Publication : ISO/IEC 27002:2022
Actions requises
Prendre acte de la publication du document ISO/IEC 27002:2022 – Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de l'information.
Clients concernés
Les organismes adhérant au programme Cybersécuritaire ou au Programme de certification de systèmes de management de l’information, les candidats à ces programmes, le personnel évaluant concerné et d’autres parties intéressées.
Renseignements généraux
La dernière version de la norme ISO/IEC 27002:2022 – Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de l'information a été publiée le 9 février 2022. L’annexe A de la norme ISO/IEC 27001 a été modifiée en conséquence.
Le document ISO/IEC 27001:2022 – Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Exigences présente des informations sur la transition, dont les grandes lignes ont été communiquées dans le bulletin 2022-25.
Les modifications apportées à la norme ISO/IEC 27002:2022
- Le texte principal de la norme demeure intouché.
- Seules les mesures de sécurité listées à l’annexe A de la norme ISO/IEC 27001 doivent être adaptées à la dernière mouture de la norme ISO/IEC 27002:2022.
- La liste de mesures a été élaguée de 114 à 93; elle comprend 11 nouvelles mesures, 24 mesures fusionnées et 58 mesures actualisées.
- Les mesures se déclinent maintenant en quatre sections plutôt qu’en 14.
- Chaque mesure s’arrime à une grille de cinq attributs cotés (traduction libre) :
- Types de mesures (prévention, détection, correction)
- Propriétés de la sécurité de l’information (confidentialité, intégralité, disponibilité)
- Concepts de cybersécurité (cerner; protéger, détecter, réagir, récupérer)
- Capacités opérationnelles (gouvernance, gestion des actifs, protection de l’information, sécurité des ressources humaines, sécurité du système et du réseau, sécurité des applications, sécurité des configurations, gestion des identités et de l’accès, gestion des menaces et des vulnérabilités, continuité, sécurité des relations fournisseur, juridique et conformité, gestion des incidents de sécurité informatique, assurance de la sécurité de l’information)
- Domaines de sécurité (gouvernance et écosystème, protection, défense, résilience)
La troisième édition de la norme introduit des attributs et précise l’objectif de chaque mesure, alors que la version antérieure donnait l’objectif des groupes de mesures.
Nouvelles exigences
- Le présent bulletin est transmis aux organismes de certification accrédités pour éclairer l’adaptation des processus d’audit et renseigner leur clientèle.
- Il incombe aux organismes de certification accrédités de vérifier, dans les délais impartis, la conformité de la documentation, des processus et des procédures de leur clientèle à la norme ISO/IEC 27002:2022 et à la nouvelle annexe A de la norme ISO/IEC 27001.
- Nul besoin de programmer des audits supplémentaires, car la période de transition a été pensée pour accorder le temps nécessaire pour la vérification de la conformité aux mesures de l’annexe A.
Implications pour les évaluatrices et évaluateurs en chef
L’essentiel de la norme ISO/IEC 27001 demeure intact, ce qui n’entraîne aucun besoin de formations supplémentaires. Les organismes concernés peuvent toutefois donner des formations sur les modifications apportées à l’annexe A de la norme ISO/IEC 27001.
Date limite
s.o.
Des questions?
Pour tout complément d’information, communiquer avec Abdel Kassou, gestionnaire, Service de la conformité et des évaluations : abdel.kassou@scc-ccn.ca ou 1 613 238-3222.