Principaux changements dans la norme ISO/IEC 27002:2022

INFOSEC

Principaux changements dans la norme ISO/IEC 27002:2022

Qu’est-ce que la norme ISO/IEC 27002 ?

ISO/IEC 27002 est un document d’orientation pour la sélection des contrôles lors de la mise en œuvre d’un système de management de la sécurité de l’information (SMSI) basé sur ISO/IEC 27001. Il peut également s’agir d’un guide pour les organisations qui mettent en œuvre des contrôles de sécurité de l’information communément acceptés.

L’ISO/CEI 27002:2013 était en cours de révision depuis 2018 par ISO/IEC JTC 1/SC 27 et une nouvelle édition a été officiellement publiée le 15 février 2022.

Bien qu’une partie des contrôles reste inchangée, il existe des changements importants dans la disposition des contrôles et au niveau d’autres contrôles. Étant donné que l’annexe A de l’ISO/IEC 27001:2013 est conçue pour s’aligner sur l’ISO/IEC 27002, l’ISO/IEC 27001 est en cours de révision et la version modifiée devrait être publiée au deuxième trimestre 2022.

Ce bref article met en évidence les principaux changements de l’édition 2022 ; cependant, le lien de notre livre blanc plus détaillé suit.

Principaux changements

Nombre de contrôles – 93

Il y a 93 contrôles dans l’édition 2022 contre 114 dans l’édition 2013.

Catégories de contrôle – 4

Les contrôles sont regroupés en 4 catégories, au lieu de 14 thèmes et 35 catégories dans l’édition 2013.

Ce sont :

Les contrôles organisationnels
Les contrôles des personnes
Les contrôles physiques
Les contrôles technologiques

La mise en page en quatre catégories souligne que la protection de l’information et des données ne se limite pas à des moyens technologiques. Pour obtenir des résultats en matière de sécurité de l’information, les contrôles technologiques ne sont que les remèdes pour prévenir ou atténuer les risques liés à la sécurité de l’information.

Plus important encore, la haute direction des organisations doit définir le cadre et l’orientation de la gestion de la sécurité de l’information, ainsi que d’identifier et de communiquer l’importance et les impacts des différentes informations pour l’entreprise et l’organisation. Cette nouvelle disposition des contrôles peut également faciliter l’attribution par la direction de responsabilités au sein de l’organisation pour l’amélioration de la sécurité de l’information.

Nouveaux contrôles – 11

Onze nouveaux contrôles sont introduits pour faire face à l’évolution des technologies et des pratiques industrielles.

Renseignements sur les menaces
Sécurité de l’information pour l’utilisation des services cloud
Préparation des TIC à la continuité des activités
Surveillance de la sécurité physique
Gestion de la configuration
Suppression d’informations
Masquage des données
Prévention des fuites de données
Activités de surveillance
Filtrage Web
Codage sécurisé

Contrôles fusionnés – 24

Vingt-quatre contrôles de l’édition 2022 sont le résultat de la fusion de certains contrôles de la version 2013. Il en résulte moins de contrôles et, par conséquent, crée une norme plus légère.

La liste complète des contrôles fusionnés figure à l’annexe B de l’ISO/IEC 27002:2022.

Attributs

Outre les nouveaux contrôles, l’édition 2022 introduit des « attributs » pour chaque contrôle. Chaque contrôle est associé à cinq attributs avec des valeurs correspondantes.

L’annexe A de l’ISO/IEC 27002:2022 illustre l’utilisation des attributs comme moyen de créer différentes vues des commandes.

Néanmoins, l’utilisation des attributs n’est pas obligatoire. Les organisations peuvent choisir de ne pas tenir compte d’un ou de plusieurs d’entre eux, ou de sélectionner d’autres attributs, par exemple le modèle de maturité.

De « l’objectif au « but »

Comme indiqué précédemment, l’édition 2013 comporte 14 thèmes et 35 catégories. Dans cette édition, un objectif de contrôle est défini sous chaque catégorie de sécurité pour indiquer ce qui doit être réalisé. Un ou plusieurs contrôles sont contenus et peuvent être appliqués pour atteindre l’objectif de contrôle visé.

Dans l’édition 2022, « l’objectif » est remplacé par « le but ». En outre, chaque contrôle a un objectif défini pour illustrer pourquoi le contrôle doit être mis en œuvre.

Autres changements

Le titre

Le titre de l’édition 2022 a été modifié en Sécurité de l’information, cybersécurité et protection de la vie privée – Contrôles de sécurité de l’information. Le terme Code de pratique a été supprimé pour indiquer que le document fait référence aux contrôles génériques de sécurité de l’information.

Termes et définitions

ISO/IEC 27000 n’est plus la référence normative dans l’édition 2022. Au lieu de cela, les termes et définitions définis dans la clause 3 de l’ISO/IEC 27002:2022 s’appliquent. Il est recommandé aux utilisateurs de l’édition 2022 de se référer aux termes et définitions pour bien comprendre les contrôles et les directives du document.

Synthèse

Bien que l’explication et la justification des changements ne soient pas publiées en dehors du JTC 1/SC 27, il est évident qu’elles doivent refléter les progrès technologiques et l’évolution des pratiques industrielles.

Comme nous l’avons mentionné, la version de l’amendement ISO/IEC 27001:2013 est en cours. L’annexe A sera remplacée par les commandes de l’ISO/IEC 27002:2022.

Comment nous pouvons vous aider

Nous resterons alertés sur les changements à venir et tiendrons les clients et la communauté de certification au courant du plan de transition vers la nouvelle édition dès leur sortie.

Cela fait beaucoup d’informations à prendre en compte, alors pourquoi ne pas lire à votre rythme notre nouveau livre blanc sur le sujet ?

INFOSEC