La norme ISO 27001 est l’un des systèmes de contrôle de la sécurité les plus utilisés dans le monde. Elle a été développée en réponse au besoin d’une approche plus robuste et plus solide de la gestion de la sécurité et constitue la base de bon nombre des contrôles de sécurité les plus répandus et les plus avancés aujourd’hui. [Sources : 10,8]
Le CMMC comprend un grand nombre des mêmes contrôles qui sont également disponibles dans d’autres systèmes de contrôle de la sécurité tels que le PCI DSS. Il incorpore et utilise également plusieurs autres contrôles de cybersécurité que l’on trouve dans plusieurs autres domaines de la cybersécurité et il est inclus dans le mappage de l’ISO 27001 au CMMP. [Sources : 6,4]
Découvrez nos solutions sans obligation d’achat
Il convient de rappeler que le NIST 800 – 53 est un « super-ensemble » de la norme ISO 27002, ce qui signifie qu’il couvre tous les éléments de la mise en correspondance de la norme ISO 28001 avec le CMMP, ainsi que de nombreux éléments du CMMC. Il n’est pas inclusif et ne suit pas la même approche que les deux autres ensembles (ISO 26001 et 26002). [Sources : 7,7]
Cela signifie que seul le cadre NIST 800 – 53 répond aux exigences de la cartographie de l’ISO 28001 au CMMP, et que seul le cadre de cybersécurité est inadéquat pour la couverture. Cela signifie que seul le cadre Nist 800-53 répond aux exigences de la norme ISO 28002 pour les cartes CMMP et les composants CMMC, mais qu’il est insuffisant pour la couverture des deux autres ensembles (ISO 26001 et 26002). [Sources : 0,7]
En résumé, le cadre de sécurité utilisé dans le NIST 800-53 pour les cartes CMMP et les composants CMMC ne répondent pas directement aux exigences du Nist 800-171. [Sources : 7]
La différence est dans l’échelle, et le graphique du spectre en haut de cette page montre la différence entre NIST SP 800-53 et ISO 27001 pour les cartes CMMP et les composants CMMC. La différence entre les exigences du Nist Cybersecurity Framework est due au fait que les attentes de la norme ISO 27002 sont sensiblement différentes. Comme il y a plus qu’un ensemble de politiques et de normes à adopter, il est important de comprendre ce qui est nécessaire pour le faire correctement. Alors que la norme ISO 27001 est utilisée dans le monde entier, la norme ISO SP800-53 ne s’applique qu’aux organisations situées en dehors des États-Unis. [Sources : 7,7,7,14]
Par exemple, la norme ISO 27002 fournit des lignes directrices pour l’application des contrôles recommandés dans la norme ISO 27032, qui fournit des orientations générales sur les meilleures pratiques en matière de cybersécurité. Pour les petites entreprises qui ont besoin de mieux comprendre le cadre de cybersécurité du NIST, où les normes ISO 27002 et NIST SP 800-53 représentent toutes deux des exigences de conformité uniques, vous pouvez faire du NISM CSF un choix judicieux. La norme ISO 27001 aide votre entreprise à répondre à certaines exigences du NIST CSF. Alors que la norme ISO27032 fournit des conseils et des orientations générales sur les meilleures pratiques en matière de cybersécurité, les normes 27001 et ISO 27005 fournissent des lignes directrices spécifiques pour la réalisation d’évaluations des risques dans le domaine de la sécurité des informations. [Sources : 7,3,1]
Le NIST a également demandé énormément d’efforts dans le développement du Nist Cybersecurity Framework, la principale norme mondiale en matière de cyber-sécurité. Le CMMC bénéficie des contributions d’un large éventail d’organisations, des agences gouvernementales aux petites entreprises et aux organisations du secteur privé, fournies par le National Institute of Standards and Technology (NIS) et le ministère américain de la sécurité intérieure (DHS). [Sources : 5,13,9,10]
Les auditeurs principaux certifiés ISO 27001 ont utilisé le tableau NIST SP 800 – 53 comme base de leur analyse du CMMC et de son application à la norme ISO 26001. [Sources : 5]
Le CMMC diffère du NIST 800 – 171, mais les contrôles peuvent être mis en correspondance avec le niveau de certification du CMMC dans 800 / 171.
La norme ISO 27001 est basée sur un modèle planifier – faire – vérifier – agir qui permet des audits itératifs et nécessite une année de certification initiale, suivie de deux années de surveillance et d’audits. Les niveaux 4 et 5 contiennent les normes NIST 800 – 171 et ISO 28001 ainsi que les contrôleurs CMMC. Bien que le cadre de sécurité le plus couramment utilisé soit le National Institute of Standards and Technology 800 / 171, la conformité peut également être vérifiée par une personne disposant d’une certification Nist, qui s’occupe d’aligner la sécurité des données de l’organisation et la conformité de ses systèmes aux normes. Dans le cas de la conformité à la norme ISO 27000, cela se fait sous la forme d’un audit de surveillance et d’un audit de conformité sur deux ans. [Sources : 2,7,12,10]
NIST 800 – 53 comprend les contrôleurs CMMC et les normes Nist 800 / 171 et ISO 28001. Il contient des exigences structurées hiérarchiquement en fonctions, catégories, sous-catégories et sous-catégories, ainsi que des références informatives qui indiquent la mise en œuvre des normes dans les données de l’organisation et la gestion de ses données. [Sources : 7,11]
- [0] : https://nli.modenaora.it/cis-to-nist-800-53.html
- 1] : https://ignyteplatform.com/top-30-security-frameworks-2019/
- 2] : https://www.cohnreznick.com/insights/get-the-basics-the-dods-new-cmmc-standard
- [3] : https://www.systems-x.com/en-us/cmmc
- [4] : https://purplesec.us/cmmc/
- [5] : https://cvgstrategy.com/cmmc-certification/
- [6] : https://www.snaptechit.com/article/cybersecurity-maturity-model-certification-cmmc-explanation/
- [7] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
- [8] : https://axio.com/insights/top-5-cybersecurity-frameworks-to-secure-your-organization/
- [9]: https://pivotpointsecurity.medium.com/harmonizing-iso-27001-and-nist-cybersecurity-guidance-a1a54b760c13?source=follow_footer———2—————————-
- [10]: https://a-lign.com/soc-2-vs-iso-27001/
- 11] : https://reciprocitylabs.atlassian.net/wiki/spaces/ZenGRCOnboardingGuide/pages/4161628/Seed+Contenu+Registre
- 12] : https://www.trustnetinc.com/nist-vs-iso-27001/
- [13] : https://resources.infosecinstitute.com/certification/what-does-cmmc-mean-for-dod-contractors/
- 14] : https://hyperproof.io/resource/nist-sp-800-53-compliance-guide/