ISO 27002 2013/2022 et modélisation Tenacy

Nous allons voir les différences entre la version 2013 et 2022 et comment celles-ci sont modélisées sur la plateforme.

Sommaire :

Introduction

1. Les 14 catégories réduites à 4 domaines

2. Remaniement des mesures de sécurité

3. Introduction d'attributs pour les mesures

Introduction

Dans l'univers de la sécurité de l'information, les normes ISO 27001 et ISO 27002 se positionnent en tant que piliers essentiels dans la création de SMSI. Cet article explore les nuances entre les 2 normes et leurs versions de 2013 et 2022, mettant en lumière les évolutions et comment cela se présente dans l'outil Tenacy.

⚠️ Dans Tenacy, les "Contrôles" de la norme sont appelés "Mesures" et c'est donc sous cette appellation que vous les retrouverez dans cet article. 

🔎 Tout au long de cet article nous utiliserons l'acronyme "SMSI" pour Système de Management de la Sécurité de l'Information.

1. Les 14 catégories réduites à 4 domaines

Les 4 domaines sont :

  • Organisationnel
  • Personnel
  • Physique
  • Technologique

iso 27002 2013

Ci-dessus les 14 catégories que vous retrouvez dans la version 2013, et ci-dessous les 4 domaines de la version 2022 dans l'outil Tenacy.

iso 27002 2023

2 annexes référencées :

  • Annexe A – Utilisation des attributs
  • Annexe B – Correspondance avec ISO 27002:2013

La principale influence de la norme ISO 27002 se manifeste par sa contribution à la stabilité du  SMSI au sein d'une organisation. Une distinction cruciale réside dans le fait que cette norme ne vise pas à établir une séparation entre les mesures applicables et non applicables au sein d'une organisation. Son rôle primordial est de servir de référence pour la sélection des mesures de sécurité, plutôt que d'être un processus de certification en soi. 

2. Remaniement des mesures de sécurité

Entre la version 2013 et la version 2022, passage de 144 mesures de sécurité à 93.
Sur ces 93 mesures, 58 ont été mises à jour, 24 ont été fusionnées et 11 nouvelles mesures ont été créées.

Aperçu des 11 nouvelles mesures :

La dernière itération de la norme ISO 27002 a accordé une attention plus précise à certains sujets, bien qu'ils soient déjà mentionnés dans de nombreuses mesures.

Cette mise à jour a fourni des orientations spécifiques et détaillées dans le cadre de mesures dédiées à ces sujets.

3. Introduction d'attributs pour les mesures


La récente modification majeure a inclus cinq attributs, chacun avec des valeurs définies.

  • Catégories de cybersécurité :
    #Identifier, #Protéger, #Détecter, etc.
  • Caractéristiques de la sécurité de l’information :
    #Confidentialité, #Intégrité et #Disponibilité
  • Secteurs de la sécurité :
    #Gouvernance_et_Ecosystème, #Protection, #Défense, etc.
  • Genres de contrôle :
    #Préventif, #Détective et #Correctif
  • Fonctions opérationnelles :
    #Gouvernance, #Gestion des actifs, #Protection de l’information, etc.

Dans la solution ils se traduisent par la présence de 5 classifications de la politique ISO 27002 selon l'attribut sélectionné : 

 

À présent, en se référant à l'annexe A, les attributs permettent d'associer une ou plusieurs valeurs de chaque attribut à l'une des mesures de sécurité. Cette modification vise à faciliter le regroupement et le tri des informations. Par exemple, si votre organisation souhaite renforcer les mesures préventives, en utilisant la valeur #préventif dans l'attribut, sélectionner la classification Control type affichera une liste de références des mesures préventives.

L'annexe B de cette version conserve une rétrocompatibilité avec l'ISO 27002:2013, facilitant ainsi la transition vers la version mise à jour de l'ISO 27002.