.2.2)
    • évaluation de formation (A.7.2.2)
    • règles disciplinaires (A.7.2.3)
    • règles de rupture de contrat (A.7.3.1)
    • inventaire des actifs (A.8.1.1)
    • règles d'utilisation des actifs (A.8.1.3)
    • plan de classification (A.8.2.1)
    • inventaire des rebuts (A.8.3.2 ; A.11.2.7)
    • protection des supports lors du transport (A.8.3.3)
    • enregistrement et désinscription (A.9.2.1)
    • distribution des accès (A.9.2.2)
    • engagement d'utilisateur (A.9.2.4 ; A.13.2.4)
    • revue des droits d'accès (A.9.2.5)
    • mots de passe (A.9.4.3)
    • autorisations privilégiées (A.9.4.4)
    • clés cryptographiques (A.10.1.2)
    • périmètre de sécurité (A.11.1.1)
    • accès visiteurs (A.11.1.2)
    • protection des matériels (A.11.2.1)
    • sécurité du câblage (A.11.2.3)
    • maintenance des matériels (A.11.2.4)
    • sortie des actifs (A.11.2.5)
    • demande de changement (A.12.1.2)
    • protection contre les logiciels malveillants (A.12.2.1)
    • journaux des événements (A.12.4.1)
    • vulnérabilités techniques (A.12.6.1)
    • protection des réseaux (A.13.1.1)
    • demande de changement système (A.14.2.2)
    • principes d'ingénierie (A.14.2.5)
    • sécurité de l'information avec les fournisseurs (A.15.1.1)
    • accord fournisseur (A.15.1.2)
    • performance fournisseur (A.15.2.1)
    • changements des services des fournisseurs (A.15.2.2)
    • fiche incident (A.16.1.1)
    • liste de preuves (A.16.1.7)
    • plan de continuité d'activité (A.17.1.2)
    • liste des exigences (A.18.1.1)
    • rapport d'action corrective (A.18.2.2)

4. PROCESSUS EXIGÉS

  • apprécier les risques (§ 6.1.2)
  • traiter les risques (§ 6.1.3)
  • appliquer la discipline (§ 7.2)
  • gérer le contrat de travail (§ 7.2) 
  • communiquer (§ 7.4)
  • satisfaire aux exigences de la sécurité de l'information (§ 8.1)
  • maîtriser les processus externalisés (§ 8.1)
  • enregistrer et désinscrire les utilisateurs (§ 8.1)
  • distribuer les accès des utilisateurs (§ 8.1)
  • gérer l'authentification des utilisateurs (§ 8.1)
  • développer et soutenir la sécurité de l'information (§ 8.1)
  • gérer la continuité de la sécurité de l'information (§ 8.1)
  • appliquer la sécurité de l'information (§ 8.1)
  • inspecter la sécurité de l'information (§ 9.1)
  • auditer en interne (§ 9.2)

5. SUR LA TRADUCTION EN FRANÇAIS

  • Processus métier à la place de processus métiers (§ 5.1)
  • Pilote des risques à la place de propriétaire des risques (§ 6.1.3)
  • Richesses humaines à la place de ressources humaines (A.7)
  • Maîtrise à la place de contrôle (§ 7.5.3 e, § 8.1)
  • Maîtriser à la place de contrôler (§ 7.5.3, § 8.1)
  • Maîtrisé à la place de contrôlé (§ 7.5.3, § 8.1, A.12.1.2)  
  • Opérationnel à la place de en exploitation (A.12.1, A.12.5, A.12.6, A.12.7)
  • Soutien à la place d'assistance technique (A.14.2)
  • Surveiller à la place de contrôler (A.14.2)

6. SUR LE CONTENU

  • Les termes procédure documentée et enregistrement sont maintenant assez confus et remplacés par :
    • disponibilité d'information documentée
    • information documentée à conserver
    • information documentée à identifier et maîtriser
    • procédures en vigueur
    • ensemble approprié de procédures
    • politiques
    • procédures formelles
    • procédures conçues et appliquées
    • procédure documentées
    • procédures mises en oeuvre
    • procédures établies
  • Pas d'exigence de cartographie des processus
  • Aucune exigence sur la satisfaction, la perception, la valorisation et la reconnaissance du personnel