RGPD L'article 32 stipule la nécessité pour les organisations de mettre en œuvre diverses mesures permettant d'atteindre un niveau de sécurité adéquat dans l'ensemble de leurs opérations de traitement de données.
Pour y parvenir, les organisations doivent prendre en compte :
Sécurité du traitement
- Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de l'étendue, du contexte et des finalités du traitement ainsi que du risque plus ou moins probable et grave pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, le cas échéant :
- La pseudonymisation et le cryptage des données personnelles.
- La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.
- La capacité de restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique.
- Un processus permettant de tester, d'évaluer et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
- Lors de l'évaluation du niveau de sécurité approprié, il sera notamment tenu compte des risques présentés par le traitement, notamment de destruction accidentelle ou illégale, de perte, d'altération, de divulgation non autorisée ou d'accès aux données personnelles transmises, stockées ou autrement traitées.
- L'adhésion à un code de conduite approuvé visé à l'article 40 ou à un mécanisme de certification approuvé visé à l'article 42 peut être utilisée comme élément permettant de démontrer le respect des exigences énoncées au paragraphe 1 du présent article.
- Le responsable du traitement et le sous-traitant prennent des mesures pour garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou du sous-traitant qui a accès aux données à caractère personnel ne les traite pas sauf sur instructions du responsable du traitement, à moins qu'elle n'y soit contrainte par Droit de l’Union ou de l’État membre.
Sécurité du traitement
- Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de l'étendue, du contexte et des finalités du traitement ainsi que du risque plus ou moins probable et grave pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, le cas échéant :
- La pseudonymisation et le cryptage des données personnelles.
- La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.
- La capacité de restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique.
- Un processus permettant de tester, d'évaluer et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
- Lors de l'évaluation du niveau de sécurité approprié, il sera notamment tenu compte des risques présentés par le traitement, notamment de destruction accidentelle ou illégale, de perte, d'altération, de divulgation non autorisée ou d'accès aux données personnelles transmises, stockées ou autrement traitées.
- L'adhésion à un code de conduite approuvé visé à l'article 40 ou à un mécanisme de certification approuvé visé à l'article 42 peut être utilisée comme élément permettant de démontrer le respect des exigences énoncées au paragraphe 1 du présent article.
- Le responsable du traitement et le sous-traitant prennent des mesures pour garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou du sous-traitant qui a accès aux données à caractère personnel ne les traite pas sauf sur instructions du responsable du traitement, à moins qu'elle n'y soit contrainte par Lois domestiques.
Depuis la migration, nous avons pu réduire le temps consacré à l'administration.
L'article 32 du RGPD demande aux organisations d'adopter une approche du traitement des données basée sur les risques qui prend en considération plusieurs variables clés :
Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.
L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.
Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.
Ceci comprend :
L'ISO recommande un exercice de cadrage approfondi, afin que les organisations soient en mesure de produire un PIMS qui, d'une part, répond à ses exigences en matière de protection de la vie privée et, d'autre part, ne s'immisce pas dans des domaines de l'entreprise qui n'ont pas besoin d'attention.
Les organisations doivent établir et documenter :
Tous les exercices de cadrage qui planifient la mise en œuvre d'un PIMS doivent inclure une évaluation approfondie des activités de traitement et de stockage des informations personnelles.
Les organisations devraient chercher à mettre en œuvre, gérer et optimiser un système de gestion des informations confidentielles (PIMS), conformément aux normes ISO publiées.
Les organisations doivent définir et mettre en œuvre un processus d’évaluation des risques en matière de protection de la vie privée qui :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
Les organisations doivent rédiger et mettre en œuvre un « processus de traitement des risques » en matière de protection de la vie privée et d’informations personnelles qui :
Les procédures de sécurité des applications doivent être développées parallèlement à des politiques plus larges de protection de la vie privée, généralement via une évaluation des risques structurée qui prend en compte plusieurs variables.
Les exigences de sécurité des applications doivent inclure :
Les services transactionnels qui facilitent le flux de données confidentielles entre l'organisation et une organisation tierce, ou une organisation partenaire, devraient :
Pour toute application impliquant une commande et/ou un paiement électronique, les organisations doivent :
Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.
Ce faisant, les organisations devraient :
Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Dans cette section, nous parlons des articles 32 (1)(b), 32 (1)(d), 32 (2) du RGPD.
Les organisations devraient développer des processus permettant des examens indépendants de leurs pratiques en matière de sécurité des informations confidentielles, y compris à la fois des politiques spécifiques à un sujet et des politiques générales.
Les examens doivent être effectués par :
Les examens doivent être indépendants et effectués par des personnes ayant une connaissance suffisante des directives en matière de protection de la vie privée et des procédures propres à l'organisation.
Les évaluateurs doivent déterminer si les pratiques de sécurité des informations confidentielles sont conformes aux « objectifs et exigences documentés » de l'organisation.
En plus des examens périodiques structurés, les organisations peuvent être confrontées au besoin de mener des examens ad hoc déclenchés par certains événements, notamment :
Les organisations doivent s'assurer que le personnel est en mesure de consulter les politiques de confidentialité dans l'ensemble des opérations commerciales.
La direction doit développer des méthodes techniques de reporting sur le respect de la confidentialité (y compris l'automatisation et des outils sur mesure). Les rapports doivent être enregistrés, stockés et analysés pour améliorer davantage les efforts de sécurité des informations personnelles et de protection de la vie privée.
Lorsque des problèmes de conformité sont découverts, les organisations doivent :
Il est d’une importance vitale de mettre en œuvre des mesures correctives le plus rapidement possible. Si les problèmes ne sont pas entièrement résolus au moment du prochain examen, des preuves doivent au minimum être fournies pour montrer que des progrès ont été réalisés.
Plutôt que de mettre toutes les informations détenues sur un pied d'égalité, les organisations devraient classer les informations sur une base thématique spécifique.
Les propriétaires d'informations doivent prendre en compte quatre facteurs clés, lors de la classification des données (en particulier concernant les informations personnelles), qui doivent être révisés périodiquement, ou lorsque ces facteurs changent :
Afin de fournir un cadre opérationnel clair, les catégories d'informations doivent être nommées en fonction du niveau de risque inhérent, en cas d'incident compromettant l'un des facteurs ci-dessus.
Pour garantir la compatibilité multiplateforme, les organisations doivent mettre leurs catégories d'informations à la disposition de tout personnel externe avec lequel elles partagent des informations et veiller à ce que le propre système de classification de l'organisation soit largement compris par toutes les parties concernées.
Les organisations doivent se méfier de la sous-classification ou, à l’inverse, de la surclassification des données. La première peut conduire à des erreurs dans le regroupement des informations personnelles avec des types de données moins sensibles, tandis que la première entraîne souvent des dépenses supplémentaires, un plus grand risque d'erreur humaine et d'anomalies de traitement.
Lors de l’élaboration de politiques régissant le traitement des ressources multimédias impliquées dans le stockage des informations personnelles, les organisations doivent :
Lors de la réutilisation, de la réutilisation ou de l'élimination de supports de stockage, des procédures robustes doivent être mises en place pour garantir que les informations personnelles ne soient pas affectées de quelque manière que ce soit, notamment :
Si les appareils qui ont été utilisés pour stocker des informations personnelles sont endommagés, l'organisation doit soigneusement déterminer s'il est plus approprié ou non de détruire ces supports ou de les envoyer pour réparation (en privilégiant le premier).
L'ISO met en garde les organisations contre l'utilisation de périphériques de stockage non chiffrés pour tous Activités liées aux informations personnelles.
Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.
Nous sommes économiques et rapides
Voir la section ci-dessus sur la clause 27701 de la norme ISO 6.5.3.1.
Si des médias contenant des informations personnelles doivent être supprimés, les organisations doivent mettre en œuvre des procédures qui documentent la destruction des informations personnelles et des données liées à la confidentialité, y compris l'assurance catégorique qu'elles ne sont plus disponibles.
Les organisations doivent utiliser le cryptage pour protéger les confidentialité, authenticité ainsi que intégrité des informations personnelles et des informations liées à la confidentialité, et de respecter leurs diverses obligations contractuelles, légales ou réglementaires.
Le chiffrement est un concept ambitieux : il n'existe pas d'approche universelle. Les organisations doivent évaluer leurs besoins et choisir une solution cryptographique qui répond à leurs objectifs commerciaux et opérationnels uniques.
Les organisations devraient considérer :
Les procédures de gestion des clés doivent être réparties sur 7 fonctions principales :
Les systèmes de gestion des clés organisationnels doivent :
Les organisations doivent rédiger des politiques spécifiques à un sujet qui traitent directement de la manière dont l'organisation sauvegarde les zones pertinentes de son réseau afin de protéger les informations personnelles et d'améliorer la résilience contre les incidents liés à la confidentialité.
Les procédures BUDR devraient être rédigées pour atteindre l’objectif principal de garantir que TOUTE les données, logiciels et systèmes critiques pour l'entreprise peuvent être récupérés après La perte de données, intrusion, interruption de travail ainsi que échecs critiques.
En priorité, les plans BUDR devraient :
Les organisations doivent développer des procédures distinctes qui traitent uniquement des informations personnelles (bien que contenues dans leur plan BUDR principal).
Les variations régionales des normes PII BUDR (contractuelles, légales et réglementaires) doivent être prises en compte chaque fois qu'un nouvel emploi est créé, que des emplois sont modifiés ou que de nouvelles données PII sont ajoutées à la routine BUDR.
Chaque fois qu'il est nécessaire de restaurer des informations personnelles à la suite d'un incident BUDR, les organisations doivent prendre grand soin de remettre les informations personnelles à leur état d'origine et revoir les activités de restauration pour résoudre tout problème avec les nouvelles données.
Les organisations doivent conserver un journal des activités de restauration, incluant tout le personnel impliqué dans la restauration, ainsi qu'une description des informations personnelles restaurées.
Les organisations doivent vérifier auprès de toutes les agences législatives ou réglementaires et s'assurer que leurs procédures de restauration de PII sont conformes à ce que l'on attend d'elles en tant que processeur et contrôleur de PII.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous ne pouvons penser à aucune entreprise dont le service peut rivaliser avec ISMS.online.
Les organisations doivent d’abord identifier et alors record les raisons spécifiques du traitement des informations personnelles qu'ils utilisent.
Les responsables des PII doivent être parfaitement au courant de toutes les différentes raisons pour lesquelles leurs PII sont traitées.
Il est de la responsabilité de l'organisation de transmettre ces raisons aux responsables des PII, ainsi qu'une « déclaration claire » expliquant pourquoi ils doivent traiter leurs informations.
Toute la documentation doit être claire, complète et facilement comprise par tout responsable des PII qui la lit – y compris tout ce qui concerne le consentement, ainsi que des copies des procédures internes (voir ISO 27701, clauses 7.2.3, 7.3.2 et 7.2.8).
Les organisations doivent soit détruire complètement toutes les informations personnelles qui ne remplissent plus leur objectif, soit les modifier de manière à empêcher toute forme d'identification du principal.
Dès que l'organisation établit que les informations personnelles n'ont plus besoin d'être traitées à aucun moment dans le futur, les informations doivent être supprimé or désidentifié, selon les circonstances.
Dès le départ, les informations personnelles ne doivent être traitées que conformément aux instructions du client.
Les contrats doivent inclure des SLA relatifs aux objectifs mutuels et tous les délais associés dans lesquels ils doivent être exécutés.
Les organisations doivent reconnaître leur droit de choisir les méthodes distinctes utilisées pour traiter les informations personnelles, qui permettent d'obtenir légalement ce que le client recherche, mais sans avoir besoin d'obtenir des autorisations granulaires sur la façon dont l'organisation s'y prend au niveau technique.
Article RGPD | Article ISO 27701 | Contrôles ISO 27002 |
---|---|---|
Article 32 (3) du RGPD de l’UE | 5.2.1 | Aucun |
Article 32 (2) du RGPD de l’UE | 5.2.3 | Aucun |
Article 32 (2) du RGPD de l’UE | 5.2.4 | Aucun |
Article 32 (1)(b) et 32 (2) du RGPD de l’UE | 5.4.1.2 | Aucun |
Article 32 (1)(b) du RGPD de l’UE | 5.4.1.3 | Aucun |
Article 32 (1)(a) du RGPD de l’UE | 6.11.1.2 | 5.17 8.2 8.5 |
Article 32 (1)(b) et 32 (2) du RGPD de l’UE | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
RGPD de l'UE, articles 32 (1)(b), 32 (1)(d) et 32 (2) | 6.15.2.1 | Aucun |
Articles 32 (1)(d) et (32)(2) du RGPD de l’UE | 6.15.2.3 | Aucun |
Article 32 (2) du RGPD de l’UE | 6.5.2.1 | Aucun |
Article 32 (1)(a) du RGPD de l’UE | 6.5.3.1 | 5.14 |
Article 32 (1)(a) du RGPD de l’UE | 6.5.3.3 | 5.14 |
Article 32 (1)(a) du RGPD de l’UE | 6.7.1.1 | 5.31 8.24 |
Article 32 (1)(c) du RGPD de l’UE | 6.9.3.1 | 5.30 8.1 8.10 |
Article 32 (4) du RGPD de l’UE | 7.2.1 7.2.3 7.3.2 7.2.8 | Aucun |
Article 32 (1)(a) du RGPD de l’UE | 7.4.5 | Aucun |
Article 32 (4) du RGPD de l’UE | 8.2.2 | Aucun |
La plateforme ISMS.online dispose de conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour démontrer votre approche du RGPD sont considérablement réduits. Toi SERONT bénéficiez d'une gamme de fonctionnalités puissantes qui vous font gagner du temps.
ISMS.online vous permet également de vous lancer directement dans votre démarche de conformité au RGPD et de démontrer facilement un niveau de protection qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.
En savoir plus par réserver une courte démo de 30 minutes.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Découvrez la meilleure façon de réussir votre SMSI
Obtenez votre guide gratuit