La nouvelle édition de la norme ISO 27001 arrive
Ce qui change et à quoi il faut faire attention
Nouveau titre et restructuration de l'ISO/CEI 27002
La nouveauté de l’ISO 27002 réside déjà dans son titre : désormais, il s’agit de Sécurité de l’information, cybersécurité et protection des données – Mesure de sécurité de l’information. La norme répond ainsi aux nouveaux défis auxquels les entreprises sont confrontées dans le cadre de la sécurité des données c’est une norme internationale décrivant les bonnes pratiques à suivre pour les systèmes de gestion de la sécurité de l’information (ISMS). Elle aide les organisations à améliorer leur sécurité, à se conformer aux règlementations de cyber sécurité et à protéger et améliorer leur réputation. Alors que l’ancienne version comportait encore quatorze domaines thématiques et 35 objectifs de mesures, ceux-ci sont désormais répartis en quatre domaines principaux : mesures organisationnelles, mesures en rapport avec les personnes, mesures physiques et mesures techniques. Cela devrait garantir une meilleure lisibilité. En outre, le nombre de contrôles passe de 114 à 93, ce qui s’explique par le fait que certains contrôles ont été regroupés. Toutefois, la nouvelle version de la norme ISO 27002 contient onze contrôles supplémentaires.
Nouveautés et étapes nécessaires pour une certification ISMS
Les nouveaux contrôles sont par exemple le filtrage web, le masquage des données, la surveillance de la sécurité physique ou la suppression d’informations. Mais qu’est-ce que cela signifie pour la recertification ou la nouvelle certification d’un ISMS ? Certains des nouveaux contrôles, comme la surveillance de la sécurité physique, qui doit garantir que l’on sait à tout moment qui était dans les locaux de l’entreprise et à quel moment, pourraient poser de nouveaux défis aux petites entreprises. L’ampleur de l’effort de conversion dépend certainement autant de la taille de l’entreprise que de ses structures. Cela ne peut être déterminé qu’après un examen approfondi des mesures existantes. Ce qui est sûr, c’est que les entreprises doivent commencer dès maintenant à analyser l’écart entre le SMSI existant et celui exigé par la nouvelle norme. Celles qui prévoient une première certification ISO 27001 devraient immédiatement travailler sur la base des nouvelles règles afin d’éviter de devoir adapter les processus et la documentation existants nouvellement mis en œuvre.
Vous prévoyez une recertification sur la base de la nouvelle norme ou vous souhaitez mettre en place un ISMS ? Nous vous soutenons avec une analyse des écarts et vous accompagnons sur la voie d’une certification ISMS réussie.
