Comment démontrer la conformité à l'article 33 du RGPD

Commentaire technique

En plus de documenter minutieusement tous les événements entourant une violation, les organisations doivent prendre en compte six facteurs déterminants lorsque vous agissez suite à une violation de données :

1. La définition d'une violation – « une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, stockées ou autrement traitées ».
2. Maintenir une conscience aiguë d'une violation et obtenir un « degré raisonnable d'examen minutieux » lorsqu'une violation présumée s'est produite.
3. Être conscient des risques pour les libertés individuelles qu'une violation de données peut engendrer et de la probabilité que ces risques se présentent.
4. La gravité du risque, y compris.
• La catégorie de risque.
• La quantité de données affectées et l’ampleur de la violation.
• Comment ils sont capables d’identifier les personnes concernées.
• Quelle est la gravité de la violation en termes de conséquences tangibles pour toutes les personnes concernées (et quelle est leur vulnérabilité).
• La nature des activités de l'organisation et si cela constitue un risque plus élevé (par exemple, données financières).
5. Dans la mesure du possible, la nécessité d'informer les autorités compétentes quelques heures 72.
6. La nécessité de fournir un motif valable pour contacter les autorités après 72 heures, si cela se produit.

Lors de la notification à l'autorité de contrôle, les organisations doivent :

• Décrivez la nature de la violation.
• Désignez un point de contact.
• Décrivez la probabilité de conséquences éventuelles.
• Décrivez toutes les mesures prises en réponse à la violation.
• Fournissez tous les détails supplémentaires pertinents à la violation.

Clause 27701 de la norme ISO 6.13.1.1 (Responsabilités et procédures) et articles 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) et 34 du RGPD de l'UE. (4)

Afin de créer une politique de gestion des incidents cohérente et hautement fonctionnelle qui protège la disponibilité et l'intégrité des informations confidentielles lors d'incidents critiques, les organisations doivent :

1. Adhérez à une méthode de signalement des événements de sécurité des informations confidentielles.
2. Établissez une série de processus qui gèrent les incidents liés à la sécurité des informations confidentielles dans l’ensemble de l’entreprise, notamment :
• Administration.
• Documentation.
• Détection.
• Triage.
• Priorisation.
• Analyse.
• Communication.
3. Rédigez une procédure de réponse aux incidents qui permet à l’organisation d’évaluer les incidents, d’y répondre et d’en tirer des leçons.
4. Veiller à ce que les incidents soient gérés par du personnel formé et compétent qui bénéficie de programmes continus de formation et de certification en milieu de travail.

Le personnel impliqué dans des incidents de sécurité des informations confidentielles doit comprendre :

• Le temps qu'il faudrait pour résoudre un incident.
• Toutes les conséquences potentielles.
• La gravité de l'incident.

Lorsqu’il traite des événements liés à la sécurité des informations confidentielles, le personnel doit :

1. Évaluer les événements conformément à des critères stricts qui les valident comme incidents approuvés.
2. Classez les événements liés à la sécurité des informations confidentielles en 5 sous-thèmes :
• Surveillance (voir ISO 27002 Contrôles 8.15 et 8.16).
• Détection (voir ISO 27002 Contrôle 8.16).
• Classification (voir ISO 27002 Contrôle 5.25).
• Analyse.
• Reporting (voir ISO 27002 Contrôle 6.8).
3. Lors de la résolution d’incidents de sécurité des informations confidentielles, les organisations doivent :
• Répondre et faire remonter les problèmes (voir ISO 27002 Contrôle 5.26) en fonction du type d'incident.
• Activer les plans de gestion de crise et de continuité d’activité.
• Effectuer une reprise gérée après un incident qui atténue les dommages opérationnels et/ou financiers.
• Assurer une communication approfondie des événements liés à l’incident à tout le personnel concerné.
4. Participez au travail collaboratif (voir ISO 27002 Contrôles 5.5 et 5.6).
5. Enregistrez toutes les activités basées sur la gestion des incidents.
6. Être responsable du traitement des preuves liées à l'incident (voir ISO 27002 Contrôle 5.28).
7. Entreprendre une analyse approfondie des causes profondes, afin de minimiser le risque que l'incident se reproduise, y compris des suggestions de modifications à apporter à tous les processus.

Les activités de reporting doivent être centrées autour de 4 domaines clés :

• Actions qui doivent être prises lorsqu’un événement de sécurité des informations se produit.
• Formulaires d'incident qui enregistrent les informations tout au long d'un incident.
• Processus de feedback de bout en bout à tout le personnel concerné.
• Les rapports d'incident détaillent ce qui s'est passé une fois l'incident résolu.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

Clause 27701 de la norme ISO 6.13.1.5 (Réponse aux incidents de sécurité de l'information) et articles 34 (1) et 34 (2) du RGPD de l'UE

Les organisations doivent s'assurer que les incidents de sécurité des informations confidentielles sont traités par une équipe technique dédiée possédant les compétences et les ressources nécessaires pour parvenir à une résolution rapide (voir ISO 27002 Contrôle 5.24).

Les organisations devraient :

• contenir toutes les menaces liées à la vie privée découlant du problème d’origine.
• recueillir un ensemble de preuves tout au long du processus de résolution.
• inclure l’escalade, les activités BUDR et la planification de la continuité dans tout effort de résolution (voir ISO 27002 Contrôles 5.29 et 5.30).
• enregistrer toutes les activités liées à l’incident.
• veiller à ce que le personnel fonctionne selon le principe du « besoin de savoir » lorsqu’il traite des incidents liés à la protection de la vie privée.
• être continuellement attentif à leurs responsabilités envers leurs clients et les organisations externes, lors de la communication d'incidents relatifs aux informations confidentielles et de violations de données.
• clôturer les incidents selon un ensemble rigide de critères de résolution.
• entreprendre des analyses médico-légales (voir ISO 27002 Contrôle 5.28), selon les besoins.
• chercher à établir la cause sous-jacente d’un incident, une fois qu’il a été résolu (voir ISO 27002 Contrôle 5.27).
• prendre des mesures correctives sur tous les processus, contrôles, politiques et procédures associés, afin de renforcer la protection de la vie privée de l'organisation une fois qu'un incident a été résolu.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.24
• ISO 27002 5.27
• ISO 27002 5.28
• ISO 27002 5.29
• ISO 27002 5.30

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Comment ISMS.online vous aide

Une violation du RGPD peut entraîner des amendes importantes, ce qui en fait l'une des réglementations en matière de confidentialité et de sécurité les plus strictes au monde. En conséquence, cela implique que les organisations doivent protéger les données personnelles dans une mesure « raisonnable ».

Mais voici la bonne nouvelle.

Dans un emplacement sécurisé et toujours disponible, ISMS.online vous permet de passer facilement à la conformité au RGPD et de démontrer un niveau de protection qui va au-delà du « raisonnable ».

Nous faisons du mappage de données une tâche simple. En ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement, vous pouvez facilement tout enregistrer et consulter.

Si le pire arrive, vous serez prêt.

Grâce à nos outils, vous pouvez planifier, communiquer, documenter et tirer des leçons de chaque violation.

En savoir plus par réserver une courte démo de 30 minutes.