La norme ISO 27002 subit une révision majeure : Ce que cela signifie pour les certifications ISO 27001 des entreprises
L'Organisation internationale de normalisation (ISO) modifie la structure du cadre de contrôle ISO 27001/27002 après 20 ans. Le nom de la norme a changé plusieurs fois - British Standard (BS) 7799 Partie 1 et 2 dans les années 1990, ISO 17799 en 2000, puis ISO 27001/27002 - mais la structure des contrôles est restée largement la même jusqu'à présent.
Quelle est la différence entre ISO 27001 et ISO 27002 ?
Vous pouvez obtenir une certification ISO 27001, mais pas une certification ISO 27002 car ce n'est pas une norme de gestion qui fournit une liste complète des exigences de conformité. ISO 27002 est une norme complémentaire qui donne des conseils sur la manière de mettre en œuvre des contrôles de sécurité de l'information, et ils sont répertoriés dans l'annexe A de l'ISO 27001.
ISO 27001 exige des entreprises qu'elles effectuent une évaluation des risques pour identifier les risques, quels contrôles sont nécessaires pour atténuer le risque et comment il doit être mis en œuvre. ISO 27002, en revanche, est simplement une information sur un contrôle, son fonctionnement et sa mise en œuvre possible - il ne vous dit pas s'il est applicable à votre entreprise.
Comment les révisions de l'ISO 27002 impactent-elles votre entreprise ?
En général, l'ISO fournira une période de temps avant que les entreprises soient tenues d'adopter la norme ISO 27001 mise à jour, afin que les entreprises aient le temps d'apporter des modifications. Vous pouvez vous attendre à ce que la nouvelle norme soit publiée dans l'année à venir.
ISO 27001 peut également nécessiter moins de mise en œuvre que ce que recommande ISO 27002, mais nous aurons plus de clarté une fois que la nouvelle norme ISO 27001 sera publiée. Il y aura quelques modifications de configuration et de processus qui seront plus légères, telles que l'abonnement à des flux de renseignements sur les menaces.
Naviguer dans ces changements peut être déroutant, mais Secureframe est là pour vous aider ! Lorsque la nouvelle norme ISO 27001 sera publiée, les clients de Secureframe pourront facilement effectuer la transition avant leur prochain audit.
Qu'est-ce qui change dans les normes ISO ?
De nombreux contrôles ont été supprimés et consolidés tandis que de nouveaux ont été ajoutés. Au lieu d'avoir 14 catégories avec 114 contrôles, il y a maintenant 4 thèmes avec 93 contrôles.
De nouveaux contrôles ont été ajoutés pour couvrir les éléments suivants :
- Renseignement sur les menaces
- Sécurité de l'information pour l'utilisation des services cloud
- Préparation des technologies de l'information et de la communication (TIC) pour la continuité des activités
- Surveillance de la sécurité physique
- Gestion de la configuration
- Suppression de l'information
- Masquage des données
- Prévention des fuites de données
- Surveillance des activités
- Filtrage Web
- Codage sécurisé
Il existe désormais cinq attributs pour chaque contrôle :
Les correspondances et les mappings avec l'ISO/IEC 27002:2013 sont disponibles dans l'annexe B du projet ISO 27002.
Si vous êtes prêt à vous conformer à l'ISO 27001 ou à renouveler votre certification, mais que vous ne savez pas comment naviguer dans ces changements, Secureframe peut vous aider ! Demandez une démonstration ou veuillez contacter sales@secureframe.com et nous serons ravis de vous aider à démarrer.