Académique Documents
Professionnel Documents
Culture Documents
ÊTES-VOUS
PRÊT ?
Guide de comparaison des mesures : ISO 27001:2013 et ISO 7001:2022
Changements majeurs
Précédent Suivant
11
peuvent mettre en œuvre pour améliorer la sûreté, Il y a désormais
93
a été mise à jour. Par conséquent, une nouvelle version Le texte
de la norme internationale ISO 27001 qui décrit
les exigences d’un système de management nouvelles mesures.
de la
de la sécurité de l’information (SMSI) a également
été publiée le 25 octobre 2022. mesures
majorité
56
au lieu de des mesures a été quelque
114
La nouvelle version de la norme comprend les mesures peu modifié, ce qui pourrait
décrites par la norme ISO 27002:2022, et les entreprises avoir un impact sur la manière
devront revoir leur évaluation des risques pour déterminer dont la norme est interprétée
mesures de la norme ISO 27001:2013
et mise en œuvre.
si des mises à jour ou de nouvelles gestions des risques ont été fusionnées en 24 mesures
dans la norme ISO 27001:2022.
doivent être mises en œuvre.
Les entreprises ayant déjà obtenu la certification
ISO 27001:2013 disposeront de trois ans pour passer
à la nouvelle norme. Les mesures Humaines Physiques
Organisationnelles Techniques :
sont désormais : 2 fusions, : 5 fusions,
: 28 fusions, 21 fusions,
réparties en quatre
3 nouveaux 0 nouveau 1 nouveau 7 nouveaux
« nouveaux » thèmes.
A5.1.1 Politiques de sécurité de l’information A.5.1 Mesures organisationnelles Politiques de sécurité de l’information
ORGANISATION DE L’INFORMATION
A.6.1.1 Rôles et responsabilités en matière de sécurité de l’information A5.2 Mesures organisationnelles Rôles et responsabilités en matière de sécurité de l’information
A.6.1.2 Séparation des tâches A.5.3 Mesures organisationnelles Séparation des tâches
A.6.1.3 Contact avec les autorités A.5.5 Mesures organisationnelles Contact avec les autorités
A.6.1.4 Contact avec des groupes d’intérêt spécifiques A.5.6 Mesures organisationnelles Contact avec des groupes d’intérêt spécifiques
A.6.1.5 Sécurité de l’information dans le management de projet A.5.8 Mesures organisationnelles Sécurité de l’information dans le management de projet
A.6.2.1 Politique relative aux appareils mobiles A.8.1 Techniques Terminaux pour les utilisateurs
A.7.2.2 Sensibilisation, éducation et formation à la sécurité de l’information A.6.3 Humaines Sensibilisation, éducation et formation à la sécurité de l’information
A.7.3.1 Fin ou changement de responsabilités professionnelles A.6.5 Humaines Responsabilité après la fin ou le changement d’emploi
GESTION D’ACTIFS
A.8.1.1 Inventaire des actifs A.5.9 Mesures organisationnelles Inventaire des informations et autres actifs associés
A.8.1.3 Utilisation acceptable des actifs A.5.10 Mesures organisationnelles Utilisation acceptable des informations et autres actifs associés
A.8.1.4 Restitution des actifs A.5.11 Mesures organisationnelles Restitution des actifs
A.8.2.1 Classification des informations A.5.12 Mesures organisationnelles Classification des informations
A.8.2.2 Étiquetage des informations A.5.13 Mesures organisationnelles Étiquetage des informations
CONTRÔLE D’ACCÈS
A.9.1.2 Accès aux réseaux et services réseau Fusionnée dans A.5.15 Fusionnée dans A.5.15
A.9.2.1 Enregistrement et désenregistrement des utilisateurs A.5.16 Mesures organisationnelles Gestion des identités
A.9.2.3 Gestion des droits d’accès privilégiés A.8.2 Techniques Droits d’accès privilégiés
A.9.2.4 Gestion des informations secrètes d’authentification des utilisateurs A.5.17 Mesures organisationnelles Informations d’authentification
A.9.2.5 Examen des droits d’accès des utilisateurs Fusionnée dans A.5.18
A.9.4.1 Restriction d’accès aux informations A.8.3 Technique Restriction d’accès aux informations
A.9.4.4 Utilisation de programmes utilitaires privilégiés A.8.18 Techniques Utilisation de programmes utilitaires privilégiés
A.9.4.5 Contrôle d’accès au code source du programme A.8.4 Techniques Accès au code source
CRYPTOGRAPHIE
A.10.1.1 Politique d’utilisation des contrôles cryptographiques A.8.24 Technique Utilisation de la cryptographie
A.11.1.3 Sécurisation des bureaux, locaux et installations A.7.3 Physiques Sécurisation des bureaux, locaux et installations
A.11.1.4 Protection contre les menaces externes et environnementales A.7.5 Physiques Protection contre les menaces physiques et environnementales
A.11.1.5 Travail dans des zones sécurisées A.7.6 Physiques Travail dans des zones sécurisées
A.11.2.6 Sécurité des équipements et des actifs hors locaux A.7.9 Physiques Sécurité des actifs hors locaux
A.11.2.7 Mise au rebut ou réutilisation sécurisée de l’équipement A.7.14 Physiques Mise au rebut ou réutilisation sécurisée de l’équipement
A.11.2.9 Politique du bureau et de l’écran dégagés A.7.7 Physiques Bureau et écran dégagés
A.12.1.1 Modes opératoires documentés A.5.37 Mesures organisationnelles Modes opératoires documentés
A.12.1.4 Séparation des environnements de développement, de test et d’exploitation A.8.31 Techniques Séparation des environnements de développement, de test et de production
A.12.2.1 Mesures contre les malwares A.8.7 Techniques Protection contre les malwares
A.12.5.1 Installation du logiciel sur les systèmes opérationnels A.8.19 Techniques Installation du logiciel sur les systèmes opérationnels
A.12.6.1 Gestion des vulnérabilités techniques A.8.8 Techniques Gestion des vulnérabilités techniques
A.12.6.2 Restrictions relatives à l’installation du logiciel Fusionnée dans A.8.19 avec A.12.5.1
A.12.7.1 Contrôles d’audit des systèmes d’information A.8.34 Techniques Protection des systèmes d’information pendant les essais d’audit
A.13.1.2 Sécurité des services de réseau A.8.21 Techniques Sécurité des services de réseau
A.13.1.3 Séparation dans les réseaux A.8.22 Techniques Séparation des réseaux
A.13.2.1 Politiques et procédures de transfert d’informations A.5.14 Mesures organisationnelles Transfert d’informations
A.14.1.1 Analyse et spécification des exigences en matière de sécurité de l’information Fusionnée dans A.5.8 avec A.6.1.5
A.14.1.2 Sécurisation des services applicatifs sur les réseaux publics A.8.26 Techniques Exigence de sécurité des applications
A.14.1.3 Protection des transactions des services applicatifs Fusion avec A.8.26
A.14.2.1 Politique de développement sécurisé A.8.2.5 Techniques Cycle de vie du développement sécurisé
A.14.2.2 Procédures de contrôle des changements du système Fusionnée dans A.8.32 avec A.12.1.2
A.14.2.3 Revue technique des applications après des changements de plate-forme d’exploitation Fusionnée dans A.8.32 avec A.12.1.2, A.14.2.2 et A.14.2.4
A.14.2.4 Restrictions sur les modifications apportées aux progiciels Fusionnée dans A.8.32 avec A.12.1.2, A.14.2.2 et A.14.2.3
A.14.2.5 Principes d’ingénierie des systèmes sécurisés A.8.27 Techniques Architecture des systèmes et principes d’ingénierie sécurisés
A.14.2.8 Test de sécurité du système A.8.29 Techniques Test de sécurité en cours de développement et de réception
RELATIONS FOURNISSEURS
A.15.1.1 Politique de sécurité de l’information pour les relations avec les fournisseurs A.5.19 Mesures organisationnelles Sécurité de l’information dans les relations avec les fournisseurs
A.15.1.2 Aborder la sécurité dans les accords avec les fournisseurs A.5.20 Mesures esorganisationnelles Aborder la sécurité de l’information dans les accords avec les fournisseurs
A.15.1.3 Chaîne d’approvisionnement des technologies de l’information et de la communication A.5.21 Mesures organisationnelles Gestion de la sécurité de l’information dans la chaîne d’approvisionnement des technologies
de l’information et de la communication (TIC)
A.15.2.1 Surveillance et passage en revue des services du fournisseur A.5.22 Mesures organisationnelles Surveillance, passage en revue et gestion du changement des services du fournisseur
A.15.2.2 Gestion des changements apportés aux services des fournisseurs Fusionnée dans A.5.22 avec A.15.2.1
NOUVEAU A.5.23 Mesures organisationnelles Sécurité de l’information pour l’utilisation des services cloud
A.16.1.1 Responsabilités et procédures A.5.24 Mesures organisationnelles Planification et préparation de la gestion des incidents liés à la sécurité de l’information
A.16.1.2 Signalement d’événements liés à la sécurité de l’information A.6.8 Humaines Signalement d’événements liés à la sécurité de l’information
A.16.1.3 Signalement des faiblesses en matière de sécurité de l’information Fusionnée dans A.6.8 avec A.16.1.2
A.16.1.4 Évaluation et décision sur les événements liés à la sécurité de l’information A.5.25 Mesures organisationnelles Évaluation et décision sur les événements liés à la sécurité de l’information
A.16.1.5 Réponse aux incidents liés à la sécurité de l’information A.5.26 Mesures organisationnelles Réponse aux incidents liés à la sécurité de l’information
A.16.1.6 Apprendre des incidents liés à la sécurité de l’information A.5.27 Mesures organisationnelles Apprendre des incidents liés à la sécurité de l’information
Fusionnée
ASPECTS LIÉS À LA SÉCURITÉ DE L’INFORMATION DE LA GESTION DE LA CONTINUITÉ dans A.8.32 avec A.12.1.2, A.14.2.2 et A.14.2.4
DES OPÉRATIONS
A.17.1.1 Planification de la continuité de la sécurité de l’information A.5.29 Mesures organisationnelles Sécurité de l’information pendant une perturbation
A.17.1.2 Mise en œuvre de la continuité de la sécurité de l’information Fusionnée dans A.5.29 avec A.17.1.1 et A.17.1.3
A.17.1.3 Vérifier, examiner et évaluer la continuité de la sécurité de l’information Fusionnée dans A.5.29 avec A.17.1.1 et A.17.1.2
NOUVEAU A.5.30 Mesures organisationnelles Préparation des TIC à la continuité des opérations
A.17.2.1 Disponibilité des installations de traitement de l’information A.8.14 Techniques Redondance des installations de traitement de l’information
CONFORMITÉ
A.18.1.1 Identification de la législation applicable et des exigences contractuelles A.5.31 Mesures organisationnelles Exigences légales, réglementaires et contractuelles
A.18.1.2 Droits de propriété intellectuelle A.5.32 Mesures organisationnelles Droits de propriété intellectuelle
A.18.1.3 Protection des enregistrements A.5.33 Mesures organisationnelles Protection des enregistrements
A.18.1.4 Confidentialité et protection des informations personnellement identifiables A.5.34 Mesures organisationnelles Confidentialité et protection des informations personnelles identifiables (PII)
A.18.1.5 Réglementation des contrôles cryptographiques Fusionnée dans A.5.31 avec A.18.1.1
PASSAGES EN REVUE DE LA SÉCURITÉ DE L’INFORMATION
A.18.2.1 Examen indépendant de la sécurité de l’information A.5.35 Mesures organisationnelles Examen indépendant de la sécurité de l’information
A.18.2.2 Conformité aux politiques et aux normes de sécurité A.5.36 Mesures organisationnelles Conformité aux politiques, règles et normes de sécurité de l’information
A.18.2.3 Passage en revue de la conformité technique Fusionnée dans A.5.36 avec A.18.2.2
À propos de LRQA :
Conjuguant des expertises inégalées en matière de certification, d’audit personnalisé et en formation, LRQA est l’un des principaux prestataires
mondiaux de solutions de gestion de risques et en sécurité des denrées alimentaires. En collaborant avec des exploitations agricoles, des pêcheries,
des producteurs agroalimentaires, des restaurants, des hôtels et des distributeurs internationaux, nous les aidons à gérer les risques liés à la sécurité
des denrées alimentaires et au développement durable tout au long des chaînes logistiques. Ainsi, nous sommes devenus un prestataire mondial de
l’amélioration continue. Nous sommes fiers de notre héritage. Mais ce qui compte vraiment, c’est qui nous sommes aujourd’hui. Cela façonne notre
partenariat avec nos clients de demain. Alliant des valeurs fortes, des décennies d’expérience en gestion et atténuation des risques ainsi qu’un regard
porté sur l’avenir, nous sommes là pour accompagner nos clients et rendre leurs entreprises plus sûres, plus sécurisées et plus durables. Nous nous
assurons qu’ils façonnent leur propre avenir, plutôt que de le subir en aidant nos clients à faire face à un environnement où les risques évoluent en
permanence grâce à nos solutions complètes et innovantes, allant de l’audit indépendant, de la certification et de la formation, aux services de conseil
technique, en passant par la technologie de gestion en temps réel et la transformation de la chaîne d’approvisionnement basée sur les données.
Contactez-nous
Consultez www.lrqa.com/fr-fr pour plus d’informations, e-mail commercial.france@lrqa.com ou appelez le 04 51 08 13 00
LRQA
Tour Swiss Life
1 boulevard Vivier Merle
69003
Lyon
France
Nous mettons tout en œuvre pour que toutes les informations fournies soient exactes et actuelles. Toutefois, LRQA décline toute responsabilité en cas d’inexactitudes ou de modifications d’informations.
Pour en savoir plus sur LRQA, cliquez ici. © LRQA Group Limited 2022