Norme Internationale - rapport ISO 27001:2022
Le rapport de conformité à la Norme Internationale - ISO 27001:2022 vous aide à évaluer la sécurité de votre application web par rapport au cadre du système de gestion de la sécurité de l'information (SGSI) ISO 27001:2022.
À propos de l'ISO 27001:2022
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique internationale) forment le système spécialisé de normalisation mondiale.
Les organismes nationaux membres de l'ISO ou de l'IEC participent à l'élaboration des Normes Internationales par l'intermédiaire de comités techniques établis par l'organisation respective pour traiter des domaines particuliers d'activité technique.
L'ISO 27001 a été conçue pour fournir un modèle pour établir, mettre en œuvre, exploiter, surveiller, examiner, maintenir et améliorer un système de gestion de la sécurité de l'information (SGSI).
L'ISO 27001 utilise l'approche processus. L'approche processus pour la gestion de la sécurité de l'information présentée dans cette norme encourage ses utilisateurs à souligner l'importance de :
- Comprendre les exigences de sécurité de l'information d'une organisation et la nécessité d'établir une politique et des objectifs pour la sécurité de l'information.
- Mettre en œuvre et exploiter des contrôles pour gérer les risques de sécurité de l'information d'une organisation dans le contexte des risques commerciaux globaux de l'organisation.
- Surveiller et examiner la performance et l'efficacité du SGSI.
- Amélioration continue basée sur une mesure objective.
Informations couvertes
ISO 27001 spécifie les exigences pour établir, mettre en œuvre, exploiter, surveiller, examiner, maintenir et améliorer un SMSI documenté dans le contexte des risques commerciaux globaux de l'organisation. Les exigences énoncées dans cette norme sont génériques et sont destinées à être applicables à toutes les organisations, quel que soit leur type, taille et nature.
Entités couvertes
ISO 27001 couvre tous les types d'organisations. Toutes les entreprises et autres entités sont encouragées à adopter la norme et à commencer le processus d'amélioration de la gestion de la sécurité de l'information au sein de l'organisation.
ISO 27001:2022 rapporter les vulnérabilités
Le tableau suivant répertorie les contrôles spécifiques ISO 27001:2022 qui sont évalués. Les vulnérabilités trouvées dans votre application sont mappées à ces contrôles.
| ID | Nom |
|---|---|
| Contrôle 5.14 | Des règles, procédures ou accords doivent être en place pour le transfert sécurisé d'informations au sein de l'organisation et avec toute partie externe. |
| Contrôle 5.15 | Des règles pour contrôler l'accès physique et logique à l'information et aux autres actifs associés doivent être établies et mises en œuvre sur la base des exigences commerciales et de sécurité de l'information. |
| Contrôle 5.16 | Un processus doit être établi et mis en œuvre pour gérer le cycle de vie complet des identités des utilisateurs et d'autres entités. |
| Contrôle 5.32 | Les enregistrements doivent être protégés contre la perte, la destruction, la falsification, l'accès non autorisé et la diffusion non autorisée, conformément aux exigences légales, réglementaires, contractuelles et commerciales. |
| Contrôle 5.33 | L'utilisation des ressources doit être surveillée, optimisée et des projections des besoins futurs en capacité doivent être faites pour garantir la performance requise du système. |
| Contrôle 5.34 | L'organisation doit identifier et satisfaire les exigences concernant la protection des informations personnellement identifiables (PII) conformément à la législation et à la réglementation applicables et aux obligations contractuelles. |
| Contrôle 8.2 | L'attribution et l'utilisation des droits d'accès privilégiés doivent être restreintes et gérées. |
| Contrôle 8.3 | L'accès à l'information et aux autres actifs associés doit être restreint conformément à la politique de contrôle d'accès spécifique au sujet établie. |
| Contrôle 8.4 | L'accès en lecture et en écriture au code source, aux outils de développement et aux bibliothèques logicielles doit être restreint de manière appropriée afin de prévenir l'introduction de fonctionnalités non autorisées et de réduire le risque d'erreurs et de code malveillant. |
| Contrôle 8.5 | Des technologies et procédures d'authentification sécurisées doivent être mises en œuvre en fonction des restrictions d'accès à l'information et des exigences du système d'information. |
| Contrôle 8.7 | Des contrôles de détection, de prévention et de récupération pour se protéger contre les logiciels malveillants doivent être mis en œuvre, combinés avec une sensibilisation appropriée des utilisateurs. |
| Contrôle 8.8 | Des informations sur les vulnérabilités techniques des systèmes d'information utilisés doivent être obtenues, l'exposition de l'organisation à ces vulnérabilités évaluée et des mesures appropriées prises. |
| Contrôle 8.9 | Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et révisées. |
| Contrôle 8.12 | Des mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et tout autre dispositif qui traite, stocke ou transmet des informations sensibles. |
| Contrôle 8.20 | Des restrictions sur les temps de connexion doivent être utilisées pour fournir une sécurité supplémentaire pour les applications et les systèmes. |
| Contrôle 8.21 | Les sessions inactives doivent se fermer après une période d'inactivité définie. |
| Contrôle 8.24 | Des règles pour l'utilisation efficace de la cryptographie doivent être définies et mises en œuvre. |
| Contrôle 8.26 | Les exigences de sécurité des applications, y compris les exigences dérivées des normes et politiques de sécurité de l'information pertinentes, doivent être identifiées, spécifiées et approuvées lors du développement et de l'acquisition d'applications. |
| Contrôle 8.32 | Le cycle de vie complet des identités doit être géré. |
| Contrôle 8.33 | L'allocation et la gestion des informations d'authentification doivent être contrôlées par un processus de gestion formel. |
| Contrôle 8.34 | Les droits d'accès à l'information et autres actifs associés doivent être provisionnés, révisés et ajustés régulièrement, selon les exigences pertinentes. |