Jeudi, le 24 Septembre 2020

 

 

NOUVEAUTÉS SUR LA NORME ISO 27001 version 2013


Dernière mise à jour : 21 septembre 2020

La norme ISO 22000 version 2013 est publiée en 2013 et remplace la version 2005.

Choisir de mettre en place un système de management de la sécurité de l'information permet de :

  • protéger les informations opérationnelles
  • préserver les équipements et les logiciels
  • saisir des opportunités d'amélioration continue

Les exigences de la norme ISO 27001 version 2013

Quiz des exigences ISO 27001 version 2013 bientôt

La formation F 24v13 Préparation à l'ISO 27001 et sa démo gratuite sans inscription bientôt

La formation F 44v13 Audit interne ISO 27001 et sa démo gratuite sans inscription bientôt

Le lot de formations F 74v13 Lot de formations ISO 27001 préparation et audit interne bientôt

1. LES ARTICLES SONT 10 SELON LA STRUCTURE DE NIVEAU SUPÉRIEUR (ET LEUR PLACE DANS LE CYCLE PDCA) :

 

  1. Domaine d'application
  2. Références normatives
  3. Termes et définitions
  4. Contexte de l'organisation (P)
  5. Leadership (P, D, C, A)
  6. Planification (P)
  7. Support (P)
  8. Fonctionnement (D)
  9. Évaluation des performances (C)
  10. Amélioration (A)

Annexe A (normative) Objectifs et mesures de référence

2. DIFFÉRENCES AVEC LA VERSION DE 2005

  • structure de niveau supérieur (10 articles dont 4 à 10 avec des exigences)
  • cycle PDCA non explicite
  • approche processus non explicite
  • terme organisation remplace le terme organisme
  • les besoins et attentes des parties intéressées sont explicites
  • leadership et engagement
  • efficacité du SMSI
  • politique et engagement
  • approche fondée sur les risques
  • planifier les actions pour atteindre les objectifs de sécurité de l'information
  • évaluation de l'efficacité des actions
  • sensibilisation explicite
  • communication explicite
  • apprécier les risques
  • évaluer les performances de sécurité de l'information et l'efficacité du SMSI
  • pas d'action préventive

3. LES INFORMATIONS DOCUMENTÉES (PROCÉDURES ET ENREGISTREMENTS) EXIGÉS

  • informations documentées disponibles, (procédures)
    • domaine d'application (§ 4.3)
    • politique de sécurité (§ 5.2, A.5.1.1)
  • informations documentées conservées (identifiées et maîtrisées), (enregistrements)
    • critères d'acceptation des risques (§ 6.1.2)
    • critères de réalisation des appréciations des risques (§ 6.1.2)
    • processus d'appréciation des risques (§ 6.1.2)
    • déclaration d'applicabilité (§ 6.1.3)
    • plan de traitement des risques (§ 6.1.3)
    • processus de traitement des risques (§ 6.1.3)
    • objectifs de sécurité de l'information (§ 6.2)
    • compétences du personnel (§ 7.2)
    • informations documentées d'origine externe (§ 7.5.3)
    • suivi des processus (§ 8.1)
    • résultats d'appréciation des risques (§ 8.2)
    • résultats du traitement des risques (§ 8.3)
    • résultats des surveillances et des mesures (§ 9.1)
    • programme d'audit (§ 9.2)
    • résultats d'audit (§ 9.2)
    • conclusions de la revue de direction (§ 9.3)
    • nature des non-conformités (§ 10.1)
    • résultats des actions correctives (§ 10.1)
    • fonctions et responsabilités de sécurité de l'information (A.6.1.1)
    • mesures de sécurité des appareils mobiles (A.6.2.1)
    • mesures de sécurité pour le télétravail (A.6.2.2)
    • termes et conditions d'embauche (A.7.1.1)
    • règles de sécurité de l'information (A.7.2.1)
    • formation et sensibilisation (A.7.2.2)
    • règles disciplinaires (A.7.2.3)
    • règles de rupture de contrat (A.7.3.1)
    • inventaire des actifs (A.8.1.1)
    • règles d'utilisation des actifs (A.8.1.3)
    • plan de classification des informations (A.8.2.2)
    • traitement de l'information (§ 8.2.3)
    • gestion des supports amovibles (A.8.3.1)
    • mise au rebut des supports (A.8.3.2)
    • politique de contrôle d'accès (A.9.1.1)
    • enregistrement et désinscription des utilisateurs (A.9.2.1)
    • distribution des accès aux utilisateurs (A.9.2.2)
    • gestion des informations secrètes d'authentification des utilisateurs (A.9.2.4)
    • utilisation des mesures cryptographiques (A.10.1.1)
    • gestion des clés cryptographiques (A.10.1.2)
    • travail dans les zones sécurisées (A.11.1.5)
    • mise au rebut sécurisé des matériels (A.11.2.7)
    • procédures opérationnelles (A.12.1.1)
    • politique de sauvegarde (A.12.3.1)
    • installation de logiciels sur des systèmes opérationnels (A.12.5.1)
    • transfert de l'information (A.13.2.1)
    • engagement de confidentialité ou de non-divulgation (A.13.2.4)
    • politique de développement sécurisé (A.14.2.1)
    • maîtrise des changements de système (A.14.2.2)
    • principes d'ingénierie de la sécurité des systèmes (A.14.2.5)
    • sécurité de l'information avec les fournisseurs (A.15.1.1)
    • gestion des changements des services des fournisseurs (A.15.2.2)
    • gestion des incidents de sécurité de l'information (A.16.1.1 et A.16.1.5)
    • gestion de la continuité de la sécurité de l'information (A.17.1.2)
    • veille réglementaire (A.18.1.1)
    • droits de propriété intellectuelle (A.18.1.2)

4. PROCESSUS EXIGÉS

  • apprécier les risques (§ 6.1.2)
  • traiter les risques (§ 6.1.3)
  • communiquer (§ 7.4)
  • satisfaire aux exigences de la sécurité de l'information (§ 8.1)
  • identifier et maîtriser les processus externalisés (§ 8.1)
  • surveiller et mesurer la sécurité de l'information (§ 9.1)
  • auditer en interne (§ 9.2)
  • appliquer la discipline (A.7.2.3)
  • modifier ou rompre le contrat de travail (A.7.3)
  • enregistrer et désinscrire les utilisateurs (A.9.2.1)
  • distribuer les accès des utilisateurs (A.9.2.2)
  • attribuer les informations secrètes d'authentification des utilisateurs (A.9.2.4)
  • appliquer les changements aux processus métier (A.12.1.2)
  • développer et assister la sécurité de l'information (A.14.2)
  • gérer la continuité de la sécurité de l'information (A.17.1.2)
  • appliquer la sécurité de l'information (A.18.2.1)

5. SUR LA TRADUCTION EN FRANÇAIS

  • Processus métier à la place de processus métiers (§ 5.1)
  • Pilote des risques à la place de propriétaire des risques (§ 6.1.3)
  • Richesses humaines à la place de ressources humaines (A.7)
  • Maîtrise à la place de contrôle (§ 7.5.3 e, § 8.1)
  • Maîtriser à la place de contrôler (§ 7.5.3, § 8.1)
  • Maîtrisé à la place de contrôlé (§ 7.5.3, § 8.1, A.12.1.2)  
  • Opérationnel à la place de en exploitation (A.12.1, A.12.5, A.12.6, A.12.7)
  • Surveiller à la place de contrôler (A.14.2)

6. SUR LE CONTENU

  • Pas d'exigence de cartographie des processus
  • Aucune exigence sur la satisfaction, la perception, la valorisation et la reconnaissance du personnel