114 contrôles ↔ 93 contrôles : fusions, nouveautés et restructuration en 4 thèmes
La révision ISO/IEC 27001:2022 (publiée le 25 octobre 2022) a profondément restructuré l'Annexe A en passant de 114 contrôles répartis en 14 domaines (A.5 à A.18) à 93 contrôles répartis en 4 thèmes (organisationnels, personnes, physiques, technologiques). Ci-dessous, la table de correspondance article par article.
Les organismes certifiés ISO 27001:2013 ont jusqu'au 31 octobre 2025 pour transiter vers la version 2022 (selon le mandat IAF MD 26).
| Annexe A 2013 | Intitulé | Annexe A 2022 | Statut |
|---|---|---|---|
| A.5.1.1 | Politiques de sécurité de l'information | 5.1 | Fusionnée |
| A.6.1.1 | Rôles et responsabilités | 5.2 | Identique |
| A.6.1.2 | Séparation des tâches | 5.3 | Identique |
| A.6.1.3 | Contact avec les autorités | 5.5 | Identique |
| A.6.1.4 | Contact avec groupes spéciaux | 5.6 | Identique |
| — | Threat intelligence | 5.7 | NOUVEAU 2022 |
| A.6.1.5 | Sécurité dans la gestion de projet | 5.8 | Identique |
| A.8.1.1 | Inventaire des actifs | 5.9 | Identique |
| A.8.1.3 | Utilisation acceptable des actifs | 5.10 | Fusionnée |
| A.8.1.4 | Restitution des actifs | 5.11 | Identique |
| A.8.2.1 | Classification de l'information | 5.12 | Identique |
| A.8.2.2 | Étiquetage de l'information | 5.13 | Identique |
| A.13.2.1 | Transfert d'information | 5.14 | Fusionnée |
| A.9.1.1 | Contrôle d'accès | 5.15 | Fusionnée |
| A.9.2.1 | Gestion des identités | 5.16 | Identique |
| A.9.2.4 | Authentification | 5.17 | Identique |
| A.9.2.2 | Droits d'accès | 5.18 | Fusionnée |
| A.15.1.1 | Sécurité fournisseurs | 5.19 | Identique |
| A.15.1.2 | Accords fournisseurs | 5.20 | Identique |
| — | Sécurité supply chain TIC | 5.21 | NOUVEAU 2022 |
| A.15.2.1 | Surveillance fournisseurs | 5.22 | Identique |
| — | Sécurité du cloud | 5.23 | NOUVEAU 2022 |
| A.16.1.x | Gestion des incidents (5.24-5.28) | 5.24-5.28 | Restructurée |
| A.17.x | Continuité de la sécurité | 5.29 | Identique |
| — | Préparation TIC continuité | 5.30 | NOUVEAU 2022 |
| A.18.x | Conformité légale (5.31-5.36) | 5.31-5.36 | Identique |
| A.12.1.1 | Procédures opérationnelles documentées | 5.37 | Renumérotée |
| A.7.1.x | RH (6.1-6.6) | 6.1-6.6 | Identique |
| A.6.2.2 | Travail à distance | 6.7 | Fusionnée |
| A.16.1.2-3 | Signalement d'événements | 6.8 | Fusionnée |
| A.11.1.x | Sécurité physique (7.1-7.3) | 7.1-7.3 | Identique |
| — | Surveillance physique | 7.4 | NOUVEAU 2022 |
| A.11.x | Équipements et environnement (7.5-7.14) | 7.5-7.14 | Restructurée |
| A.6.2.1 | Postes de travail | 8.1 | Fusionnée |
| A.9.x | Privilèges, accès, MFA (8.2-8.5) | 8.2-8.5 | Identique |
| A.12.1.3 | Capacité | 8.6 | Identique |
| A.12.2 | Anti-malware | 8.7 | Identique |
| A.12.6.1 | Vulnérabilités techniques | 8.8 | Identique |
| — | Gestion de la configuration | 8.9 | NOUVEAU 2022 |
| — | Suppression d'information | 8.10 | NOUVEAU 2022 |
| — | Masquage des données | 8.11 | NOUVEAU 2022 |
| — | Prévention de la fuite (DLP) | 8.12 | NOUVEAU 2022 |
| A.12.3.1 | Sauvegardes | 8.13 | Identique |
| A.17.2.1 | Redondance | 8.14 | Identique |
| A.12.4.1 | Journalisation | 8.15 | Identique |
| — | Activités de surveillance | 8.16 | NOUVEAU 2022 |
| A.12.4.4 | Synchronisation des horloges | 8.17 | Identique |
| A.13.1.x | Sécurité réseau (8.20-8.22) | 8.20-8.22 | Identique |
| — | Filtrage web | 8.23 | NOUVEAU 2022 |
| A.10 | Cryptographie | 8.24 | Fusionnée |
| A.14.x | Développement sécurisé (8.25-8.31) | 8.25-8.31 | Restructurée |
| — | Codage sécurisé | 8.28 | NOUVEAU 2022 |
| A.12.1.2 | Gestion des changements | 8.32 | Identique |
| A.14.3.1 | Données de test | 8.33 | Identique |
| A.12.7.1 | Tests d'audit | 8.34 | Identique |
Note : la table ci-dessus présente les correspondances majeures. Pour la matrice complète des 114 contrôles, consultez la page Téléchargements.