Fin 2022, nous avons suivi le processus d'obtention simultanée d'une certification pour ISO 27701, la norme de confidentialité des données et la recertification pour ISO 27001, la norme de sécurité de l’information. Nous détenons ce dernier certificat avec succès depuis plus de dix ans. Et nous sommes désormais ravis de vous annoncer que nous avons obtenu avec succès les deux certifications, sans aucune non-conformité.
Pourquoi avons-nous cherché à respecter et à respecter deux des normes les plus exigeantes en même temps ? Nous vous entendons demander ! Nous avons décidé de joindre le geste à la parole et d'utiliser notre nouvelle offre de plateforme, SPoT. Nous avons conçu SPoT pour faciliter la mise en œuvre des normes ISO 27001 et ISO 27701 grâce à la combinaison transparente d'un système de gestion de la sécurité de l'information (ISMS) et d'un système de gestion des informations confidentielles (PIMS) en un « point de vérité unique », ou SPoT en abrégé. Vous pouvez en savoir plus sur SPoT dans notre blog précédent.
Pendant la réalisation et l'audit du projet, notre équipe a tenu un journal de ses expériences et réflexions sur la création du PIMS et la recertification de notre ISMS. Nous avons donc décidé de partager ces expériences avec vous. Nous espérons que vous le trouverez utile et instructif, et si vous avez des questions, n'hésitez pas à nous contacter ; nous aimons discuter de tout ce qui concerne la conformité.
Qu'est-ce que la norme ISO 27701
Avant d'entrer dans les expériences vécues de création, de préparation et d'audit d'un SMSI et d'un PIMS, il est préférable de planter le décor et de détailler exactement ce qu'est la norme ISO 27701.
La norme ISO 27701 est une extension de la norme ISO 27001, un cadre internationalement reconnu pour la gestion de la sécurité de l'information. La norme ISO 27701 fournit des lignes directrices et des exigences pour la mise en œuvre et la maintenance d'un système de gestion des informations confidentielles (PIMS) dans un cadre de système de gestion de la sécurité de l'information (ISMS) existant.
Pourquoi les organisations devraient-elles chercher à mettre en œuvre la norme ISO 27701 ?
Bien qu'il soit relativement nouveau sur la scène (il a été introduit en août 2019), il a connu une popularité croissante dans le monde entier, de nombreuses organisations choisissant de mettre en œuvre la norme à la place de réglementations géographiques régionales telles que GDPR et POPIA qui peuvent être largement intégrés dans les contrôles ISO 27701.
Plus simplement, le taux de croissance de la transformation numérique a entraîné le stockage et le partage en ligne d’informations plus sensibles que jamais. À mesure que ce volume de données prolifère, elles deviennent à la fois une cible lucrative pour les cybercriminels et une préoccupation majeure pour les consommateurs et les entreprises qui souhaitent garantir leur sécurité. Dans le même temps, la croissance des réglementations mondiales, telles que le RGPD, le CCPA et HIPAA, signifie que les organisations ont également la responsabilité légale de protéger les données privées de leurs clients. Collectivement, il existe une tendance évidente vers un paysage de conformité dans lequel il ne peut plus y avoir de sécurité des informations sans confidentialité des données.
Les avantages de l’adoption de la norme ISO 27701 vont également au-delà de l’aide apportée aux organisations pour répondre aux exigences réglementaires et de conformité. Il s’agit notamment de faire preuve de responsabilité et de transparence envers les parties prenantes, d’améliorer la confiance et la fidélité des clients, de réduire le risque de violation de la vie privée et les coûts associés, et d’accroître la compétitivité sur le marché mondial.
Comment nous nous sommes préparés efficacement pour notre audit ISO 27701
La préparation, comme pour tout projet, est essentielle. La majorité de ce que vous faites en tant qu'organisation au cours de cette phase influencera le succès de votre audit de certification final. Sam Peters, notre DPO, le savait, après avoir passé plus de dix ans à préparer et à exécuter des audits pour la norme ISO 27001. Cependant, opter simultanément pour une nouvelle norme, la norme ISO 27701, et la recertification pour la norme ISO 27001 était un nouveau terrain pour lui et pour l'organisation. , l'auditeur et l'organisme de certification. Sam admet librement que « celui-ci était angoissant ».
Chaque voyage commence par un premier pas
La première étape pour Sam a été de convenir d'un calendrier pour le projet et d'un budget. Pour nous, il s'agissait d'un délai de 6 mois et d'un délai d'exécution serré, mais cela garantissait également que notre équipe de direction, à l'origine du projet, était pleinement impliquée dès le début, intégrant l'importance de la conformité en matière de confidentialité des données dès le sommet de l'entreprise. . Il a également estimé que l'organisation devait continuer à fonctionner comme d'habitude pendant le projet. La mise en place d'un ISMS et d'un PIMS ne nécessite pas nécessairement un travail à temps plein, en particulier avec la bonne plate-forme technologique qui soutient vos collaborateurs et vos processus tout au long de leur parcours.
La phase de découverte
La prochaine étape pour nous consistait à intégrer les nouveaux contrôles ISO 27701 dans notre SMSI existant. Nous ne partions pas de zéro car nous utilisions notre produit avec tout le contenu disponible dans le commerce. Il était simple d'adapter ce contenu aux besoins spécifiques de notre organisation. L'un des avantages importants de travailler avec la plateforme ISMS.online est que les outils qu'elle contient vous donnent une longueur d'avance dès la sortie de la boîte.
Nous avons ensuite entamé des conversations détaillées avec toutes les équipes concernées au sein de notre entreprise, des ressources humaines, des finances et du marketing aux ventes et à la réussite, pour comprendre les données que nous détenions, comment elles circulaient dans l'entreprise et les systèmes utilisés. Parce que nous avions déjà un SMSI, nous disposions d'un inventaire des actifs qui était un outil très utile pour démarrer ces conversations avec chaque équipe. Nous étions également déjà conformes au RGPD, nous avions donc réalisé une activité pour créer un enregistrement des activités de traitement (ROPA), ce qui nous a encore une fois aidé lorsque nous avons discuté avec toutes les équipes de l'entreprise et nous a clarifié que selon la norme ISO 27701, notre ROPA serait Nous avons besoin de plus de détails que nous n’en avions actuellement, ce qui nous donne un axe de travail clair sur lequel nous concentrer immédiatement.
Les conversations internes nous ont aidés à identifier presque immédiatement les domaines dans lesquels nous pourrions apporter des améliorations et rationaliser et simplifier les processus, tels que l'endroit où nous stockions les données et les systèmes que nous utilisions pour accéder et utiliser ces données. Cela nous a également fait comprendre les avantages supplémentaires de l'utilisation de cadres tels que la norme ISO 27701, car le processus a permis de rationaliser les flux de travail, améliorant encore davantage notre efficacité opérationnelle.
Le peu d’acronyme
La ROPA mise à jour issue de ce travail nous a permis de passer aux évaluations d'impact sur la confidentialité des données (DPIA), où nous les avons appliquées par rapport aux processus que nous avions mis en place. Cela a donné lieu à des enseignements bénéfiques sur la façon dont nous avons réalisé ces tâches en tant qu'organisation, car ce n'est pas quelque chose que les gens font fréquemment. Nous avons réalisé qu'avoir une approche basée sur un modèle afin que toute personne tenue de le faire puisse récupérer le modèle et fournir une AIPD exploitable et précieuse avec une expérience limitée était essentielle au succès. Cela démocratiserait également qui pourrait les entreprendre et réduirait la charge de travail des membres de notre équipe de sécurité de l'information au sens large.
Pour Sam, ce processus a également fait comprendre l'importance de réfléchir le plus tôt possible à la confidentialité dans le cadre d'un travail ou d'un projet. Il est beaucoup plus facile de planifier en gardant à l’esprit la confidentialité que de revenir ensuite et d’essayer de changer ou de réparer quelque chose alors que les informations se trouvent déjà dans un système ou que vous avez peut-être signé un contrat avec un fournisseur.
L’idée de la protection de la vie privée dès la conception fait partie intégrante de toute organisation cherchant à intégrer une culture de confidentialité et de conformité à l’ensemble croissant de lois sur la protection de la vie privée. Il fait désormais partie des contrôles ISO 27001 et 27701.
Pouvoir au peuple
Le travail réalisé jusqu'à présent nous a conduit naturellement vers la formation du personnel. Le cadre ISO 27701, comme le cadre ISO 27001, ne se limite pas à garantir des protections techniques. Il vise à intégrer une culture de confidentialité et de sécurité au sein d’une organisation. Et en effet, si vous envisagez de créer un PIMS, il vous manquerait une astuce considérable pour ne pas vous assurer que vos employés comprennent leur rôle dans la protection efficace des données. Vous risquez également d'échouer à un audit si l'auditeur fait appel à un membre du personnel et qu'il ne peut pas répondre en toute confiance aux questions sur les processus que vous mettez en place avec votre PIMS.
Pour Sam, rendre la confidentialité des données pertinente pour le personnel et leurs rôles faisait partie intégrante du succès. Il était essentiel de permettre au personnel de voir en quoi il est responsable et impacté par la confidentialité des données. La contextualisation des politiques et procédures de l'organisation pour la gestion des informations confidentielles et le maintien de la confidentialité et de la confidentialité au sein de rôles spécifiques était un travail qui, bien que long, a amélioré la compréhension et l'exécution dans l'ensemble de l'entreprise. Cette activité s'est ensuite étendue à l'éducation externe, en mettant à jour notre politique de confidentialité et en créant des politiques de confidentialité spécifiques pour le personnel et les candidats potentiels lors du recrutement.
Dites-nous ce que vous pensez vraiment
L'avant-dernière étape que nous avons franchie avant l'audit a été de mener une Audit interne de notre PIMS. Ce processus était essentiel pour garantir que le PIMS fonctionnait comme prévu, répondait aux exigences de la norme ISO 27701 et identifiait les domaines nécessitant des améliorations supplémentaires avant l'audit de certification. Notre DPD, Sam, a demandé à l'auditeur interne d'être particulièrement dur avec nous, et il l'a certainement été. Il s'agissait d'une opportunité inestimable de résoudre tous les problèmes afin que nous puissions aborder l'audit de certification en toute confiance, sachant que notre PIMS répondait aux exigences rigoureuses et fournirait ce que l'auditeur rechercherait.
Enfin, en préparation de l'audit, nous avons réfléchi à la manière exacte dont nous présenterions notre PIMS à l'auditeur et à la manière dont nous allions faire participer d'autres personnes de l'entreprise à l'audit si nécessaire, en veillant à ce que les membres critiques soient disponibles et en informant l'ensemble de l'auditeur. l'entreprise sur ce qu'on pourrait leur demander de faire, en s'assurant qu'ils se sentent informés et préparés si on leur demandait de faire.
À quoi s'attendre lors d'un audit ISO 27701
Au cours de l'audit, l'auditeur souhaitera examiner certains domaines clés de votre PIMS, tels que :
- Les politiques, procédures et processus de votre organisation pour la gestion des données personnelles
- Évaluez vos risques en matière de confidentialité et les contrôles appropriés pour évaluer si vos contrôles sont efficaces pour atténuer les risques identifiés.
- Évaluez votre vie privée la gestion des incidents. Votre capacité à détecter, signaler, enquêter et répondre aux incidents de confidentialité est-elle suffisante ?
- Examinez votre gestion de la confidentialité des tiers pour vous assurer que des contrôles adéquats sont en place pour gérer les risques liés aux tiers.
- Vérifiez que votre programme de formation sur la confidentialité informe adéquatement votre personnel sur les questions de confidentialité.
- Examinez les mesures de performance de votre organisation pour confirmer si elles répondent aux objectifs de confidentialité.
Outre ces domaines cohérents à examiner, il existe d’autres points à considérer, tels que la manière dont vous travaillez avec l’auditeur. Ils sont là pour vérifier la conformité, et vous êtes là pour leur montrer comment vous répondez à ces exigences. Par conséquent, diriger la conversation et les guider à travers les domaines clés sera utile à l’auditeur et lui permettra d’identifier les itinéraires et activités supplémentaires qu’il souhaite examiner. Cela devrait être un processus collaboratif.
Pourquoi la norme ISO 27701 ne devrait jamais être un processus à cocher
Une partie de l' ISMS.en ligne La philosophie est que la sécurité des informations et la confidentialité des données de manière simple et durable sont assurées par les personnes, les processus et la technologie. Une approche uniquement technologique ne réussira jamais.
La conformité à elle seule ne garantit pas une gestion efficace de la confidentialité. Une approche uniquement technologique se concentre sur le respect des exigences minimales de la norme plutôt que sur la gestion efficace des risques liés à la confidentialité des données à long terme. Vos collaborateurs et vos processus, ainsi qu'une configuration technologique robuste, vous donneront une longueur d'avance et amélioreront considérablement l'efficacité de la confidentialité de vos données par rapport à ceux qui s'appuient sur la technologie pour une solution rapide mais temporaire.
Ce que l’on pourrait appeler une approche par cases à cocher :
- Impliquer une évaluation des risques superficielle, qui peut négliger des risques importants pour la vie privée
- Ignorer les préoccupations des principales parties prenantes en matière de confidentialité
- Proposer une formation générique sur la confidentialité non adaptée aux besoins spécifiques de l'organisation
- Effectuer une surveillance et un examen limités des contrôles de confidentialité, ce qui peut entraîner des incidents de confidentialité non détectés.
Tous ces éléments exposent les organisations à des violations potentiellement dommageables, à des sanctions financières et à des atteintes à leur réputation.
Feuille de route ISO 27701 – Télécharger maintenant
Nous avons créé une feuille de route pratique d'une page, divisée en cinq domaines clés, pour approcher et atteindre la norme ISO 27701 dans votre entreprise. Il n'y a aucun formulaire à remplir. Téléchargez le PDF dès aujourd'hui pour un simple coup d'envoi dans votre voyage vers une confidentialité plus efficace des données.
Bénéficiez dès la première fois de notre avantage en matière de conformité ISO 27701
Obtenir la certification ISO 27701 et la recertification ISO 27001 pour la première fois, sans non-conformité, a été un moment important pour nous ici chez ISMS.online. Non seulement nous avions réalisé une première dans le secteur, mais nous avions également réussi grâce à notre toute nouvelle offre de plateforme, SPoT.
Mais il ne s’agissait pas uniquement de nous dans ce processus. Il s'agissait de notre « pourquoi ». Pourquoi faisons-nous ce que nous faisons? Une sécurité simple, sûre et durable devrait être possible pour tous. C'est pourquoi. Alors, quelle meilleure façon de montrer à quiconque souhaite parvenir à une confidentialité des données et à une sécurité des informations plus efficaces que cela est possible que par l’action ? Nous avons vécu le processus et souhaitons partager ces expériences, apprentissages et outils avec d'autres.
Nous pourrions examiner les nombreuses façons dont SPoT nous a fourni tous les matériaux et outils dont nous avions besoin pour réussir, depuis son avance de 81 %, la « Méthode des résultats assurés », le catalogue de documentation qui peut être adopté, adapté ou ajouté à ou notre coach virtuel vous soutient toujours, mais nous vous invitons plutôt à constater par vous-même et à réaliser les avantages par vous-même - demandez un appel avec l'un de nos experts dès aujourd'hui.
