L'ISO 27001:2022 n'est pas une révolution sur le fond, mais bien une mise à jour importante. Le plus grand changement réside dans l'Annex A : de 114 mesures réparties en 14 chapitres à 93 mesures réparties en 4 thèmes (organisationnel, humain, physique, technologique). En outre, de nouvelles mesures ont été ajoutées et chaque contrôle a reçu des attributs permettant un meilleur filtrage.
Les principaux changements
- Nouvelle structure de l'Annex A : 4 thèmes au lieu de 14 domaines.
- 11 nouvelles mesures, notamment la threat intelligence, la cloud security, la data leakage prevention, le secure coding et la surveillance.
- Attributs par mesure (par ex. préventif/détectif, confidentialité/intégrité/disponibilité).
- Clarifications textuelles dans les chapitres 4 à 10.
Qu'est-ce que cela signifie pour votre ISMS ?
Les organisations déjà certifiées doivent, dans le délai de transition, réviser leur Statement of Applicability et leur traitement des risques selon la nouvelle Annex A. Une analyse d'écart permet de visualiser rapidement quelles (nouvelles) mesures vous devez encore traiter. Lisez aussi les chapitres 4 à 10 expliqués.
ISO/IEC 27001 — page officielle de la norme (source officielle).
Questions fréquentes
Des réponses courtes et directes — rédigées pour les humains comme pour les moteurs de recherche IA.
Non, vous n'avez pas à vous certifier à nouveau à partir de zéro, mais vous devez passer à la version 2022 dans le délai de transition. Cela se fait généralement lors d'un audit de surveillance ou de recertification ordinaire, au cours duquel l'organisme de certification vérifie si vous avez correctement intégré la nouvelle Annex A.
L'Annex A de l'ISO 27001:2022 contient 93 mesures de sécurité, réparties en quatre thèmes : organisationnel, humain, physique et technologique. Il s'agit d'une réorganisation et d'une fusion des 114 mesures de la version précédente, plus 11 nouvelles mesures.
Les 11 nouvelles mesures portent notamment sur la threat intelligence, la sécurité de l'information dans les services cloud, la continuité TIC, la surveillance de la sécurité physique, la gestion de la configuration, la data leakage prevention, la surveillance, le filtrage web et le secure coding — des sujets devenus plus importants au cours des dernières années.
Vous voulez savoir si vous êtes prêt pour l'audit ?
Planifiez un scan d'audit sans engagement et sachez en un seul entretien où vous en êtes et quelle est la prochaine étape.
