hero-two-bg

ISO/IEC 29147

L'ISO/IEC 29147 est une norme internationale qui fournit des lignes directrices pour les processus de divulgation des vulnérabilités. Elle présente des recommandations sur la manière dont les organisations doivent informer les fournisseurs des vulnérabilités potentielles dans leurs produits et sur la façon dont les fournisseurs doivent traiter et gérer ces divulgations.

Demandez une démo des cadres personnalisés Secureframeangle-right

Définition et objectif

L'objectif de l'ISO/IEC 29147 est d'établir un protocole clair pour une divulgation responsable des vulnérabilités. Elle vise à garantir que lorsqu'on découvre des vulnérabilités de sécurité, elles sont traitées de manière systématique et standardisée, minimisant les dommages potentiels et maximisant l'efficacité du processus de remédiation.

Organisme de régulation

La norme est développée et maintenue par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC).

Dernière mise à jour

L'ISO/IEC 29147 a été initialement publiée en 2014. Elle a été retirée et mise à jour en 2018.

S'applique à

L'ISO/IEC 29147 s'applique à tous types d'organisations, indépendamment de leur taille ou de la nature de leurs activités. Elle est particulièrement pertinente pour les développeurs de logiciels, les professionnels de la cybersécurité, les départements informatiques et toute organisation qui développe ou utilise des logiciels et des produits informatiques.

Contrôles et exigences

L'ISO/IEC 29147 inclut des lignes directrices sur plusieurs aspects clés du processus de divulgation des vulnérabilités, tels que :

  • Réception et traitement des rapports de vulnérabilité : procédures pour la réception et le traitement des rapports de vulnérabilité par les organisations.
  • Divulgation de l'information : lignes directrices sur le moment et la manière de divulguer au public les informations sur les vulnérabilités.
  • Retour d'information et communication : assurer une communication efficace avec l'individu ou l'entité signalant la vulnérabilité.
  • Aspects de confidentialité : maintenir la confidentialité des informations relatives aux vulnérabilités.
  • Calendrier de la divulgation : délais pour la reconnaissance, l'investigation et la divulgation des vulnérabilités.

Veuillez vous référer à la documentation officielle ISO/IEC 29147:2018 pour des détails sur les contrôles et les exigences.

Type, fréquence et durée de l'audit

Les audits impliquent généralement la révision des processus et politiques de divulgation des vulnérabilités d'une organisation pour s'assurer de la conformité avec l'ISO/IEC 29147. La fréquence des audits peut varier en fonction de la taille de l'organisation, de sa complexité et de la nature de son infrastructure informatique. Elle peut également être influencée par la fréquence des découvertes de vulnérabilités.

La durée d'un audit dépend de la taille de l'organisation, de la complexité de son infrastructure informatique et de la portée de l'audit.

Devenez conforme en utilisant les frameworks personnalisés de Secureframe

Demander une démoangle-right
cta-bg