Jeudi, le 25 Avril 2024

Nouveautés sur la norme ISO 27001 version 2022 : Systèmes de management de la sécurité de l'information Exigences

13/10/2023

L'ISO 27002 version 2022 a été publiée le 15 mars 2022 (en anglais).

L'ISO 27001 version 2022 a été publiée au mois d'octobre 2022 (en anglais et en français).

La norme ISO 27001 version 2022 remplace la version 2013.

Choisir de mettre en place un système de management de la sécurité de l'information permet de :

  • garantir la confidentialité, l'intégrité, la disponibilité et la traçabilité de l'information
  • réduire les risques liés à la sécurité de l'information
  • saisir des opportunités d'amélioration continue

Les exigences de la norme ISO 27001 version 2022

Quiz des exigences ISO 27001 version 2022

La formation F 24v22 Préparation à l'ISO 27001 version 2022 et sa démo gratuite sans inscription

La formation F 44v22 Audit interne ISO 27001 version 2022 et sa démo gratuite sans inscription

Le lot de formations F 74v22 Lot de formations ISO 27001 préparation et audit interne version 2022

TRANSITION REQUIREMENTS FOR ISO/IEC 27001:2022 publié par IAF MD 26:2022

1. LES ARTICLES SONT 10 SELON LA STRUCTURE DE HAUT NIVEAU (ET LEUR PLACE DANS LE CYCLE PDCA) :

  1. Domaine d'application
  2. Références normatives
  3. Termes et définitions
  4. Contexte (P)
  5. Leadership (P, D, C, A)
  6. Planification (P)
  7. Support (P, D)
  8. Réalisation (D)
  9. Performance (C)
  10. Amélioration (A)

Annexe A (normative) : Mesures de sécurité de l'information

2. DIFFÉRENCES AVEC LA VERSION DE 2013

  • les mesures de sécurité de l'annexe A découlent de la norme ISO 27002 version 2022 :
    • 93 mesures à la place de 114
    • 4 types de mesures (à la place de 14) :
      • organisationnelles
      • liées aux personnes
      • physiques
      • technologiques
    • 11 nouvelles mesures :
      • renseignement sur les menaces (A.5.7)
      • utilisation de services en nuage (A.5.23)
      • préparation des TIC (A.5.30)
      • sécurité physique (A.7.4)
      • gestion de la configuration (A.8.9)
      • suppression d'information (A.8.10)
      • masquage des données (A.8.11)
      • prévention de la fuite de données (A.8.12)
      • activités de surveillance (A.8.16)
      • filtrage web (A.8.23)
      • codage sécurisé (A.8.28)
    • 23 mesures changées légérement
    • 57 mesures fusionnées dans 24
  • les exigences pertinentes des parties intéressées sont à traiter par le SMSI (§ 4.2)
  • nouveau paragraphe pour la planification des modifications - changements (6.3)
  • ajout de comment communiquer à la place de qui doit communiquer (§ 7.4)
  • ajout d'établir des critères pour les processus de l'article 6 (§ 8.1)
  • ajout de maîtriser les processus, produits et services externes (§ 8.1)
  • les résultats des méthodes de surveillance, mesurage, analyse et évaluation doivent être comparables et reproductibles (§ 9.1)
  • les modifications des besoins et attentes des parties intéressées doivent être prise en considération en revue de direction (§ 9.3)

3. LES documents obligatoires - INFORMATIONS DOCUMENTÉES (PROCÉDURES, politiques ET ENREGISTREMENTS) EXIGÉS dans les chapitres ISO 27001 et l'annexe a iso 27001

  • procédures (informations documentées à tenir à jour, disponibles) : procédure
    • traitement de l'information (A.5.10)
    • classification de l'information (A.5.12)
    • marquage (A.5.13)
    • transfert d'information (A.5.14)
    • gestion des identités (A.5.16)
    • authentification (A.5.17, A.8.5)
    • droits d'accès (A.5.18, A.8.33)
    • relations avec les fournisseurs (A.5.19, A.5.20)
    • chaîne TIC (A.5.21)
    • incidents (A.5.24, A.5.26, A.5.23, A.5.27, A.6.4)
    • collecte de preuves (A.5.28)
    • continuité d'activité (A.5.30, A.5.29)
    • propriété intellectuelle (A.5.32)
    • enregistrements (A.5.33)
    • protection de la vie privée (A.5.34)
    • procédures (A.5.37)
    • sélection des candidats (A.6.1)
    • sensibilisation et formation (A.6.3)
    • déclaration des événements (A.6.8)
    • supports de stockage (A.7.10)
    • terminaux utilisateur (A.8.1)
    • restrictions d'accès (A.8.3)
    • accès au code source (A.8.4)
    • programmes malveillants (A.8.7)
    • gestion des vulnérabilités (A.8.8)
    • sauvegarde (A.8.13)
    • redondance des moyens (A.8.14)
    • activités de surveillance (A.8.16)
    • programmes utilitaires privilégiés (A.8.18)
    • installation de logiciels (A.8.19)
    • sécurité des réseaux (A.8.20, A.8.21, A.8.22, A.8.24)
    • utilisation de la cryptographie (A.8.24)
    • codage (A.8.28)
    • changements (A.8.32, A.8.9)
  • politiquespolitique
    • sécurité de l'information (§ 5.2, A.5.1)
    • utilisation correcte de l'information (A.5.10)
    • classification de l'information (A.5.12)
    • transfert de l'information (A.5.14)
    • contrôle d'accès (A.5.15, A.5.18, A.8.2)
    • droits d'accès (A.5.18) 
    • relations avec les fournisseurs (A.5.19)
    • utilisation des services en nuage (A.5.23)
    • propriété intellectuelle (A.5.32)
    • protection des enregistrements (A.5.33)
    • protection de la vie privée (A.5.34)
    • conformité aux règles et normes ( A.5.36)
    • contrat de travail (A.6.2)
    • sensibilisation et formation (A.6.3)
    • télétravail (A.6.7)
    • bureau propre et écran vide (A.7.7)
    • supports de stockage (A.7.10)
    • terminaux utilisateur (A.8.1)
    • vulnérabilités techniques (A.8.8)
    • sauvegarde des informations (A.8.13)
    • journalisation (A.8.15)
    • utilisation de la cryptographie (A.8.24)
  • enregistrements (informations documentées à conserver, disponibles) : enregistrement
    • enjeux externes et internes (§ 4.1)
    • liste des parties intéressées (§ 4.2)
    • domaine d'application (§ 4.3)
    • description de fonction (§ 5.3, A.5.2)
    • critères d'acceptation des risques (§ 6.1.2)
    • critères d'appréciation des risques (§ 6.1.2)
    • déclaration d'applicabilité (§ 6.1.3)
    • plan de traitement des risques (§ 6.1.3)
    • plan d'atteinte des objectifs (§ 6.2)
    • plan de gestion des changements (§§ 6.3, 8.1)
    • ressources disponibles (§ 7.1)
    • plan de développement des compétences (§ 7.2)
    • plan d'augmentation de la sensibilisation (§ 7.3)
    • plan d'amélioration de la communication (§ 7.4)
    • liste des informations documentées (§ 7.5.3, A.5.37)
    • informations d'origine externe (§ 7.5.3)
    • codification des documents  (§ 7.5.3)
    • suivi des processus (§ 8.1)
    • résultats d'appréciation des risques (§ 8.2)
    • résultats du traitement des risques (§ 8.3)
    • résultats des surveillances et des mesures (§ 9.1)
    • programme d'audit (§ 9.2)
    • rapport d'audit (§ 9.2)
    • décisions de la revue de direction (§ 9.3)
    • plan d'amélioration du SMSI (§ 10.1)
    • nature des non-conformités (§ 10.2)
    • actions correctives (§ 10.2)
    • engagement des règles sécurité (A.5.4)
    • notification des autorités (A.5.5)
    • inventaire des actifs (A5.9)
    • règles d'utilisation des actifs (A.5.10, A.5.11)
    • plan de classification (A.5.12)
    • données de transfert (A.5.14)
    • enregistrement et désinscription (A.5.16)
    • engagement d’utilisateur (A.5.17, A.6.6)
    • mot de passe (A.5.17, A.8.5)
    • distribution des accès (A.5.18)
    • revue des droits d’accès (A.5.18)
    • sécurité de l'information avec les fournisseurs (A.5.19)
    • accord fournisseur (A.5.20)
    • performance fournisseur (A.5.22)
    • changements des services des fournisseurs (A.5.22)
    • plan de gestion des incidents (A.5.24)
    • registre des incidents (A.5.24, A.5.26)
    • événements de sécurité de l’information (A.5.25)
    • liste de preuves (A.5.28)
    • plan de continuité d’activité (A.5.29)
    • liste des exigences (A.5.31)
    • registre des licences (A.5.32)
    • protection des enregistrements (A.5.33)
    • résultats des revues de sécurité (A.5.35)
    • rapport d’action corrective (A.5.36)
    • termes et conditions d'embauche (A.6.1)
    • programme de formation (A.6.3)
    • attestation de présence (A.6.3)
    • règles disciplinaires (A.6.4)
    • règles de rupture de contrat (A.6.5)
    • engagement de confidentialité (A.6.6)
    • sécurité pour le télétravail (A.6.7)
    • périmètre de sécurité (A.7.1)
    • accès visiteurs (A.7.2)
    • protection des matériels (A.7.5, A.7.8, A.7.7)
    • sortie des actifs (A.7.9, A.7.10)
    • inventaire des rebuts (A.7.10, A.7.14)
    • protection des supports lors du transport (A.7.10)
    • contacts d’urgence (A.7.11)
    • sécurité du câblage (A.7.12)
    • maintenance des matériels (A.7.13)
    • sécurité des appareils mobiles (A.8.1)
    • accès privilégiés (A.8.2, A.8.18)
    • plan de dimensionnement (A.8.6)
    • protection contre les logiciels malveillants (A.8.7)
    • registre des vulnérabilités (A.8.8)
    • registre de la configuration (A.8.9)
    • suppression de l’information (A.8.10)
    • sauvegarde de l’information (A.8.13)
    • journaux des événements (A.8.15)
    • surveillance (A.8.16)
    • synchronisation (A.8.17)
    • autorisations privilégiées (A.8.18)
    • protection des réseaux (A.8.20)
    • règles de filtrage (A.8.23)
    • clés cryptographiques(A.8.24)
    • applications (A.8.26)
    • principes d'ingénierie (A.8.27)
    • codage sécurisé (A.8.28)
    • plan de test (A.8.29)
    • environnements (A.8.31)
    • demande de changement (A.8.32, A.8.3)

4. PROCESSUS EXIGÉS process

  • gérer les actifs (A.5.9, A.5.11)
  • gérer les identités (A.5.16)
  • gérer l'authentification (A.5.17, A.8.5)
  • distribuer les accès (A.5.18, A.7.2, A.8.2, A.8.7)
  • apprécier les risques (A.5.19, A.5.21)
  • traiter les risques (A.5.19, A.5.21)
  • maîtriser les processus externalisés (A.5.19, A.8.30)
  • gérer la sécurité des fournisseurs (A.5.19, A.5.20, A.5.22)
  • satisfaire aux exigences de sécurité (A.5.20, A.5.23, A.5.26)
  • gérer la chaîne TIC (A.5.21, A.8.23)
  • gérer les services en nuage (A.5.23)
  • gérer les incidents (A.5.24, A.5.25, A.5.7)
  • gérer la continuité d'activité (A.5.30, A.5.29)
  • tenir à jour la veille réglementaire (A.5.31)
  • passer en revue la sécurité (A.5.35)
  • gérer le contrat de travail (A.6.1, A.6.2, A.6.5)
  • appliquer la discipline (A.6.4, A.6.6, A.6.7)
  • gérer les vulnérabilités (A.8.8)
  • gérer la configuration (A.8.9, A.8.32)
  • supprimer l'information (A.8.10, A.8.13)
  • inspecter (A.8.16)
  • administrer les réseaux (A.8.20)
  • utiliser la cryptographie (A.8.24, A.7.14)
  • développer (A.8.25)
  • tester (A.8.29)
  • gérer les changements (A.8.32, A.6.8)
  • auditer (A.8.34)

5. SUR LA TRADUCTION EN FRANÇAIS (d'après le "FDIS")

  • organisation remplacé par le terme organisme (mauvais choix !)
  • processus métier à la place de processus métiers (§ 5.1 b)
  • pilote des risques à la place de propriétaire des risques (§ 6.1.3)
  • changements à la place de modifications (§§ 6.3, 7.5.3, 8.1, 9.3.2)
  • maîtrisées à la place de contrôlées (§ 7.5.3)
  • maîtriser à la place de contrôler (§ 7.5.3 e)
  • résultats de la revue de direction à la place de résultats des revues de direction (§ 9.3.3)
  • information à la place d'informations (A.5.9 à A5.10, A.5.12 à 5.14, A.5.17, A.8.3, A.8.13, A.8.33)
  • enseignements à la place de tirer des enseignements (A.5.27)
  • enregistrements à la place de documents d'activité (A.5.33)
  • revue à la place de révision (A.5.35)
  • procédures opérationnelles documentées à la place de procédures d'exploitation documentées (A.5.37)
  • A.6 à la place de 6 (A.6)
  • A.7 à la place de 7 (A.7)
  • mesures physiques à la place de contrôles physiques (A.7)
  • entrées physiques à la place d'entrées physique (A.7.2)
  • bureau propre à la place de bureau vide (A.7.7)
  • services support à la place de services supports (A.7.11)
  • A.8 à la place de 8 (A.8)
  • terminaux utilisateurs à la place de terminaux utilisateur
  • gestion de la configuration à la place de gestion des configurations (A.8.9)
  • programmes utilitaires privilégiés à la place de programmes utilitaires à privilèges (A.8.18)
  • développement externalisé des système externalisés à la place de développement des systèmes externalisé (A.8.30)

6. SUR LE CONTENU

  • les termes procédure documentée et enregistrement sont maintenant assez confus et remplacés par :
    • disponible sous forme d'information documentée
    • des informations documentées doivent être disponibles
    • conserver des informations documentées
    • être tenu à jour sous la forme d'une information documentée
  • pas d'exigence de cartographie des processus
  • les mesures A.5.35 et A.8.34 sont redondantes avec les exigences du paragraphe 9.2
  • aucune exigence sur la satisfaction, la perception, la valorisation et la reconnaissance du personnel 
  • pas d'action préventive