Norme Internationale - ISO 27002:2022 Rapport
Le rapport de conformité à la norme internationale - ISO 27002:2022 vous aide à évaluer la sécurité de votre application web par rapport aux lignes directrices de sécurité de l'information de la norme.
À propos de l'ISO 27002:2022
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique internationale) forment le système spécialisé de normalisation mondiale.
Les organismes nationaux membres de l'ISO ou de l'IEC participent à l'élaboration des Normes Internationales par le biais de comités techniques établis par l'organisation respective pour traiter des domaines particuliers d'activité technique.
L'ISO 27002 fournit des lignes directrices et des principes généraux pour démarrer, mettre en œuvre, maintenir et améliorer la gestion de la sécurité de l'information dans une organisation. Pour atteindre la sécurité de l'information, vous mettez en œuvre un ensemble de contrôles, tels que des politiques, des processus, des procédures, des structures organisationnelles, et des fonctions logicielles et matérielles. Vous devez établir, mettre en œuvre, surveiller, examiner et améliorer ces contrôles pour atteindre les objectifs spécifiques de sécurité et d'affaires de votre organisation.
L'ISO 27002 est destinée à servir de point de référence unique pour identifier une gamme de contrôles nécessaires pour les systèmes industriels et commerciaux, pour développer des normes de sécurité organisationnelle, et pour mettre en œuvre des pratiques de gestion de la sécurité efficaces.
Informations couvertes
ISO/IEC 27002:2022 est un "code de pratique" qui soutient l'ISO/IEC 27001. Il ne fixe pas d'exigences. Au lieu de cela, il fournit des conseils détaillés sur la manière de mettre en œuvre des contrôles de sécurité.
Les contrôles sont regroupés en quatre grands thèmes :
- Contrôles organisationnels
- Contrôles des personnes
- Contrôles physiques
- Contrôles technologiques
Entités couvertes
Toutes les entreprises et autres entités sont encouragées à adopter la norme et à entamer le processus d'amélioration de la gestion de la sécurité de l'information au sein de l'organisation.
ISO 27002:2022 rapporter les vulnérabilités
Le tableau suivant répertorie les groupes de vulnérabilités spécifiques de l'ISO 27002:2022 qu'AppScan Enterprise évalue. Les vulnérabilités trouvées dans votre application sont associées à ces groupes de vulnérabilités.
| ID | Nom |
|---|---|
| Contrôle 5.14 | Des règles, procédures ou accords doivent être en place pour le transfert sécurisé d'informations au sein de l'organisation et avec toute partie externe. |
| Contrôle 5.15 | Des règles pour contrôler l'accès physique et logique à l'information et aux autres actifs associés doivent être établies et mises en œuvre sur la base des exigences commerciales et de sécurité de l'information. |
| Contrôle 5.16 | Un processus doit être établi et mis en œuvre pour gérer le cycle de vie complet des identités des utilisateurs et autres entités. |
| Contrôle 5.32 | Les enregistrements doivent être protégés contre la perte, la destruction, la falsification, l'accès non autorisé et la divulgation non autorisée, conformément aux exigences légales, réglementaires, contractuelles et commerciales. |
| Contrôle 5.33 | L'utilisation des ressources doit être surveillée, ajustée et des projections des besoins futurs en capacité doivent être faites pour garantir que la performance requise du système est obtenue. |
| Contrôle 5.34 | L'organisation doit identifier et satisfaire les exigences concernant la protection des informations personnellement identifiables (PII) conformément à la législation et à la réglementation applicables ainsi qu'aux obligations contractuelles. |
| Contrôle 8.2 | L'attribution et l'utilisation des droits d'accès privilégiés doivent être restreintes et gérées. |
| Contrôle 8.3 | L'accès à l'information et aux autres actifs associés doit être restreint conformément à la politique de contrôle d'accès spécifique au sujet établie. |
| Contrôle 8.4 | L'accès en lecture et en écriture au code source, aux outils de développement et aux bibliothèques logicielles doit être restreint de manière appropriée afin de prévenir l'introduction de fonctionnalités non autorisées et de réduire le risque d'erreurs et de code malveillant. |
| Contrôle 8.5 | Des technologies et procédures d'authentification sécurisées doivent être mises en œuvre en fonction des restrictions d'accès à l'information et des exigences du système d'information. |
| Contrôle 8.7 | Des contrôles de détection, de prévention et de récupération pour se protéger contre les logiciels malveillants doivent être mis en œuvre, combinés à une sensibilisation appropriée des utilisateurs. |
| Contrôle 8.8 | Les informations sur les vulnérabilités techniques des systèmes d'information utilisés doivent être obtenues, l'exposition de l'organisation à ces vulnérabilités évaluée et des mesures appropriées prises. |
| Contrôle 8.9 | Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et examinées. |
| Contrôle 8.12 | Des mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et tout autre dispositif qui traitent, stockent ou transmettent des informations sensibles. |
| Contrôle 8.20 | Des restrictions sur les temps de connexion doivent être utilisées pour fournir une sécurité supplémentaire pour les applications et les systèmes. |
| Contrôle 8.21 | Les sessions inactives doivent se fermer après une période d'inactivité définie. |
| Contrôle 8.24 | Des règles pour l'utilisation efficace de la cryptographie doivent être définies et mises en œuvre. |
| Contrôle 8.26 | Les exigences de sécurité des applications, y compris les exigences dérivées des normes et politiques de sécurité de l'information pertinentes, doivent être identifiées, spécifiées et approuvées lors du développement et de l'acquisition d'applications. |
| Contrôle 8.32 | Le cycle de vie complet des identités doit être géré. |
| Contrôle 8.33 | L'allocation et la gestion des informations d'authentification doivent être contrôlées par un processus de gestion formel. |
| Contrôle 8.34 | Les droits d'accès à l'information et autres actifs associés doivent être provisionnés, révisés et ajustés régulièrement, selon les exigences pertinentes. |