ISO 27001:2022 — Ce qui a changé et une feuille de route de mise en œuvre de 12 semaines

Ce qui a changé dans la norme ISO 27001:2022 (par rapport à 2013)

activités de surveillance, codage sécurisé, etc.)

• Annexe A : 114 contrôles → 93 contrôles (restructurés, non simplifiés)
• 4 nouveaux thèmes de contrôle : Organisationnel, Personnes, Physique, Technologique
• 11 nouveaux contrôles (intelligence sur les menaces, sécurité du cloud, masquage des données,
• Sensibilisation aux délais de transition

Les 11 nouveaux contrôles (expliqués simplement)

• Renseignements sur les menaces
• Sécurité des informations pour les services cloud
• Préparation aux TIC pour la continuité des activités
• Surveillance de la sécurité physique
• Gestion des configurations
• Suppression des informations
• Masquage des données
• Prévention des fuites de données
• Activités de surveillance
• Filtrage Web
• Codage sécurisé

Une feuille de route de mise en œuvre sur 12 semaines

• Semaines 1 à 2 : évaluation des écarts par rapport à la norme ISO 27001:2022
• Semaines 3 à 4 : mise à jour de l'évaluation des risques et déclaration d'applicabilité (SoA)
• Semaines 5 à 8 : mise en œuvre du contrôle et mises à jour des politiques
• Semaines 9 à 10 : Audit interne
• Semaines 11 à 12 : revue de direction + préparation à l'audit de phase 1
• Après 12 semaines : audit de certification de niveau 2

Erreurs courantes pendant la transition

• Le traiter comme un exercice de documentation
• Ne pas mettre à jour l’évaluation des risques
• Ignorer les nouveaux contrôles (« nous ne faisons pas de cloud » – mais vous le faites)
• Des audits internes précipités

Pratique ISO 27001 de Trufe

CTA de clôture :

→ Lien vers : /solutions/cyber-security/grc/iso-27001/

→ Lien vers : /solutions/cyber-security/grc/regulatory-compliance-audits/