Les nouveautés de la norme ISO 27001:2022 - Sécurité de l'information, cybersécurité et protection de la vie privée
La norme internationale de sécurité des systèmes d'information ISO 27001 a été publiée pour la première fois en 2005. Sa dernière version en date (mise à jour en 2022) comporte des modifications significatives, notamment au niveau de l'annexe A de la norme. Voici l'essentiel à savoir sur les nouveautés de l'ISO 27001:2022.
Norme ISO 27001:2022, des termes retirés
La première nouveauté notable au niveau de la version 2022 de la norme internationale de sécurité des systèmes d'information est le retrait du terme « Code de pratique ». Ce changement fait suite à la récente mise à jour de la norme ISO 27002:2022 qui s'est matérialisée entre autres par une modification de sa dénomination. Elle est désormais considérée, conformément à ses objectifs, comme un ensemble de références pour mettre en place des mesures pour la sécurité de l'information (et non un code de pratique).
Rappelons que les règlementations de la norme ISO 27002:2022 sont utilisées au niveau de l'ISO 27001:2022 dans l'annexe A (avec une formulation sensiblement différente). D'autres améliorations et changements d'expressions ont également été effectués pour apporter plus de clarté et minimiser les ambiguïtés. Vous pouvez obtenir de plus amples informations sur la certification ISO 27001 et la cybersécurité en ayant recours à des professionnels spécialisés en gestion des systèmes d'information.
Une réduction du nombre de contrôles de sécurité
Dans la nouvelle version de la norme internationale de sécurité de l'information, cybersécurité et protection de la vie privée (ISO 27001), le nombre de contrôles de sécurité est réduit de 114 à 93. Les modifications observées au niveau de ces derniers se présentent comme suit :
- 35 contrôles inchangés,
- 23 d'entre eux ont été renommés,
- 57 sont regroupés pour en former 24 (pour apporter plus de clarté),
- 11 nouveaux contrôles de sécurité créés.
Les professionnels souhaitant accompagner les organisations pour mettre à jour leur SMSI (système de management de la sécurité de l'information) conformément à la nouvelle version de la norme ISO peuvent suivre une formation ISO 27001:2022 auprès d'un organisme spécialisé. Ils seront ainsi mieux outillés pour intervenir auprès des entreprises souhaitant se conformer à la norme internationale de sécurité de l'information, cybersécurité et protection de la vie privée.
La création de nouvelles catégories pour les contrôles
Dans la norme ISO 27001:2022 — Sécurité de l'information, cybersécurité et protection de la vie privée, les contrôles de sécurité sont classifiés en quatre grandes catégories (ou chapitres). C'est une réduction importante puisqu'il y avait en tout 14 thèmes dans l'ancienne version.
Les nouveaux chapitres regroupent les mesures organisationnelles, les mesures sur les personnes, les mesures physiques, et les mesures techniques ou technologiques. Ces catégories contiennent respectivement 37, 8, 14 et 34 contrôles. Ici également, les nouveautés de l'ISO 27001:2022 prennent leur source dans la norme ISO 27002:2022 mise à jour.
De nouveaux attributs pour les contrôles de sécurité
L'ISO 27001:2022 — Sécurité de l'information, cybersécurité et protection de la vie privée introduit le concept d'attributs. Ces nouveaux attributs sont regroupés en cinq catégories qui permettront aux organisations de filtrer, trier et présenter leurs contrôles de sécurités de différentes façons.
Les cinq catégories d'attributs sont les suivantes : types de contrôles (préventif, détectif, correctif), propriétés de sécurité de l'information, concept de cybersécurité, capacité opérationnelle, domaines de sécurité.