Contrôles de l'Annexe A ISO 27001 expliqués

Introduction

L'Annexe A est une liste de référence de 93 contrôles organisés en quatre catégories depuis la version 2022.

Contrôles organisationnels (A.5) — 37 contrôles

Couvre les politiques, rôles, gestion des actifs, contrôle d'accès et gestion des fournisseurs.

Nouveaux contrôles 2022 : Renseignement sur les menaces (A.5.7), sécurité cloud (A.5.23) et préparation TIC (A.5.30).

Contrôles des personnes (A.6) — 8 contrôles

Sécurité des employés : sélection, contrats, sensibilisation et formation, procédures disciplinaires.

Contrôles physiques (A.7) — 14 contrôles

Périmètres de sécurité physique, contrôles d'accès, sécurité des locaux et protection des équipements.

Contrôles technologiques (A.8) — 34 contrôles

Sécurité des postes, gestion des accès privilégiés, segmentation réseau et gestion des vulnérabilités.

Nouveaux contrôles : Filtrage web (A.8.23), codage sécurisé (A.8.28) et prévention des fuites de données (A.8.12).

Rédiger votre Déclaration d'Applicabilité

La DdA est un document obligatoire listant chaque contrôle, son applicabilité et son état d'implémentation. C'est l'un des documents les plus importants lors de votre audit.

Points clés

Les 93 contrôles sont une boîte à outils, pas une liste d'obligations. Appliquez-les selon votre évaluation des risques.