Voilà maintenant presque un an que la norme ISO 27001:2013 a été remplacée par la nouvelle version nommée ISO 27001:2022. Voici votre plan de transition !
Cette version 2022 de la norme rehausse les exigences et introduit de nouveaux éléments pour répondre aux défis changeants et aux nouvelles menaces dans le domaine de la sécurité de l’information.
Elle reprend non seulement les risques traditionnels, mais ajoute également des points sur des menaces émergentes comme les attaques avancées(APT), l’Internet des objets (IoT), l’intelligence artificielle (IA) et surtout la confidentialité des renseignements personnels.
Le seul document de transition trouvé est celui de l’IAF (International Accreditation Forum), un groupe informant les organismes d’accréditation (Accreditation body) et ceux-là mêmes qui gère les organismes de certification qui vont certifier votre entreprise.
Lien: https://iaf.nu/iaf_system/uploads/documents/IAF_MD26_Issue_2_15012023.pdf
Il existe trois scénarios de transition:
- Entreprise souhaitant devenir certifié ISO27001:2013 ont jusqu’au 31 octobre 2023 pour le devenir.
- Entreprise souhaitant devenir certifier ISO 27001:2022 peuvent le faire à partir du 25 octobre 2022.
- Entreprise déjà certifiée ISO27001:2013 doit faire une transition avant le 31 octobre 2025.
Après avoir fait la migration de quelques entreprises vers la norme ISO27001:2022, voici les étapes de transitions faciles que j’utilise.
1- Documenter le plan de changement.
Afin d’être conforme à la procédure de gestion des changements ainsi qu’à la clause 6.3 (nouvelle clause de la version 2022 — Planification des changements), on documente et on planifie notre changement au SGSI. Ce document à pour objectif à vous aider dans la création de ce plan, il ne vous reste qu’à ajouter qui fera quels items et pour quand il sera fait!
2- Modifier le cadre de gestion du SGSI
Nouveau requis clause 4.2 c)
Indiquer lesquels des requis et attentes de vos parties prenantes sont adressé par le SGSI, soit par une nouvelle section dans le document ou peut-être surlignée les items de votre liste qui sont couverts par le SGSI.
L’objectif est de communiquer à ces parties prenantes s’il y a des requis NON couverts!
Ajustement à la clause 4.4
Il faut maintenant inclure dans notre documentation comment les changements ainsi que l’amélioration continue est mise en œuvre.
Concrètement nous avons différentes procédures et devrons comprendre l’interaction entre elles, surtout dans le contexte d’amélioration continue, par exemple lors d’un incident ou une non-conformité, avons nous une réflexion et un ajustement des autres procédures?
Ajustement à la clause 5.3 — Rôles et responsabilité
Les rôles et la responsabilité en matière de sécurité de l’information doivent être assignés et communiqués à tous dans l’organisation!
Pour l’auditeur, il doit valider que le responsable de la sécurité de l’information a bel et bien été nommé comme tel.
Refaire clause 6.1.2 — analyse de risque
Une nouvelle version de l’analyse de risque doit avoir eu lieu, et surtout faire le lien avec les nouvelles mesures de sécurité (Annexe A)
Ajustement à la clause 6.1.3 — Déclaration d’applicabilité
Compte tenu du changement majeur à l’annexe A de la norme ISO27001:2022, il est recommander de refaire notre déclaration d’applicabilité. Mais attention celle-ci doit inclure les réponses aux questions suivantes:
- Quelles mesures de sécurité sont nécessaires (en lien avec les résultats d’analyse de risques);
- Pourquoi la mesure de sécurité est incluse dans le SGSI;
- À savoir si la mesure de sécurité est en place ou non;
- La justification pour l’exclusion d’une mesure de sécurité.
Attention — lors de la migration, vous pouvez aussi couper les coins en ne faisant qu’une comparaison entre l’annexe A version 2013 et Annexe A version 2022 et ajouter les éléments qui y ont un impact sur votre gestion des risques. Cette option permet d’aller plus vite.
Ajustement à la clause 6.2 — Objectifs et plan pour les atteindre
L’item 6.2.d demande que les objectifs soient surveillés, et définir de quelle manière ils le seront. Donc, fournir des évidences de comment les objectifs sont surveillés.
Nouveau requis clause 6.3 — Planification des changements
La nouvelle clause indique: “lorsque l’organisme détermine qu’il est nécessaire d’apporter des modifications au SGSI, ceux-ci doivent être effectués de manière planifiée.”
Concrètement cela indique que tous les changements au SGSI doivent utiliser la procédure de gestion des changements de l’organisation.
Ajustement à la clause 7.4 — Communication
De la norme ISO27001:2013 a été supprimé les items (7.4.d)-qui communique et (7.4.e)les processus par lesquels la communication est effectuée.
Pour simplement remplacer par le nouvel article 7.4-d) comment communiquer ?
Ajustement à la clause 8.1 — Contrôle et planification des opérations
La clause 6 nous indique les risques ainsi que les objectifs que le SGSI doit atteindre, la clause 8 est reformulée afin que l’organisation puisse mettre en œuvre des opérations permettant d’attendre ces objectifs.
Donc concrètement pour chaque procédure, il faut définir les critères d’évaluation à savoir si ce processus est efficace. Par exemple, comment évalue-t-on la gestion des changements, pour savoir si celle-ci nous protège adéquatement contre les changements non autorisés?
Ajustement à la clause 9.1 — Surveillance
Cette clause a été reformulée pour plus de simplicité, mais ajoute l’emphase sur (9.1.b) le fait que la méthode de surveillance doit être répétable et offrir les mêmes résultats si réanalysés.
Reformulation de la clause 9.2 — Audit interne
Peu de changement à la clause 9.2, sauf une réorganisation des éléments en deux sous clauses, soit générale et programme d’audit interne.
Ajustement à la clause 9.3 — Revue de direction
Modifier le document de planification de revue de direction et agenda afin d’inclure la clause 9.3.c — “Changements dans les besoins et les attentes des parties intéressées qui sont pertinents pour le SGSI”.
Changement dans l’ordre des clauses 10.1 et 10.2
La nouvelle norme ISO27001:2022 inverse l’item 10.1 et 10.2 simplement.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
