Samedi, le 31 Octobre 2020

 

 

NOUVEAUTÉS SUR LA NORME ISO 27001 version 2013


Dernière mise à jour : 30 octobre 2020

La norme ISO 22000 version 2013 est publiée en 2013 et remplace la version 2005.

Choisir de mettre en place un système de management de la sécurité de l'information permet de :

  • garantir la confidentialité, l'intégrité, la disponibilité et la traçabilité de l'information
  • réduire les risques liés à la sécurité de l'information
  • saisir des opportunités d'amélioration continue

Les exigences de la norme ISO 27001 version 2013

Quiz des exigences ISO 27001 version 2013

La formation F 24v13 Préparation à l'ISO 27001 et sa démo gratuite sans inscription bientôt

La formation F 44v13 Audit interne ISO 27001 et sa démo gratuite sans inscription bientôt

Le lot de formations F 74v13 Lot de formations ISO 27001 préparation et audit interne bientôt

1. LES ARTICLES SONT 10 SELON LA STRUCTURE DE NIVEAU SUPÉRIEUR (ET LEUR PLACE DANS LE CYCLE PDCA) :

 

  1. Domaine d'application
  2. Références normatives
  3. Termes et définitions
  4. Contexte de l'organisation (P)
  5. Leadership (P, D, C, A)
  6. Planification (P)
  7. Support (P)
  8. Fonctionnement (D)
  9. Évaluation des performances (C)
  10. Amélioration (A)

Annexe A (normative) Objectifs et mesures de référence

2. DIFFÉRENCES AVEC LA VERSION DE 2005

  • structure de niveau supérieur (10 articles dont 4 à 10 avec des exigences)
  • cycle PDCA non explicite
  • approche processus non explicite
  • terme organisation remplace le terme organisme
  • les besoins et attentes des parties intéressées sont explicites
  • leadership et engagement
  • efficacité du SMSI
  • politique et engagement
  • approche fondée sur les risques
  • planifier les actions pour atteindre les objectifs de sécurité de l'information
  • évaluation de l'efficacité des actions
  • sensibilisation explicite
  • communication explicite
  • apprécier les risques
  • évaluer les performances de sécurité de l'information et l'efficacité du SMSI
  • pas d'action préventive

3. LES INFORMATIONS DOCUMENTÉES (PROCÉDURES, politiques ET ENREGISTREMENTS) EXIGÉS

  • informations documentées à maintenir (procédures, disponibles)
    • domaine d'application du SMSI (§ 4.3)
    • règles de sécurité de l'information (A.7.2.1)
    • formation et sensibilisation (A.7.2.2)
    • classification et marquage de l'information (A.8.2.1 ; A.8.2.2)
    • traitement de l'information (A.8.2.3)
    • gestion des supports amovibles (A.8.3.1)
    • mise au rebut des supports (A.8.3.2 ; A.11.2.7)
    • connexion sécurisée (A.9.4.2)
    • travail dans les zones sécurisées (A.11.1.5 ; A.11.1.6)
    • moyens de traitement opérationnel (A.12.1.1)
    • maîtrise des changements (A.12.1.2 ; A.14.2.2)
    • installation de logiciels (A.12.5.1)
    • transfert de l'information (A.13.2)
    • gestion des incidents (A.16.1.1 ; A.16.1.5)
    • collecte de preuves (A.16.1.7)
    • gestion de la continuité (A.17.1)
    • veille réglementaire (A.18.1.1)
    • droits de propriété intellectuelle (A.18.1.2)
  • politiques:
    • sécurité de l'information (§ 5.2, A.5.1.1)
    • appareils mobiles (A.6.2.1) 
    • télétravail (A.6.2.2)
    • gestion des actifs (A.8.1)
    • contrôle d'accès (A.9.1.1 ; A.9.1.2 ; A.11.1.2 ; A.12.6.2)
    • mesures cryptographiques (A.10.1.1 ; A.18.1.5)
    • bureau propre et écran verrouillé (A.11.2.9)
    • protection des logiciels malveillants (A.12.2.1 ; A.13.2.1)
    • sauvegarde (A.12.3.1)
    • gestion des vulnérabilités (A.12.6.1)
    • gestion des réseaux (A.13.1.1)
    • sécurité des communications (A.13.2.1)
    • développement (A.14.2)
    • relations avec les fournisseurs (A.15.1 ; A.15.2)
    • conformité (A.18.1 ; A.18.2)
    • protection des données et de la vie privée (A.18.1.4)
  • informations documentées à conserver (enregistrements, identifiés et maîtrisés, instructions)
    • enjeux externes et internes de l'organisation (§ 4.1)
    • descriptions de fonction (§ 5.3)
    • critères d'acceptation des risques (§ 6.1.2)
    • critères de réalisation d'appréciations des risques (§ 6.1.2)
    • déclaration d'applicabilité (§ 6.1.3)
    • plan de traitement des risques (§ 6.1.3)
    • plan d'atteinte des objectifs (§ 6.2)
    • ressources fournies (§ 7.1)
    • plan de développement des compétences (§ 7.2)
    • plan d'augmentation de la sensibilité (§ 7.3)
    • plan d'amélioration de la communication (§ 7.4)
    • informations documentées d'origine externe (§ 7.5.3)
    • suivi des processus (§ 8.1)
    • plan de gestion de changements (§ 8.1)
    • résultats d'appréciation des risques (§ 8.2)
    • résultats du traitement des risques (§ 8.3)
    • résultats des surveillances et des mesures (§ 9.1)
    • programme d'audit (§ 9.2)
    • rapport d'audit (§ 9.2)
    • conclusions de la revue de direction (§ 9.3)
    • nature des non-conformités (§ 10.1)
    • résultats des actions correctives (§ 10.1)
    • plan d'amélioration du SMSI (§ 10.2)
    • fonctions et responsabilités de sécurité de l'information (A.6.1.1)
    • notification des autorités (A.6.1.3)
    • mesures de sécurité des appareils mobiles (A.6.2.1)
    • mesures de sécurité pour le télétravail (A.6.2.2)
    • termes et conditions d'embauche (A.7.1.1)
    • évaluation de formation (A.4.2.2)
    • règles disciplinaires (A.7.2.3)
    • règles de rupture de contrat (A.7.3.1)
    • inventaire des actifs (A.8.1.1)
    • règles d'utilisation des actifs (A.8.1.3)
    • plan de classification (A.8.2.2)
    • protection des supports lors du transport (A.8.3.3)
    • enregistrement et désinscription des utilisateurs (A.9.2.1)
    • distribution des accès aux utilisateurs (A.9.2.2)
    • authentification des utilisateurs (A.9.2.4, A.9.3.1)
    • utilisation des mesures cryptographiques (A.10.1.1)
    • gestion des clés cryptographiques (A.10.1.2)
    • périmètres de sécurité physique (A.11.1.1)
    • protection contre les menaces extérieures (A.11.1.4)
    • protection des matériels (A.11.2.1)
    • sécurité du câblage (A.11.2.3)
    • maintenance des matériels (A.11.2.4)
    • sortie des actifs (A.11.2.5)
    • demande de changement (A.12.1.2)
    • journaux des événements (A.12.4.1)
    • gestion des vulnérabilités techniques (A.12.6.1)
    • gestion des réseaux (A.13.1.1)
    • engagement de confidentialité ou de non-divulgation (A.13.2.4)
    • principes d'ingénierie de la sécurité des systèmes (A.14.2.5)
    • sécurité de l'information avec les fournisseurs (A.15.1.1)
    • gestion des changements des services des fournisseurs (A.15.2.2)
    • fiche incident (A.16.1)
    • protection des enregistrements (A.18.1.3)
    • rapport d'action corrective (A.18.2.2)

4. PROCESSUS EXIGÉS

  • apprécier les risques (§ 6.1.2)
  • traiter les risques (§ 6.1.3)
  • appliquer la discipline (§ 7.2)
  • gérer le contrat de travail (§ 7.2) 
  • communiquer (§ 7.4)
  • satisfaire aux exigences de la sécurité de l'information (§ 8.1)
  • maîtriser les processus externalisés (§ 8.1)
  • enregistrer et désinscrire les utilisateurs (§ 8.1)
  • distribuer les accès des utilisateurs (§ 8.1)
  • gérer l'authentification des utilisateurs (§ 8.1)
  • développer et soutenir la sécurité de l'information (§ 8.1)
  • gérer la continuité de la sécurité de l'information (§ 8.1)
  • appliquer la sécurité de l'information (§ 8.1)
  • inspecter la sécurité de l'information (§ 9.1)
  • auditer en interne (§ 9.2)

5. SUR LA TRADUCTION EN FRANÇAIS

  • Processus métier à la place de processus métiers (§ 5.1)
  • Pilote des risques à la place de propriétaire des risques (§ 6.1.3)
  • Richesses humaines à la place de ressources humaines (A.7)
  • Maîtrise à la place de contrôle (§ 7.5.3 e, § 8.1)
  • Maîtriser à la place de contrôler (§ 7.5.3, § 8.1)
  • Maîtrisé à la place de contrôlé (§ 7.5.3, § 8.1, A.12.1.2)  
  • Opérationnel à la place de en exploitation (A.12.1, A.12.5, A.12.6, A.12.7)
  • Soutien à la place d'assistance technique (A.14.2)
  • Surveiller à la place de contrôler (A.14.2)

6. SUR LE CONTENU

  • Les termes procédure documentée et enregistrement sont maintenant assez confus et remplacés par :
    • disponibilité d'information documentée
    • information documentée à conserver
    • information documentée à identifier et maîtriser
    • procédures en vigueur
    • ensemble approprié de procédures
    • politiques
    • procédures formelles
    • procédures conçues et appliquées
    • procédure documentées
    • procédures mises en oeuvre
    • procédures établies
  • Pas d'exigence de cartographie des processus
  • Aucune exigence sur la satisfaction, la perception, la valorisation et la reconnaissance du personnel