Nouvelle édition de la norme ISO27002, version 2022
Voilà, c’est le 15 février 2022 qu’une révision de la norme ISO/IEC 27002 est publiée et disponible pour tous.
Vous pouvez vous la procurer ici:
https://www.iso.org/standard/75652.html
C’est vraiment une bonne et belle nouvelle que ce changement puisque la norme avait vraiment besoin d’un rafraîchissement et de modernisation.
Voici un rappel des changements
- Nombre de mesure de sécurité.
- Réorganisation des thèmes
- Ajout de propriétés(tag) aux contrôles
- Rapprochement avec NIST CSF
- Les 11 nouvelles mesures de sécurité
1.Nombre de contrôles
Le nombre de mesure de sécurité passe de 114 à 93. Ceux qui restent sont beaucoup plus détaillés que dans la version précédente, c’est à dire avec de meilleures explications et plus de profondeur pour mieux comprendre les objectifs des mesures de sécurité.
35 mesures de sécurité n’ont pas changé
23 mesures de sécurité ont un peu changé, mise à part le nom ou la définition, simplement pour les rendre plus simples et cohérents.
11 nouvelles mesures de sécurité
57 mesures de sécurité ont été fusionnés dans 24 nouvelles mesures de sécurité.
2. Réorganisation des thèmes
Les mesures de sécurité qui étaient regroupés dans 14 thèmes passent à seulement 4 thèmes, soit:
- Mesures organisationnelles
- Mesures sur les personnes
- Mesures physiques
- Mesures techniques / technologiques
3. Ajout de propriétés(Tag) aux contrôles
Chaque mesure de sécurité dispose maintenant de propriété qui lui est propre sous la forme de:
- 3 Types de contrôles : #Preventive, #Detective, #Corrective
- 3 Critères de sécurité : #Confidentiality, #Integrity, #Availability
- 5 Concepts de cybersécurité : #Identify, #Protect, #Detect, #Respond, #Recover
- 15 Capacités opérationnelles : #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security,
#Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_
management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance,
#Information_security_event_management, #Information_security_assurance - 4 Domaines de sécurité : #Governance_and_Ecosystem, #Protection, #Defence, #Resilience
4. Rapprochement avec la norme NIST CSF
Vous pouvez comprendre qu’avec ces #tags, il est possible de faire des regroupements des mesure de sécurité et de ne plus dédoubler l’information d’un contrôle vers un autre.
De plus, ce rapprochement vers le NIST CyberSecurity Framework permet une ouverture de la norme avec les autres standards disponibles aujourd’hui.
5. Quels sont ces 11 nouvelles mesure de sécurité ?
5.7 Threat intelligence
5.23 Information security for use of cloud services
5.30 ICT readiness for business continuity
7.4 Physical security monitoring
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.16 Monitoring activities
8.23 Web Filtering
8.28 Secure coding
Si vous avez déjà la certification ISO27001, vous devriez commencer à mettre à jour votre système de gestion de la sécurité de l’information(SGSI) puisqu’au prochain cycle de re-certification vous devriez vous conformer à la nouvelle norme.
Donc les prochaines étapes sont :
- Revoir la déclaration d’applicabilité
- Faire l’analyse de risques pour inclure les nouvelles mesure de sécurité et ajuster ceux-ci.
- Revoir les politiques et directives afin d’ajouter les nouvelles mesures de sécurité.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
