🚧 Certaines parties du site sont en maintenance !!! 🦺 Merci pour votre compréhension. 🚧
29/09/2022 – Par HADDOU Maria
La norme ISO 27001 définit les normes de mise en œuvre d’un système de management de la sécurité de l’information (SMSI), alors que la norme ISO 27002 fournit un ensemble de contrôles de sécurité (ou mesures) qui peuvent être mis en œuvre pour consolider votre sécurité.
La norme ISO 27001 exploite les réglementations de la norme ISO 27002 dans son annexe A, mais la formulation est considérablement différente, le terme *devrait* étant remplacé par *doit*.
L’ISO 27001 est la norme de vérification, pendant que l’ISO 27002 est simplement un code de pratique.
Important : À ce niveau, il n’est pas prévu que l’ISO annonce une norme ISO 27001:2022 en 2022. Une modification sera cependant apportée à la version actuelle. L’annexe A sera renouvelée par une version normative des 93 nouveaux contrôles inclus dans l’ISO 27002:2022.
La version 2013 de l’ISO/IEC 27002 a été remplacée par la version 2022 de la norme. Le nombre de contrôles de sécurité a amoindri de 114 à 93 dans l’ISO/IEC 27002:2022.
Les modifications apportées à la nouvelle version sont destinées à éclaircir la sélection des contrôles de sécurité. Cependant, les deux versions ont la même mission. L’intention de la norme ISO/IEC 27002:2022 est de servir d’ensemble de référence pour les entreprises qui prennent et mettent en œuvre des mesures de sécurité de l’information.
Il n’était pas prévu que l’ISO annonce une norme ISO 27001:2022 en 2022. Les changements publiés prévoyaient que seule l’annexe A soit mise à jour avec la nouvelle norme ISO 27002. Contre toute attente, la modification proposée a été refusé le mois dernier (mai 2022), ce qui a conduit à la construction d’une nouvelle version de la norme ISO 27001.
Il y aura surement d’autres changements à venir dans la nouvelle version, restez à l’écoute et nous vous tiendrons au courant une fois nous en saurons d’avantage.
Les entreprises déjà certifiées disposeront d’un délai de grâce d’un à trois ans pour mettre en œuvre la nouvelle version de l’annexe immédiatement après sa publication. Cette période dépend de votre organisme de certification et doit être conversée avant l’audit ou de re-certification.
Si vous êtes dans l’étape de mise en œuvre du SMSI, vous devriez démarrer immédiatement à travailler sur les étapes suivantes pour vous assurer que vous êtes prêt pour la nouvelle version :
Plusieurs organisations exploitent l’annexe A pour entamer une partie du processus d’identification des risques. Il s’agit d’une agréable stratégie pour s’assurer que certains risques ne sont pas délaissés. Avec une modification significative de la structure de contrôle et les options à angles multiples fournies par la classification des mesures de sécurité, la première étape devrait être de réaliser une nouvelle identification des risques.
Déterminé par avance, votre déclaration d’applicabilité (DdA) devra être corrigée afin de correspondre à la nouvelle classification des contrôles. Cela signifie de la même manière que certaines exclusions ne seront pas applicables et que vous devrez peut-être en justifier de nouvelles.
La documentation de votre organisation, devra être revue pour s’assurer que les procédures et politiques reflètent la nouvelle numérotation. Cela vous accordera également l’occasion d’adapter et facultativement de réorganiser votre approche des documents. Les SGSI modernes utilisent une formule de documentation agile pour que les documents soient courts et que les employés puissent trouver plus simplement les informations.
Comme le changement de norme contient 12 nouveaux contrôles, la tâche la plus malaisé est sans aucun doute d’aligner le traitement des risques et la documentation.
Découvrez nos articles de blog qui vous apporterons certainement des réponses à vos questions.
Envoyez-nous un message en précisant vos besoins et nous vous apporterons la solution la plus adéquate.
E-mail : manager@empsi-consulting.com
Tel : +212 522 278 988
Tel : +212 608 666 003
Suivez-nous sur
Transformation Digitale
Conseil et Formation
Accompagnement
Solutions à la demande
Bureau Casablanca Hopitaux
Casablanca-Hopitaux, 33 Rue de Sebta
Bureau Casablanca Zerktouni
Casablanca-Zerktouni, 432 Rue Mostafa EL Maani