La norme ISO/IEC 27001 relative aux systèmes de management de la sécurité de l'information fournit aux entreprises un cadre pour la gestion des risques et la protection contre les menaces afin de garantir la sécurité des données, qu'il s'agisse d'informations financières, de propriété intellectuelle ou de données sur le personnel, entre autres.
Aujourd'hui, la sécurité de l'information figure en tête des priorités de la plupart des entreprises. Avec des nouveaux scénarios qui émergent, l'urgence change. Entre l'adoption en masse des technologies du Cloud et de l'automatisation, la cybersécurité, la protection de la vie privée, les logiciels malveillants et les ransomwares, les entreprises sont obligées de réévaluer leur contexte, les principaux risques et menaces et les parties prenantes concernées de manière structurée et fiable.
La dernière version datant de 2013, une nouvelle version était nécessaire pour aider les entreprises à naviguer entre ces nouveaux scénarios et s'assurer que les contrôles de sécurité actuels sont en place.
La norme ISO/IEC 27001:2022 révisée
La nouvelle version de l'ISO/IEC 27001:2022 répond aux nouveaux scénarios auxquels les entreprises doivent faire face. Les changements concernent principalement l'annexe A, anticipés par la publication de l'ISO/CEI 27002, où des contrôles de sécurité ont été ajoutés, supprimés ou fusionnés. Les changements s'étendent aux aspects liés à la cybersécurité et à la protection de la vie privée. Le langage des contrôles a été actualisé et des conseils supplémentaires ont été ajoutés. Cela aide les entreprises à gérer les risques, à s'assurer que rien ne manque et à assurer un suivi en bonne et due forme.
La dernière version a été publiée en 2013. Comme on pouvait s'y attendre, les changements apportés aux contrôles de sécurité sont assez importants : 11 nouveaux contrôles, 58 mis à jour et 24 fusionnés. Les scénarios de changement abordés en particulier sont les suivants :
- Introduction de technologies numériques telles que le Cloud et l'automatisation
- Adoption récente et accrue de ces technologies
- Reconnaissance des risques liés à la cybersécurité et aux données à caractère personnel
- Intégration de l’évolution du paysage des menaces, par exemple les nouveaux types de logiciels malveillants et de ransomware
- Alignement sur les autres meilleures pratiques, par exemple NIST (National Institute of Standards and Technology), COBIT (Control Objectives for Information and related Technology), etc.
- Actualisation du langage de contrôle et ajout de conseils supplémentaires
Les principaux domaines touchés par ces changements sont les suivants :
- Direction
- Sécurité de l'entreprise
- Fonction informatique
- Autres fonctions de soutien
- Prestation (pour les fournisseurs de services)
Pour se mettre en conformité, les organisations doivent mettre à jour leurs évaluations des risques et rétablir leurs contrôles de sécurité.
Outre les changements apportés aux contrôles, l'édition 2022 est également réalignée sur les dernières mises à jour de la structure de haut niveau (HLS) de l'ISO. Ces changements sont basés sur la dernière version de l'annexe SL des directives ISO/IEC, partie 1 (2022). Toutefois, ces changements sont considérés comme mineurs, car l'édition 2013 était l'une des premières normes à adopter la HLS.
Calendrier de transition
La nouvelle version d'ISO/IEC 27001 a été publiée le 25 octobre 2022. Le délai de transition est fixé à 3 ans. Les certificats actuels de 2013 doivent donc effectuer une transition vers la nouvelle version avant octobre 2025.
L'audit de transition peut être réalisé lors de n'importe quel audit programmé pendant la période de transition de 3 ans mais peut également être réalisé en tant qu'audit de transition spécial.
Préparation de la mise en œuvre
Nous vous recommandons de commencer à préparer la transition le plus tôt possible et de planifier correctement l'intégration des changements nécessaires dans votre système management. Étapes recommandées pour la transition :
- Apprenez à connaître le contenu et les exigences de la nouvelle norme. Concentrez-vous sur les changements qu'implique la norme révisée.
- Assurez-vous que le personnel concerné de votre organisation est formé et comprend les exigences et les principaux changements.
- Identifiez les lacunes qui doivent être comblées pour répondre aux nouvelles exigences et établissez un plan de mise en œuvre.
- Mettez en œuvre les actions et mettez à jour votre système management pour répondre aux nouvelles exigences.
Comment nous pouvons vous soutenir
Que vous soyez actuellement certifié ISO/IEC 27001 ou que vous découvriez la norme, DNV peut soutenir la certification et la transition de votre système management de la sécurité de l'information. En tant qu'organisme de certification international reconnu, nous travaillons avec des petites et grandes entreprises pour leurs besoins en matière de sécurité de l'information et de protection des données à caractère privé dans le monde entier.
Si vous vous préparez à la transition de la version 2013 à la version 2022, nous pouvons vous soutenir grâce à:
- Une formation où vous vous renseignez sur la révision et obtenez un aperçu de base des principaux changements et du processus de transition.
- Audit de transition pour mettre votre certification en conformité avec la nouvelle version de la norme.
Nous pouvons vous aider à chaque étape du processus.
Vous envisagez d'obtenir la certification ISO/IEC 27001 pour la première fois ? Veuillez consulter notre page de service de système management de la sécurité de l'information pour en savoir plus sur ses caractéristiques, ses avantages et le chemin vers la certification.