Interfacing

shape-img shape-img

Qu'est-ce que la norme
ISO 27002:2022 ?

Please Select contact form.

Le cadre essentiel pour protéger les données sensibles

Introduction à ISO27002:2022

ISO/IEC 27002:2022 est une mise à jour de la norme ISO/IEC 27002:2013 précédemment publiée. Cette norme de référence en matière de sécurité de l'information est utilisée pour soutenir ISO 27001. Elle est publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). ISO 27002 est étroitement associée à ISO 27001 en tant qu'ensemble de contrôles de soutien utilisés pour les systèmes de gestion de la sécurité de l'information (ISMS) et la manière dont les organisations peuvent choisir de les mettre en œuvre.

Il est important de noter qu'ISO 27002 n'est pas une norme certifiable en elle-même. Elle agit comme un point de référence pour les contrôles de sécurité de l'information, de cybersécurité et de protection de la vie privée, basés sur des normes de meilleures pratiques reconnues à l'échelle internationale, pour les organisations envisageant une certification ISO 27001.

Les contrôles d'ISO 27002 se trouvent dans l'Annexe A de l'ISO/IEC 27001. Cette section est souvent citée par les experts en sécurité de l'information lorsqu'il s'agit de discuter des contrôles de sécurité. Il est important de noter que, tandis que l'Annexe A ne présente chaque contrôle qu'en quelques phrases, ISO 27002 consacre en moyenne une page par contrôle. Cela s'explique par le fait que la norme ISO 27002 doit détailler le fonctionnement de chaque contrôle, l'objectif visé par ce contrôle et comment celui-ci peut être mis en œuvre.

Mise à jour de la norme

ISO 27002:2022

Des changements radicaux ont été apportés à la structure de ce cadre ISMS en février 2022, en remplacement de la version précédente publiée en 2013. Malgré les modifications structurelles, l’objectif du document reste le même : fournir un ensemble de référence générique de contrôles de sécurité de l’information utilisés dans le contexte du système de gestion de la sécurité de l’information (SGSI) de la norme ISO 27001.

Mises à jour clés –

ISO 27002:2022

 

14 catégories réduites à 4 domaines

  • A.5 Contrôles organisationnels
  • A.6 Contrôle des personnes
  • A.7 Contrôles physiques
  • A.8 Contrôles technologiques

 

En outre, deux annexes sont référencées :

  • Annexe A – Utilisation des attributs
  • Annexe B – Correspondance avec la norme ISO/IEC 27002:2013

L’impact ultime de la norme ISO 27002 réside dans sa contribution à la stabilité du SMSI d’une organisation. Une différence essentielle réside dans le fait que la norme ISO 27002 n’est pas destinée à faire la distinction entre les contrôles applicables utilisés ou non au sein d’une organisation. La norme ISO 27002 doit être utilisée comme référence pour la sélection des contrôles de sécurité plutôt que comme processus de certification.

Réduction des contrôles de sécurité en raison de la consolidation

Avec la consolidation des contrôles dans la norme ISO 27002, le nombre de contrôles de sécurité est passé de 114 à 93. Plus précisément, sur les 93 contrôles, 58 ont été mis à jour, 24 ont été fusionnés et 11 nouveaux contrôles ont été créés.

 

Vue d’ensemble des onze nouveaux contrôles

Bien que déjà référencés dans de multiples contrôles, la dernière version de la norme ISO 27002 a donné à ces sujets des détails et des orientations plus ciblés dans leur propre contrôle.

 

Parmi les onze contrôles, trois sont les plus importants :

  • 7 – Renseignements sur les menaces : La sécurité de votre organisation ne peut être assurée qu’en identifiant les possibilités de menaces. Ce n’est qu’ainsi que vous serez en mesure de calculer les risques éventuels pour l’entreprise et de mettre en œuvre des mesures pour les atténuer. Ce contrôle organisationnel fournit des orientations pour la collecte et l’analyse des données relatives aux menaces pesant sur la sécurité de l’information. La stratégie, la mise en œuvre tactique et les opérations de renseignement sur les menaces sont prises en considération.
  • 23 – Sécurité de l’information pour l’utilisation des services en nuage : Les organisations migrent vers les services en nuage à un rythme de plus en plus rapide. En raison de ce rythme, la plupart des entreprises partent du principe que l’identification et le contrôle des risques de sécurité relèvent de la responsabilité du fournisseur de services en nuage. Mais ce n’est pas souvent le cas. Ce contrôle fournit des orientations pour l’acquisition, l’utilisation, la gestion et la sortie des services en nuage de tiers. Elle indique clairement que votre organisation doit définir en détail les responsabilités de votre organisation et de votre fournisseur de services en nuage.
  • 28 – Codage sécurisé : Les entreprises développant de plus en plus de logiciels, des sections mal codées peuvent entraîner des vulnérabilités importantes. Par exemple, l’absence de validation des paramètres d’entrée peut entraîner des injections SQL, des attaques XSS, etc. Les orientations en matière de contrôle technique fournies ici garantissent les principes de codage sécurisés qui doivent être appliqués dans le développement de logiciels.

Valeurs d’attributs introduites pour les contrôles

La dernière modification majeure introduit cinq attributs, ainsi que des valeurs pour chacun d’entre eux.

  • Concepts de cybersécurité : #Identifier, #Protéger, #Détecter, etc.
  • Propriétés de la sécurité de l’information : #Confidentialité, #Intégrité et #Disponibilité
  • Domaines de la sécurité : #Gouvernance_et_Ecosystème, #Protection, #Défense, etc.
  • Types de contrôle : #préventif, #détectif et #correctif
  • Capacités opérationnelles : #Gouvernance, #Gestion d’actifs, #Protection de l’information, etc.

Désormais, lorsqu’il est fait référence à l’annexe A, les attributs lient une ou plusieurs valeurs de chaque attribut à l’un des contrôles de sécurité. Cette modification facilite le regroupement et le tri. Par exemple, si une organisation souhaite renforcer les contrôles préventifs, un filtrage utilisant la valeur #preventative dans l’attribut Control types présentera une liste de références de contrôles préventifs.

L’annexe B de cette version reste rétroactive à la norme ISO/IEC 27002:2013 et permet une transition aisée vers la version actualisée de la norme ISO 27002.

 

Les changements de la norme ISO 27002 et leur impact sur votre organisation

Lorsque vous planifiez votre projet de système de gestion de la sécurité de l’information ISO 27001, vous pouvez supposer que les normes ISO 27001 et ISO 27002 constituent la pierre angulaire de votre SMSI. L’utilisation des contrôles de sécurité inclus dans la nouvelle norme ISO 27002 permettra de s’aligner sur les meilleures pratiques actuelles de l’industrie. Votre infrastructure peut bénéficier davantage des nouvelles introductions en tant qu’intégration renforcée aux cadres, règlements ou normes existants.

 

Comment Interfacing peut aider à alléger le fardeau de la documentation ISO/IEC 27002:2022

Avec la complexité croissante de la gestion des exigences de la série ISO 27000, l’organisation de l’information dans un endroit central devient de plus en plus importante. Lorsqu’un auditeur se rend sur un site, il évalue la surveillance exercée par la direction sur les prestataires de services tiers ainsi que les contrôles effectués par l’entreprise elle-même. La majeure partie de cette surveillance porte principalement sur la documentation et la capacité à la réviser. Pour prouver cela à un auditeur, il faut lui fournir un système de gestion des documents qui puisse s’appuyer sur la précision et la rapidité d’accès au qui, quand et comment des objectifs opérationnels de l’organisation.

La solution de plateforme numérique Enterprise Process Center® d’Interfacing dispose d’une bibliothèque complète de.. :

  • Processus
  • Procédures
  • Rôles et responsabilités
  • Risques
  • Toutes les exigences
  • Politiques internes
  • Indicateurs alignés (KPI)
  • Indicateurs contrôlés (suivi)

 

Tout cela au sein d’un système de gestion intégré (IMS) centralisé, permettant à votre organisation d’accélérer la certification et de simplifier la création, la communication (nouveaux et changements) et la mise à jour des contrôles de sécurité de l’information, des processus et de la documentation associée/relative.

En outre, l’IMS d’Interfacing offre également un système de gestion de la qualité pour automatiser la formation de vos différents contrôles et audits (gestion des points d’action/CAPA) ainsi que pour gérer l’ensemble de votre documentation, de vos fichiers, de vos processus, de vos procédures, de vos rôles, de vos risques et de vos contrôles.

Nous offrons une bibliothèque complète de contenu pour démarrer votre programme ou pour l’utiliser comme bibliothèque de référence pour les contrôles opérationnels utilisés pour valider la maturité de votre documentation ISO 27001 actuelle.

Pourquoi choisir Interfacing?


Avec plus de deux décennies de logiciels d'IA, de qualité, de processus et de conformité, Interfacing continue d'être un leader dans l'industrie. À ce jour, nous avons servi plus de 500+ entreprises de classe mondiale et des sociétés de conseil en gestion de toutes les industries et de tous les secteurs. Nous continuons à fournir des solutions numériques, cloud et IA qui permettent aux organisations d'améliorer, de contrôler et de moderniser leurs processus tout en allégeant le fardeau de la conformité réglementaire et des programmes de gestion de la qualité.

Pour en savoir plus ou discuter de la manière dont Interfacing peut aider votre organisation, veuillez remplir le formulaire ci-dessous.

Documentation : Piloter la transformation, la gouvernance et le contrôle

• Obtenez des informations complètes et en temps réel sur vos opérations.
• Améliorez la gouvernance, l'efficacité et la conformité.
• Assurez une conformité fluide avec les normes réglementaires.

eQMS : Automatiser les workflows de qualité et de conformité & rapports

• Simplifiez la gestion de la qualité avec des workflows automatisés et une traçabilité continue.
• Standardisez la gestion des CAPA, des audits fournisseurs, de la formation et des workflows associés.
• Transformez la documentation en informations exploitables pour la Qualité 4.0.

Développement rapide d'applications low-code : Accélérer la transformation numérique

• Créez rapidement des applications personnalisées et évolutives.
• Réduisez le temps et les coûts de développement.
• Adaptez-vous rapidement pour répondre aux besoins évolutifs des clients et de votre entreprise.


L’IA pour transformer votre entreprise !

Conçus pour optimiser les opérations, l'efficacité et renforcer la conformité. Découvrez nos solutions alimentés par l’IA :
• Répondre aux questions des employés.
• Transformer des vidéos en processus.
• Recommander des améliorations de processus et des impacts réglementaires.
• Générer des formulaire, processus, risques, réglementations, KPIs, et bien plus.
• Fragmenter les normes réglementaires

Apprenez-en plus sur l'IA avec EPC
Contactez-nous

Demandez une démo gratuite

Documentez, analysez, améliorez, numérisez et surveillez vos processus, vos risques, vos exigences réglementaires et vos indicateurs de performance au sein du système de gestion intégré Digital Twin d’Interfacing, l’Enterprise Process Center®!

Approuvé par les nos clients dans le monde entier !

Plus de 400 entreprises de classe mondiale et cabinets de conseil en gestion.

INTEGRATION

Approuvé par les nos clients dans le monde entier !

Plus de 400 entreprises de classe mondiale et cabinets de conseil en gestion.