RGPD L'article 5 contient la plupart des informations qui doivent être prises en compte du point de vue de l'ISO.
L’article 5 peut être largement considéré comme un ensemble de principes sous-jacents qui transparaissent dans l’intégralité de la législation britannique et européenne, englobant de nombreux domaines différents de conformité, notamment :
Les organisations doivent bien connaître l’article 5, afin de mieux comprendre les nuances subtiles que le RGPD présente dans d’autres domaines de la législation.
Principes relatifs au traitement des données personnelles
- Les données personnelles sont:
- (a) traités de manière licite, loyale et transparente à l'égard de la personne concernée (« licéité, loyauté et transparence »);
- (b) collectés à des fins spécifiées, explicites et légitimes et non traités ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur à des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, n'est pas considéré comme incompatible avec les finalités initiales (« limitation de la finalité ») ;
- (c) adéquats, pertinents et limités à ce qui est nécessaire au regard des finalités pour lesquelles ils sont traités (« minimisation des données ») ;
- d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour garantir que les données personnelles inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai (« exactitude ») ;
- (e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles les données personnelles sont traitées ; les données à caractère personnel peuvent être conservées pendant des périodes plus longues dans la mesure où elles sont traitées uniquement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, sous réserve de la mise en œuvre des mesures techniques et organisationnelles appropriées. les mesures requises par le présent règlement afin de sauvegarder les droits et libertés de la personne concernée (« limitation de la conservation »);
- (f) traitées de manière à garantir une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées (« intégrité et confidentialité »).
- Le responsable du traitement est responsable du paragraphe 1 («responsabilité») et est en mesure de démontrer son respect.
D'un point de vue technique, l'article 5 fournit en grande partie le cadre juridique dans lequel les organisations doivent opérer, afin de rester conformes, à travers six principes directeurs :
Bien qu'incroyablement vague, « l'équité » est une exigence générale du RGPD et sert d'outil d'interprétation pour une situation qui ne viole peut-être pas la lettre de la loi, mais qui n'est clairement pas « juste » du point de vue d'un individu et de son entourage. droits.
La « transparence » exige que la personne concernée soit pleinement consciente du traitement de ses données. Le RGPD exige que les informations fournies à la personne concernée soient fournies dans un délai raisonnable, facilement accessibles et exemptes d'erreurs.
L'article 5 du RGPD stipule que toute donnée personnelle collectée doit être limitée à des finalités très spécifiques et légitimes, et ne doit pas être réappropriée à des fins autres que celles initialement prévues.
La minimisation des données au titre de l'article 5 du RGPD est définie sous deux termes : « traitement » et « finalité ». Essentiellement, les organisations doivent s’assurer qu’elles ne traitent les données qu’au niveau minimum, afin d’atteindre leur objectif initial.
Les données doivent être maintenues exactes et à jour à tout moment. Si les données s'avèrent inexactes, l'article 5 stipule que les organisations doivent prendre des « mesures raisonnables » pour rectifier toute erreur commise. Dans l’ensemble, les individus doivent être correctement représentés par les données qui les concernent, afin que les décisions prises ne soient pas prises sur la base d’une fausse impression de qui ils sont.
Les organisations doivent être conscientes du fait que les opérations de traitement ne doivent pas s’éterniser. Une fois qu’un premier ensemble d’objectifs est atteint, le traitement des données doit s’arrêter. Pour y parvenir, les organisations doivent définir des durées de stockage avant de traiter des données.
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
Les opérations de transfert d’informations doivent :
Lorsqu’elles utilisent des moyens de transfert électronique, les organisations doivent :
Lors du transfert de supports physiques (y compris des documents papier) entre des locaux ou des emplacements externes, les organisations doivent :
La transmission orale d'informations sensibles présente un risque de sécurité unique, en particulier en ce qui concerne la protection des informations personnelles et de la vie privée.
Les organisations doivent rappeler à leurs employés :
Les organisations doivent utiliser des accords de non-divulgation (NDA) et des accords de confidentialité pour protéger la divulgation volontaire ou accidentelle d'informations sensibles à du personnel non autorisé.
Lors de la rédaction, de la mise en œuvre et du maintien de tels accords, les organisations doivent :
Les lois sur la confidentialité varient d'une juridiction à l'autre, et les organisations doivent tenir compte de leurs propres obligations légales et réglementaires lors de la rédaction des NDA et des accords de confidentialité (voir ISO 27002 Contrôles 5.31, 5.32, 5.33 et 5.34).
Les procédures de sécurité des applications doivent être développées parallèlement à des politiques plus larges de protection de la vie privée, généralement via une évaluation des risques structurée qui prend en compte plusieurs variables.
Les exigences de sécurité des applications doivent inclure :
Les services transactionnels qui facilitent le flux de données confidentielles entre l'organisation et une organisation tierce, ou une organisation partenaire, devraient :
Pour toute application impliquant une commande et/ou un paiement électronique, les organisations doivent :
Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.
Depuis la migration, nous avons pu réduire le temps consacré à l'administration.
Les organisations doivent sélectionner soigneusement les données de test pour garantir que l'activité de test est à la fois fiable et sécurisée. Les organisations doivent accorder une attention particulière à ce que les informations personnelles ne soient pas copiées dans les environnements de développement et de test.
Afin de protéger les données opérationnelles tout au long des activités de test, les organisations doivent :
Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.
Ce faisant, les organisations devraient :
Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.
Afin de créer une politique de gestion des incidents cohérente et hautement fonctionnelle qui protège la disponibilité et l'intégrité des informations confidentielles lors d'incidents critiques, les organisations doivent :
Le personnel impliqué dans des incidents de sécurité des informations confidentielles doit comprendre :
Lorsqu’il traite des événements liés à la sécurité des informations confidentielles, le personnel doit :
Les activités de reporting doivent être centrées autour de 4 domaines clés :
Nous avions l'impression d'avoir
le meilleur des deux mondes. Nous étions
pouvoir utiliser notre
les processus existants,
& l'adopter, s'adapter
le contenu nous a donné de nouvelles
profondeur à notre SMSI.
Les organisations doivent se conformer aux exigences légales, statutaires, réglementaires et contractuelles lorsque :
Les organisations doivent suivre des procédures qui leur permettent de identifier, analyser ainsi que comprendre obligations législatives et réglementaires – en particulier celles qui concernent la protection de la vie privée et les informations personnelles – partout où elles opèrent.
Les organisations doivent être continuellement conscientes de leurs obligations en matière de protection de la vie privée lorsqu’elles concluent de nouveaux accords avec des tiers, des fournisseurs et des sous-traitants.
Lors du déploiement de méthodes de chiffrement pour renforcer la protection de la vie privée et sauvegarder les informations personnelles, les organisations doivent :
Les organisations devraient envisager la gestion des dossiers dans 4 domaines clés :
Pour maintenir un système d'enregistrement fonctionnel qui protège les informations personnelles et les informations liées à la confidentialité, les organisations doivent :
Les organisations doivent mettre en œuvre des politiques spécifiques à un sujet qui traitent de différentes catégories de terminaux et de versions logicielles des appareils mobiles, ainsi que la manière dont les contrôles de sécurité doivent être adaptés pour améliorer la sécurité des données.
La politique, les procédures et les mesures de sécurité d'une organisation en matière d'appareils mobiles doivent prendre en compte :
Tous les membres de l'organisation qui utilisent l'accès à distance doivent être explicitement informés de toute politique et procédure relative aux appareils mobiles qui s'appliquent à eux dans le contexte de la gestion sécurisée des appareils terminaux.
Les utilisateurs doivent être invités à :
Les organisations qui autorisent leur personnel à utiliser des appareils personnels doivent également prendre en compte les contrôles de sécurité suivants :
Lors de la rédaction de procédures traitant de la connectivité sans fil sur les appareils finaux, les organisations doivent :
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
Plutôt que de mettre toutes les informations détenues sur un pied d'égalité, les organisations devraient classer les informations sur une base thématique spécifique.
Les propriétaires d'informations doivent prendre en compte quatre facteurs clés, lors de la classification des données (en particulier concernant les informations personnelles), qui doivent être révisés périodiquement, ou lorsque ces facteurs changent :
Afin de fournir un cadre opérationnel clair, les catégories d'informations doivent être nommées en fonction du niveau de risque inhérent, en cas d'incident compromettant l'un des facteurs ci-dessus.
Pour garantir la compatibilité multiplateforme, les organisations doivent mettre leurs catégories d'informations à la disposition de tout personnel externe avec lequel elles partagent des informations et veiller à ce que le propre système de classification de l'organisation soit largement compris par toutes les parties concernées.
Les organisations doivent se méfier de la sous-classification ou, à l’inverse, de la surclassification des données. La première peut conduire à des erreurs dans le regroupement des informations personnelles avec des types de données moins sensibles, tandis que la première entraîne souvent des dépenses supplémentaires, un plus grand risque d'erreur humaine et d'anomalies de traitement.
Les étiquettes sont un élément clé pour garantir que la politique de classification des informations personnelles de l'organisation (voir ci-dessus) est respectée et que les données peuvent être clairement identifiées en fonction de leur sensibilité (par exemple, les informations personnelles étant étiquetées comme étant distinctes des types de données moins confidentiels).
Les procédures d’étiquetage des informations personnelles doivent définir :
L'ISO offre aux organisations de nombreuses possibilités de choisir leurs propres techniques d'étiquetage, notamment :
Lors de l’élaboration de politiques régissant le traitement des ressources multimédias impliquées dans le stockage des informations personnelles, les organisations doivent :
Lors de la réutilisation, de la réutilisation ou de l'élimination de supports de stockage, des procédures robustes doivent être mises en place pour garantir que les informations personnelles ne soient pas affectées de quelque manière que ce soit, notamment :
Si les appareils qui ont été utilisés pour stocker des informations personnelles sont endommagés, l'organisation doit soigneusement déterminer s'il est plus approprié ou non de détruire ces supports ou de les envoyer pour réparation (en privilégiant le premier).
See ISO 27701 Article 6.5.3.1
Si des médias contenant des informations personnelles doivent être supprimés, les organisations doivent mettre en œuvre des procédures qui documentent la destruction des informations personnelles et des données liées à la confidentialité, y compris l'assurance catégorique qu'elles ne sont plus disponibles.
Lors de la mise en œuvre de politiques traitant des supports amovibles, les organisations doivent :
Les organisations doivent conserver des enregistrements complets de tout support de stockage utilisé pour traiter des informations sensibles, notamment :
Tout au long du processus de réutilisation, de réutilisation ou d’élimination des supports de stockage, les organisations doivent :
L'enregistrement des utilisateurs est régi par l'utilisation des « identités » attribuées. Les identités fournissent aux organisations un cadre pour régir l'accès des utilisateurs aux informations personnelles et aux actifs et matériels liés à la confidentialité, dans les limites d'un réseau.
L'organisation doit suivre six points d'orientation principaux, afin de garantir que les identités sont gérées correctement et que les informations personnelles sont protégées partout où elles sont stockées, traitées ou consultées :
Les organisations qui travaillent en partenariat avec des organisations externes (en particulier les plateformes basées sur le cloud) doivent comprendre les risques inhérents associés à de telles pratiques et prendre des mesures pour garantir que les informations personnelles ne soient pas affectées dans le processus (voir ISO 27002 Contrôles 5.19 et 5.17).
Notre récent succès dans l’obtention des certifications ISO 27001, 27017 et 27018 est dû en grande partie à ISMS.online.
Nous sommes économiques et rapides
Les « droits d'accès » régissent la manière dont l'accès aux informations personnelles et aux informations liées à la confidentialité est à la fois accordé et révoqué, en utilisant le même ensemble de principes directeurs.
Les procédures d'accès doivent inclure :
Les organisations doivent procéder à des examens périodiques des droits d’accès sur l’ensemble du réseau, notamment :
Les membres du personnel qui quittent l'organisation (soit volontairement, soit en tant qu'employé licencié) et ceux qui font l'objet d'une demande de changement doivent voir leurs droits d'accès modifiés sur la base de procédures solides de gestion des risques, notamment :
Les contrats de travail et les contrats d'entrepreneur/de service doivent inclure une explication de ce qui se passe suite à toute tentative d'accès non autorisé (voir ISO 27002 Contrôles 5.20, 6.2, 6.4, 6.6).
Les informations personnelles et les actifs liés à la confidentialité doivent être stockés sur un réseau doté d'une gamme de contrôles d'authentification, notamment :
Pour prévenir et minimiser le risque d’accès non autorisé aux informations personnelles, les organisations doivent :
Les informations personnelles et les informations liées à la confidentialité sont particulièrement menacées lorsqu'il est nécessaire de se débarrasser ou de réutiliser les actifs de stockage et de traitement – soit en interne, soit en partenariat avec un fournisseur tiers spécialisé.
Avant tout, les organisations doivent s'assurer que tout support de stockage destiné à être mis au rebut et contenant des informations personnelles doit être physiquement détruit, essuyé or écrasé (voir ISO 27002 Contrôle 7.10 et 8.10).
Pour éviter que les informations personnelles ne soient compromises de quelque manière que ce soit, lors de l'élimination ou de la réutilisation d'actifs, les organisations doivent :
Les informations personnelles et les informations relatives à la confidentialité sont particulièrement menacées lorsque le personnel imprudent et les sous-traitants tiers ne respectent pas les mesures de sécurité sur le lieu de travail qui protègent contre la visualisation accidentelle ou délibérée des informations personnelles par du personnel non autorisé.
Les organisations doivent rédiger des politiques de bureau et d'écran clairs spécifiques à un sujet (espace de travail par espace de travail si nécessaire) qui comprennent :
Lorsque des organisations quittent collectivement leurs locaux – par exemple lors d’un déménagement de bureau ou d’un déménagement similaire – des efforts doivent être faits pour garantir qu’aucune documentation ne soit laissée derrière, que ce soit dans les bureaux et les systèmes de classement, ou toute autre documentation susceptible d’être tombée dans des endroits obscurs.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Prenez 30 minutes pour voir comment ISMS.online vous fait gagner des heures (et des heures !)
Réserver une réunionLes organisations doivent rédiger des politiques spécifiques à un sujet qui traitent directement de la manière dont l'organisation sauvegarde les zones pertinentes de son réseau afin de protéger les informations personnelles et d'améliorer la résilience contre les incidents liés à la confidentialité.
Les procédures BUDR devraient être rédigées pour atteindre l’objectif principal de garantir que TOUTE les données, logiciels et systèmes critiques pour l'entreprise peuvent être récupérés après La perte de données, intrusion, interruption de travail ainsi que échecs critiques.
En priorité, les plans BUDR devraient :
Les organisations doivent développer des procédures distinctes qui traitent uniquement des informations personnelles (bien que contenues dans leur plan BUDR principal).
Les variations régionales des normes PII BUDR (contractuelles, légales et réglementaires) doivent être prises en compte chaque fois qu'un nouvel emploi est créé, que des emplois sont modifiés ou que de nouvelles données PII sont ajoutées à la routine BUDR.
Chaque fois qu'il est nécessaire de restaurer des informations personnelles à la suite d'un incident BUDR, les organisations doivent prendre grand soin de remettre les informations personnelles à leur état d'origine et revoir les activités de restauration pour résoudre tout problème avec les nouvelles données.
Les organisations doivent conserver un journal des activités de restauration, incluant tout le personnel impliqué dans la restauration, ainsi qu'une description des informations personnelles restaurées.
Les organisations doivent vérifier auprès de toutes les agences législatives ou réglementaires et s'assurer que leurs procédures de restauration de PII sont conformes à ce que l'on attend d'elles en tant que processeur et contrôleur de PII.
L'ISO définit un « événement » comme toute action effectuée par une présence/entité numérique ou physique sur un système informatique.
Les journaux d'événements doivent contenir :
L'ISO identifie 11 événements/composants qui nécessitent une journalisation (et liés à la même source de temps – voir ISO 27002 Contrôle 8.17), afin de maintenir la sécurité des informations personnelles et d'améliorer la protection de la confidentialité de l'organisation :
Les journaux doivent être protégés contre les modifications non autorisées ou les anomalies opérationnelles, notamment :
Les organisations doivent adopter les techniques suivantes, afin d'améliorer la sécurité basée sur les journaux :
Lorsqu'il est nécessaire de fournir des journaux à des organisations externes, des mesures strictes doivent être prises pour protéger les informations personnelles et liées à la confidentialité, conformément aux normes acceptées en matière de confidentialité des données (voir ISO 27002 Contrôle 5.34 et les directives supplémentaires ci-dessous).
Les journaux devront être analysés de temps en temps, afin d'améliorer la protection de la vie privée dans son ensemble, ainsi que de résoudre et de prévenir les failles de sécurité.
Lors de l’analyse des journaux, les organisations doivent prendre en compte :
La surveillance des journaux offre aux organisations la possibilité de protéger les informations personnelles à la source et de favoriser une approche proactive en matière de protection de la vie privée.
Les organisations devraient :
L'ISO exige que les organisations surveillent les journaux relatifs aux informations personnelles via un 'processus de surveillance et d’alerte continu et automatisé'. Cela peut nécessiter un ensemble distinct de procédures qui surveillent l'accès aux informations personnelles.
Les organisations doivent s’assurer que – en priorité – les journaux fournissent un compte rendu clair de l’accès aux informations personnelles, notamment :
Les organisations devraient décider 'si, quand et commentLes informations du journal PII doivent être mises à la disposition des clients, tous les critères étant mis gratuitement à la disposition des mandants eux-mêmes et un grand soin étant pris pour garantir que les mandants PII ne peuvent accéder qu'aux informations les concernant.
Voir la norme ISO 27701, article 6.9.4.1.
Les organisations doivent consacrer beaucoup d’attention à garantir que les journaux contenant des informations personnelles sont correctement contrôlés et bénéficient d’une surveillance sécurisée.
Des procédures automatisées doivent être mises en place pour supprimer ou « désidentifier » les journaux, conformément à une politique de conservation publiée (voir ISO 27002 Contrôle 7.4.7).
Les responsables des PII doivent être parfaitement au courant de toutes les différentes raisons pour lesquelles leurs PII sont traitées.
Il est de la responsabilité de l'organisation de transmettre ces raisons aux responsables des PII, ainsi qu'une « déclaration claire » expliquant pourquoi ils doivent traiter leurs informations.
Toute la documentation doit être claire, complète et facilement comprise par tout responsable des PII qui la lit – y compris tout ce qui concerne le consentement, ainsi que des copies des procédures internes (voir ISO 27701, clauses 7.2.3, 7.3.2 et 7.2.8).
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
ISMS.online vous fera gagner du temps et de l’argent
Obtenez votre devisPour constituer une base juridique pour le traitement des informations personnelles, les organisations doivent :
Pour chaque point mentionné ci-dessus, les organisations doivent être en mesure de proposer une confirmation documentée
Les organisations doivent également prendre en compte toutes les « catégories spéciales » de données personnelles liées à leur organisation dans leur système de classification des données (voir ISO 27701, clause 7.2.8) (les classifications peuvent varier d'une région à l'autre).
Si les organisations constatent des changements dans les raisons sous-jacentes du traitement des informations personnelles, cela doit être immédiatement reflété dans leur base juridique documentée.
Les organisations doivent conclure des contrats écrits et contraignants avec tout processeur externe d’informations personnelles qu’elles utilisent.
Tout contrat doit garantir que le sous-traitant des informations personnelles met en œuvre toutes les informations requises contenues dans l'annexe B de la norme ISO 27701, avec une attention particulière aux contrôles d'évaluation des risques (clause 27701 de la norme ISO 5.4.1.2) et à la portée globale des activités de traitement (voir la clause 27701 de la norme ISO 6.12). ).
Les organisations doivent être en mesure de justifier l'omission de tout contrôle contenu dans l'Annexe B, dans leur relation avec le processeur de PII (voir ISO 27701 Clause 5.4.1.3).
Les organisations doivent conserver un ensemble complet d’enregistrements qui soutiennent leurs actions et obligations en tant que processeur de PII.
Les enregistrements (également appelés « listes d'inventaire ») doivent avoir un propriétaire délégué et peuvent inclure :
Les organisations doivent rédiger, documenter et mettre en œuvre des procédures permettant aux responsables des informations personnelles d'accéder, de corriger et/ou de supprimer leurs informations personnelles.
Les procédures doivent inclure des mécanismes par lesquels le responsable des PII est en mesure d'effectuer l'action ci-dessus, y compris la manière dont l'organisation doit informer le responsable si des corrections ne peuvent pas être apportées.
Les organisations doivent s'engager à publier un délai de réponse pour toutes les demandes d'accès, de correction ou de suppression.
Il est extrêmement important de communiquer toute demande de ce type à des tiers ayant reçu des informations personnelles transférées (voir ISO 27701, clause 7.3.7).
La capacité d'un mandant de PII à demander des corrections ou des suppressions est dictée par la juridiction dans laquelle l'organisation opère. À ce titre, les entreprises doivent se tenir au courant de tout changement légal ou réglementaire qui régit leurs obligations envers les PII.
Les organisations doivent limiter leur collecte de données personnelles en fonction de trois facteurs :
Les organisations ne doivent collecter des informations personnelles – directement ou indirectement – que conformément aux facteurs ci-dessus, et uniquement à des fins pertinentes et nécessaires à la réalisation de leur objectif déclaré.
En tant que concept, la « confidentialité par défaut » doit être respectée – c'est-à-dire que toutes les fonctions facultatives doivent être désactivées par défaut.
Les organisations doivent prendre des mesures pour garantir que les informations personnelles sont exactes, complètes et à jour, tout au long de leur cycle de vie.
Les politiques organisationnelles de sécurité des informations et les configurations techniques doivent contenir des étapes visant à minimiser les erreurs tout au long de l'opération de traitement des informations personnelles, y compris des contrôles sur la manière de répondre aux inexactitudes.
Les organisations doivent élaborer des procédures de « minimisation des données », y compris des mécanismes tels que la désidentification.
La minimisation des données doit être utilisée pour garantir que la collecte et le traitement des informations personnelles sont limités à la « finalité identifiée » de chaque fonction (voir ISO 27701, clause 7.2.1).
Une grande partie de ce processus consiste à documenter dans quelle mesure les informations des principaux PII doivent leur être directement imputables, et comment la minimisation doit être réalisée via une variété de méthodes disponibles.
Les organisations doivent décrire les techniques spécifiques utilisées pour anonymiser les responsables des informations personnelles, telles que :
Les organisations doivent soit détruire complètement toutes les informations personnelles qui ne remplissent plus leur objectif, soit les modifier de manière à empêcher toute forme d'identification du principal.
Dès que l'organisation a établi que les informations personnelles n'ont plus besoin d'être traitées à aucun moment dans le futur, les informations doivent être supprimé or désidentifié, selon les circonstances.
Les fichiers temporaires sont créés pour un certain nombre de raisons techniques, tout au long du cycle de vie du traitement et de la collecte des informations personnelles, sur de nombreuses applications, systèmes et plates-formes de sécurité.
Les organisations doivent s'assurer que ces fichiers sont détruits dans un délai raisonnable, conformément à une politique de conservation officielle.
Un moyen simple d'identifier l'existence de tels fichiers consiste à effectuer des vérifications périodiques des fichiers temporaires sur le réseau. Les fichiers temporaires incluent souvent :
Les organisations devraient adhérer à ce qu'on appelle procédure de collecte des ordures qui supprime les fichiers temporaires lorsqu'ils ne sont plus nécessaires.
Les organisations doivent disposer de politiques et de procédures claires qui régissent la manière dont les informations personnelles sont éliminées.
La suppression des données est un sujet vaste qui comporte une multitude de variables différentes, basées sur la technique de suppression requise et la nature des données supprimées.
Les organisations doivent prendre en compte :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides
Toutes les informations personnelles devant être transférées à une organisation tierce doivent l'être avec le plus grand soin pour les informations envoyées, en utilisant des moyens sécurisés.
Les organisations doivent s'assurer que seul le personnel autorisé peut accéder aux systèmes de transmission, et ce, de manière facilement auditable, dans le seul but d'acheminer les informations là où elles doivent parvenir sans incident.
Dès le départ, les informations personnelles ne doivent être traitées que conformément aux instructions du client.
Les contrats doivent inclure des SLA relatifs aux objectifs mutuels et tous les délais associés dans lesquels ils doivent être exécutés.
Les organisations doivent reconnaître leur droit de choisir les méthodes distinctes utilisées pour traiter les informations personnelles, qui permettent d'obtenir légalement ce que le client recherche, mais sans avoir besoin d'obtenir des autorisations granulaires sur la façon dont l'organisation s'y prend au niveau technique.
Les organisations doivent veiller à ce que les fichiers temporaires soient détruits dans un délai raisonnable, conformément à une politique de conservation officielle et à des procédures de suppression claires.
Un moyen simple d'identifier l'existence de tels fichiers consiste à effectuer des vérifications périodiques des fichiers temporaires sur le réseau.
Les organisations devraient adhérer à ce qu'on appelle procédure de collecte des ordures qui supprime les fichiers temporaires lorsqu'ils ne sont plus nécessaires.
Chaque fois qu'il est nécessaire de transmettre des informations personnelles sur un réseau de données (y compris une liaison dédiée), les organisations doivent veiller à ce que les informations personnelles parviennent aux bons destinataires, en temps opportun.
Lors du transfert de données personnelles entre réseaux de données, les organisations doivent :
Article RGPD | Article ISO 27701 | Contrôles ISO 27002 |
---|---|---|
Article 5(1)(f) du RGPD de l’UE | 6.10.2.1 | 5.13 8.7 8.24 |
Article 5, paragraphe 1 du RGPD de l’UE | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
Article 5(1)(f) du RGPD de l’UE | 6.11.1.2 | 5.17 8.2 8.5 |
Article 5(1)(f) du RGPD de l’UE | 6.11.3.1 | 8.10 8.11 |
Article 5(1)(f) du RGPD de l’UE | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
Article 5(1)(f) du RGPD de l’UE | 6.15.1.1 | 5.20 |
Article 5 (2) du RGPD de l’UE | 6.15.1.3 | Aucun |
Article 5(1)(f) du RGPD de l’UE | 6.3.2.1 | 8.9 8.16 |
Article 5(1)(f) du RGPD de l’UE | 6.5.2.1 | Aucun |
Article 5(1)(f) du RGPD de l’UE | 6.5.2.2 | Aucun |
Article 5(1)(f) du RGPD de l’UE | 6.5.3.1 | 5.14 |
Article 5(1)(f) du RGPD de l’UE | 6.5.3.2 | 5.14 |
Article 5(1)(f) du RGPD de l’UE | 6.6.2.1 | 5.17 5.19 |
Article 5(1)(f) du RGPD de l’UE | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
Article 5(1)(f) du RGPD de l’UE | 6.6.4.2 | Aucun |
Article 5(1)(f) du RGPD de l’UE | 6.8.2.7 | 7.10 8.10 |
Article 5(1)(f) du RGPD de l’UE | 6.8.2.9 | Aucun |
Article 5(1)(f) du RGPD de l’UE | 6.9.3.1 | 5.30 8.1 8.10 |
Article 5(1)(f) du RGPD de l’UE | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
Article 5(1)(f) du RGPD de l’UE | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
Article 5 (1)(b) du RGPD de l’UE | 7.2.1 | Aucun |
Article 5 (1)(a) du RGPD de l’UE | 7.2.2 | Aucun |
Article 5 (2) du RGPD de l’UE | 7.2.8 | Aucun |
Article 5 (1)(d) du RGPD de l’UE | 7.3.6 | Aucun |
Article 5 (1)(b) du RGPD de l’UE | 7.4.1 | Aucun |
Article 5 (1)(d) du RGPD de l’UE | 7.4.3 | Aucun |
Article 5 (1)(c) du RGPD de l’UE | 7.4.4 | Aucun |
RGPD UE Article 5 (1)(c), 5 (1)(e) | 7.4.5 | Aucun |
Article 5 (1)(c) du RGPD de l’UE | 7.4.6 | Aucun |
Article 5 (1)(f) du RGPD de l’UE | 7.4.8 | Aucun |
Article 5 (1)(f) du RGPD de l’UE | 7.4.9 | Aucun |
RGPD UE Article 5 (1)(a), 5 (1)(b) | 8.2.2 | Aucun |
Article 5 (1)(c) du RGPD de l’UE | 8.4.1 | Aucun |
Article 5 (1)(f) du RGPD de l’UE | 8.4.3 | Aucun |
Votre solution complète RGPD.
Un environnement pré-construit qui s'intègre parfaitement à votre système de gestion vous permet de décrire et de démontrer votre approche en matière de protection des données des clients européens et britanniques.
Avec ISMS.online, vous pouvez passer directement à la conformité au RGPD et démontrer des niveaux de protection qui vont au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.
En combinaison avec notre approche de mise en œuvre « Adopter, Adapter, Ajouter », la plateforme ISMS.online offre des conseils intégrés à chaque étape, réduisant ainsi les efforts requis pour démontrer votre conformité au RGPD. Un certain nombre de fonctionnalités puissantes permettant de gagner du temps seront également à votre disposition.
En savoir plus par réserver une courte démo de 30 minutes.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Découvrez la meilleure façon de réussir votre SMSI
Obtenez votre guide gratuit