Je n'écris plus sur ISO 27001 depuis 2021 lorsque j'ai écrit un article sur les meilleures pratiques de cybersécurité. J'ai également écrit sur les directives de sécurité pour l'Union européenne en 2016 ainsi que sur PCI-DSS vs ISO 27001 et ENS vs ISO 27001. Aujourd'hui, j'aimerais écrire sur la nouvelle norme ISO/IEC 27001:2022 parce que je pense que c'est vraiment intéressant de savoir quelle est la nouvelle structure de cette norme internationale qui est suivie par de nombreuses entreprises soucieuses de la sécurité de l'information.
La nouvelle structure reflète la structure d'autres nouvelles normes de gestion, telles que ISO 9000, ISO 20000 et ISO 22301, qui aident les organisations à se conformer à diverses normes. Les changements survenus dans l'industrie avec l'apparition du NIST Cybersecurity Framework (CSF) dont l'objectif était de protéger l'infrastructure critique qui prend en charge les services essentiels des États-Unis, les propositions de cybersécurité de l'Union européenne reflétées dans divers documents de l'ENISA et les mises à jour qui ont eu lieu dans d'autres meilleures pratiques telles que ITIL et COBIT -au cours de 2019- et PCI, ont également influencé la nécessité d'actualiser le contenu de cette norme.
La nouvelle ISO 27001:2022 comporte 93 contrôles en 4 groupes ou types de contrôles contre 114 contrôles en 14 clauses dans la version 2013. Ajout de 11 nouveaux contrôles (Threat Intelligence, Information security for use of cloud services, ICT readiness for business continuity, Physical security monitoring, Configuration management, Information Deletion, Data masking, Data leakage prevention, Monitoring activities, Web Filtering, Secure Coding). Un contrôle a été supprimé (suppression d'actifs). De plus, 58 contrôles ont été mis à jour et 24 contrôles ont été fusionnés.
Par conséquent, la nouvelle version apporte avec elle des changements importants, le plus représentatif étant: Le changement de nom, incorporation de nouveaux termes et définitions, la nouvelle structure des sujets de sécurité de l'information, La nouvelle structure d'attributs des contrôles, et évolution des contrôles depuis la version ISO 27002:2013.
Un changement radical par rapport à la version précédente est la restructuration des 14 domaines de contrôle définis dans l'ISO 27002:2013 autour de 4 grands thèmes: Chapitre 5 : Contrôles organisationnels (37 contrôles), Chapitre 6 : Contrôles des personnes (8 contrôles), Chapitre 7 : Contrôles physiques (14 contrôles), et Chapitre 8 : Contrôles technologiques (34 contrôles). Cette classification des fonctions est beaucoup plus simple que celle fournie par la version 2013 de la norme, qui est beaucoup plus orientée vers le contexte d'application du contrôle (organisationnel, humain, physique et technologique).
Enfin, comme je dis toujours que tous les ingénieurs réseau devraient passer la certification CCNA car c'est la base de la mise en réseau, je dis aussi que tous les ingénieurs en sécurité devraient connaître la norme ISO 27001 pour connaître les contrôles de sécurité, les procédures de sécurité et les mesures de sécurité.
Á bientôt!
La nouvelle structure reflète la structure d'autres nouvelles normes de gestion, telles que ISO 9000, ISO 20000 et ISO 22301, qui aident les organisations à se conformer à diverses normes. Les changements survenus dans l'industrie avec l'apparition du NIST Cybersecurity Framework (CSF) dont l'objectif était de protéger l'infrastructure critique qui prend en charge les services essentiels des États-Unis, les propositions de cybersécurité de l'Union européenne reflétées dans divers documents de l'ENISA et les mises à jour qui ont eu lieu dans d'autres meilleures pratiques telles que ITIL et COBIT -au cours de 2019- et PCI, ont également influencé la nécessité d'actualiser le contenu de cette norme.
La nouvelle ISO 27001:2022 comporte 93 contrôles en 4 groupes ou types de contrôles contre 114 contrôles en 14 clauses dans la version 2013. Ajout de 11 nouveaux contrôles (Threat Intelligence, Information security for use of cloud services, ICT readiness for business continuity, Physical security monitoring, Configuration management, Information Deletion, Data masking, Data leakage prevention, Monitoring activities, Web Filtering, Secure Coding). Un contrôle a été supprimé (suppression d'actifs). De plus, 58 contrôles ont été mis à jour et 24 contrôles ont été fusionnés.
Par conséquent, la nouvelle version apporte avec elle des changements importants, le plus représentatif étant: Le changement de nom, incorporation de nouveaux termes et définitions, la nouvelle structure des sujets de sécurité de l'information, La nouvelle structure d'attributs des contrôles, et évolution des contrôles depuis la version ISO 27002:2013.
Un changement radical par rapport à la version précédente est la restructuration des 14 domaines de contrôle définis dans l'ISO 27002:2013 autour de 4 grands thèmes: Chapitre 5 : Contrôles organisationnels (37 contrôles), Chapitre 6 : Contrôles des personnes (8 contrôles), Chapitre 7 : Contrôles physiques (14 contrôles), et Chapitre 8 : Contrôles technologiques (34 contrôles). Cette classification des fonctions est beaucoup plus simple que celle fournie par la version 2013 de la norme, qui est beaucoup plus orientée vers le contexte d'application du contrôle (organisationnel, humain, physique et technologique).
Enfin, comme je dis toujours que tous les ingénieurs réseau devraient passer la certification CCNA car c'est la base de la mise en réseau, je dis aussi que tous les ingénieurs en sécurité devraient connaître la norme ISO 27001 pour connaître les contrôles de sécurité, les procédures de sécurité et les mesures de sécurité.
Á bientôt!
Posts
