Actions requises

Prendre acte de la publication des documents suivants :

• ISO/IEC 27001:2022 – Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Exigences
• IAF MD26:2022 – Transition Requirements for ISO/IEC 27001:2022 (PDF en anglais)
• ISO/IEC 27002:2022 – Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de l'information (donne aussi des précisions sur les exigences de la transition ISO/IEC 27001:2022)

Les clients du Programme de certification des systèmes de management de la sécurité de l’information (SMSI) doivent se conformer aux conditions de la transition ISO/IEC 27001:2022 présentées dans le document MD 26. 

Clients concernés

Les organismes adhérant au programme SMSI, les candidats à ce programme, le personnel évaluant concerné et d’autres parties intéressées.  

Renseignements généraux

La norme ISO/IEC 27001:2022 est parue en octobre dernier, dans la foulée de la rédaction du document ISO/IEC 27001:2013/AMD1:2022. La nouvelle mouture de la norme a été actualisée en fonction des exigences des documents ISO/IEC 27001:2013/COR 1:2014, ISO/IEC 27001:2013/COR 2:2015 et ISO/IEC 27001:2013/AMD1:2022.

Les modifications principales et leurs implications sont présentées à la page 5 du document MD 26:2022.

Nouvelles exigences

Examen de la documentation

Le CCN effectuera, à partir du 28 février prochain, un examen de la documentation technique des organismes d’évaluation de la conformité (OEC) pour vérifier leur respect de la norme ISO/IEC 27001:2022. Toutefois, les OEC peuvent signaler qu’ils sont prêts à passer l’examen avant cette date. Pour ce faire, ils doivent écrire à la chargée de comptes ou au chargé de comptes responsable. L’exception sera accordée uniquement si l’OEC remplit les exigences plus loin.

Le CCN assurera la transition de tous les OEC d’ici le 31 août 2023. Cela fait, les portées d’accréditation seront passées en revue. Seuls les OEC dotés d’une portée d’accréditation actualisée pourront mener des certifications ISO/IEC 27001:2022.

Le CCN évaluera la pertinence du plan de transition des OEC et, le cas échéant, l’efficacité de sa réalisation. Les OEC doivent donc soumettre les documents suivants :

• une analyse des écarts pour les modifications apportées à la norme ISO/IEC 27001:2022;
• un plan de transition et des preuves de sa réalisation;
• la documentation d’autorisation du personnel concerné;
• tout autre document que l’organisme d’accréditation juge pertinent.

Évaluation technique du siège social 

Si le CCN, pendant l’examen de la documentation, recueille les informations nécessaires, l’OEC concerné n’a pas besoin de se soumettre à une évaluation du siège social. Si le CCN n’est pas en mesure de vérifier la réalisation du plan ou la conformité de l’OEC, une évaluation du siège social s’impose. 

Plan de transition

Les OEC doivent définir un plan de transition ISO/IEC 27001:2022 dans le respect des exigences du document MD 26:2022 et de l’accord de transition noué avec le CCN. 

Le plan de transition doit présenter les démarches de l’OEC et de sa clientèle et pourrait se décliner en plusieurs documents. 

Le plan doit aborder les questions suivantes :

• les modifications apportées à la norme ISO/IEC 27001:2022 et l’analyse des écarts;
• la nécessité de modifier les processus, la documentation et, éventuellement, les systèmes informatiques liés à l’encadrement des activités de certification;
• les compétences du personnel concerné vis-à-vis de la norme ISO/IEC 27001:2022 et de la transition;
• la formation de l’intégralité de l’équipe d’audit en matière des mesures listées dans la norme ISO/IEC 27002:2022 et de leur mise en œuvre (cf. ISO/IEC 27006:2015, 7.1.2.1.3 b);
• le programme de l’audit de transition;
• la communication à la clientèle, dans des délais raisonnables, du calendrier et des méthodes de la transition, ainsi que des conséquences qu’entraînent les le non-respect des délais.

Les OEC sont encouragés à entamer les préparatifs dès que possible. 

Date limite

Calendrier – CCN

• Le CCN se prépare pour l’évaluation de la conformité des OEN à la norme ISO/IEC 27001:2022 d’ici le 28 février 2023.
• Les évaluations initiales sur la conformité à la norme ISO/IEC 27001:2022 sont entamées avant le 28 février 2023.
• Le CCN termine les évaluations sur la transition avant le 31 août 2023.

Calendrier – OEC 

• La vérification de la conformité des OEC à la norme ISO/IEC 27001:2022 est effectuée avant le 31 août 2023.
• Les OEC vérifient la transition de leur clientèle avant le 31 août 2025.

Des questions?

Pour tout complément d’information, communiquer avec Abdel Kassou, gestionnaire, Service de la conformité et des évaluations : abdel.kassou@ccn.ca ou 1 613 238-3222.