Livre Blanc - Comparaison entre ISO/CEI 27001:2022 et ISO/CEI 27001:2013. Quels sont les changements ?
Téléchargez le livre blanc
Ce guide met en évidence les principaux changements dans l'édition 2022, par rapport à l'édition 2013 de l'ISO/CEI 27001.
Les principaux changements dans l'ISO/CEI 27001:2022
- Le nom change pour refléter la portée réelle de la norme : ISO/CEI 27001:2022 - Sécurité de l'information, cybersécurité et protection de la vie privée - Systèmes de management de la sécurité de l'information - Exigences. Ce changement s'aligne également sur le nouveau titre de la norme ISO/CEI 27002:2022.
- Parmi les autres changements, citons la numérotation des clauses, le texte nouveau et réorganisé, et les mises à jour de l'annexe A, entre autres.
FAQ ISO/CEI 27001:2022
Retrouvez ci-dessous l'essentiel de ce que vous devez savoir à propos de la norme ISO/CEI 27001:2022
Pourquoi la norme ISO/CEI 27001 est-elle mise à jour ?
L’ISO met généralement à jour ses normes régulièrement. La dernière mise à jour de la norme ISO/CEI 27001 date de 2013 et le monde cybernétique et les menaces qui pèsent sur lui ont évolué. En Février 2022, la norme ISO/CEI 27002:2022 a été publiée dans un premier temps.
Pour ces raisons, la norme ISO/CEI 27001 doit être mise à jour pour répondre aux nouvelles menaces et à l’évolution des technologies.
Pour ces raisons, la norme ISO/CEI 27001 doit être mise à jour pour répondre aux nouvelles menaces et à l’évolution des technologies.
Quels sont les changements dans la norme ISO/CEI 27001:2022 ?
Pour retrouver la liste complète des changements ISO/CEI 27001, lisez notre document : Comparaison ISO/CEI 27001:2022 à la norme ISO/CEI 27001:2013. Quels sont les changements ?. Voici un aperçu rapide des changements majeurs :
Le titre : Le nom de la norme a été modifié pour refléter la portée réelle de la norme. Il s’agit de la norme ISO/CEI 27001:2022 – Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de gestion de la sécurité de l’information – Exigences. Cela s’harmonise également avec le nouveau titre ISO/CEI 27002:2022.
Numérotation des clauses : De nouveaux sous-documents ont été introduits afin d’harmoniser davantage la structure du document avec d’autres normes du Système de Management, telles que la norme ISO 9001 et la norme ISO 22301.
Deux sous-catégories – 10,1 et 10,2 – ont également été modifiées. Sans que les exigences changent :
- 10.1 devient une amélioration continue
- 10,2 devient une non-conformité et mesures correctives.
Nouveau texte : de nouveaux textes ont été ajoutés et d’autres modifiés pour apporter plus de clarté sur les exigences.
Annexe A : Le titre de l’Annexe A est désormais La référence des contrôles de sécurité de l’information et les contrôles ont été révisés pour s’aligner sur la norme ISO/CEI 27002:2022. Dans l’édition 2013, seules les descriptions des contrôles sont dérivées de la norme ISO/CEI 27002.
Enfin, on peut noter quelques mises à jour de plusieurs clauses.
Le titre : Le nom de la norme a été modifié pour refléter la portée réelle de la norme. Il s’agit de la norme ISO/CEI 27001:2022 – Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de gestion de la sécurité de l’information – Exigences. Cela s’harmonise également avec le nouveau titre ISO/CEI 27002:2022.
Numérotation des clauses : De nouveaux sous-documents ont été introduits afin d’harmoniser davantage la structure du document avec d’autres normes du Système de Management, telles que la norme ISO 9001 et la norme ISO 22301.
Deux sous-catégories – 10,1 et 10,2 – ont également été modifiées. Sans que les exigences changent :
- 10.1 devient une amélioration continue
- 10,2 devient une non-conformité et mesures correctives.
Nouveau texte : de nouveaux textes ont été ajoutés et d’autres modifiés pour apporter plus de clarté sur les exigences.
Annexe A : Le titre de l’Annexe A est désormais La référence des contrôles de sécurité de l’information et les contrôles ont été révisés pour s’aligner sur la norme ISO/CEI 27002:2022. Dans l’édition 2013, seules les descriptions des contrôles sont dérivées de la norme ISO/CEI 27002.
Enfin, on peut noter quelques mises à jour de plusieurs clauses.
Comment la norme ISO/CEI 27002:2022 a-t-elle eu un impact sur la norme ISO/CEI 27001 ?
Le 15 février 2022 a été un jour important avec la publication de la norme ISO/CEI 27002:2022 – Sécurité de l’information, cybersécurité et protection de la vie privée – Contrôles de sécurité de l’information. La norme ISO/CEI 27001 Annexe A a dû être mise à jour pour s’aligner sur les contrôles ISO/CEI 27002:2022.
Pour plus de détails, consultez notre livre blanc "Changements clés dans la norme ISO/CEI 27002:2022" .
Pour plus de détails, consultez notre livre blanc "Changements clés dans la norme ISO/CEI 27002:2022" .
Comment les changements ISO/CEI 27001:2022 m’affectent-ils ?
Bien que les mises à jour de 2022 rendent la documentation et les directives plus importantes et ajoutent plus de responsabilités, il existe des explications claires et détaillées de chaque contrôle.
Comme prévu, le changement le plus important est la révision de l’Annexe A pour s’aligner sur les contrôles de sécurité ISO/CEI 27002:2022.
Les modifications apportées aux clauses 4 à 10 sont des changements éditoriaux mineurs afin d’harmoniser davantage la structure avec d’autres normes du système de gestion.
Si votre organisation est déjà conforme à la norme ISO/CEI 27001, aucun changement technologique n’est nécessaire, juste des mises à jour dans la documentation. Vous pourriez avoir besoin de réviser les politiques internes, en fonction des nouvelles exigences et clauses modifiées. Votre évaluation des risques et votre plan de traitement des risques doivent également être revus et la déclaration d’applicabilité (SoA) mise à jour.
Comme prévu, le changement le plus important est la révision de l’Annexe A pour s’aligner sur les contrôles de sécurité ISO/CEI 27002:2022.
Les modifications apportées aux clauses 4 à 10 sont des changements éditoriaux mineurs afin d’harmoniser davantage la structure avec d’autres normes du système de gestion.
Si votre organisation est déjà conforme à la norme ISO/CEI 27001, aucun changement technologique n’est nécessaire, juste des mises à jour dans la documentation. Vous pourriez avoir besoin de réviser les politiques internes, en fonction des nouvelles exigences et clauses modifiées. Votre évaluation des risques et votre plan de traitement des risques doivent également être revus et la déclaration d’applicabilité (SoA) mise à jour.
Quelle est la durée de la période de transition ?
La période de transition est de trois ans à partir de la publication officielle de la norme ISO/CEI 27001:2022, soit le 25 février 2022. Vous devriez donc avoir suffisamment de temps pour vous conformer. Votre certificat ISO/CEI 27001 reste valable jusqu’à la fin de cette période.
Que dois-je faire si je suis déjà certifié ?
Vous devrez implémenter les modifications de la version 2022 avant votre prochain audit de certification.
À mesure que ces normes évoluent, attendez-vous des changements dans la manière dont les audits sont menés ?
Oui. Mais cela prendra du temps, alors n’attendez pas les nouvelles versions. Il suffit de passer à la version actuelle et de mettre à niveau plus tard. C’est la meilleure option compte tenu du paysage des menaces.
Est-il conseillé de faire la formation sur la nouvelle révision ISO/CEI 27001:2022 ?
Oui. Elle devrait être disponible fin 2022.
Que faire si vous avez plusieurs sites dans une région ? Qu'est-ce qui est préférable – audit de transition ou renouvellement ?
Comme la période de transition sur la nouvelle révision est de trois ans à partir de la publication officielle de la nouvelle édition, vous pouvez planifier par région ou par pays, mais vous devez couvrir entièrement tous les sites.
Comment SGS peut-elle vous aider ?
Nous pouvons vous aider à faciliter votre transition et avons créé une série de services et de documents, y compris la formation de transition et les documents d’orientation.
Nous pouvons réalisé une validation de l’adaptation de votre documentation au cours de la période de transition. Par conséquent, aucun nouvel audit n’a besoin d’être programmé, car cela aura lieu au cours de vos audits de surveillance réguliers.
En outre, un délai supplémentaire pour évaluer la réussite de la transition est autorisé selon les normes de l’International Accreditation Forum (IAF) Document MD 26:2022.
Enfin, lors d’un renouvellement de votre certification pendant la période de transition, vous pouvez anticiper en appliquant déjà les nouveaux contrôles.
Pour plus d’informations, contactez votre contact SGS ou par e-mail à fr.certification@sgs.com.
Nous pouvons réalisé une validation de l’adaptation de votre documentation au cours de la période de transition. Par conséquent, aucun nouvel audit n’a besoin d’être programmé, car cela aura lieu au cours de vos audits de surveillance réguliers.
En outre, un délai supplémentaire pour évaluer la réussite de la transition est autorisé selon les normes de l’International Accreditation Forum (IAF) Document MD 26:2022.
Enfin, lors d’un renouvellement de votre certification pendant la période de transition, vous pouvez anticiper en appliquant déjà les nouveaux contrôles.
Pour plus d’informations, contactez votre contact SGS ou par e-mail à fr.certification@sgs.com.
Rejoignez-nous !
Rejoignez notre communauté, restez informés des dernières actualités, connectez-vous à SGS sur LinkedIn.
Suivez-nous