Académique Documents
Professionnel Documents
Culture Documents
volutions du document
Version
1.0
Date
22/07/2014
Auteur
ANSI
Critre de diffusion
Public
Interne
Diffusion restreinte
Hautement Confidentiel
Sommaire
1. Introduction 3
2. Relation avec lISO/IEC 27001 3
3. Contenu de la norme ISO/IEC 27002 version 2013 par rapport la version 2005 ..3
3.1.
Les chapitres 3
a.
Structure des chapitres 3
b.
Changements ..4
3.2.
Les objectifs de contrle de scurit ..5
3.3.
Les mesures de scurit ..7
4. Rsum des changements .7
1. Introduction
La norme ISO/IEC 27002 est un code de bonne pratique pour le management de la scurit de
linformation. Cest un document consultatif gnrique et non pas une spcification formelle comme
la norme ISO/IEC 27001. Elle recommande des mesures de scurit de l'information portant sur les
objectifs de contrle de scurit de l'information rsultant des risques pour la confidentialit,
l'intgrit et la disponibilit des informations. Les organisations qui adoptent la norme ISO/IEC 27002
doivent valuer leurs propres risques de scurit de leurs informations, clarifier leurs objectifs de
contrle et appliquer des mesures appropries (ou mme d'autres formes de traitement des risques)
en utilisant la norme titre indicatif.
3. Contenu de la norme ISO/IEC 27002 version 2013 par rapport la version 2005
ISO/27002 : 2005
11 chapitres
39 objectifs
133 mesures
ISO/27002 : 2013
14 chapitres
35 objectifs
114 mesures
ISO/27002 :2013
5. Politiques de scurit de linformation
6. organisation de la scurit de linformation
7. Scurit lie aux ressources humaines
8. Gestion des actifs
9. Contrle daccs
10. Cryptographie
11. Scurit physique et environnementale
12. Scurit lie lexploitation
13. Scurit des tlcommunications
14. Acquisition, dveloppement et maintenance
des systmes
15. Relations avec les fournisseurs
16. Gestion des incidents lis la scurit de
linformation
17. Aspects de la scurit de linformation dans
la gestion de la continuit de lactivit
18. Conformit
b. Changements
&
Lobjectif 12.3 (Cryptographie) est mis part dans un chapitre spcifique (10)
o Modification de lobjectif
On ne parle plus de lutilisation des moyens cryptographique pour protger
linformation
On garantit lutilisation correcte et efficace de la cryptographie
o Politique de gestion des cls
Dans la version 2005 : politique pour favoriser lutilisation des techniques
cryptographiques,
Dans la version 2013 : politique sur lutilisation, la protection et la dure de
vie des cls
o Ajout de lobjectif authentification dans les directives de mise en uvre de la
mesure 10.1.1 Politique sur lutilisation des contrles cryptographiques
o Gestion des cls
Suppression de lexplication de la diffrence entre algorithme symtrique
et asymtrique
ISO/27002 :2013
6.1 Organisation interne
ISO/27002 :2013
5. INFORMATION SECURITY POLICIES (titre
modifi)
8.1.2 Screening
8.1.3 Terms and conditions of employment
8.2 DURING EMPLOYMENT
8.2.1 Management responsibilities
8.2.3 Information security awareness, education and training
8.2.3 Disciplinary process
8.3 TERMINATION OR CHANGE OF EMPLOYMENT
8.3.1 Termination responsibilities
7.1.1 Screening
7.1.2 Terms and conditions of employment
7.2 DURING EMPLOYMENT
7.2.1 Management responsibilities
7.2.3 Information security awareness, education and training
7.2.3 Disciplinary process
7.3 TERMINATION AND CHANGE OF EMPLOYMENT (titre
modifi)
7.3.1 Termination or change of employment responsibilities
(titre modifi)
7. ASSET MANAGEMENT
8. ASSET MANAGEMENT
9. ACCESS CONTROL
<
12.3 BACKUP
12.3.1 Information backup
12.4 LOGGING AND MONITORING (titre modifi)
12.4.1 Event logging (titre modifi)
12.4.2 Protection of log information
12.4.3 Administrator and operator logs
12.4.4 Clock synchronization
>?
continuity management
15. COMPLIANCE
18. COMPLIANCE
>>