Évolutions de la norme ISO/IEC 27001:2013 vers ISO/IEC 27001:2022
1. Changements dans le corps principal de la norme
| Clause | Intitulé | Modifications apportées (2022) |
|---|---|---|
| Clause 4 | Contexte de l’organisation | Clarifications sur les besoins des parties intéressées et sur la portée du SMSI. |
| Clause 5 | Leadership | Renforcement de l’engagement de la direction. Simplification de la rédaction. |
| Clause 6 | Planification | Ajout explicite de la planification des changements (6.3). |
| Clause 7 | Supports | Structure harmonises, précisions sur la compétence et la communication. |
| Clause 8 | Fonctionnement | Clarification des exigences sur la mise en œuvre des processus planifiés. |
| Clause 9 | Évaluation de la performance | Clarifications mineures sur les audits internes et les revues de direction. |
| Clause 10 | Amélioration | Ajout du lien entre non-conformité et opportunités d’amélioration. |
2. Évolution de l’Annexe A
- 🔄 De 14 domaines (2013) à 4 thèmes (2022) :
- Mesures de sécurité organisationnelles
- Mesures de sécurité applicables aux personnes
- Mesures de sécurité physiques
- Mesures de sécurité technologiques
Nombre de contrôles :
- 2013 : 114 contrôles
- 2022 : 93 contrôles
- 🔁 Fusions de certains contrôles
- 🆕 11 nouveaux contrôles
- 🗃️ Nouvelle approche avec attributs de classification (type, propriété, cybersécurité, etc.)
3. Nouveaux contrôles de l’Annexe A
| Réf. | Nom | Objectif |
|---|---|---|
| A.5.7 | Renseignement sur les menaces | Collecte et analyse des menaces pour anticiper les risques. |
| A.5.23 | Sécurité de l’information dans l’utilisation de services cloud | Assurer la sécurité et la gouvernance des services cloud. |
| A.5.30 | Préparation des TIC pour la continuité d’activité | Concevoir les systèmes pour résister aux interruptions. |
| A.7.4 | Surveillance de la sécurité physique | Protéger les locaux avec vidéosurveillance, capteurs, etc. |
| A.8.9 | Gestion des configurations | Maintenir des configurations sécurisées. |
| A.8.10 | Suppression d’informations | Effacer les données obsolètes de manière sécurisée. |
| A.8.11 | Masquage des données | Réduire l’exposition des données sensibles. |
| A.8.12 | Prévention des fuites de données | Mettre en œuvre des mesures pour éviter les fuites de données. |
| A.8.16 | Activités de surveillance | Détecter les comportements suspects. |
| A.8.23 | Filtrage Web | Restreindre l’accès aux sites ou contenus malveillants. |
| A.8.28 | Codage sécurisée | Éviter les failles dès la phase de développement logiciel. |
4. Table de correspondance entre ISO/IEC 27002:2013 et 2022
| 2013 | Domaine | 2022 | Thème principal |
|---|---|---|---|
| A.8.x | Gestion des actifs | A.5.x | Mesures organisationnelles |
| A.9.x | Contrôle d’accès | A.5.x / A.8.x | Organisationnelles / Technologiques |
| A.10.x | Cryptographie | A.8.x | Mesures technologiques |
| A.11.x | Sécurité physique et environnementale | A.7.x | Mesures physiques |
| A.12.x | Sécurité des opérations | A.8.x | Mesures technologiques |
| A.13.x | Sécurité des communications | A.8.x | Mesures technologiques |
| A.14.x | Développement et maintenance | A.8.x | Mesures technologiques |
| A.15.x | Relations fournisseurs | A.5.x | Mesures organisationnelles |
| A.16.x | Gestion des incidents | A.5.x | Mesures organisationnelles |
| A.17.x | Continuité d’activité | A.5.x | Mesures organisationnelles |
| A.18.x | Conformité | A.5.x | Mesures organisationnelles |