Changements normatifs dans l'ISO/IEC 27001:2022
Un changement très significatif ajoute au contexte de l'organisation dans la clause 4.4 avec l'exigence d'identifier les processus nécessaires et leurs interactions au sein du SMSI qui sont requis pour sa mise en œuvre et sa maintenance. Cette exigence explicite met l'ISO/CEI 27001:2022 en conformité avec l'approche des meilleures pratiques des autres systèmes de management selon la SH (HLS). Le système de management de la sécurité de l'information doit être basé sur des processus établis, traçables et leurs interactions. Les contrôles de sécurité de l'information de l'annexe A sont ensuite conçus et adaptés autour de ces processus.
La prochaine modification pertinente de la clause 8.1 souligne également l'importance de l'orientation vers les processus, qui est commune à tous les systèmes de management basés sur la SH. Les organisations doivent réaliser des processus dans le cadre de leur planification et de leur contrôle opérationnels pour mettre en œuvre les mesures de gestion des risques liés à la sécurité de l'information. Ce qui est nouveau, c'est que les critères des processus doivent maintenant être définis. Le contrôle des processus doit être mis en œuvre conformément à ces critères.
En outre, des clarifications et des spécifications plutôt mineures ont été apportées dans les clauses suivantes :
- La clause 5.3 est complétée par l'exigence explicite que les responsabilités et les autorités des rôles liés à la sécurité de l'information soient connues au sein de l'organisation.
- La clause 7.4 réglemente la nécessité d'une communication interne et externe concernant le SGSI. En plus des dispositions toujours applicables sur le sujet, le moment et le destinataire, le mode de communication est une simplification pratique par rapport aux exigences précédentes.
- Les clauses 9.2 Audit interne et 9.3 Revue de direction ont été adaptées à la structure harmonisée. La clause 9.2 est maintenant subdivisée en 9.2.1 et 9.2.2, et la clause 9.3 est divisée en trois subdivisions : 9.3.1, 9.3.2 et 9.3.3.
- L'ordre dans lequel les clauses 10.1 et 10.2 sont structurées a été adapté à la structure harmonisée. L'aspect de l'amélioration continue prospective précède désormais le traitement rétrospectif des non-conformités et des actions correctives de la clause 10.2 dans la clause 10.1 sans autre changement de contenu. Cette adaptation souligne l'importance du processus d'amélioration continue (PAC).
Une autre clarification concerne la sélection des mesures de traitement des risques de sécurité de l'information (clause 6.1.3 c)). Celles-ci doivent être définies en tenant compte des résultats de l'évaluation des risques et comparées aux contrôles de l'annexe A. L'approche reste inchangée. Toutefois, la note explicative de la précédente norme ISO 27001 faisait référence à l'annexe A avec l'exigence plutôt obsessionnelle qu'elle contienne une liste exhaustive des objectifs et des contrôles.
Dans la nouvelle norme ISO/IEC 27001:2022, cette référence à l'annexe A peut être comprise comme une liste de contrôles possibles de la sécurité de l'information qui est plus ouverte et donc applicable de manière plus flexible.
En bref, l'annexe A de l'ISO/CEI 27001:2022 doit toujours être considérée comme un tout dans le cadre de l'exigence obligatoire de la clause 6.1.3 c), mais l'ensemble des mesures individuelles de sécurité de l'information qu'elle contient peut être sélectionné, conçu et étendu par l'utilisateur de manière plus flexible. La nouvelle version d'ISO/IEC 27001 souligne ici l'ouverture du cadre du système de management pour des ensembles de contrôles spécifiques à l'organisation.
La nouvelle annexe A de l'ISO/IEC 27001:2022
La liste des contrôles de sécurité de l'information (SI) possibles dans l'annexe A normative de l'ISO/CEI 27001:2022 est dérivée à l'identique de l'ISO/CEI 27002:2022. Le catalogue des contrôles généraux de sécurité a été publié en février 2022. Par conséquent, les changements apportés à l'annexe A de l'ISO/CEI 27001:2022 étaient prévisibles depuis un certain temps. Auparavant, l'annexe A comprenait un total de 114 contrôles pouvant être utilisés pour traiter les risques de sécurité de l'information dans le cadre de 35 objectifs de contrôle organisés en 14 clauses.
Outre le fait que la nouvelle norme ISO/IEC 27001:2022 élimine les objectifs de contrôle, les contrôles de sécurité de l'information de l'annexe A ont été révisés, mis à jour, complétés et réorganisés avec de nouveaux contrôles.
Les 14 clauses précédentes de l'annexe A sont maintenant concentrées sur les 4 sujets suivants :
A.5 Contrôles organisationnels (avec 37 contrôles).
A.6 Contrôles personnels (avec 8 contrôles).
A.7 Contrôles physiques (avec 14 contrôles)
A.8 Contrôles techniques (avec 34 contrôles).
L'annexe A de la nouvelle version de l'ISO/IEC 27001:2022 comprend maintenant un total de 93 contrôles, dont les 11 contrôles suivants sont nouveaux :
A.5.7 Renseignements sur les menaces
A.5.23 Sécurité de l'information pour l'utilisation des services en nuage (cloud)
A.5.30 Préparation des TIC pour la continuité des activités
A.7.4 Surveillance de la sécurité physique
A.8.9 Gestion de la configuration
A.8.10 Suppression d'informations
A.8.11 Masquage des données
A.8.12 Prévention des fuites de données
A.8.16 Surveillance de l'activité
A.8.23 Filtrage Web
A.8.28 Codage sécurisé
Alors que l'annexe A de l'ISO/CEI 27001:2022 se limite à nommer les contrôles, le guide de mise en œuvre de l'ISO/CEI 27002:2022 offre des options supplémentaires pour les catégoriser. Dans ce guide, cinq attributs sont assignés à chaque contrôle, ce qui permet d'avoir différents points de vue et perspectives sur ces contrôles. Les attributs ou leurs valeurs d'attribut peuvent être utilisés pour filtrer, trier ou afficher pour différentes vues organisationnelles.
Les cinq attributs sont les suivants :
Type de contrôle est un attribut permettant de visualiser les contrôles du point de vue du moment et de la manière dont une mesure modifie le risque lié à la survenue d'un incident de sécurité de l'information.
Lespropriétés de la sécurité de l'information est un attribut permettant de voir les contrôles du point de vue de l'objectif de protection que la mesure est censée soutenir.
Cybersecurity Concepts examine les contrôles du point de vue de leur correspondance avec le cadre de cybersécurité décrit dans ISO/IEC TS 27110.
Operational Capability considère les contrôles du point de vue de leurs capacités opérationnelles de sécurité de l'information et soutient une vision pratique des mesures par les utilisateurs.
Domaines de sécurité est un attribut qui permet de considérer les contrôles du point de vue de quatre domaines de sécurité de l'information.