kSIST ISO/IEC FDIS 27002:2022
(Main)Information security, cybersecurity and privacy protection -- Information security controls
Information security, cybersecurity and privacy protection -- Information security controls
This document provides a reference set of generic information security controls including implementation guidance. This document is designed to be used by organizations:
a) within the context of an information security management system (ISMS) based on ISO/IEC27001;
b) for implementing information security controls based on internationally recognized best practices;
c) for developing organization-specific information security management guidelines.
Sécurité de l'information, cybersécurité et protection de la vie privée -- Mesures de sécurité de l'information
Le présent document fournit un ensemble de référence de mesures de sécurité de l'information génériques, y compris des recommandations de mise en œuvre. Le présent document est conçu pour être utilisé par les organisations:
a) dans le contexte d'un système de gestion de la sécurité de l'information (SMSI) selon l'ISO/IEC 27001;
b) pour la mise en œuvre de mesures de sécurité de l'information basées sur les bonnes pratiques reconnues au niveau international;
c) pour l'élaboration des recommandations de gestion de la sécurité de l'information spécifiques à une organisation.
Informacijska varnost, kibernetska varnost in varovanje zasebnosti - Kontrole informacijske varnosti
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27002
Redline version
compares Third edition to
Second edition
Information security, cybersecurity
and privacy protection — Information
security controls
Sécurité de l'information, cybersécurité et protection de la vie
privée — Mesures de sécurité de l'information
Reference number
ISO/IEC 27002:r edline:2022(E)
© ISO/IEC 2022
---------------------- Page: 1 ----------------------
ISO/IEC 27002:redline:2022(E)
IMPORTANT — PLEASE NOTE
This is a provisional mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
— indicates removed text (in red)
Text example 2
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
All changes in this document have yet to reach concensus by vote and as such should only
be used internally for review purposes.
DISCLAIMER
This Redline version is not an official IEC Standard and is intended only to provide the
user with an indication of what changes have been made to the previous version. Only the
current version of the standard is to be considered the official document.
This Redline version provides you with a quick and easy way to compare all the changes
between this standard and its previous edition. A vertical bar appears in the margin
wherever a change has been made. Additions and deletions are displayed in red, with
deletions being struck through.
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 27002:redline:2022(E)
Contents Page
Foreword .viii
0 Introduction .ix
1 Scope . 1
2 Normative references . 1
3 Terms and definitions , definitions and abbreviated terms. 1
3.1 Terms and definitions . 1
3.2 Abbreviated terms . 6
4 Structure of this standard document . 8
4.1 Clauses . 8
4.2 Control categories Themes and attributes . 8
4.3 Control layout . 10
5 Information security policies .10
5.1 Management direction for information security . 10
5.1.1 Policies for information security . 10
5.1.2 Review of the policies for information security . 11
6 Organization of information security .12
6.1 Internal organization . 12
6.1.1 Information security roles and responsibilities . 12
6.1.2 Segregation of duties . 13
6.1.3 Contact with authorities . 13
6.1.4 Contact with special interest groups . 13
6.1.5 Information security in project management .14
6.2 Mobile devices and teleworking .14
6.2.1 Mobile device policy .14
6.2.2 Teleworking . 16
7 Human resource security .17
7.1 Prior to employment .17
7.1.1 Screening .17
7.1.2 Terms and conditions of employment . . 18
7.2 During employment . 18
7.2.1 Management responsibilities. 18
7.2.2 Information security awareness, education and training .19
7.2.3 Disciplinary process . 20
7.3 Termination and change of employment . 21
7.3.1 Termination or change of employment responsibilities . 21
8 5 Asset management Organizational controls .21
5.1 Policies for information security . 21
5.2 Information security roles and responsibilities . 24
5.3 Segregation of duties . 25
5.4 Management responsibilities . . 25
5.5 Contact with authorities . 26
5.6 Contact with special interest groups . 27
5.7 Threat intelligence . 28
5.8 Information security in project management . 29
8.1 5.9 Responsibility for Inventory of information and other associated assets . 31
8.1.1 Inventory of assets . 31
8.1.2 Ownership of assets . 31
8.1.3 Acceptable use of assets . 32
8.1.4 Return of assets . 32
5.10 Acceptable use of information and other associated assets . 34
5.11 Return of assets . 35
iii
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 3 ----------------------
ISO/IEC 27002:redline:2022(E)
8.2 5.12 Information classification Classification of information . 36
8.2.1 Classification of information. 36
8.2.2 Labelling of information . 37
8.2.3 Handling of assets . 37
5.13 Labelling of information . 39
5.14 Information transfer . 40
5.15 Access control . 43
5.16 Identity management . 45
5.17 Authentication information . 46
5.18 Access rights . 48
5.19 Information security in supplier relationships . 49
5.20 Addressing information security within supplier agreements.51
5.21 Managing information security in the ICT supply chain . 53
5.22 Monitoring, review and change management of supplier services . 55
5.23 Information security for use of cloud services . 57
5.24 Information security incident management planning and preparation . 59
5.25 Assessment and decision on information security events .61
5.26 Response to information security incidents .61
5.27 Learning from information security incidents . 62
5.28 Collection of evidence . 63
5.29 Information security during disruption . 64
5.30 ICT readiness for business continuity . 64
8.3 5.31 Media handling Legal, statutory, regulatory and contractual requirements . 66
8.3.1 Management of removable media . 66
8.3.2 Disposal of media . 66
8.3.3 Physical media transfer . 67
5.32 Intellectual property rights. 69
5.33 Protection of records . 70
5.34 Privacy and protection of PII . 72
5.35 Independent review of information security . 73
5.36 Compliance with policies, rules and standards for information security .74
5.37 Documented operating procedures . 75
9 Access control.76
9.1 Business requirements of access control .76
9.1.1 Access control policy .76
9.1.2 Access to networks and network services . 77
9.2 User access management . 78
9.2.1 User registration and de-registration . 78
9.2.2 User access provisioning. 78
9.2.3 Management of privileged access rights . 79
9.2.4 Management of secret authentication information of users . 80
9.2.5 Review of user access rights . 80
9.2.6 Removal or adjustment of access rights . 81
9.3 User responsibilities . 81
9.3.1 Use of secret authentication information. 81
9.4 System and application access control . 82
9.4.1 Information access restriction . 82
9.4.2 Secure log-on procedures . 83
9.4.3 Password management system . 84
9.4.4 Use of privileged utility programs . 84
9.4.5 Access control to program source code . 85
10 6 Cryptography People controls .85
6.1 Screening . 85
6.2 Terms and conditions of employment . 87
6.3 Information security awareness, education and training . 88
6.4 Disciplinary process . 89
6.5 Responsibilities after termination or change of employment . 90
iv
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 27002:redline:2022(E)
6.6 Confidentiality or non-disclosure agreements . 91
10.1 6.7 Cryptographic controls Remote working . 92
10.1.1 Policy on the use of cryptographic controls . 92
10.1.2 Key management . 93
6.8 Information security event reporting. 96
11 7 Physical and environmental security controls .97
11.1 7.1 Secure areas Physical security perimeters . 97
11.1.1 Physical security perimeter . 97
11.1.2 Physical entry controls . 98
11.1.3 Securing offices, rooms and facilities . 98
11.1.4 Protecting against external and environmental threats . 99
11.1.5 Working in secure areas . 99
11.1.6 Delivery and loading areas . 99
7.2 Physical entry .101
7.3 Securing offices, rooms and facilities .102
7.4 Physical security monitoring .103
7.5 Protecting against physical and environmental threats .104
7.6 Working in secure areas .105
7.7 Clear desk and clear screen .106
7.8 Equipment siting and protection .107
7.9 Security of assets off-premises .108
7.10 Storage media .109
7.11 Supporting utilities .110
7.12 Cabling security .111
7.13 Equipment maintenance .112
11.2 7.14 Equipment Secure disposal or re-use of equipment .113
11.2.1 Equipment siting and protection .113
11.2.2 Supporting utilities .113
11.2.3 Cabling security . 114
11.2.4 Equipment maintenance .114
11.2.5 Removal of assets .115
11.2.6 Security of equipment and assets off-premises .115
11.2.7 Secure disposal or re-use of equipment .116
11.2.8 Unattended user equipment .117
11.2.9 Clear desk and clear screen policy .117
12 8 Operations security Technological controls . 119
8.1 User endpoint devices .119
8.2 Privileged access rights . .121
8.3 Information access restriction .122
8.4 Access to source code .124
8.5 Secure authentication .125
12.1 8.6 Operational procedures and responsibilities Capacity management .127
12.1.1 Documented operating procedures .127
12.1.2 Change management .127
12.1.3 Capacity management .128
12.1.4 Separation of development, testing and operational environments .129
12.2 8.7 Protection from against malware .131
12.2.1 Controls against malware .131
8.8 Management of technical vulnerabilities .134
8.9 Configuration management .137
8.10 Information deletion .139
8.11 Data masking . .140
8.12 Data leakage prevention .142
12.3 8.13 Backup Information backup. 143
12.3.1 Information backup .143
8.14 Redundancy of information processing facilities .145
12.4 8.15 Logging and monitoring .146
v
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 5 ----------------------
ISO/IEC 27002:redline:2022(E)
12.4.1 Event logging .146
12.4.2 Protection of log information . 147
12.4.3 Administrator and operator logs .148
12.4.4 Clock synchronisation . .148
8.16 Monitoring activities .151
8.17 Clock synchronization .153
8.18 Use of privileged utility programs .154
12.5 8.19 Control of operational software Installation of software on operational systems .154
12.5.1 Installation of software on operational systems .155
8.20 Networks security .157
8.21 Security of network services .158
8.22 Segregation of networks .159
8.23 Web filtering .160
8.24 Use of cryptography .161
8.25 Secure development life cycle .163
8.26 Application security requirements .164
12.6 8.27 Technical vulnerability management Secure system architecture and
engineering princip
...
INTERNATIONAL ISO/IEC
STANDARD 27002
Third edition
2022-02
Corrected version
2022-03
Information security, cybersecurity
and privacy protection — Information
security controls
Sécurité de l'information, cybersécurité et protection de la vie
privée — Mesures de sécurité de l'information
Reference number
ISO/IEC 27002:2022(E)
© ISO/IEC 2022
---------------------- Page: 1 ----------------------
ISO/IEC 27002:2022(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 27002:2022(E)
Contents Page
Foreword . vi
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
3.1 Terms and definitions . 1
3.2 Abbreviated terms . 6
4 Structure of this document .7
4.1 Clauses . 7
4.2 Themes and attributes . 8
4.3 Control layout . 9
5 Organizational controls . 9
5.1 Policies for information security . . 9
5.2 Information security roles and responsibilities . 11
5.3 Segregation of duties. 12
5.4 Management responsibilities .13
5.5 Contact with authorities . 14
5.6 Contact with special interest groups . 15
5.7 Threat intelligence .15
5.8 Information security in project management . 17
5.9 Inventory of information and other associated assets . 18
5.10 Acceptable use of information and other associated assets . 20
5.11 Return of assets . 21
5.12 Classification of information . 22
5.13 Labelling of information .23
5.14 Information transfer . 24
5.15 Access control . 27
5.16 Identity management . 29
5.17 Authentication information . 30
5.18 Access rights . 32
5.19 Information security in supplier relationships . 33
5.20 Addressing information security within supplier agreements . 35
5.21 Managing information security in the ICT supply chain . 37
5.22 Monitoring, review and change management of supplier services .39
5.23 Information security for use of cloud services . 41
5.24 Information security incident management planning and preparation . 43
5.25 Assessment and decision on information security events . 45
5.26 Response to information security incidents . 45
5.27 Learning from information security incidents .46
5.28 Collection of evidence . . 47
5.29 Information security during disruption .48
5.30 ICT readiness for business continuity .48
5.31 Legal, statutory, regulatory and contractual requirements .50
5.32 Intellectual property rights . 51
5.33 Protection of records . 53
5.34 Privacy and protection of PII .54
5.35 Independent review of information security . 55
5.36 Compliance with policies, rules and standards for information security .56
5.37 Documented operating procedures . 57
6 People controls .58
6.1 Screening .58
6.2 Terms and conditions of employment . 59
iii
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 3 ----------------------
ISO/IEC 27002:2022(E)
6.3 Information security awareness, education and training .60
6.4 Disciplinary process . 62
6.5 Responsibilities after termination or change of employment.63
6.6 Confidentiality or non-disclosure agreements .63
6.7 Remote working .65
6.8 Information security event reporting.66
7 Physical controls .67
7.1 Physical security perimeters . 67
7.2 Physical entry .68
7.3 Securing offices, rooms and facilities . 70
7.4 Physical security monitoring . . 70
7.5 Protecting against physical and environmental threats . 71
7.6 Working in secure areas .72
7.7 Clear desk and clear screen .73
7.8 Equipment siting and protection .74
7.9 Security of assets off-premises .75
7.10 Storage media . 76
7.11 Supporting utilities .77
7.12 Cabling security . 78
7.13 Equipment maintenance .79
7.14 Secure disposal or re-use of equipment .80
8 Technological controls .81
8.1 User endpoint devices . 81
8.2 Privileged access rights .83
8.3 Information access restriction .84
8.4 Access to source code .86
8.5 Secure authentication .87
8.6 Capacity management .89
8.7 Protection against malware .90
8.8 Management of technical vulnerabilities . 92
8.9 Configuration management . 95
8.10 Information deletion . 97
8.11 Data masking .98
8.12 Data leakage prevention .100
8.13 Information backup.101
8.14 Redundancy of information processing facilities .102
8.15 Logging .103
8.16 Monitoring activities .106
8.17 Clock synchronization .108
8.18 Use of privileged utility programs .109
8.19 Installation of software on operational systems . 110
8.20 Networks security . 111
8.21 Security of network services .112
8.22 Segregation of networks .113
8.23 Web filtering . 114
8.24 Use of cryptography .115
8.25 Secure development life cycle . 117
8.26 Application security requirements . 118
8.27 Secure system architecture and engineering principles .120
8.28 Secure coding.122
8.29 Security testing in development and acceptance .124
8.30 Outsourced development .126
8.31 Separation of development, test and production environments.127
8.32 Change management .128
8.33 Test information .129
8.34 Protection of information systems during audit testing .130
Annex A (informative) Using attributes . 132
iv
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 27002:2022(E)
Annex B (informative) Correspondence of ISO/IEC 27002:2022 (this document) with ISO/
IEC 27002:2013 . 143
Bibliography . 150
v
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 5 ----------------------
ISO/IEC 27002:2022(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work.
The procedures used to develop this document and those intended for its further maintenance
are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria
needed for the different types of document should be noted. This document was drafted in
accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or
www.iec.ch/members_experts/refdocs).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents) or the IEC
list of patent declarations received (see patents.iec.ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html. In the IEC, see www.iec.ch/understanding-standards.
’This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This third edition cancels and replaces the second edition (ISO/IEC 27002:2013), which has been
technically revised. It also incorporates the Technical Corrigenda ISO/IEC 27002:2013/Cor. 1:2014 and
ISO/IEC 27002:2013/Cor. 2:2015.
The main changes are as follows:
— the title has been modified;
— the structure of the document has been changed, presenting the controls using a simple taxonomy
and associated attributes;
— some controls have been merged, some deleted and several new controls have been introduced. The
complete correspondence can be found in Annex B.
This corrected version of ISO/IEC 27002:2022 incorporates the following corrections:
— non-functioning hyperlinks throughout the document have been restored;
— in the introductory table in subclause 5.22 and in Table A.1 (row 5.22), "#information_security_
assurance" has been moved from the column headed "Security domains" to the column headed
"Operational capabilities".
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
vi
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 27002:2022(E)
Introduction
0.1 Background and context
This document is designed for organizations of all types and sizes. It is to be used as a reference for
determining and implementing controls for information security risk treatment in an information
security management system (ISMS) based on ISO/IEC 27001. It can also be used as a guidance
document for organizations determining and implementing commonly accepted information security
controls. Furthermore, this document is intended for use in developing industry and organization-
specific information security management guidelines, taking into consideration their specific
information security risk environment(s). Organizational or environment-specific controls other than
those included in this document can be determined through risk assessment as necessary.
Organizations of all types and sizes (including public and private sector, commercial and non-profit)
create, collect, process, store, transmit and dispose of information in many forms, including electronic,
physical and verbal (e.g. conversations and presentations).
The value of information goes beyond written words, numbers and images: knowledge, concepts, ideas
and brands are examples of intangible forms of information. In an interconnected world, information
and other associated assets deserve or require protection against various risk sources, whether natural,
accidental or deliberate.
Information security is achieved by implementing a suitable set of controls, including policies, rules,
processes, procedures, organizational structures and software and hardware functions. To meet its
specific security and business objectives, the organization should define, implement, monitor, review
and improve these controls where necessary. An ISMS such as that specified in ISO/IEC 27001 takes a
holistic, coordinated view of the organization’s information security risks in order to determine and
implement a comprehensive suite of information security controls within the overall framework of a
coherent management system.
Many information systems, including their management and operations, have not been designed to be
secure in terms of an ISMS as specified in ISO/IEC 27001 and this document. The level of security that
can be achieved only through technological measures is limited and should be supported by appropriate
management activities and organizational processes. Identifying which controls should be in place
requires careful planning and attention to detail while carrying out risk treatment.
A successful ISMS requires support from all personnel in the organization. It can also require
participation from other interested parties, such as shareholders or suppliers. Advice from subject
matter experts can also be needed.
A suitable, adequate and effective information security management system provides assurance to the
organization’s management and other interested parties that their information and other associated
assets are kept reasonably secure and protected against threats and harm, thereby enabling the
organization to achieve the stated business objectives.
0.2 Information security requirements
It is essential that an organization determines its information security requirements. There are three
main sources of information security requirements:
a) the assessment of risks to the organization, taking into account the organization’s overall business
strategy and objectives. This can be facilitated or supported through an information security-
specific risk assessment. This should result in the determination of the controls necessary to
ensure that the residual risk to the organization meets its risk acceptance criteria;
b) the legal, statutory, regulatory and contractual requirements that an organization and its
interested parties (trading partners, service providers, etc.) have to comply with and their socio-
cultural environment;
vii
© ISO/IEC 2022 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/IEC 27002:2022(E)
c) the set of principles, objectives and business requirements for all the steps of the life cycle of
information that an organization has developed to support its operations.
0.3 Controls
A control is defined as a measure that modifies or maintains risk. Some of the controls in this document
are controls that modify risk, while others maintain risk. An information security policy, for example,
can only maintain risk, whereas compliance with the information security policy can modify risk.
Moreover, some controls describe the same generic measure in different risk contexts. This document
provides a generic mixture of organizational, people, physi
...
ISO/IEC JTC 1/SC 27
Date : 2022-0210
Version corrigée : 2022-03
ISO IEC 27002:2022 (F)
ISO/IEC JTC 1/SC 27
Secrétariat : DIN
Sécurité de l'information, cybersécurité et protection de la vie privée — Moyens
de maîtrise de l'information
Information security, cybersecurity and privacy protection — Information security
controls
ICS : 35.030
Type du document: Norme internationale
Sous-type du document:
Stade du document: (60) Publication
Langue du document: F
---------------------- Page: 1 ----------------------
Type du document: Norme internationale
Sous-type du document:
Stade du document: (60) Publication
Langue du document: F
---------------------- Page: 2 ----------------------
ISO/IEC 27002:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre,
aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit
et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur l’Internet
ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être
adressées à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
CP 401 •• Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél. :.: + 41 22 749 01 11
Fax : + 41 22 749 09 47
E-mail : copyright@iso.org
Web : www.iso.org
Publié en Suisse
ii © ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/IEC 27002:2022(F)
Sommaire
Avant-propos . vi
Introduction . viii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
3.1 Termes et définitions . 1
3.2 Abréviations . 7
4 Structure du présent document . 9
4.1 Articles . 9
4.2 Thèmes et attributs . 9
4.3 Structure des moyens de maîtrise . 11
5 Moyens de maîtrise organisationnels . 11
5.1 Politiques de sécurité de l'information . 11
5.2 Fonctions et responsabilités liées à la sécurité de l'information . 14
5.3 Séparation des tâches . 15
5.4 Responsabilités de la direction . 16
5.5 Contacts avec les autorités . 17
5.6 Contacts avec des groupes d’intérêt spécifiques . 18
5.7 Renseignements sur les menaces . 19
5.8 Sécurité de l'information dans la gestion de projet . 21
5.9 Inventaire des informations et autres actifs associés . 23
5.10 Utilisation correcte des informations et autres actifs associés . 25
5.11 Restitution des actifs . 26
5.12 Classification des informations . 27
5.13 Marquage des informations . 29
5.14 Transfert des informations. 30
5.15 Contrôle d'accès . 33
5.16 Gestion des identités . 36
5.17 Informations d'authentification . 37
5.18 Droits d'accès . 39
5.19 Sécurité de l'information dans les relations avec les fournisseurs . 41
5.20 La sécurité de l'information dans les accords conclus avec les fournisseurs . 44
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC . 46
5.22 Surveillance, révision et gestion des changements des services fournisseurs . 49
5.23 Sécurité de l'information dans l'utilisation de services en nuage . 51
5.24 Planification et préparation de la gestion des incidents liés à la sécurité de
l'information . 53
5.25 Évaluation des événements liés à la sécurité de l'information et prise de décision . 55
5.26 Réponse aux incidents liés à la sécurité de l'information . 56
5.27 Tirer des enseignements des incidents liés à la sécurité de l'information . 57
5.28 Collecte des preuves . 58
5.29 Sécurité de l'information pendant une perturbation . 59
5.30 Préparation des TIC pour la continuité d'activité . 60
5.31 Exigences légales, statutaires, réglementaires et contractuelles . 61
5.32 Droits de propriété intellectuelle . 63
5.33 Protection des documents d'activité . 65
© ISO/IEC 2022 – Tous droits réservés iii
---------------------- Page: 4 ----------------------
ISO/IEC 27002:2022(F)
5.34 Protection de la vie privée et des DCP . 67
5.35 Révision indépendante de la sécurité de l'information . 68
5.36 Conformité aux politiques, règles et normes de sécurité de l'information . 69
5.37 Procédures d'exploitation documentées . 70
6 Moyens de maîtrise applicables aux personnes . 71
6.1 Sélection des candidats . 71
6.2 Termes et conditions du contrat de travail . 73
6.3 Sensibilisation, enseignement et formation en sécurité de l'information . 74
6.4 Processus disciplinaire . 76
6.5 Responsabilités après la fin ou le changement d’un emploi . 77
6.6 Accords de confidentialité ou de non-divulgation . 78
6.7 Travail à distance . 79
6.8 Déclaration des événements liés à la sécurité de l'information . 81
7 Moyens de maîtrise physique . 82
7.1 Périmètres de sécurité physique . 82
7.2 Les entrées physiques . 83
7.3 Sécurisation des bureaux, des salles et des installations . 86
7.4 Surveillance de la sécurité physique . 86
7.5 Protection contre les menaces physiques et environnementales . 88
7.6 Travail dans les zones sécurisées . 89
7.7 Bureau vide et écran vide . 90
7.8 Emplacement et protection du matériel . 91
7.9 Sécurité des actifs hors des locaux . 92
7.10 Supports de stockage . 93
7.11 Services supports . 95
7.12 Sécurité du câblage . 96
7.13 Maintenance du matériel . 97
7.14 Élimination ou recyclage sécurisé(e) du matériel . 98
8 Moyens de maîtrise technologiques . 100
8.1 Terminaux utilisateurs . 100
8.2 Droits d'accès privilégiés . 103
8.3 Restrictions d'accès aux informations . 104
8.4 Accès aux codes source . 107
8.5 Authentification sécurisée . 108
8.6 Dimensionnement . 110
8.7 Protection contre les programmes malveillants (malware) . 111
8.8 Gestion des vulnérabilités techniques . 113
8.9 Gestion des configurations . 117
8.10 Suppression des informations . 120
8.11 Masquage des données . 121
8.12 Prévention la fuite de données . 123
8.13 Sauvegarde des informations . 125
8.14 Redondance des moyens de traitement de l'information . 127
8.15 Journalisation . 128
8.16 Activités de surveillance . 132
8.17 Synchronisation des horloges . 134
8.18 Utilisation de programmes utilitaires à privilèges . 135
8.19 Installation de logiciels sur des systèmes opérationnels . 136
8.20 Sécurité des réseaux . 138
8.21 Sécurité des services réseau . 139
iv © ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO/IEC 27002:2022(F)
8.22 Cloisonnement des réseaux . 141
8.23 Filtrage web . 142
8.24 Utilisation de la cryptographie . 143
8.25 Cycle de vie de développement sécurisé. 145
8.26 Exigences de sécurité des applications . 146
8.27 Principes d'ingénierie et d'architecture des système sécurisés . 149
8.28 Codage sécurisé . 151
8.29 Tests de sécurité dans le développement et l'acceptation . 155
8.30 Développement externalisé . 156
8.31 Séparation des environnements de développement, de test et opérationnels . 157
8.32 Gestion des changements . 159
8.33 Informations de test . 161
8.34 Protection des systèmes d'information pendant les tests d'audit . 162
Annexe A (informative) Utilisation des attributs . 164
Annexe B (informative) Correspondance de l’ISO/IEC 27002:2022 (le présent document) avec
l'ISO/IEC 27002:2013 . 175
Bibliographie. 185
Avant-propos . viii
Introduction . xi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
3.1 Termes et définitions . 1
3.2 Abréviations . 6
4 Structure du présent document . 8
4.1 Articles . 8
4.2 Thèmes et attributs . 9
4.3 Structure des moyens de maîtrise . 10
5 Moyens de maîtrise organisationnels . 11
5.1 Politiques de sécurité de l'information . 11
5.2 Fonctions et responsabilités liées à la sécurité de l'information . 14
5.3 Séparation des tâches . 15
5.4 Responsabilités de la direction . 16
5.5 Contacts avec les autorités . 17
5.6 Contacts avec des groupes d’intérêt spécifiques . 18
5.7 Renseignements sur les menaces . 19
5.8 Sécurité de l'information dans la gestion de projet . 21
5.9 Inventaire des informations et autres actifs associés . 23
5.10 Utilisation correcte des informations et autres actifs associés . 25
5.11 Restitution des actifs . 26
5.12 Classification des informations . 27
5.13 Marquage des informations . 29
5.14 Transfert des informations. 31
5.15 Contrôle d'accès . 34
5.16 Gestion des identités . 36
© ISO/IEC 2022 – Tous droits réservés v
---------------------- Page: 6 ----------------------
ISO/IEC 27002:2022(F)
5.17 Informations d'authentification . 38
5.18 Droits d'accès . 40
5.19 Sécurité de l'information dans les relations avec les fournisseurs . 42
5.20 La sécurité de l'information dans les accords conclus avec les fournisseurs . 45
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC . 47
5.22 Surveillance, révision et gestion des changements des services fournisseurs . 50
5.23 Sécurité de l'information dans l'utilisation de services en nuage . 52
5.24 Planification et préparation de la gestion des incidents liés à la sécurité de
l'information . 55
5.25 Évaluation des événements liés à la sécurité de l'information et prise de décision . 57
5.26 Réponse aux incidents liés à la sécurité de l'information . 58
5.27 Tirer des enseignements des incidents liés à la sécurité de l'information . 59
5.28 Collecte des preuves . 60
5.29 Sécurité de l'information pendant une perturbation . 61
5.30 Préparation des TIC pour la continuité d'activité . 62
5.31 Exigences légales, statutaires, réglementaires et contractuelles . 63
5.32 Droits de propriété intellectuelle . 65
5.33 Protection des documents d'activité . 67
5.34 Protection de la vie privée et des DCP . 69
5.35 Révision indépendante de la sécurité de l'information . 70
5.36 Conformité aux politiques, règles et normes de sécurité de l'information . 71
5.37 Procédures d'exploitation documentées . 72
6 Moyens de maîtrise applicables aux personnes . 74
6.1 Sélection des candidats . 74
6.2 Termes et conditions du contrat de travail . 76
6.3 Sensibilisation, enseignement et formation en sécurité de l'information . 77
6.4 Processus disciplinaire . 79
6.5 Responsabilités après la fin ou le changement d’un emploi . 80
6.6 Accords de confidentialité ou de non-divulgation . 81
6.7 Travail à distance . 82
6.8 Déclaration des événements liés à la sécurité de l'information . 85
7 Moyens de maîtrise physique . 86
7.1 Périmètres de sécurité physique . 86
7.2 Les entrées physiques . 87
7.3 Sécurisation des bureaux, des salles et des installations . 89
7.4 Surveillance de la sécurité physique . 90
7.5 Protection contre les menaces physiques et environnementales . 91
7.6 Travail dans les zones sécurisées . 93
7.7 Bureau vide et écran vide . 94
7.8 Emplacement et protection du matériel . 95
7.9 Sécurité des actifs hors des locaux . 96
7.10 Supports de stockage . 97
7.11 Services supports . 99
7.12 Sécurité du câblage . 101
7.13 Maintenance du matériel . 102
7.14 Élimination ou recyclage sécurisé(e) du matériel . 103
8 Moyens de maîtrise technologiques . 104
8.1 Terminaux utilisateurs . 104
8.2 Droits d'accès privilégiés . 107
8.3 Restrictions d'accès aux informations . 109
vi © ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/IEC 27002:2022(F)
8.4 Accès aux codes source . 111
8.5 Authentification sécurisée . 112
8.6 Dimensionnement .
...
NORME ISO/IEC
INTERNATIONALE 27002
Redline version
compare la Deuxième édition
à la Troisième édition
Sécurité de l'information,
cybersécurité et protection de la
vie privée — Moyens de maîtrise de
l'information
Information security, cybersecurity and privacy protection —
Information security controls
Numéro de référence
ISO/IEC27002:r edline:2023(F)
© ISO/IEC 2023
---------------------- Page: 1 ----------------------
ISO/IEC27002:redline:2023(F)
IMPORTANT — PLEASE NOTE
This is a provisional mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
— indicates removed text (in red)
Text example 2
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
All changes in this document have yet to reach concensus by vote and as such should only
be used internally for review purposes.
DISCLAIMER
This Redline version is not an official IEC Standard and is intended only to provide the
user with an indication of what changes have been made to the previous version. Only the
current version of the standard is to be considered the official document.
This Redline version provides you with a quick and easy way to compare all the changes
between this standard and its previous edition. A vertical bar appears in the margin
wherever a change has been made. Additions and deletions are displayed in red, with
deletions being struck through.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2023 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC27002:redline:2023(F)
Sommaire Page
Avant-propos .ix
0 Introduction .xi
1 Domaine d’application d'application .1
2 Références normatives .1
3 Termes et définitions , définitions et abréviations . 1
3.1 Termes et définitions . 1
3.2 Abréviations. 7
4 Structure de la présente norme du présent document . 8
4.1 Articles. 8
4.2 Thèmes et attributs . 9
4.2 Catégories de mesures . 10
4.2 4.3 .
Structure des moyens de maîtrise . 10
5 Politiques de sécurité de l’information .11
5.1 Orientations de la direction en matière de sécurité de l'information . 11
5.1.1 Politiques de sécurité de l'information . 11
5.1.2 Revue des politiques de sécurité de l’information .12
6 Organisation de la sécurité de l'information .13
6.1 Organisation interne .13
6.1.1 Fonctions et responsabilités liées à la sécurité de l'information .13
6.1.2 Séparation des tâches . 14
6.1.3 Relations avec les autorités . 14
6.1.4 Relations avec des groupes de travail spécialisés . 14
6.1.5 La sécurité de l'information dans la gestion de projet .15
6.2 Appareils mobiles et télétravail . 15
6.2.1 Politique en matière d'appareils mobiles . 16
6.2.2 Télétravail . 17
7 La sécurité des ressources humaines .18
7.1 Avant l'embauche . 18
7.1.1 Sélection des candidats . 19
7.1.2 Termes et conditions d'embauche . 19
7.2 Pendant la durée du contrat . 20
7.2.1 Responsabilités de la direction . 20
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information . 21
7.2.3 Processus disciplinaire . .22
7.3 Rupture, terme ou modification du contrat de travail . 23
7.3.1 Achèvement ou modification des responsabilités associées au contrat de
travail . 23
8 Gestion des actifs .24
8.1 Responsabilités relatives aux actifs . 24
8.1.1 Inventaire des actifs . 24
8.1.2 Propriété des actifs . 24
8.1.3 Utilisation correcte des actifs . 25
8.1.4 Restitution des actifs .25
8.2 Classification de l'information .25
8.2.1 Classification des informations . 26
8.2.2 Marquage des informations. 27
8.2.3 Manipulation des actifs . 27
8.3 Manipulation des supports .28
8.3.1 Gestion des supports amovibles .28
8.3.2 Mise au rebut des supports .28
iii
© ISO/IEC 2023 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/IEC27002:redline:2023(F)
8.3.3 Transfert physique des supports .29
9 Contrôle d'accès .30
9.1 Exigences métier en matière de contrôle d'accès .30
9.1.1 Politique de contrôle d'accès .30
9.1.2 Accès aux réseaux et aux services en réseau . 31
9.2 Gestion de l’accès utilisateur . . 32
9.2.1 Enregistrement et désinscription des utilisateurs . 32
9.2.2 Maîtrise de la gestion des accès utilisateur . 32
9.2.3 Gestion des privilèges d’accès . 33
9.2.4 Gestion des informations secrètes d'authentification des utilisateurs .34
9.2.5 Revue des droits d'accès utilisateur . .34
9.2.6 Suppression ou adaptation des droits d'accès . 35
9.3 Responsabilités des utilisateurs . 36
9.3.1 Utilisation d'informations secrètes d'authentification .36
9.4 Contrôle de l'accès au système et aux applications . 37
9.4.1 Restriction d'accès à l'information . 37
9.4.2 Sécuriser les procédures de connexion . . 37
9.4.3 Système de gestion des mots de passe .38
9.4.4 Utilisation de programmes utilitaires à privilèges .39
9.4.5 Contrôle d’accès au code source des programmes .39
10 Cryptographie .40
10.1 Mesures cryptographiques .40
10.1.1 Politique d’utilisation des mesures cryptographiques .40
10.1.2 Gestion des clés. 41
11 Sécurité physique et environnementale.43
11.1 Zones sécurisées . 43
11.1.1 Périmètre de sécurité physique . 43
11.1.2 Contrôles physiques des accès .44
11.1.3 Sécurisation des bureaux, des salles et des équipements .44
11.1.4 Protection contre les menaces extérieures et environnementales . 45
11.1.5 Travail dans les zones sécurisées . 45
11.1.6 Zones de livraison et de chargement . 45
11.2 Matériels . .46
11.2.1 Emplacement et protection du matériel .46
11.2.2 Services généraux . 47
11.2.3 Sécurité du câblage . 47
11.2.4 Maintenance du matériel .48
11.2.5 Sortie des actifs .48
11.2.6 Sécurité du matériel et des actifs hors des locaux .49
11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel .50
11.2.8 Matériel utilisateur laissé sans surveillance .50
11.2.9 Politique du bureau propre et de l’écran vide . 51
12 Sécurité liée à l'exploitation .51
12.1 Procédures et responsabilités liées à l’exploitation . 51
12.1.1 Procédures d'exploitation documentées . 52
12.1.2 Gestion des changements . 52
12.1.3 Dimensionnement .53
12.1.4 Séparation des environnements de développement, de test et d'exploitation .54
12.2 Protection contre les logiciels malveillants. 55
12.2.1 Mesures contre les logiciels malveillants . 55
12.3 Sauvegarde .56
12.3.1 Sauvegarde des informations .56
12.4 Journalisation et surveillance . 57
12.4.1 Journalisation des événements . . 57
12.4.2 Protection de l'information journalisée .58
12.4.3 Journaux administrateur et opérateur . 59
iv
© ISO/IEC 2023 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/IEC27002:redline:2023(F)
12.4.4 Synchronisation des horloges . 59
12.5 Maîtrise des logiciels en exploitation . 59
12.5.1 Installation de logiciels sur des systèmes en exploitation .60
12.6 Gestion des vulnérabilités techniques . 61
12.6.1 Gestion des vulnérabilités techniques . 61
12.6.2 Restrictions liées à l'installation de logiciels . 62
12.7 Considérations sur l’audit du système d’information .63
12.7.1 Mesures relatives à l’audit des systèmes d’information .63
13 Sécurité des communications .63
13.1 Management de la sécurité des réseaux .63
13.1.1 Contrôle des réseaux .63
13.1.2 Sécurité des services de réseau .64
13.1.3 Cloisonnement des réseaux .64
13.2 Transfert de l'information .65
13.2.1 Politiques et procédures de transfert de l'information .65
13.2.2 Accords en matière de transfert d'information .66
13.2.3 Messagerie électronique. 67
13.2.4 Engagements de confidentialité ou de non-divulgation . .68
14 Acquisition, développement et maintenance des systèmes d’information .69
14.1 Exigences de sécurité applicables aux systèmes d’information .69
14.1.1 Analyse et spécification des exigences de sécurité de l’information .69
14.1.2 Sécurisation des services d'application sur les réseaux publics . 70
14.1.3 Protection des transactions liées aux services d'application . 71
14.2 Sécurité des processus de développement et d’assistance technique .72
14.2.1 Politique de développement sécurisé .72
14.2.2 Procédures de contrôle des changements apportés au système .73
14.2.3 Revue technique des applications après changement apporté à la
plateforme d’exploitation .74
14.2.4 Restrictions relatives aux changements apportés aux progiciels .74
14.2.5 Principes d’ingénierie de la sécurité des systèmes . 75
14.2.6 Environnement de développement sécurisé . 75
14.2.7 Développement externalisé . 76
14.2.8 Phase de test de la sécurité du système .77
14.2.9 Test de conformité du système .77
14.3 Données de test .77
14.3.1 Protection des données de test .77
15 Relations avec les fournisseurs .78
15 5 .
Moyens de maîtrise organisationnels .78
5.1 Politiques de sécurité de l'information . 78
5.2 Fonctions et responsabilités liées à la sécurité de l'information .80
5.3 Séparation des tâches .81
5.4 Responsabilités de la direction .82
5.5 Contacts avec les autorités .83
5.6 Contacts avec des groupes d’intérêt spécifiques .84
5.7 Renseignements sur les menaces .85
5.8 Sécurité de l'information dans la gestion de projet .86
5.9 Inventaire des informations et autres actifs associés .88
5.10 Utilisation correcte des informations et autres actifs associés .90
5.11 Restitution des actifs . 91
5.12 Classification des informations . 92
5.13 Marquage des informations .93
5.14 Transfert des informations . 95
5.15 Contrôle d'accès .97
5.16 Gestion des identités .99
5.17 Informations d'authentification .100
v
© ISO/IEC 2023 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO/IEC27002:redline:2023(F)
5.18 Droits d'accès .102
5.19 Sécurité de l'information dans les relations avec les fournisseurs .104
5.20 La sécurité de l'information dans les accords conclus avec les fournisseurs .106
15.1 Sécurité de l’information dans les relations avec les fournisseurs .108
15.1.1 Politique de sécurité de l'information dans les relations avec les
fournisseurs .
...
NORME ISO/IEC
INTERNATIONALE 27002
Troisième édition
2022-02
Sécurité de l'information,
cybersécurité et protection de la
vie privée — Mesures de sécurité de
l'information
Information security, cybersecurity and privacy protection —
Information security controls
Numéro de référence
ISO/IEC 27002:2022(F)
© ISO/IEC 2022
---------------------- Page: 1 ----------------------
ISO/IEC 27002:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC 27002:2022(F)
Sommaire Page
Avant-propos . vi
Introduction .vii
1 Domaine d'application .1
2 Références normatives .1
3 Termes, définitions et abréviations . 1
3.1 Termes et définitions . 1
3.2 Abréviations. 6
4 Structure du présent document. 8
4.1 Articles. 8
4.2 Thèmes et attributs . 8
4.3 Structure des mesures de sécurité . 9
5 Mesures de sécurité organisationnelles .10
5.1 Politiques de sécurité de l'information . 10
5.2 Fonctions et responsabilités liées à la sécurité de l'information .12
5.3 Séparation des tâches .13
5.4 Responsabilités de la direction . 14
5.5 Contacts avec les autorités . 15
5.6 Contacts avec des groupes d’intérêt spécifiques . 16
5.7 Renseignements sur les menaces . 17
5.8 Sécurité de l'information dans la gestion de projet . 18
5.9 Inventaire des informations et autres actifs associés . 20
5.10 Utilisation correcte des informations et autres actifs associés .22
5.11 Restitution des actifs .23
5.12 Classification des informations . 24
5.13 Marquage des informations .25
5.14 Transfert des informations . . 27
5.15 Contrôle d'accès .29
5.16 Gestion des identités . 31
5.17 Informations d'authentification . 33
5.18 Droits d'accès . 35
5.19 Sécurité de l'information dans les relations avec les fournisseurs .36
5.20 La sécurité de l'information dans les accords conclus avec les fournisseurs .39
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC . 41
5.22 Surveillance, révision et gestion des changements des services fournisseurs . 43
5.23 Sécurité de l'information dans l'utilisation de services en nuage .44
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information . 47
5.25 Évaluation des événements de sécurité de l'information et prise de décision .49
5.26 Réponse aux incidents de sécurité de l'information .49
5.27 Tirer des enseignements des incidents de sécurité de l'information .50
5.28 Collecte des preuves . 51
5.29 Sécurité de l'information pendant une perturbation . 52
5.30 Préparation des TIC pour la continuité d'activité . 53
5.31 Exigences légales, statutaires, réglementaires et contractuelles .54
5.32 Droits de propriété intellectuelle .56
5.33 Protection des enregistrements . 57
5.34 Protection de la vie privée et des DCP . 59
5.35 Révision indépendante de la sécurité de l'information .60
5.36 Conformité aux politiques, règles et normes de sécurité de l'information . 61
5.37 Procédures d'exploitation documentées . 62
6 Mesures de sécurité applicables aux personnes .63
6.1 Sélection des candidats .63
6.2 Termes et conditions du contrat de travail .64
iii
© ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/IEC 27002:2022(F)
6.3 Sensibilisation, enseignement et formation en sécurité de l'information .66
6.4 Processus disciplinaire . 67
6.5 Responsabilités après la fin ou le changement d’un emploi .68
6.6 Accords de confidentialité ou de non-divulgation . 69
6.7 Travail à distance . 70
6.8 Déclaration des événements de sécurité de l'information .72
7 Mesures de sécurité physique .73
7.1 Périmètres de sécurité physique .73
7.2 Les entrées physiques .74
7.3 Sécurisation des bureaux, des salles et des installations. 76
7.4 Surveillance de la sécurité physique .77
7.5 Protection contre les menaces physiques et environnementales . 78
7.6 Travail dans les zones sécurisées . 79
7.7 Bureau vide et écran vide .80
7.8 Emplacement et protection du matériel . 81
7.9 Sécurité des actifs hors des locaux .82
7.10 Supports de stockage .83
7.11 Services supports .85
7.12 Sécurité du câblage .86
7.13 Maintenance du matériel .87
7.14 Élimination ou recyclage sécurisé(e) du matériel .88
8 Mesures de sécurité technologiques .89
8.1 Terminaux finaux des utilisateurs .89
8.2 Droits d'accès privilégiés . . 91
8.3 Restrictions d'accès aux informations . 93
8.4 Accès aux codes source . 95
8.5 Authentification sécurisée .96
8.6 Dimensionnement .97
8.7 Protection contre les programmes malveillants (malware) .99
8.8 Gestion des vulnérabilités techniques . 101
8.9 Gestion des configurations .104
8.10 Suppression des informations .106
8.11 Masquage des données .108
8.12 Prévention de la fuite de données . 110
8.13 Sauvegarde des informations . 111
8.14 Redondance des moyens de traitement de l'information .113
8.15 Journalisation . 114
8.16 Activités de surveillance . 117
8.17 Synchronisation des horloges . 119
8.18 Utilisation de programmes utilitaires à privilèges .120
8.19 Installation de logiciels sur des systèmes opérationnels .121
8.20 Sécurité des réseaux . .122
8.21 Sécurité des services réseau .123
8.22 Cloisonnement des réseaux .125
8.23 Filtrage web.126
8.24 Utilisation de la cryptographie .127
8.25 Cycle de vie de développement sécurisé .129
8.26 Exigences de sécurité des applications .130
8.27 Principes d'ingénierie et d'architecture des système sécurisés .132
8.28 Codage sécurisé .134
8.29 Tests de sécurité dans le développement et l'acceptation .137
8.30 Développement externalisé .138
8.31 Séparation des environnements de développement, de test et opérationnels .139
8.32 Gestion des changements . . 141
8.33 Informations de test . 142
8.34 Protection des systèmes d'information pendant les tests d'audit . 143
Annexe A (informative) Utilisation des attributs .145
iv
© ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/IEC 27002:2022(F)
Annexe B (informative) Correspondance de l’ISO/IEC 27002:2022 (le présent document)
avec l'ISO/IEC 27002:2013 . 156
Bibliographie . 164
v
© ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO/IEC 27002:2022(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir https://patents.iec.ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de
l'adhésion de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les
obstacles techniques au commerce (OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir
www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cette troisième édition annule et remplace la deuxième édition (ISO/IEC 27002:2013), qui
a fait l’objet d’une révision technique. Elle incorpore également les Rectificatifs techniques
ISO/IEC 27002:2013/Cor. 1:2014 et ISO/IEC 27002:2013/Cor. 2:2015.
Les principales modifications sont les suivantes:
— le titre a été modifié;
— la structure du document a été modifiée, présentant les mesures de sécurité avec une taxonomie
simple et des attributs associés;
— certaines mesures de sécurité ont été fusionnées, d'autres ont été supprimées, et plusieurs nouvelles
mesures de sécurité ont été ajoutées. La correspondance complète se trouve à l'Annexe B.
La présente version française de l'ISO/IEC 27002:2022 correspond à la version anglaise publiée le 2022-
02 et corrigé le 2022-03.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
vi
© ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/IEC 27002:2022(F)
Introduction
0.1 Historique et contexte
Le présent document a été conçu à l'intention des organisations de tous types et de toutes dimensions.
Il est à utiliser comme document de référence pour déterminer et mettre en œuvre des mesures de
sécurité pour le traitement des risques de sécurité de l'information dans un système de management
de la sécurité de l'information (SMSI) basé sur l'ISO/IEC 27001. Il peut également être utilisé comme
guide de bonnes pratiques pour les organisations qui déterminent et mettent en œuvre les mesures
de sécurité de l'information communément admises. De plus, le présent document a pour objet d'être
utilisé lors de l’élaboration des lignes directrices de gestion de la sécurité de l'information spécifiques
aux organisations et aux industries, en tenant compte de leur(s) environnement(s) spécifique(s) de
risques de sécurité de l'information. Des mesures de sécurité organisationnelles ou spécifiques à
l'environnement autres que celles qui figurent dans le présent document peuvent, si nécessaire, être
déterminées par le biais de l’appréciation du risque.
Des organisations de tous types et de toutes dimensions (y compris du secteur public et du secteur
privé, à but lucratif ou non lucratif) créent, collectent, traitent, stockent, transmettent et éliminent
l'information sous de nombreuses formes, notamment électronique, physique et verbale (par exemple,
les conversations et les présentations).
La valeur de l'information va au-delà des mots, chiffres et images écrits: la connaissance, les concepts,
les idées et les marques sont des exemples de formes intangibles d'information. Dans un monde
interconnecté, les informations et autres actifs associés méritent ou exigent une protection contre
différentes sources de risques, aussi bien naturelles, qu'accidentelles ou délibérées.
La sécurité de l'information est réalisée par la mise en œuvre d’un ensemble de mesures de sécurité
appropriées, notamment des politiques, des règles, des processus, des procédures, des structures
organisationnelles, et des fonctions matérielles et logicielles. Pour atteindre ses objectifs métier et
de sécurité, il convient que l'organisation définisse, mette en œuvre, surveille, révise et améliore ces
mesures de sécurité au besoin. Un système de management de la sécurité de l'information (SMSI) tel que
celui spécifié dans l'ISO/IEC 27001 appréhende les risques de sécurité de l'information de l'organisation
dans une vision globale et coordonnée, afin de déterminer et mettre en œuvre un ensemble complet de
mesures de sécurité de l'information dans le cadre global d'un système de management cohérent.
De nombreux systèmes d'information, y compris leur management et leurs opérations, n'ont pas été
conçus sécurisés au sens d'un système de management de la sécurité de l'information tel que spécifié
dans l'ISO/IEC 27001 et le présent document. Le niveau de sécurité qui peut être atteint seulement par
des mesures techniques est limité, et il convient de le renforcer par des processus organisationnels
et des activités de management appropriés. L'identification des mesures de sécurité qu'il convient de
mettre en place nécessite une planification minutieuse et une attention aux détails lors de la réalisation
du traitement du risque.
Un système de management de la sécurité de l'information réussi requiert l'adhésion de tout le
personnel de l'organisation. Il peut également nécessiter la participation d'autres parties intéressées,
telles que des actionnaires ou des fournisseurs. Des conseils d'experts en la matière peuvent aussi
s'avérer nécessaires.
Un système de management de la sécurité de l'information approprié, adéquat et efficace procure la
garantie aux dirigeants de l'organisation et autres parties intéressées que leurs informations et autres
actifs associés sont suffisamment sécurisés et protégés contre les menaces et dommages, ce qui permet
à l'organisation d'atteindre les objectifs métier visés.
0.2 Exigences de sécurité de l'information
Il est essentiel qu'une organisation détermine ses exigences de sécurité de l'information. Il existe trois
principales sources des exigences de sécurité de l'information:
a) l'appréciation du risque de l'organisation, prenant en compte l'ensemble de sa stratégie et objectifs
métier. Cela peut être facilité ou appuyé par une appréciation du risque de sécurité de l'information.
vii
© ISO/IEC 2022 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/IEC 27002:2022(F)
Il convient que cela aboutisse à la détermination des mesures de sécurité nécessaires assurant que
les risques résiduels pour l'organisation correspondent à ses critères d'acceptation des risques;
b) les exigences légales, statutaires, réglementaires et contractuelles auxquelles l'organisation et ses
parties intéressées (partenaires commerciaux, fournisseurs de services, etc.) doivent se conformer
ainsi que leur environnement socioculturel;
c) l'ensemble des principes, d'objectifs et d'exigences métier pour toutes les étapes du cycle de vie de
l'information que l'organisation a élaboré pour appuyer son fonctionnement.
0.3 Mesures de sécurité
Un mesure de sécurité est définie comme une mesure qui modifie ou maintient un risque. Certaines
des mesures de sécurité dans le présent document sont des moyens qui modifient les risques, tandis
que d'autres maintienn
...
FINAL
INTERNATIONAL ISO/IEC
DRAFT
STANDARD FDIS
27002
ISO/IEC JTC 1/SC 27
Information security, cybersecurity
Secretariat: DIN
and privacy protection — Information
Voting begins on:
2021-10-21 security controls
Voting terminates on:
Sécurité de l'information, cybersécurité et protection de la vie
2021-12-16
privée — Mesures de sécurité de l'information
IMPORTANT — Please use this updated version dated 2021-10-06, and discard any previous
version of this FDIS.
RECIPIENTS OF THIS DRAFT ARE INVITED TO
SUBMIT, WITH THEIR COMMENTS, NOTIFICATION
OF ANY RELEVANT PATENT RIGHTS OF WHICH
THEY ARE AWARE AND TO PROVIDE SUPPOR TING
DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
Reference number
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO-
ISO/IEC FDIS 27002:2021(E)
LOGICAL, COMMERCIAL AND USER PURPOSES,
DRAFT INTERNATIONAL STANDARDS MAY ON
OCCASION HAVE TO BE CONSIDERED IN THE
LIGHT OF THEIR POTENTIAL TO BECOME STAN-
DARDS TO WHICH REFERENCE MAY BE MADE IN
NATIONAL REGULATIONS. © ISO/IEC 2021
---------------------- Page: 1 ----------------------
ISO/IEC FDIS 27002:2021(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2021 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC FDIS 27002:2021(E)
Contents Page
Foreword . vi
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
3.1 Terms and definitions . 1
3.2 Abbreviated terms . 6
4 Structure of this document .7
4.1 Clauses . 7
4.2 Themes and attributes . 7
4.3 Control layout . 8
5 Organizational controls . 9
5.1 Policies for information security . . 9
5.2 Information security roles and responsibilities . 11
5.3 Segregation of duties. 12
5.4 Management responsibilities .13
5.5 Contact with authorities . 14
5.6 Contact with special interest groups . 14
5.7 Threat intelligence .15
5.8 Information security in project management . 16
5.9 Inventory of information and other associated assets . 18
5.10 Acceptable use of information and other associated assets . 20
5.11 Return of assets . 21
5.12 Classification of information . 21
5.13 Labelling of information .23
5.14 Information transfer . 24
5.15 Access control . 26
5.16 Identity management .28
5.17 Authentication information .29
5.18 Access rights . 31
5.19 Information security in supplier relationships . 33
5.20 Addressing information security within supplier agreements . 35
5.21 Managing information security in the ICT supply chain . 37
5.22 Monitoring, review and change management of supplier services .39
5.23 Information security for use of cloud services .40
5.24 Information security incident management planning and preparation . 42
5.25 Assessment and decision on information security events .44
5.26 Response to information security incidents . 45
5.27 Learning from information security incidents . 45
5.28 Collection of evidence . .46
5.29 Information security during disruption . 47
5.30 ICT readiness for business continuity .48
5.31 Legal, statutory, regulatory and contractual requirements .49
5.32 Intellectual property rights . 51
5.33 Protection of records . 52
5.34 Privacy and protection of PII .53
5.35 Independent review of information security .54
5.36 Conformance with policies, rules and standards for information security .55
5.37 Documented operating procedures .56
6 People controls .57
6.1 Screening . 57
6.2 Terms and conditions of employment .58
iii
© ISO/IEC 2021 – All rights reserved
---------------------- Page: 3 ----------------------
ISO/IEC FDIS 27002:2021(E)
6.3 Information security awareness, education and training . 59
6.4 Disciplinary process . 61
6.5 Responsibilities after termination or change of employment. 62
6.6 Confidentiality or non-disclosure agreements . 62
6.7 Remote working .64
6.8 Information security event reporting.65
7 Physical controls .66
7.1 Physical security perimeters .66
7.2 Physical entry . 67
7.3 Securing offices, rooms and facilities . 69
7.4 Physical security monitoring . .69
7.5 Protecting against physical and environmental threats . 70
7.6 Working in secure areas . 71
7.7 Clear desk and clear screen .72
7.8 Equipment siting and protection .73
7.9 Security of assets off-premises .74
7.10 Storage media . 75
7.11 Supporting utilities . 76
7.12 Cabling security .77
7.13 Equipment maintenance .78
7.14 Secure disposal or re-use of equipment . 79
8 Technological controls .80
8.1 User endpoint devices .80
8.2 Privileged access rights .82
8.3 Information access restriction .83
8.4 Access to source code .85
8.5 Secure authentication .86
8.6 Capacity management .88
8.7 Protection against malware .89
8.8 Management of technical vulnerabilities .90
8.9 Configuration management . 93
8.10 Information deletion . 95
8.11 Data masking .97
8.12 Data leakage prevention .98
8.13 Information backup.100
8.14 Redundancy of information processing facilities . 101
8.15 Logging .102
8.16 Monitoring activities .105
8.17 Clock synchronization .106
8.18 Use of privileged utility programs .107
8.19 Installation of software on operational systems .108
8.20 Networks security .109
8.21 Security of network services . 110
8.22 Segregation of networks .112
8.23 Web filtering .113
8.24 Use of cryptography .113
8.25 Secure development life cycle .115
8.26 Application security requirements . 116
8.27 Secure system architecture and engineering principles .118
8.28 Secure coding.120
8.29 Security testing in development and acceptance .123
8.30 Outsourced development .124
8.31 Separation of development, test and production environments.125
8.32 Change management .126
8.33 Test information .128
8.34 Protection of information systems during audit testing .128
Annex A (informative) Using attributes . 130
iv
© ISO/IEC 2021 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC FDIS 27002:2021(E)
Annex B (informative) Correspondence with ISO/IEC 27002:2013 .142
Bibliography . 149
v
© ISO/IEC 2021 – All rights reserved
---------------------- Page: 5 ----------------------
ISO/IEC FDIS 27002:2021(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work.
The procedures used to develop this document and those intended for its further maintenance
are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria
needed for the different types of document should be noted. This document was drafted in
accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or
www.iec.ch/members_experts/refdocs).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents) or the IEC
list of patent declarations received (see patents.iec.ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html. In the IEC, see www.iec.ch/understanding-standards.
’This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This third edition cancels and replaces the second edition (ISO/IEC 27002:2013), which has been
technically revised. It also incorporates the Technical Corrigenda ISO/IEC 27002:2013/Cor. 1:2014 and
ISO/IEC 27002:2013/Cor. 2:2015.
The main changes are as follows:
— the title has been modified;
— the structure of the document has been changed, presenting the controls using a simple taxonomy
and associated attributes;
— some controls have been merged, some deleted and several new controls have been introduced. The
complete correspondence can be found in Annex B.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
vi
© ISO/IEC 2021 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC FDIS 27002:2021(E)
Introduction
0.1 Background and context
This document is designed for organizations of all types and sizes. It is to be used as a reference for
determining and implementing controls for information security risk treatment in an information
security management system (ISMS) based on ISO/IEC 27001. It can also be used as a guidance
document for organizations determining and implementing commonly accepted information security
controls. Furthermore, this document is intended for use in developing industry and organization-
specific information security management guidelines, taking into consideration their specific
information security risk environment(s). Organizational or environment-specific controls other than
those included in this document can be determined through risk assessment as necessary.
Organizations of all types and sizes (including public and private sector, commercial and non-profit)
create, collect, process, store, transmit and dispose of information in many forms, including electronic,
physical and verbal (e.g. conversations and presentations).
The value of information goes beyond written words, numbers and images: knowledge, concepts, ideas
and brands are examples of intangible forms of information. In an interconnected world, information
and other associated assets deserve or require protection against various risk sources, whether natural,
accidental or deliberate.
Information security is achieved by implementing a suitable set of controls, including policies, rules,
processes, procedures, organizational structures and software and hardware functions. To meet its
specific security and business objectives, the organization should define, implement, monitor, review
and improve these controls where necessary. An ISMS such as that specified in ISO/IEC 27001 takes a
holistic, coordinated view of the organization’s information security risks in order to determine and
implement a comprehensive suite of information security controls within the overall framework of a
coherent management system.
Many information systems, including their management and operations, have not been designed to be
secure in terms of an ISMS as specified in ISO/IEC 27001 and this document. The level of security that
can be achieved only through technological measures is limited and should be supported by appropriate
management activities and organizational processes. Identifying which controls should be in place
requires careful planning and attention to detail while carrying out risk treatment.
A successful ISMS requires support from all personnel in the organization. It can also require
participation from other interested parties, such as shareholders or suppliers. Advice from subject
matter experts can also be needed.
A suitable, adequate and effective information security management system provides assurance to the
organization’s management and other interested parties that their information and other associated
assets are kept reasonably secure and protected against threats and harm, thereby enabling the
organization to achieve the stated business objectives.
0.2 Information security requirements
It is essential that an organization determines its information security requirements. There are three
main sources of information security requirements:
a) the assessment of risks to the organization, taking into account the organization’s overall business
strategy and objectives. This can be facilitated or supported through an information security-
specific risk assessment. This should result in the determination of the controls necessary to
ensure that the residual risk to the organization meets its risk acceptance criteria;
b) the legal, statutory, regulatory and contractual requirements that an organization and its
interested parties (trading partners, service providers, etc.) have to comply with and their socio-
cultural environment;
vii
© ISO/IEC 2021 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/IEC FDIS 27002:2021(E)
c) the set of principles, objectives and business requirements for all the steps of the life cycle of
information that an organization has developed to support its operations.
0.3 Controls
A control is defined as a measure that modifies or maintains risk. Some of the controls in this document
are controls that modify risk, while others maintain risk. An information security policy, for example,
can only maintain risk, whereas compliance with the information security policy can modif
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.