Changements normatifs dans l'ISO/IEC 27001:2022
Un changement très significatif ajoute au contexte de l'organisation dans la clause 4.4 avec l'exigence d'identifier les processus nécessaires et leurs interactions au sein du SMSI qui sont requis pour sa mise en œuvre et sa maintenance. Cette exigence explicite met l'ISO/CEI 27001:2022 en conformité avec l'approche des meilleures pratiques des autres systèmes de management selon la SH (HLS). Le système de management de la sécurité de l'information doit être basé sur des processus établis, traçables et leurs interactions. Les contrôles de sécurité de l'information de l'annexe A sont ensuite conçus et adaptés autour de ces processus.
La prochaine modification pertinente de la clause 8.1 souligne également l'importance de l'orientation vers les processus, qui est commune à tous les systèmes de management basés sur la SH. Les organisations doivent réaliser des processus dans le cadre de leur planification et de leur contrôle opérationnels pour mettre en œuvre les mesures de management des risques liés à la sécurité de l'information. Ce qui est nouveau, c'est que les critères des processus doivent désormais être définis. Le contrôle des processus doit être mis en œuvre conformément à ces critères.
En outre, des clarifications et des spécifications plutôt mineures ont été apportées dans les clauses suivantes :
- La clause 5.3 est complétée par l'exigence explicite que les responsabilités et les autorités des rôles liés à la sécurité de l'information soient connues au sein de l'organisation.
- La clause 7.4 réglemente la nécessité d'une communication interne et externe concernant le SMSI. En plus des dispositions toujours applicables sur le sujet, le moment et le destinataire, le mode de communication est une simplification pratique par rapport aux exigences précédentes.
- Les clauses 9.2 Audit interne et 9.3 Revue de direction ont été adaptées à la structure harmonisée. La clause 9.2 est maintenant subdivisée en 9.2.1 et 9.2.2, et la clause 9.3 est divisée en trois subdivisions : 9.3.1, 9.3.2 et 9.3.3.
- L'ordre dans lequel les clauses 10.1 et 10.2 sont structurées a été adapté à la structure harmonisée. L'aspect de l'amélioration continue prospective précède désormais le traitement rétrospectif des non-conformités et des actions correctives de la clause 10.2 dans la clause 10.1 sans autre changement de contenu. Cette adaptation souligne l'importance du processus d'amélioration continue (PAC).
Les exigences clés et sans ambiguïté de l'ISO/CEI 27001 qui font référence à l'ensemble des contrôles de l'annexe A sont, selon la clause 6.1.3 c), le processus de comparaison entre les contrôles de sécurité de l'information propres à l'organisation et ceux de l'annexe A et, selon la clause 6.1.3 d), la préparation d'une déclaration d'applicabilité (SoA). Ces exigences fondamentales restent inchangées !
Les explications dans les notes informatives (non normatives) de la clause 6.1.3 c) avec la référence à l'annexe A comme liste des contrôles de sécurité de l'information possibles indiquent la possibilité de sélectionner des mesures supplémentaires à partir d'autres sources complémentaires à l'annexe A.
La nouvelle annexe A de l'ISO/IEC 27001:2022
La liste des contrôles de sécurité de l'information (SI) possibles dans l'annexe A normative de l'ISO/CEI 27001:2022 est dérivée à l'identique de l'ISO/CEI 27002:2022. Le catalogue des contrôles généraux de sécurité a été publié en février 2022. Par conséquent, les changements apportés à l'annexe A de l'ISO/CEI 27001:2022 étaient prévisibles depuis un certain temps. Auparavant, l'annexe A comprenait un total de 114 contrôles pouvant être utilisés pour traiter les risques de sécurité de l'information dans le cadre de 35 objectifs de contrôle organisés en 14 clauses.
Outre le fait que la nouvelle norme ISO/IEC 27001:2022 élimine les objectifs de contrôle, les contrôles de sécurité de l'information de l'annexe A ont été révisés, mis à jour, complétés et réorganisés avec de nouveaux contrôles.
Les 14 clauses précédentes de l'annexe A sont maintenant concentrées sur les 4 sujets suivants :
A.5 Contrôles organisationnels (avec 37 contrôles).
A.6 Contrôles personnels (avec 8 contrôles).
A.7 Contrôles physiques (avec 14 contrôles)
A.8 Contrôles techniques (avec 34 contrôles).
L'annexe A de la nouvelle version de l'ISO/IEC 27001:2022 comprend maintenant un total de 93 contrôles, dont les 11 contrôles suivants sont nouveaux :
A.5.7 Renseignements sur les menaces
A.5.23 Sécurité de l'information pour l'utilisation des services en nuage (cloud)
A.5.30 Préparation des TIC pour la continuité des activités
A.7.4 Surveillance de la sécurité physique
A.8.9 Management de la configuration
A.8.10 Suppression d'informations
A.8.11 Masquage des données
A.8.12 Prévention des fuites de données
A.8.16 Surveillance de l'activité
A.8.23 Filtrage Web
A.8.28 Codage sécurisé
Alors que l'annexe A de l'ISO/CEI 27001:2022 se limite à nommer les contrôles, le guide de mise en œuvre de l'ISO/CEI 27002:2022 offre des options supplémentaires pour les catégoriser. Dans ce guide, cinq attributs sont assignés à chaque contrôle, ce qui permet d'avoir différents points de vue et perspectives sur ces contrôles. Les attributs ou leurs valeurs d'attribut peuvent être utilisés pour filtrer, trier ou afficher pour différentes vues organisationnelles.
Les cinq attributs sont les suivants :
Type de contrôle est un attribut permettant de visualiser les contrôles du point de vue du moment et de la manière dont une mesure modifie le risque lié à la survenue d'un incident de sécurité de l'information.
Les propriétés de la sécurité de l'information est un attribut permettant de voir les contrôles du point de vue de l'objectif de protection que la mesure est censée soutenir.
Cybersecurity Concepts examine les contrôles du point de vue de leur correspondance avec le cadre de cybersécurité décrit dans ISO/IEC TS 27110.
Operational Capability considère les contrôles du point de vue de leurs capacités opérationnelles de sécurité de l'information et soutient une vision pratique des mesures par les utilisateurs.
Domaines de sécurité est un attribut qui permet de considérer les contrôles du point de vue de quatre domaines de sécurité de l'information.