Êtes-vous prêt pour les changements ISO 27002 ?
L’Organisation internationale de normalisation (ISO) a apporté des modifications au cadre de contrôle ISO 27002.
Pour la première fois en 20 ans, ISO 27002 a considérablement modifié sa structure. Ces changements sont importants et votre organisation doit être préparée.
Voici ce que nous savons :
- Actuellement, la seule modification connue de la norme ISO 27001 est une mise à jour des contrôles de l’annexe A pour s’aligner sur la nouvelle version de la norme ISO 27002.
- Le Forum international d’accréditation et les organismes d’accréditation devraient confirmer la durée de la période de transition fixée. On pense que ce sera 12 ou 24 mois. Si la période de transition est accordée à 12 mois, tout audit de certification ou de surveillance ISO 27001 après mars 2023 devra utiliser le nouveau cadre
Quelles sont les principales évolutions de l’ISO 27002 ?
Les contrôles et leurs classifications ont changé pour l’ISO 27002.
Des 114 contrôles précédents classés par domaines de sécurité de l’information, il y a maintenant 93 contrôles sur 4 clausesclassés par thèmes :
- Contrôles organisationnels
- Contrôles des personnes
- Contrôles physiques
- Contrôles technologiques
Parmi les 94 contrôles, il y a 12 nouveaux contrôles qui reflètent l’évolution des paysages techniques et des menaces :
- Renseignements sur les menaces
- Gestion des identités
- Sécurité des informations pour l’utilisation des services cloud
- Préparation des TIC pour la continuité des activités
- Surveillance de la sécurité physique
- Appareils de point de terminaison utilisateur
- Gestion de la configuration
- Suppression d’informations
- Masquage des données
- Prévention des fuites de données
- Filtrage Web
- Codage sécurisé
La dernière révision d’ISO 27002 comprend également 24 contrôles fusionnés et 58 contrôles mis à jouraligné en conséquence.
Attributs ISO27002
Les modifications apportées à ISO27002 ont introduit des « attributs » permettant à votre organisation de créer différentes vues, qui sont différentes catégorisations sur les contrôles, comme on le voit sous différentes perspectives des thèmes.
Ces attributs peuvent être utilisés pour filtrer, trier ou présenter des contrôles dans différentes vues pour différents publics et objectifs. Cependant, l’utilisation d’attributs n’est pas obligatoire.
Pour les organisations du secteur public dans les domaines de l’éducation, de la santé, du gouvernement, des organisations caritatives et du logement, la création d’attributs et de valeurs qui s’appliquent spécifiquement à votre secteur peut être une possibilité et Phoenix est disponible pour vous aider dans cette tâche.
Quel est l’impact des changements ISO 27002 sur vous ?
Un changement de cette nature et de cette ampleur circulera dans votre SMSI ISO 27001, nous vous recommandons donc de réserver du temps et des ressources pour agir sur tout ce qui est pertinent à partir des mises à jour entre votre prochaine certification et celle qui suit.
Voici les actions les plus importantes à attendre :
- Évaluer l’écart entre vos contrôles actuels par rapport à la nouvelle norme ISO 27002 : un moyen rentable de le faire est de l’inclure dans votre prochain audit interne ISO 27001 ISMS
- Revisiter votre contexte : cela devrait être fait au moins une fois par an et les changements en sont l’occasion parfaite
- Mise à jour de votre évaluation des risques : les contrôles que vous utilisez pour atténuer les risques ont été mis à jour, vous devez donc également mettre à jour la façon dont vous évaluez les risques
- Reconstruction de votre déclaration d’applicabilité (SOA) : les mises à jour de l’évaluation des risques, ainsi que les modifications apportées à la nouvelle annexe A, nécessiteront une mise à jour de votre SOA
- Évaluer lesquelles de vos politiques, normes et procédures doivent être mises à jour pour refléter les changements et mettre en œuvre de nouvelles versions de celles qui le nécessitent
- Mettre à niveau les outils clés de votre environnement, tels que votre plateforme de gouvernance, de risque et de conformité (GRC) ou les rapports SIEM : cela garantira que les éléments utilisés pour démontrer la conformité sont alignés sur les nouvelles exigences
- Mettre à jour vos mesures de sécurité pour refléter votre évaluation des risques et les modifications apportées à l’annexe A et votre programme d’audit interne du SMSI pour refléter les modifications apportées à votre SMSI
Les avantages des changements ISO 27002
- Les nouveaux contrôles s’alignent bien sur les nouveaux risques et, une fois mis en œuvre avec succès, ils protégeront mieux votre organisation
- Les nouveaux contrôles s’alignent sur le cadre de cybersécurité du NIST et ses « cinq fonctions » (identifier, protéger, détecter, répondre et récupérer), ce qui simplifie le maintien d’un environnement conforme aux directives ISO 27001 et NIST.
- Les attributs de la norme ISO 27002 fournissent une taxonomie supplémentaire qui facilite grandement l’utilisation de la documentation de sécurité
Soutenez votre organisation avec le Modifications ISO 27002
Nous sommes là pour vous aider à garder les choses simples et conformes. Si vous ne savez pas quelles modifications ISO 27002 sont pertinentes pour votre organisation ou si vous souhaitez obtenir de l’aide pour réviser, rédiger, auditer ou mettre en place un écart entre l’ancien et le nouveau, parlez-en à notre équipe de gouvernance, de risque et de conformité. Nos auditeurs accrédités ISO sont alignés sur des auditeurs certifiés, qui travaillent aux côtés d’organismes de certification de premier plan.
Réservez votre consultation individuelle gratuite ci-dessous.