Avec la révision de la norme ISO 27002:2022, un ensemble de référence pour les contrôles de sécurité de l’information à utiliser sur la base de la gestion des risques de sécurité de l’information a été fourni et vise à améliorer les autres normes de la famille 27000.
L’augmentation constante des menaces, des vulnérabilités en matière de sécurité et la croissance rapide de la technologie numérique semblent répondre aux besoins manquants avec la mise à jour de la norme ISO 27002:2022.
Quelles sont les nouveautés de la norme ISO 27002:2022 ?
La norme ISO 27002:2013 était divisée en 14 clauses et contenait 114 contrôles. Elle a été restructurée, la version 2022 comprend 93 contrôles répartis en 4 sections :
5. Organisationnel (37 contrôles)
6. Personnes (8 contrôles)
7. Physique (14 contrôles)
8. Technologique (34 contrôles)
Réponses à vos questions essentielles
1 – Quelle est la différence entre ISO 27001 et ISO 27002 ?
La norme ISO 27001 est la norme principale et les entreprises peuvent la certifier ; les entreprises ne peuvent pas obtenir la certification ISO 27002:2022, car il s’agit uniquement d’une norme d’appui.
Dans l’annexe A, la norme ISO 27001 ne fournit qu’une liste de contrôles de sécurité, mais n’explique pas comment ils peuvent être mis en œuvre ; la norme ISO 27002 énumère les mêmes contrôles et fournit des orientations sur la manière de les mettre en œuvre. Toutefois, ce guide n’est pas obligatoire dans la norme ISO 27002, ce qui signifie que les entreprises peuvent décider de les utiliser ou non.
2 – Quand ces changements interviendront-ils ?
La norme ISO 27002 a été mise à jour le 15 février 2022 et l’annexe A de la norme ISO 27001 sera mise en conformité avec ces changements.
La mise à jour de l’annexe A de la norme ISO 27001 aura lieu en 2022, la date n’ayant pas encore été annoncée.
3 – Nous voulons commencer à mettre en œuvre la norme ISO 27001, devons-nous attendre que les changements soient publiés ou devons-nous commencer maintenant ?
Si votre client actuel ou potentiel attend que vous obteniez la certification, vous devriez commencer dès que possible ; si vous pouvez attendre jusqu’à la fin de 2022 avec votre projet, vous pouvez attendre la mise à jour de la norme.
En d’autres termes, cette décision n’a rien à voir avec les normes – elle dépend de la rapidité avec laquelle vous avez besoin de la certification ISO 27001.
4- Si nous commençons l’application de l’ISO 27001, allons-nous continuer avec les nouveaux jeux de contrôle ou les anciens ?
Vous devez commencer par les contrôles existants, car les modifications de la norme ISO 27001 n’ont pas encore été publiées.
La migration vers la nouvelle révision de la norme sera un effort mineur, car les changements apportés aux contrôles ne sont que modérés et vous aurez tout le temps nécessaire pour mettre à jour la documentation relative aux nouveaux contrôles.
5- Nous avons déjà mis en place la norme ISO 27001, que devons-nous changer dans notre documentation ?
Les changements de normes sont principalement liés à la réorganisation des contrôles, de sorte qu’il ne sera pas nécessaire de modifier les sections technologiques, mais seulement la documentation.
Les changements étant modérés, nous vous recommandons de ne pas ajouter de nouveaux documents et de ne pas supprimer de documents existants.
6- Quand devons-nous modifier nos documents ?
La période de transition pour ces changements n’a pas encore été communiquée, mais elle sera probablement de 24 mois à compter de la date officielle de mise à jour de la norme ISO 27001:2022.
Vous aurez donc largement le temps de vous y conformer.
7 – L’organisme de certification doit-il vérifier les modifications apportées aux documents ?
Oui, si votre entreprise est certifiée, l’organisme de certification vérifiera si vous avez adapté vos documents pendant la période de transition.
Comme ils le feront au cours des audits de surveillance réguliers, il ne sera pas nécessaire de planifier un nouvel audit.
Impact sur les normes ISO 27000 pertinentes
Il existe de nombreuses normes et cadres liés à la norme ISO 27002:2013 ou basés sur celle-ci. Le remplacement de la norme par une nouvelle version les affectera certainement.
Tout d’abord, la norme ISO 27001 devrait être mise à jour peu après la finalisation et la publication de la norme ISO 27002:2022. Selon les informations disponibles, la mise à jour de la norme ISO 27001 se limitera à des modifications mineures du texte et à une révision complète de l’annexe A conformément à la mise à jour de la norme ISO 27002.
Il devrait être mis à jour dans des normes communes telles que ISO 27701, ISO 27017 et ISO 27018.
Bien que la structure générale de la norme soit similaire à celle des autres normes, un changement majeur a été apporté à la manière dont les sections de contrôle sont structurées. La norme ISO 27002:2013, qui comprend 14 clauses, sera remplacée par 4 clauses, comme le montre la comparaison suivante.
Que devons-nous faire ?
Tout d’abord, il faut garder à l’esprit que, dans des circonstances normales, la publication d’une nouvelle norme à confirmer constitue une période transitoire. Normalement, la période de transition est de 24 mois, en fonction de l’état d’avancement du cycle de certification en cours.
Vous pouvez commencer à vous préparer en achetant la version publiée de la norme ISO 27002:2022.
Que pouvez-vous faire à ce stade ?
Bien que la liste ci-dessous ne soit pas exhaustive, ce sont peut-être les premières choses que vous pouvez faire ;
– Acheter la norme actualisée,
– Comparaison entre la nouvelle et l’ancienne norme,
– Effectuer une analyse des risques et vérifier l’analyse des écarts,
– Sélectionnez les contrôles applicables et définissez les politiques, normes et mises à jour de votre SMSI.
– Mettez à jour votre déclaration d’applicabilité,
– Mettre à jour votre programme d’audit interne afin d’y inclure les contrôles actualisés sélectionnés …. Etc.
–
Message de CFE