ISO/IEC 27001:2022 : Quelles sont les nouveautés ?
La version 2022 de la norme ISO/IEC 27001 apporte-t-elle de réelles nouveautés ? Notre formateur expert de cette norme ISO nous explique quels sont les changements fondamentaux qui ont été apportés à cette norme. Découvrez également la conséquence de cette révision pour les entreprises certifiées.
En octobre 2022 a été publiée la nouvelle version de la norme ISO/IEC 27001:2022. Cette révision de la norme internationale en matière de système de management de la sécurité de l’information (SMSI) est-elle une réussite ?
Les nouveautés en un clin d’œil |
Cette révision contient aussi bien de petites modifications que de grands changements. Fondamentalement, on peut dire que la norme ISO 27001 vise juste. En particulier parce qu’elle ne modifie pratiquement pas les exigences matérielles d’un SMSI, mais retravaille de manière judicieuse l’annexe A pour répondre à l’état actuel des menaces et aux thèmes tels que le cloud computing, la gestion de la continuité d’activité (Business Continuity Management) et la protection des données.
Avec quatre nouvelles catégories de contrôle, ainsi qu’une épuration des contrôles de sécurité, l’annexe A s’offre une nouvelle jeunesse et gagne en clarté. Les modifications linguistiques répondent au goût du jour et sont même dans certains cas nettement plus tangibles par rapport à la mise en œuvre.
Êtes-vous prêt pour la norme ISO/IEC 27001:2022 ? |
Qu’est-ce que cela signifie pour les entreprises certifiées ?
- Les entreprises bénéficient d’une période transitoire de 3 ans (jusqu’à octobre 2025) pour achever leur transition vers la nouvelle norme ISO 27001:2022.
- La transition peut se dérouler dans le cadre d’un audit de maintien ou de recertification.
- Dès la fin octobre 2023, tous les audits initiaux ou de recertification doivent être réalisés conformément à la nouvelle norme ISO 27001:2022.
1. Modification de titres et adaptations linguistiques
La première modification qui saute aux yeux est la modification du nom du framework, qui est maintenant équivalent à celui de la norme. Le nouveau titre du framework est donc : « Information security, cybersecurity and privacy protection – Information security management systems – Requirements ».
Avec l’introduction des concepts « cybersecurity » (cybersécurité) et « privacy protection » (protection de la vie privée), les cybermenaces actuelles et les dispositions légales en matière de protection des données et de la vie privée sont parfaitement prises en compte.
En outre, d’autres adaptations linguistiques mineures ont été opérées sans incidence sur les exigences spécifiées en matière de SMSI. Il s’agit entre autres :
- Au lieu d’« International Standard », on utilise maintenant le terme « Document »
- La « Comprehensive list of control objectives and information security controls » a été renommée en « List of possible ».
- Le verbe « can » est dorénavant utilisé au lieu de « may ».
2. Structure de la norme ISO 27001:2022
La structure et le chapitre principal de la norme n’ont pas substantiellement changé. Les exigences fondamentales qui pèsent sur le SMSI restent également identiques. En outre, la norme 27001 a été adaptée à l’Harmonized Structure (HS) afin de permettre une structure unifiée pour la planification et la mise en œuvre d’autres systèmes de gestion ISO.
Les modifications substantielles concernent les chapitres suivants :
4.2 Understanding the needs and expectations of interested parties
Définition des exigences que le SMSI doit remplir.
6.2 Information security objectives and planning to achieve
Surveiller et documenter les objectifs de sécurité
6.3 Planning of changes
Les changements du SMSI sont planifiés dans la mise en œuvre
8.1 Operational planning and control
Définition des critères des processus pour le pilotage des processus
3. Annexe A – Actualisation des contrôles de sécurité
Les changements les plus importants ont été opérés dans l’annexe A (en anglais « Annex A ») qui est ainsi harmonisée avec la dernière version de la norme ISO/IEC 27002.
L’annexe A contient maintenant 93 contrôles au lieu de 114. Dans les détails, 11 nouveaux contrôles ont fait leur arrivée, 23 ont été renommés, 57 ont été résumés en 24 contrôles et 35 contrôles restent inchangés. De même, les catégories des contrôles ont été restructurées.
Les 93 contrôles ont été répartis dans les 4 catégories suivantes :
- Organizational controls (37 contrôles)
- People controls (8 contrôles)
- Physical controls (14 contrôles)
- Technological controls (34 contrôles)
Les 11 nouveaux contrôles sont les suivants :
- A 5.7 Threat intelligence
- A 5.23 Information security for use of cloud services
- A 5.30 ICT readiness for business continuity
- A 7.4 Physical security monitoring
- A 8.9 Configuration management
- A 8.10 Information deletion
- A 8.11 Data masking
- A 8.12 Data leakage prevention
- A 8.16 Monitoring activities
- A 8.23 Web filtering
- A 8.28 Secure coding
Découvrez-en plus dès maintenant et préparez-vous au renouvellement de certification grâce à notre formation ISO/IEC 27001 :2022 Transition.
Toutes nos formations autour de la norme ISO/IEC 27001La norme ISO/IEC 27001 est la plus connue au monde en matière de système de management de la sécurité de l’information (SMSI). Cette norme sert de ligne directrice pour les entreprises dans le cadre de la mise en œuvre, de la maintenance et de l’optimisation de leur SMSI. Grâce à nos formations, apprenez à mettre en place un tel système au sein de votre entreprise et d’assurer une sécurité informatique de pointe. ISO/IEC 27001:2022 Foundation
ISO/IEC 27001:2022 Transition
ISO/IEC 27001:2022 Lead Implementer
ISO/IEC 27001:2022 Lead Auditor |
La norme ISO/IEC 27001 est la plus connue au monde en matière de système de management de la sécurité de l’information (SMSI). Cette norme sert de ligne directrice pour les entreprises dans le cadre de la mise en œuvre, de la maintenance et de l’optimisation de leur SMSI. Grâce à nos formations, apprenez à mettre en place un tel système au sein de votre entreprise et d’assurer une sécurité informatique de pointe.
ISO/IEC 27001:2022 Foundation
Découvrez les meilleures pratiques pour la mise en œuvre et la gestion d’un système de management de la sécurité de l’information (SMSI) tel que spécifié dans ISO/IEC 27001:2022
ISO/IEC 27001:2022 Transition
Assurer la transition de votre entreprise vers la nouvelle version 2022 mise à jour de la norme ISO 27001.
ISO/IEC 27001:2022 Lead Implementer
Apprenez comment accompagner une organisation lors de l’établissement, la mise en œuvre, la gestion et la tenue à jour d’un système de management de la sécurité de l’information (SMSI) conforme à la norme ISO/IEC 27001.
ISO/IEC 27001:2022 Lead Auditor
Développez votre expertise d’audit de système de management de la sécurité de l’information (SMSI).