UPDATE ISO 27001 & ISO 27002
29/09/2022 – Par HADDOU Maria
La norme ISO 27001 définit les normes de mise en œuvre d’un système de management de la sécurité de l’information (SMSI), alors que la norme ISO 27002 fournit un ensemble de contrôles de sécurité (ou mesures) qui peuvent être mis en œuvre pour consolider votre sécurité.
La norme ISO 27001 exploite les réglementations de la norme ISO 27002 dans son annexe A, mais la formulation est considérablement différente, le terme *devrait* étant remplacé par *doit*.
L’ISO 27001 est la norme de vérification, pendant que l’ISO 27002 est simplement un code de pratique.
Important : À ce niveau, il n’est pas prévu que l’ISO annonce une norme ISO 27001:2022 en 2022. Une modification sera cependant apportée à la version actuelle. L’annexe A sera renouvelée par une version normative des 93 nouveaux contrôles inclus dans l’ISO 27002:2022.
Les nouveautés de la norme ISO 27002 version 2022 :
La version 2013 de l’ISO/IEC 27002 a été remplacée par la version 2022 de la norme. Le nombre de contrôles de sécurité a amoindri de 114 à 93 dans l’ISO/IEC 27002:2022.
- Une nouvelle classification des contrôles de sécurité en quatre grandes catégories a été introduite.
- Le code de pratique a été supprimé.
- La norme offre désormais une description totale des contrôles de sécurité avec leurs propriétés associées.
Les modifications apportées à la nouvelle version sont destinées à éclaircir la sélection des contrôles de sécurité. Cependant, les deux versions ont la même mission. L’intention de la norme ISO/IEC 27002:2022 est de servir d’ensemble de référence pour les entreprises qui prennent et mettent en œuvre des mesures de sécurité de l’information.
Les changements à venir dans la norme ISO 27001 version 2022
Il n’était pas prévu que l’ISO annonce une norme ISO 27001:2022 en 2022. Les changements publiés prévoyaient que seule l’annexe A soit mise à jour avec la nouvelle norme ISO 27002. Contre toute attente, la modification proposée a été refusé le mois dernier (mai 2022), ce qui a conduit à la construction d’une nouvelle version de la norme ISO 27001.
Il y aura surement d’autres changements à venir dans la nouvelle version, restez à l’écoute et nous vous tiendrons au courant une fois nous en saurons d’avantage.
Passer à la nouvelle version de l’annexe A ISO 27001 :
Les entreprises déjà certifiées disposeront d’un délai de grâce d’un à trois ans pour mettre en œuvre la nouvelle version de l’annexe immédiatement après sa publication. Cette période dépend de votre organisme de certification et doit être conversée avant l’audit ou de re-certification.
Si vous êtes dans l’étape de mise en œuvre du SMSI, vous devriez démarrer immédiatement à travailler sur les étapes suivantes pour vous assurer que vous êtes prêt pour la nouvelle version :
1 – Gestion des risques
Plusieurs organisations exploitent l’annexe A pour entamer une partie du processus d’identification des risques. Il s’agit d’une agréable stratégie pour s’assurer que certains risques ne sont pas délaissés. Avec une modification significative de la structure de contrôle et les options à angles multiples fournies par la classification des mesures de sécurité, la première étape devrait être de réaliser une nouvelle identification des risques.
2 – Déclaration d’applicabilité
Déterminé par avance, votre déclaration d’applicabilité (DdA) devra être corrigée afin de correspondre à la nouvelle classification des contrôles. Cela signifie de la même manière que certaines exclusions ne seront pas applicables et que vous devrez peut-être en justifier de nouvelles.
3 – Politiques et procédures
La documentation de votre organisation, devra être revue pour s’assurer que les procédures et politiques reflètent la nouvelle numérotation. Cela vous accordera également l’occasion d’adapter et facultativement de réorganiser votre approche des documents. Les SGSI modernes utilisent une formule de documentation agile pour que les documents soient courts et que les employés puissent trouver plus simplement les informations.
Comme le changement de norme contient 12 nouveaux contrôles, la tâche la plus malaisé est sans aucun doute d’aligner le traitement des risques et la documentation.