Comment démontrer la conformité à l'article 5 du RGPD

Transfert d'information

Clause 27701 de la norme ISO 6.10.2.1 (Politiques et procédures de transfert d'informations) et article 5 (1)(f) du RGPD de l'UE

Les opérations de transfert d’informations doivent :

• Concentrez-vous sur les contrôles qui empêchent interception, l'accès non autorisé, copier, modifiant, mauvais acheminement, destruction ainsi que déni de service des informations personnelles et des informations relatives à la confidentialité (voir ISO 27002 Contrôle 8.24).
• Assurez-vous que les informations sont traçables.
• Classez une liste de contacts – c'est-à-dire les propriétaires, les propriétaires de risques, etc.
• Décrire les responsabilités en cas d'incident de sécurité.
• Incluez des systèmes d’étiquetage clairs et concis (voir ISO 27002 Contrôle 5.13).
• Garantir une installation de transfert fiable, y compris des politiques spécifiques au sujet sur le transfert de données (voir ISO 27002 Contrôle 5.10).
• Décrivez les directives de conservation et d’élimination, y compris les lois et directives spécifiques à une région ou à un secteur.

Transfert électronique

Lorsqu’elles utilisent des moyens de transfert électronique, les organisations doivent :

1. Tentative de détection et de protection contre les programmes malveillants (voir ISO 27002 Control 8.7).
2. Concentrez-vous sur la protection des pièces jointes.
3. Faites très attention à envoyer les informations à la bonne adresse.
4. Mandater un processus d'approbation avant que les employés puissent transmettre des informations via des « services publics externes » (par exemple la messagerie instantanée) et exercer un plus grand contrôle sur ces méthodes.
5. Évitez d'utiliser les services SMS et les télécopieurs, dans la mesure du possible.

Transferts physiques (y compris les supports de stockage)

Lors du transfert de supports physiques (y compris des documents papier) entre des locaux ou des emplacements externes, les organisations doivent :

• Décrivez clairement les responsabilités en matière d’expédition et de réception.
• Faites très attention à saisir les coordonnées correctes.
• Utilisez un emballage offrant une protection contre les dommages physiques ou la falsification.
• Opérez avec une liste de coursiers autorisés et d’expéditeurs tiers, y compris des normes d’identification robustes.
• Tenez des journaux complets de tous les transferts physiques, y compris les détails des destinataires, les dates et heures des transferts et toutes les mesures de protection physique.

Transferts verbaux

La transmission orale d'informations sensibles présente un risque de sécurité unique, en particulier en ce qui concerne la protection des informations personnelles et de la vie privée.

Les organisations doivent rappeler à leurs employés :

1. Évitez d'avoir de telles conversations dans un lieu public ou dans un lieu interne non sécurisé.
2. Évitez de laisser des messages vocaux contenant des informations sensibles ou restreintes.
3. Assurez-vous que la personne à qui vous parlez est d'un niveau approprié pour recevoir ladite information et informez-la de ce qui va être dit avant de divulguer l'information.
4. Soyez attentif à leur environnement et assurez-vous que les contrôles de la pièce sont respectés.

Considérations supplémentaires sur le RGPD au Royaume-Uni

• Article 5 – (1)(f)

Prise en charge des contrôles ISO 27002

• ISO 27002 5.13
• ISO 27002 8.7
• ISO 27002 8.24

Clause 27701 de la norme ISO 6.10.2.4 (Accords de confidentialité ou de non-divulgation) et article 5 (1) du RGPD de l'UE

Les organisations doivent utiliser des accords de non-divulgation (NDA) et des accords de confidentialité pour protéger la divulgation volontaire ou accidentelle d'informations sensibles à du personnel non autorisé.

Lors de la rédaction, de la mise en œuvre et du maintien de tels accords, les organisations doivent :

• Proposez une définition des informations qui doivent être protégées.
• Décrivez clairement la durée prévue de l’accord.
• Énoncez clairement toutes les actions requises une fois l’accord résilié.
• Toutes les responsabilités convenues par les signataires confirmés.
• Propriété des informations (y compris la propriété intellectuelle et les secrets commerciaux).
• Comment les signataires sont autorisés à utiliser les informations.
• Décrivez clairement le droit de l’organisation de surveiller les informations confidentielles.
• Toutes les répercussions qui découleront du non-respect.
• Examine régulièrement leurs besoins en matière de confidentialité et ajuste tout accord futur en conséquence.

Les lois sur la confidentialité varient d'une juridiction à l'autre, et les organisations doivent tenir compte de leurs propres obligations légales et réglementaires lors de la rédaction des NDA et des accords de confidentialité (voir ISO 27002 Contrôles 5.31, 5.32, 5.33 et 5.34).

Prise en charge des contrôles ISO 27002

• ISO 27002 5.31
• ISO 27002 5.32
• ISO 27002 5.33
• ISO 27002 5.34

Développement et maintenance d’acquisition de systèmes

Clause 27701 de la norme ISO 6.11.1.2 (Sécurisation des services d'application sur les réseaux publics) et article 5 (1)(f) du RGPD de l'UE

Les procédures de sécurité des applications doivent être développées parallèlement à des politiques plus larges de protection de la vie privée, généralement via une évaluation des risques structurée qui prend en compte plusieurs variables.

Les exigences de sécurité des applications doivent inclure :

1. Les niveaux de confiance inhérents à toutes les entités du réseau (voir ISO 27002 Contrôles 5.17, 8.2 et 8.5).
2. La classification des données que l'application est configurée pour traiter (y compris les informations personnelles).
3. Toute exigence de séparation.
4. Protection contre les attaques internes et externes, et/ou les utilisations malveillantes.
5. Toute exigence légale, contractuelle ou réglementaire en vigueur.
6. Protection robuste des informations confidentielles.
7. Données qui doivent être protégées pendant le transit.
8. Toutes les exigences cryptographiques.
9. Contrôles d’entrée et de sortie sécurisés.
10. Utilisation minimale de champs de saisie sans restriction – en particulier ceux qui ont le potentiel de stocker des données personnelles.
11. Le traitement des messages d’erreur, y compris une communication claire des codes d’erreur.

Services transactionnels

Les services transactionnels qui facilitent le flux de données confidentielles entre l'organisation et une organisation tierce, ou une organisation partenaire, devraient :

• Établir un niveau de confiance approprié entre les identités organisationnelles.
• Incluez des mécanismes qui vérifient la confiance entre les identités établies (par exemple, hachage et signatures numériques).
• Décrivez des procédures robustes qui régissent ce que les employés sont capables de gérer des documents transactionnels clés.
• Contenir des procédures de gestion des documents et des transactions qui couvrent la confidentialité, l'intégrité, la preuve d'envoi et de réception des documents et transactions clés.
• Incluez des conseils spécifiques sur la manière de préserver la confidentialité des transactions.

Applications de commande et de paiement électroniques

Pour toute application impliquant une commande et/ou un paiement électronique, les organisations doivent :

• Définir des exigences strictes en matière de protection des données de paiement et de commande.
• Vérifiez les informations de paiement avant de passer une commande.
• Stockez en toute sécurité les données transactionnelles et liées à la confidentialité d'une manière inaccessible au public.
• Faites appel à des autorités de confiance lors de la mise en œuvre de signatures numériques, en gardant toujours à l’esprit la protection de la vie privée.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

Clause 27701 de la norme ISO 6.11.3.1 (Protection des données de test) et article 5 (1)(f) du RGPD de l'UE

Les organisations doivent sélectionner soigneusement les données de test pour garantir que l'activité de test est à la fois fiable et sécurisée. Les organisations doivent accorder une attention particulière à ce que les informations personnelles ne soient pas copiées dans les environnements de développement et de test.

Afin de protéger les données opérationnelles tout au long des activités de test, les organisations doivent :

1. Utilisez un ensemble homogène de procédures de contrôle d’accès dans les environnements de test et opérationnels.
2. Assurez-vous qu’une autorisation est requise chaque fois que des données opérationnelles sont copiées dans un environnement de test.
3. Enregistrez la copie et l’utilisation des données opérationnelles.
4. Protégez les informations confidentielles grâce à des techniques telles que le masquage (voir ISO 27002 Contrôle 8.11).
5. Supprimer les données opérationnelles d'un environnement de test, une fois qu'elles ne sont plus nécessaires (voir ISO 27002 Contrôle 8.10).
6. Stockez en toute sécurité les données de test et assurez-vous que les employés savent qu'elles ne doivent être utilisées qu'à des fins de test.

Prise en charge des contrôles ISO 27002

• ISO 27002 8.10
• ISO 27002 8.11

Relations avec les fournisseurs

Clause 27701 de la norme ISO 6.12.1.2 (traitement de la sécurité dans les accords avec les fournisseurs) et article 5 (1)(f) du RGPD de l'UE

Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.

Ce faisant, les organisations devraient :

• Proposez une description claire qui détaille les informations de confidentialité auxquelles il faut accéder et comment ces informations seront accessibles.
• Classer les informations de confidentialité auxquelles il faut accéder conformément à un système de classification accepté (voir ISO 27002 Contrôles 5.10, 5.12 et 5.13).
• Tenir dûment compte du propre système de classification des fournisseurs.
• Classez les droits en quatre domaines principaux – légaux, statutaires, réglementaires et contractuels – avec une description détaillée des obligations par domaine.
• Veiller à ce que chaque partie soit tenue d'adopter une série de contrôles qui surveillent, évaluent et gèrent les niveaux de risque pour la sécurité des informations confidentielles.
• Décrivez la nécessité pour le personnel du fournisseur d'adhérer aux normes de sécurité des informations d'une organisation (voir ISO 27002 Contrôle 5.20).
• Faciliter une compréhension claire de ce qui constitue une utilisation à la fois acceptable et inacceptable des informations confidentielles et des actifs physiques et virtuels de l’une ou l’autre partie.
• Adoptez les contrôles d'autorisation requis pour que le personnel du côté fournisseur puisse accéder ou consulter les informations de confidentialité d'une organisation.
• Tenez compte de ce qui se passe en cas de rupture de contrat ou de non-respect des stipulations individuelles.
• Décrivez une procédure de gestion des incidents, y compris la manière dont les événements majeurs sont communiqués.
• Veiller à ce que le personnel reçoive une formation de sensibilisation à la sécurité.
• (Si le fournisseur est autorisé à faire appel à des sous-traitants), ajoutez des exigences pour garantir que les sous-traitants sont alignés sur le même ensemble de normes de sécurité des informations confidentielles que le fournisseur.
• Réfléchissez à la manière dont le personnel des fournisseurs est sélectionné avant d'interagir avec les informations confidentielles.
• Stipuler la nécessité d'attestations de tiers attestant de la capacité du fournisseur à répondre aux exigences de sécurité des informations confidentielles de l'organisation.
• Avoir le droit contractuel d’auditer les procédures d’un fournisseur.
• Exigez des fournisseurs qu’ils fournissent des rapports détaillant l’efficacité de leurs propres processus et procédures.
• Concentrez-vous sur la prise de mesures pour affecter la résolution rapide et complète de tout défaut ou conflit.
• Veiller à ce que les fournisseurs opèrent avec une politique BUDR adéquate, pour protéger l'intégrité et la disponibilité des informations personnelles et des actifs liés à la confidentialité.
• Exiger une politique de gestion des changements côté fournisseur qui informe l’organisation de tout changement susceptible d’avoir un impact sur la protection de la vie privée.
• Mettez en œuvre des contrôles de sécurité physique proportionnels à la sensibilité des données stockées et traitées.
• (Lorsque les données doivent être transférées), demandez aux fournisseurs de garantir que les données et les actifs sont protégés contre la perte, les dommages ou la corruption.
• Décrivez une liste des mesures à prendre par l'une ou l'autre des parties en cas de résiliation.
• Demandez au fournisseur d'expliquer comment il a l'intention de détruire les informations confidentielles après la résiliation, ou si les données ne sont plus nécessaires.
• Prenez des mesures pour garantir une interruption minimale des activités pendant une période de transfert.

Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

Gestion des incidents de sécurité de l’information et conformité

Clause 27701 de la norme ISO 6.13.1.1 (Responsabilités et procédures) et article 5 (1)(f) du RGPD de l'UE

Rôles et responsabilités

Afin de créer une politique de gestion des incidents cohérente et hautement fonctionnelle qui protège la disponibilité et l'intégrité des informations confidentielles lors d'incidents critiques, les organisations doivent :

• Adhérez à une méthode de signalement des événements de sécurité des informations confidentielles.
• Établissez une série de processus qui gèrent les incidents liés à la sécurité des informations confidentielles dans l’ensemble de l’entreprise, notamment :
• Administration.
• Documentation.
• Détection.
• Triage.
• Priorisation.
• Analyse.
• Communication.
• Rédigez une procédure de réponse aux incidents qui permet à l’organisation d’évaluer les incidents, d’y répondre et d’en tirer des leçons.
• Veiller à ce que les incidents soient gérés par un personnel formé et compétent qui bénéficie de programmes continus de formation et de certification sur le lieu de travail.

Gestion des incidents

Le personnel impliqué dans des incidents de sécurité des informations confidentielles doit comprendre :

1. Le temps qu'il faudrait pour résoudre un incident.
2. Toutes les conséquences potentielles.
3. La gravité de l'incident.

Lorsqu’il traite des événements liés à la sécurité des informations confidentielles, le personnel doit :

• Évaluer les événements conformément à des critères stricts qui les valident comme incidents approuvés.
• Classez les événements liés à la sécurité des informations confidentielles en 5 sous-thèmes :
• Surveillance (voir ISO 27002 Contrôles 8.15 et 8.16).
• Détection (voir ISO 27002 Contrôle 8.16).
• Classification (voir ISO 27002 Contrôle 5.25).
• Analyse.
• Reporting (voir ISO 27002 Contrôle 6.8).
• Lors de la résolution d’incidents de sécurité des informations confidentielles, les organisations doivent :
• Répondre et faire remonter les problèmes (voir ISO 27002 Contrôle 5.26) en fonction du type d'incident.
• Activer les plans de gestion de crise et de continuité d’activité.
• Effectuer une reprise gérée après un incident qui atténue les dommages opérationnels et/ou financiers.
• Assurer une communication approfondie des événements liés à l’incident à tout le personnel concerné.
• Participez au travail collaboratif (voir ISO 27002 Contrôles 5.5 et 5.6).
• Enregistrez toutes les activités basées sur la gestion des incidents.
• Être responsable du traitement des preuves liées à l'incident (voir ISO 27002 Contrôle 5.28).
• Entreprendre une analyse approfondie des causes profondes, afin de minimiser le risque que l'incident se reproduise, y compris des suggestions de modifications à apporter à tous les processus.

Les activités de reporting doivent être centrées autour de 4 domaines clés :

1. Actions qui doivent être prises lorsqu’un événement de sécurité des informations se produit.
2. Formulaires d'incident qui enregistrent les informations tout au long d'un incident.
3. Processus de feedback de bout en bout à tout le personnel concerné.
4. Les rapports d'incident détaillent ce qui s'est passé une fois l'incident résolu.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

Clause 27701 de la norme ISO 6.15.1.1 (Identification de la législation applicable et des exigences contractuelles) et article 5 (1)(f) du RGPD de l'UE

Les organisations doivent se conformer aux exigences légales, statutaires, réglementaires et contractuelles lorsque :

• Rédaction et/ou modification des procédures de sécurité des informations confidentielles.
• Catégoriser les informations.
• Entreprendre des évaluations des risques liés aux activités de sécurité des informations confidentielles.
• Forger des relations avec les fournisseurs, y compris toutes les obligations contractuelles tout au long de la chaîne d'approvisionnement.

Facteurs législatifs et réglementaires

Les organisations doivent suivre des procédures qui leur permettent de identifier, analyser ainsi que comprendre obligations législatives et réglementaires – en particulier celles qui concernent la protection de la vie privée et les informations personnelles – partout où elles opèrent.

Les organisations doivent être continuellement conscientes de leurs obligations en matière de protection de la vie privée lorsqu’elles concluent de nouveaux accords avec des tiers, des fournisseurs et des sous-traitants.

Cryptographie

Lors du déploiement de méthodes de chiffrement pour renforcer la protection de la vie privée et sauvegarder les informations personnelles, les organisations doivent :

1. Respectez toutes les lois qui régissent l’importation et l’exportation de matériel ou de logiciels susceptibles de remplir une fonction cryptographique.
2. Fournir un accès à des informations cryptées en vertu des lois de la juridiction dans laquelle ils opèrent.
3. Utilisez trois éléments clés du cryptage :
• Signatures numériques.
• Scellés.
• Certificats numériques.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.20

Clause 27701 de la norme ISO 6.15.1.3 (Protection des enregistrements) et article 5 (2) du RGPD de l'UE

Les organisations devraient envisager la gestion des dossiers dans 4 domaines clés :

1. Authenticité.
2. Fiabilité.
3. Intégrité.
4. Convivialité.

Pour maintenir un système d'enregistrement fonctionnel qui protège les informations personnelles et les informations liées à la confidentialité, les organisations doivent :

• Publier des lignes directrices traitant de :
• Stockage.
• Manutention (chaîne de contrôle).
• Disposition.
• Prévenir les manipulations.
• Décrivez combien de temps chaque type d’enregistrement doit être conservé.
• Respectez toutes les lois qui traitent de la tenue des dossiers.
• Adhérez aux attentes des clients quant à la manière dont les organisations doivent gérer leurs dossiers.
• Détruisez les enregistrements une fois qu’ils ne sont plus nécessaires.
• Classer les enregistrements en fonction de leur risque de sécurité, par exemple :
• Comptabilité.
• Transactions commerciales.
• Dossiers personnels.
• Juridique
• Assurez-vous qu’ils sont en mesure de récupérer les dossiers dans un délai acceptable, si un tiers ou un organisme chargé de l’application de la loi leur demande de le faire.
• Respectez toujours les directives du fabricant lors du stockage ou de la manipulation d’enregistrements sur des sources multimédias électroniques.

Appareils mobiles et télétravail

Clause 27701 de la norme ISO 6.3.2.1 (Politiques relatives aux appareils mobiles) et article 5 (1)(f) du RGPD de l'UE

Les organisations doivent mettre en œuvre des politiques spécifiques à un sujet qui traitent de différentes catégories de terminaux et de versions logicielles des appareils mobiles, ainsi que la manière dont les contrôles de sécurité doivent être adaptés pour améliorer la sécurité des données.

La politique, les procédures et les mesures de sécurité d'une organisation en matière d'appareils mobiles doivent prendre en compte :

• Les différentes catégories de données que l'appareil peut à la fois traiter et stocker.
• Comment les appareils sont enregistrés et identifiés sur le réseau.
• Comment les appareils seront physiquement protégés.
• Toute limitation sur les applications et les installations de logiciels.
• Gestion à distance, y compris les mises à jour et les correctifs.
• Contrôles d'accès des utilisateurs, y compris RBAC si nécessaire.
• Chiffrement
• Contre-mesures antimalware (gérées ou non gérées).
• BOUDR.
• Restrictions de navigation.
• Analyse des utilisateurs (voir ISO 27002 Control 8.16).
• L'installation, l'utilisation et la gestion à distance de périphériques de stockage amovibles ou de périphériques amovibles.
• Comment séparer les données sur l'appareil, afin que les informations personnelles soient séparées des données standard de l'appareil (y compris les données personnelles de l'utilisateur). Cela implique de déterminer s'il est approprié ou non de stocker tout type de données organisationnelles sur l'appareil physique, plutôt que d'utiliser l'appareil pour y fournir un accès en ligne.
• Que se passe-t-il en cas de perte ou de vol d'un appareil ? c'est-à-dire répondre à toutes les exigences légales, réglementaires ou contractuelles et traiter avec les assureurs de l'organisation.

Responsabilité individuelle de l'utilisateur

Tous les membres de l'organisation qui utilisent l'accès à distance doivent être explicitement informés de toute politique et procédure relative aux appareils mobiles qui s'appliquent à eux dans le contexte de la gestion sécurisée des appareils terminaux.

Les utilisateurs doivent être invités à :

• Fermez toutes les sessions de travail actives lorsqu'elles ne sont plus utilisées.
• Mettre en œuvre des contrôles de protection physique et numérique, comme l’exige la politique.
• Soyez conscient de leur environnement physique – et des risques de sécurité inhérents qu’ils contiennent – ​​lorsque vous accédez à des données sécurisées à l’aide de l’appareil.

Apportez votre propre appareil (BYOD)

Les organisations qui autorisent leur personnel à utiliser des appareils personnels doivent également prendre en compte les contrôles de sécurité suivants :

• Installation d'un logiciel sur l'appareil (y compris les téléphones mobiles) qui facilite la séparation des données professionnelles et personnelles.
• Appliquer une politique BYOD qui comprend :
• Reconnaissance de la propriété organisationnelle des informations personnelles.
• Mesures de protection physique et numérique (voir ci-dessus).
• Suppression des données à distance.
• Toutes les mesures garantissant l’alignement avec la législation PII et les orientations réglementaires.
• Droits de propriété intellectuelle, concernant la propriété de l'entreprise sur tout ce qui a été produit sur un appareil personnel.
• Accès organisationnel à l'appareil – soit à des fins de protection de la vie privée, soit pour se conformer à une enquête interne ou externe.
• CLUF et licences logicielles pouvant être affectés par l'utilisation de logiciels commerciaux sur un appareil privé.

Configurations sans fil

Lors de la rédaction de procédures traitant de la connectivité sans fil sur les appareils finaux, les organisations doivent :

• Réfléchissez attentivement à la manière dont ces appareils devraient pouvoir se connecter aux réseaux sans fil pour accéder à Internet, à des fins de protection des informations personnelles.
• Assurez-vous que les connexions sans fil ont une capacité suffisante pour faciliter les sauvegardes ou toute autre fonction spécifique à un sujet.

Prise en charge des contrôles ISO 27002

• ISO 27002 8.9 – Gestion des configurations
• ISO 27002 8.16 – Activités de surveillance

Gestion d’actifs

Clause 27701 de la norme ISO 6.5.2.1 (Classification des informations) et article 5 (1)(f) du RGPD de l'UE

Plutôt que de mettre toutes les informations détenues sur un pied d'égalité, les organisations devraient classer les informations sur une base thématique spécifique.

Les propriétaires d'informations doivent prendre en compte quatre facteurs clés, lors de la classification des données (en particulier concernant les informations personnelles), qui doivent être révisés périodiquement, ou lorsque ces facteurs changent :

1. Les confidentialité des données.
2. Les intégrité des données.
3. Données disponibilité les niveaux.
4. L'organisation obligations légales vers les informations personnelles.

Afin de fournir un cadre opérationnel clair, les catégories d'informations doivent être nommées en fonction du niveau de risque inhérent, en cas d'incident compromettant l'un des facteurs ci-dessus.

Pour garantir la compatibilité multiplateforme, les organisations doivent mettre leurs catégories d'informations à la disposition de tout personnel externe avec lequel elles partagent des informations et veiller à ce que le propre système de classification de l'organisation soit largement compris par toutes les parties concernées.

Les organisations doivent se méfier de la sous-classification ou, à l’inverse, de la surclassification des données. La première peut conduire à des erreurs dans le regroupement des informations personnelles avec des types de données moins sensibles, tandis que la première entraîne souvent des dépenses supplémentaires, un plus grand risque d'erreur humaine et d'anomalies de traitement.

Clause 27701 de la norme ISO 6.5.2.2 (Étiquetage des informations) et article 5 (1)(f) du RGPD de l'UE

Les étiquettes sont un élément clé pour garantir que la politique de classification des informations personnelles de l'organisation (voir ci-dessus) est respectée et que les données peuvent être clairement identifiées en fonction de leur sensibilité (par exemple, les informations personnelles étant étiquetées comme étant distinctes des types de données moins confidentiels).

Les procédures d’étiquetage des informations personnelles doivent définir :

• Tout scénario dans lequel l’étiquetage n’est pas requis (données accessibles au public).
• Instructions sur la manière dont le personnel doit étiqueter les actifs numériques et physiques et les emplacements de stockage.
• Plans d'urgence pour tout scénario dans lequel l'étiquetage n'est pas physiquement possible.

L'ISO offre aux organisations de nombreuses possibilités de choisir leurs propres techniques d'étiquetage, notamment :

• Physique étiquetage.
• Electronique étiquettes dans les en-têtes et les pieds de page.
• L'ajout ou la modification de métadonnées, y compris des termes consultables et des fonctionnalités interactives avec d'autres plates-formes de gestion de l'information (par exemple, le PIMS de l'organisation).
• Filigrane qui fournit une indication claire de la classification des données document par document.
• Cachet marques sur des copies physiques d’informations.

Clause 27701 de la norme ISO 6.5.3.1 (gestion des supports amovibles) et article 5 (1)(f) du RGPD de l'UE

Supports de stockage amovibles

Lors de l’élaboration de politiques régissant le traitement des ressources multimédias impliquées dans le stockage des informations personnelles, les organisations doivent :

• Élaborer des politiques spécifiques à un sujet uniques basées sur les exigences du département ou du poste.
• Assurez-vous que l'autorisation appropriée est demandée et accordée avant que le personnel puisse retirer les supports de stockage du réseau (y compris en gardant un enregistrement précis et à jour de ces activités).
• Stockez les supports conformément aux spécifications du fabricant, sans aucun dommage environnemental.
• Envisagez d'utiliser le cryptage comme condition préalable à l'accès ou, lorsque cela n'est pas possible, de mettre en œuvre des mesures de sécurité physique supplémentaires.
• Minimisez le risque de corruption des informations personnelles en transférant les informations entre les supports de stockage, comme requis.
• Introduisez la redondance des informations personnelles en stockant les informations protégées sur plusieurs actifs en même temps.
• Autorisez l'utilisation de supports de stockage uniquement sur les entrées approuvées (c'est-à-dire les cartes SD et les ports USB), actif par actif.
• Surveillez de près le transfert des informations personnelles sur des supports de stockage, à quelque fin que ce soit.
• Prendre en considération les risques inhérents au transfert physique des supports de stockage (et par procuration, des informations personnelles qu'ils contiennent), lors du déplacement d'actifs entre le personnel ou les locaux (voir ISO 27002 Contrôle 5.14).

Réutilisation et élimination

Lors de la réutilisation, de la réutilisation ou de l'élimination de supports de stockage, des procédures robustes doivent être mises en place pour garantir que les informations personnelles ne soient pas affectées de quelque manière que ce soit, notamment :

1. Formater le support de stockage et garantir que toutes les informations personnelles sont supprimées avant leur réutilisation (voir ISO 27002 Contrôle 8.10), y compris la conservation d'une documentation adéquate de toutes ces activités.
2. Éliminer en toute sécurité tout support dont l'organisation n'a plus l'utilité et qui a été utilisé pour stocker des informations personnelles.
3. Si l'élimination nécessite l'intervention d'un tiers, l'organisation doit veiller très soigneusement à s'assurer qu'elle est un partenaire compétent et approprié pour accomplir ces tâches, conformément à la responsabilité de l'organisation en matière d'informations personnelles et de protection de la vie privée.
4. Mettre en œuvre des procédures qui identifient les supports de stockage disponibles pour une réutilisation ou pouvant être éliminés en conséquence.

Si les appareils qui ont été utilisés pour stocker des informations personnelles sont endommagés, l'organisation doit soigneusement déterminer s'il est plus approprié ou non de détruire ces supports ou de les envoyer pour réparation (en privilégiant le premier).

Prise en charge des contrôles ISO 27002

• ISO 27002 5.14

Clause 27701 de la norme ISO 6.5.3.2 (Élimination des supports) et article 5 (1)(f) du RGPD de l'UE

See ISO 27701 Article 6.5.3.1

Conseils supplémentaires relatifs aux informations personnelles

Si des médias contenant des informations personnelles doivent être supprimés, les organisations doivent mettre en œuvre des procédures qui documentent la destruction des informations personnelles et des données liées à la confidentialité, y compris l'assurance catégorique qu'elles ne sont plus disponibles.

ISO 27701 Clause 6.5.3.3 et RGPD UE 5 (1)(f)

Supports de stockage amovibles

Lors de la mise en œuvre de politiques traitant des supports amovibles, les organisations doivent :

• Élaborer des procédures qui répondent aux exigences du département ou du poste.
• Assurez-vous d'obtenir l'autorisation appropriée avant de supprimer un média du réseau d'entreprise.
• Assurez-vous que les directives du fabricant sont strictement respectées lors de l'utilisation de toute forme de périphérique de stockage.
• Envisagez l'utilisation de la technologie de stockage cryptographique.
• Prenez des mesures pour vous assurer que les données ne sont pas corrompues pendant tout processus de transfert.
• Augmentez la redondance en stockant des informations sur plusieurs actifs en même temps.
• Approuver l'utilisation de supports de stockage (c.-à-d. Cartes SD et ports USB), actif par actif.
• Comprendre et atténuer les risques inhérents au déplacement de supports et d'actifs entre le personnel et les sites (voir ISO 27002 Contrôle 5.14).

Les organisations doivent conserver des enregistrements complets de tout support de stockage utilisé pour traiter des informations sensibles, notamment :

• Le type de média à envoyer (HDD, USB, carte SD, etc.).
• Tous les expéditeurs autorisés et tout personnel interne autorisé à recevoir des médias.
• La date et l'heure du transfert.
• Quelle quantité de médias doit être transférée.

Réutilisation et élimination

Tout au long du processus de réutilisation, de réutilisation ou d’élimination des supports de stockage, les organisations doivent :

• Assurez-vous que tous les médias sont correctement formatés et que toutes ces activités sont soigneusement documentées (voir ISO 27002 Contrôle 8.10).
• Veiller à ce que, lorsque les actifs de stockage ne sont plus nécessaires, ils soient éliminés de manière sûre et sécurisée – y compris un contrôle approfondi de tout tiers impliqué dans les activités d'élimination, pour garantir que l'organisation remplit ses obligations en matière de traitement des informations personnelles.
• Identifiez les supports pouvant être réutilisés ou qui doivent être éliminés, en particulier lorsque les appareils ont été endommagés ou physiquement compromis de quelque manière que ce soit.

Contrôle d'accès

ISO 27701 Clause 6.6.2.1 (Enregistrement et désenregistrement des utilisateurs) et RGPD 5 (1)(f) de l'UE

L'enregistrement des utilisateurs est régi par l'utilisation des « identités » attribuées. Les identités fournissent aux organisations un cadre pour régir l'accès des utilisateurs aux informations personnelles et aux actifs et matériels liés à la confidentialité, dans les limites d'un réseau.

L'organisation doit suivre six points d'orientation principaux, afin de garantir que les identités sont gérées correctement et que les informations personnelles sont protégées partout où elles sont stockées, traitées ou consultées :

1. Lorsque des identités sont attribuées à un être humain, seule cette personne est autorisée à s'authentifier avec et/ou à utiliser cette identité lorsqu'elle accède aux informations personnelles.
2. Les identités partagées – plusieurs personnes enregistrées sous la même identité – ne devraient être déployées que pour satisfaire un ensemble unique d’exigences opérationnelles.
3. Les entités non humaines doivent être considérées et gérées différemment des identités basées sur les utilisateurs qui accèdent aux informations personnelles et aux éléments liés à la confidentialité.
4. Les identités doivent être supprimées lorsqu’elles ne sont plus nécessaires – en particulier celles qui ont accès aux informations personnelles ou aux rôles basés sur la confidentialité.
5. Les organisations doivent s'en tenir à la règle « une entité, une identité » lorsqu'elles distribuent des identités sur le réseau.
6. Les inscriptions doivent être enregistrées et enregistrées au moyen d'une documentation claire, comprenant des horodatages, des niveaux d'accès et des informations d'identité.

Les organisations qui travaillent en partenariat avec des organisations externes (en particulier les plateformes basées sur le cloud) doivent comprendre les risques inhérents associés à de telles pratiques et prendre des mesures pour garantir que les informations personnelles ne soient pas affectées dans le processus (voir ISO 27002 Contrôles 5.19 et 5.17).

Prise en charge des contrôles ISO 27002

• ISO 27002 5.17
• ISO 27002 5.19

ISO 27701 Clause 6.6.2.2 (Fourniture de l'accès utilisateur) et RGPD 5 (1)(f) de l'UE

Les « droits d'accès » régissent la manière dont l'accès aux informations personnelles et aux informations liées à la confidentialité est à la fois accordé et révoqué, en utilisant le même ensemble de principes directeurs.

Accorder et révoquer des droits d'accès

Les procédures d'accès doivent inclure :

• Autorisation et autorisation du propriétaire (ou de la direction) de l'information ou de l'actif (voir ISO 27002 Contrôle 5.9).
• Toute exigence commerciale, juridique ou opérationnelle en vigueur.
• Une reconnaissance de la nécessité de séparer les tâches, afin d'améliorer la sécurité des informations personnelles et de construire une opération de protection de la vie privée plus résiliente.
• Contrôles pour révoquer les droits d'accès, lorsque l'accès n'est plus requis (sortiurs, etc.).
• Mesures d’accès aux horaires pour le personnel intérimaire ou les sous-traitants.
• Un enregistrement centralisé des droits d'accès accordés aux entités humaines et non humaines.
• Mesures visant à modifier les droits d'accès de tout personnel ou sous-traitant ayant changé de fonction.

Vérification des droits d'accès

Les organisations doivent procéder à des examens périodiques des droits d’accès sur l’ensemble du réseau, notamment :

• Intégrer la révocation du droit d'accès dans les procédures de départ des RH (voir ISO 27002 Contrôles 6.1 et 6.5) et les flux de travail de changement de rôle.
• Demandes de droits d'accès « privilégiés ».

Gestion du changement et sortants

Les membres du personnel qui quittent l'organisation (soit volontairement, soit en tant qu'employé licencié) et ceux qui font l'objet d'une demande de changement doivent voir leurs droits d'accès modifiés sur la base de procédures solides de gestion des risques, notamment :

• La source du changement/résiliation, y compris la raison sous-jacente.
• Le rôle professionnel actuel de l'utilisateur et les responsabilités qui y sont associées.
• Les informations et les actifs actuellement accessibles, y compris leurs niveaux de risque et leur valeur pour l'organisation.

Conseils supplémentaires

Les contrats de travail et les contrats d'entrepreneur/de service doivent inclure une explication de ce qui se passe suite à toute tentative d'accès non autorisé (voir ISO 27002 Contrôles 5.20, 6.2, 6.4, 6.6).

Prise en charge des contrôles ISO 27002

• ISO 27002 5.9
• ISO 27002 5.20
• ISO 27002 6.2
• ISO 27002 6.4
• ISO 27002 6.6

ISO 27701 Clause 6.6.4.2 (Procédures de connexion sécurisée) et RGPD 5 (1)(f) de l'UE

Les informations personnelles et les actifs liés à la confidentialité doivent être stockés sur un réseau doté d'une gamme de contrôles d'authentification, notamment :

• Authentification multifacteur (MFA).
• Certificats numériques.
• Cartes à puce/porte-clés.
• Vérification biométrique.
• Jetons sécurisés.

Pour prévenir et minimiser le risque d’accès non autorisé aux informations personnelles, les organisations doivent :

1. Empêchez l'affichage des informations personnelles sur un moniteur ou un périphérique de point de terminaison jusqu'à ce qu'un utilisateur se soit authentifié avec succès.
2. Donnez aux utilisateurs potentiels un avertissement clair – avant toute tentative de connexion – qui souligne la nature sensible des données auxquelles ils sont sur le point d'accéder.
3. Méfiez-vous de fournir trop d'assistance tout au long du processus d'authentification (c'est-à-dire expliquer quelle partie d'une tentative de connexion échouée est invalide).
4. Déployez des mesures de sécurité basées sur les meilleures pratiques, notamment :
• Technologie CAPTCHA.
• Forcer la réinitialisation du mot de passe et/ou empêcher temporairement les connexions après plusieurs tentatives infructueuses.
5. Enregistrez les tentatives de connexion échouées pour une analyse plus approfondie et/ou une diffusion aux organismes chargés de l'application de la loi.
6. Déclenchez un incident de sécurité chaque fois qu'une différence de connexion majeure est détectée ou que l'organisation découvre une anomalie d'authentification susceptible d'affecter les informations personnelles.
7. Relayez les journaux d’authentification – contenant la dernière tentative de connexion et les informations de connexion ayant échoué – vers une source de données distincte.
8. N'affichez que les données de mot de passe sous forme de symboles abstraits), sauf si l'utilisateur a des problèmes d'accessibilité/de vision.
9. Empêchez le partage de toutes les données d’authentification.
10. Supprimez les sessions de connexion inactives, en particulier lorsque les informations personnelles sont utilisées dans des environnements de travail à distance ou sur des actifs BYOD.
11. Fixez une limite de temps aux sessions authentifiées, en particulier celles qui accèdent activement aux informations personnelles.

Sécurité physique et environnementale

ISO 27701 Clause 6.8.2.7 (Élimination ou réutilisation sécurisée de l'équipement) et RGPD 5 (1)(f) de l'UE

Les informations personnelles et les informations liées à la confidentialité sont particulièrement menacées lorsqu'il est nécessaire de se débarrasser ou de réutiliser les actifs de stockage et de traitement – ​​soit en interne, soit en partenariat avec un fournisseur tiers spécialisé.

Avant tout, les organisations doivent s'assurer que tout support de stockage destiné à être mis au rebut et contenant des informations personnelles doit être physiquement détruit, essuyé or écrasé (voir ISO 27002 Contrôle 7.10 et 8.10).

Pour éviter que les informations personnelles ne soient compromises de quelque manière que ce soit, lors de l'élimination ou de la réutilisation d'actifs, les organisations doivent :

• Assurez-vous que toutes les étiquettes sont supprimées ou modifiées, si nécessaire – en particulier celles qui indiquent la présence de PII.
• Supprimer tous les contrôles de sécurité physiques et logiques, lors du déclassement d'installations ou du déménagement de locaux, en vue de leur réutilisation dans un nouvel emplacement.

Prise en charge des contrôles ISO 27002

• ISO 27002 7.10
• ISO 27002 8.10

ISO 27701 Clause 6.8.2.9 (Politique de bureau et d'écran clairs) et RGPD 5 (1)(f) de l'UE

Les informations personnelles et les informations relatives à la confidentialité sont particulièrement menacées lorsque le personnel imprudent et les sous-traitants tiers ne respectent pas les mesures de sécurité sur le lieu de travail qui protègent contre la visualisation accidentelle ou délibérée des informations personnelles par du personnel non autorisé.

Les organisations doivent rédiger des politiques de bureau et d'écran clairs spécifiques à un sujet (espace de travail par espace de travail si nécessaire) qui comprennent :

• Se cacher de la vue occasionnelle, verrouiller ou stocker en toute sécurité les informations personnelles et les informations liées à la confidentialité, lorsque ces données ne sont pas nécessaires.
• Mécanismes de verrouillage physique sur les actifs TIC.
• Contrôles d'accès numériques – tels que les délais d'attente d'affichage, les économiseurs d'écran protégés par mot de passe et les fonctions de déconnexion automatique.
• Impression sécurisée et collecte immédiate des documents.
• Stockage sécurisé et verrouillé des documents sensibles et élimination appropriée de ces documents lorsqu'ils ne sont plus nécessaires (déchiquetage, services d'élimination tiers, etc.).
• Être attentif aux aperçus des messages (e-mails, SMS, rappels d'agenda) pouvant donner accès à des données sensibles ; chaque fois qu'un écran est partagé ou visualisé dans un lieu public.
• Effacement des affichages physiques (par exemple, tableaux blancs et tableaux d'affichage) des informations sensibles, lorsqu'elles ne sont plus nécessaires.

Lorsque des organisations quittent collectivement leurs locaux – par exemple lors d’un déménagement de bureau ou d’un déménagement similaire – des efforts doivent être faits pour garantir qu’aucune documentation ne soit laissée derrière, que ce soit dans les bureaux et les systèmes de classement, ou toute autre documentation susceptible d’être tombée dans des endroits obscurs.

Sécurité des opérations

ISO 27701 Clause 6.9.3.1 (Sauvegarde des informations) et RGPD 5 (1)(f) de l'UE

Les organisations doivent rédiger des politiques spécifiques à un sujet qui traitent directement de la manière dont l'organisation sauvegarde les zones pertinentes de son réseau afin de protéger les informations personnelles et d'améliorer la résilience contre les incidents liés à la confidentialité.

Les procédures BUDR devraient être rédigées pour atteindre l’objectif principal de garantir que TOUTE les données, logiciels et systèmes critiques pour l'entreprise peuvent être récupérés après La perte de données, intrusion, interruption de travail ainsi que échecs critiques.

En priorité, les plans BUDR devraient :

• Décrivez les procédures de restauration qui couvrent tous les systèmes et services critiques.
• Être capable de produire des copies exploitables de tous les systèmes, données ou applications faisant partie d'un travail de sauvegarde.
• Répondre aux exigences commerciales et opérationnelles de l'organisation (voir ISO 27002 Contrôle 5.30).
• Stockez les sauvegardes dans un emplacement protégé contre l'environnement, physiquement séparé des données sources (voir ISO 27002 Control 8.1).
• Testez et évaluez régulièrement les tâches de sauvegarde par rapport aux temps de récupération imposés par l'organisation, afin de garantir la disponibilité des données.
• Chiffrez toutes les données de sauvegarde liées aux PII.
• Vérifiez à nouveau toute perte de données avant d’exécuter une tâche de sauvegarde.
• Adhérez à un système de reporting qui alerte le personnel de l’état des tâches de sauvegarde.
• Cherchez à incorporer des données provenant de plates-formes basées sur le cloud qui ne sont pas directement gérées par l'organisation, dans les tâches de sauvegarde internes.
• Stockez les sauvegardes conformément à une politique de conservation des informations personnelles appropriée (voir ISO 27002 Control 8.10).

Conseils supplémentaires spécifiques à Pii

Les organisations doivent développer des procédures distinctes qui traitent uniquement des informations personnelles (bien que contenues dans leur plan BUDR principal).

Les variations régionales des normes PII BUDR (contractuelles, légales et réglementaires) doivent être prises en compte chaque fois qu'un nouvel emploi est créé, que des emplois sont modifiés ou que de nouvelles données PII sont ajoutées à la routine BUDR.

Chaque fois qu'il est nécessaire de restaurer des informations personnelles à la suite d'un incident BUDR, les organisations doivent prendre grand soin de remettre les informations personnelles à leur état d'origine et revoir les activités de restauration pour résoudre tout problème avec les nouvelles données.

Les organisations doivent conserver un journal des activités de restauration, incluant tout le personnel impliqué dans la restauration, ainsi qu'une description des informations personnelles restaurées.

Les organisations doivent vérifier auprès de toutes les agences législatives ou réglementaires et s'assurer que leurs procédures de restauration de PII sont conformes à ce que l'on attend d'elles en tant que processeur et contrôleur de PII.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 Clause 6.9.4.1 (Journalisation des événements) et RGPD 5 (1)(f) de l'UE

L'ISO définit un « événement » comme toute action effectuée par une présence/entité numérique ou physique sur un système informatique.

Les journaux d'événements doivent contenir :

• Un identifiant utilisateur – Qui ou quel compte a effectué les actions.
• Un enregistrement de l’activité du système.
• Horodatages.
• Identifiants de l’appareil et du système, ainsi que l’emplacement de l’événement.
• Informations sur l'adresse IP.

Types d'événements

L'ISO identifie 11 événements/composants qui nécessitent une journalisation (et liés à la même source de temps – voir ISO 27002 Contrôle 8.17), afin de maintenir la sécurité des informations personnelles et d'améliorer la protection de la confidentialité de l'organisation :

1. Tentatives d'accès au système.
2. Tentatives d'accès aux données.
3. Tentatives d'accès aux ressources.
4. Modifications de la configuration du système d'exploitation.
5. Des privilèges élevés.
6. Programmes utilitaires et installations de maintenance (voir ISO 27002 Contrôle 8.18).
7. Demandes d'accès aux fichiers et ce qui s'est passé (suppression, migration, etc.).
8. Interruptions critiques.
9. Activités entourant les systèmes de sécurité/anti-malware.
10. Travail d'administration d'identité (par exemple ajouts et suppressions d'utilisateurs).
11. Activités de session d'application sélectionnées.

Protection des journaux

Les journaux doivent être protégés contre les modifications non autorisées ou les anomalies opérationnelles, notamment :

• Modifications du type de message.
• Suppression ou modification.
• Écrasement dû à des problèmes de stockage.

Les organisations doivent adopter les techniques suivantes, afin d'améliorer la sécurité basée sur les journaux :

• Hachage cryptographique.
• Enregistrement en ajout uniquement.
• Enregistrement en lecture seule.
• Utilisation de fichiers publics de transparence.

Lorsqu'il est nécessaire de fournir des journaux à des organisations externes, des mesures strictes doivent être prises pour protéger les informations personnelles et liées à la confidentialité, conformément aux normes acceptées en matière de confidentialité des données (voir ISO 27002 Contrôle 5.34 et les directives supplémentaires ci-dessous).

Analyse des journaux

Les journaux devront être analysés de temps en temps, afin d'améliorer la protection de la vie privée dans son ensemble, ainsi que de résoudre et de prévenir les failles de sécurité.

Lors de l’analyse des journaux, les organisations doivent prendre en compte :

• L'expertise du personnel effectuant l'analyse.
• Les type, category ainsi que attribuer de chaque type d'événement.
• Toutes les exceptions appliquées via des règles de réseau émanant du matériel et des plates-formes de logiciels de sécurité.
• Trafic réseau anormal.
• Analyse de données spécialisée.
• Informations disponibles sur les menaces (soit en interne, soit auprès d'une source tierce de confiance).

Surveillance des journaux

La surveillance des journaux offre aux organisations la possibilité de protéger les informations personnelles à la source et de favoriser une approche proactive en matière de protection de la vie privée.

Les organisations devraient :

1. Examinez les tentatives internes et externes d’accès aux ressources sécurisées.
2. Analysez les journaux DNS (et les rapports d'utilisation des données) pour identifier le trafic vers et depuis des sources malveillantes.
3. Collectez les journaux des points d'accès physiques et des dispositifs de sécurité périmétrique physique (systèmes d'entrée, etc.).

Conseils supplémentaires relatifs aux informations personnelles

L'ISO exige que les organisations surveillent les journaux relatifs aux informations personnelles via un 'processus de surveillance et d’alerte continu et automatisé'. Cela peut nécessiter un ensemble distinct de procédures qui surveillent l'accès aux informations personnelles.

Les organisations doivent s’assurer que – en priorité – les journaux fournissent un compte rendu clair de l’accès aux informations personnelles, notamment :

• Qui a accédé aux données.
• Quand les données ont été consultées.
• Les informations personnelles du directeur ont été consultées.
• Toutes les modifications apportées.

Les organisations devraient décider 'si, quand et commentLes informations du journal PII doivent être mises à la disposition des clients, tous les critères étant mis gratuitement à la disposition des mandants eux-mêmes et un grand soin étant pris pour garantir que les mandants PII ne peuvent accéder qu'aux informations les concernant.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.34
• ISO 27002 8.11
• ISO 27002 8.17
• ISO 27002 8.18

ISO 27701 Clause 6.9.4.2 (Protection des informations de journal) et RGPD 5 (1)(f) de l'UE

Voir la norme ISO 27701, article 6.9.4.1.

Conseils supplémentaires relatifs aux informations personnelles

Les organisations doivent consacrer beaucoup d’attention à garantir que les journaux contenant des informations personnelles sont correctement contrôlés et bénéficient d’une surveillance sécurisée.

Des procédures automatisées doivent être mises en place pour supprimer ou « désidentifier » les journaux, conformément à une politique de conservation publiée (voir ISO 27002 Contrôle 7.4.7).

Conseils pour les contrôleurs PII

ISO 27701 Clause 7.2.1 (Identifier et documenter l'objectif) et RGPD 5 (1)(b) de l'UE

Les responsables des PII doivent être parfaitement au courant de toutes les différentes raisons pour lesquelles leurs PII sont traitées.

Il est de la responsabilité de l'organisation de transmettre ces raisons aux responsables des PII, ainsi qu'une « déclaration claire » expliquant pourquoi ils doivent traiter leurs informations.

Toute la documentation doit être claire, complète et facilement comprise par tout responsable des PII qui la lit – y compris tout ce qui concerne le consentement, ainsi que des copies des procédures internes (voir ISO 27701, clauses 7.2.3, 7.3.2 et 7.2.8).

Prise en charge des clauses ISO 27701

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 Clause 7.2.2 (Identifier la base juridique) et RGPD 5 (1)(a) de l'UE

Pour constituer une base juridique pour le traitement des informations personnelles, les organisations doivent :

• Demandez le consentement des responsables des informations personnelles.
• Rédigez un contrat.
• Respecter diverses autres obligations légales.
• Protéger les « intérêts vitaux » des différents responsables des informations personnelles.
• Veiller à ce que les tâches exécutées soient dans l’intérêt public.
• Confirmez que le traitement des informations personnelles constitue un intérêt légitime.

Pour chaque point mentionné ci-dessus, les organisations doivent être en mesure de proposer une confirmation documentée

Les organisations doivent également prendre en compte toutes les « catégories spéciales » de données personnelles liées à leur organisation dans leur système de classification des données (voir ISO 27701, clause 7.2.8) (les classifications peuvent varier d'une région à l'autre).

Si les organisations constatent des changements dans les raisons sous-jacentes du traitement des informations personnelles, cela doit être immédiatement reflété dans leur base juridique documentée.

Prise en charge des clauses ISO 27701

• ISO 27701 7.2.8

ISO 27701 Clause 7.2.6 (Contrats avec les processeurs PII) et RGPD 5 (2) de l'UE

Les organisations doivent conclure des contrats écrits et contraignants avec tout processeur externe d’informations personnelles qu’elles utilisent.

Tout contrat doit garantir que le sous-traitant des informations personnelles met en œuvre toutes les informations requises contenues dans l'annexe B de la norme ISO 27701, avec une attention particulière aux contrôles d'évaluation des risques (clause 27701 de la norme ISO 5.4.1.2) et à la portée globale des activités de traitement (voir la clause 27701 de la norme ISO 6.12). ).

Les organisations doivent être en mesure de justifier l'omission de tout contrôle contenu dans l'Annexe B, dans leur relation avec le processeur de PII (voir ISO 27701 Clause 5.4.1.3).

ISO 27701 Clause 7.2.8 (Enregistrements liés au traitement des informations personnelles) et RGPD 5 (2) de l'UE

Les organisations doivent conserver un ensemble complet d’enregistrements qui soutiennent leurs actions et obligations en tant que processeur de PII.

Les enregistrements (également appelés « listes d'inventaire ») doivent avoir un propriétaire délégué et peuvent inclure :

• Opérationnel – le type spécifique de traitement des informations personnelles en cours.
• Justifications – pourquoi les informations personnelles sont traitées.
• Catégorique – listes de destinataires de PII, y compris les organisations internationales.
• Sécurité – un aperçu de la manière dont les informations personnelles sont protégées.
• Confidentialité – c'est-à-dire un rapport d'évaluation des facteurs relatifs à la vie privée.

ISO 27701 Clause 7.3.6 (Accès, correction et/ou effacement) et RGPD 5 (1)(d) de l'UE

Les organisations doivent rédiger, documenter et mettre en œuvre des procédures permettant aux responsables des informations personnelles d'accéder, de corriger et/ou de supprimer leurs informations personnelles.

Les procédures doivent inclure des mécanismes par lesquels le responsable des PII est en mesure d'effectuer l'action ci-dessus, y compris la manière dont l'organisation doit informer le responsable si des corrections ne peuvent pas être apportées.

Les organisations doivent s'engager à publier un délai de réponse pour toutes les demandes d'accès, de correction ou de suppression.

Il est extrêmement important de communiquer toute demande de ce type à des tiers ayant reçu des informations personnelles transférées (voir ISO 27701, clause 7.3.7).

La capacité d'un mandant de PII à demander des corrections ou des suppressions est dictée par la juridiction dans laquelle l'organisation opère. À ce titre, les entreprises doivent se tenir au courant de tout changement légal ou réglementaire qui régit leurs obligations envers les PII.

Prise en charge des clauses ISO 27701

• ISO 27701 7.3.7

Confidentialité dès la conception et confidentialité par défaut

ISO 27701 Clause 7.4.1 (Collecte des limites) et RGPD 5 (1)(b) et (1)(c)

Les organisations doivent limiter leur collecte de données personnelles en fonction de trois facteurs :

1. Pertinence.
2. Proportionnalité.
3. Nécessité.

Les organisations ne doivent collecter des informations personnelles – directement ou indirectement – ​​que conformément aux facteurs ci-dessus, et uniquement à des fins pertinentes et nécessaires à la réalisation de leur objectif déclaré.

En tant que concept, la « confidentialité par défaut » doit être respectée – c'est-à-dire que toutes les fonctions facultatives doivent être désactivées par défaut.

ISO 27701 Clause 7.4.3 (Précision et qualité) et RGPD 5 (1)(d) de l'UE

Les organisations doivent prendre des mesures pour garantir que les informations personnelles sont exactes, complètes et à jour, tout au long de leur cycle de vie.

Les politiques organisationnelles de sécurité des informations et les configurations techniques doivent contenir des étapes visant à minimiser les erreurs tout au long de l'opération de traitement des informations personnelles, y compris des contrôles sur la manière de répondre aux inexactitudes.

ISO 27701 Clause 7.4.4 (Objectifs de minimisation des informations personnelles) et RGPD 5 (1)(c) et (1)(e) de l'UE

Les organisations doivent élaborer des procédures de « minimisation des données », y compris des mécanismes tels que la désidentification.

La minimisation des données doit être utilisée pour garantir que la collecte et le traitement des informations personnelles sont limités à la « finalité identifiée » de chaque fonction (voir ISO 27701, clause 7.2.1).

Une grande partie de ce processus consiste à documenter dans quelle mesure les informations des principaux PII doivent leur être directement imputables, et comment la minimisation doit être réalisée via une variété de méthodes disponibles.

Les organisations doivent décrire les techniques spécifiques utilisées pour anonymiser les responsables des informations personnelles, telles que :

1. Randomisation.
2. Ajout de bruit.
3. Généralisation.
4. Suppression d'attribut.

Prise en charge des clauses ISO 27701

• ISO 27701 7.2.1

ISO 27701 Clause 7.4.5 (Désidentification et suppression des informations personnelles à la fin du traitement) et RGPD 5 (1)(c) et (1)(e) de l'UE

Les organisations doivent soit détruire complètement toutes les informations personnelles qui ne remplissent plus leur objectif, soit les modifier de manière à empêcher toute forme d'identification du principal.

Dès que l'organisation a établi que les informations personnelles n'ont plus besoin d'être traitées à aucun moment dans le futur, les informations doivent être supprimé or désidentifié, selon les circonstances.

ISO 27701, clause 7.4.6 (fichiers temporaires) et RGPD 5 (1)(c) de l'UE

Les fichiers temporaires sont créés pour un certain nombre de raisons techniques, tout au long du cycle de vie du traitement et de la collecte des informations personnelles, sur de nombreuses applications, systèmes et plates-formes de sécurité.

Les organisations doivent s'assurer que ces fichiers sont détruits dans un délai raisonnable, conformément à une politique de conservation officielle.

Un moyen simple d'identifier l'existence de tels fichiers consiste à effectuer des vérifications périodiques des fichiers temporaires sur le réseau. Les fichiers temporaires incluent souvent :

• Fichiers de mise à jour de la base de données.
• Informations mises en cache.
• Fichiers créés par des applications et des progiciels sur mesure.

Les organisations devraient adhérer à ce qu'on appelle procédure de collecte des ordures qui supprime les fichiers temporaires lorsqu'ils ne sont plus nécessaires.

ISO 27701 Clause 7.4.8 (Élimination) et RGPD 5 (1)(f) de l'UE

Les organisations doivent disposer de politiques et de procédures claires qui régissent la manière dont les informations personnelles sont éliminées.

La suppression des données est un sujet vaste qui comporte une multitude de variables différentes, basées sur la technique de suppression requise et la nature des données supprimées.

Les organisations doivent prendre en compte :

• Ce que les informations personnelles incluent.
• Toutes les métadonnées résiduelles qui doivent être effacées avec les données principales.
• Le type de support de stockage sur lequel les informations personnelles sont conservées.

ISO 27701 Clause 7.4.9 (Commandes de transmission PII) et RGPD 5 (1)(f) de l'UE

Toutes les informations personnelles devant être transférées à une organisation tierce doivent l'être avec le plus grand soin pour les informations envoyées, en utilisant des moyens sécurisés.

Les organisations doivent s'assurer que seul le personnel autorisé peut accéder aux systèmes de transmission, et ce, de manière facilement auditable, dans le seul but d'acheminer les informations là où elles doivent parvenir sans incident.

Conseils pour les processeurs PII

ISO 27701 Clause 8.2.2 (Finalités organisationnelles) et RGPD UE 5 (1)(a) et (1)(b)

Dès le départ, les informations personnelles ne doivent être traitées que conformément aux instructions du client.

Les contrats doivent inclure des SLA relatifs aux objectifs mutuels et tous les délais associés dans lesquels ils doivent être exécutés.

Les organisations doivent reconnaître leur droit de choisir les méthodes distinctes utilisées pour traiter les informations personnelles, qui permettent d'obtenir légalement ce que le client recherche, mais sans avoir besoin d'obtenir des autorisations granulaires sur la façon dont l'organisation s'y prend au niveau technique.

ISO 27701, clause 8.4.1 (fichiers temporaires) et RGPD 5 (1)(c) de l'UE

Les organisations doivent veiller à ce que les fichiers temporaires soient détruits dans un délai raisonnable, conformément à une politique de conservation officielle et à des procédures de suppression claires.

Un moyen simple d'identifier l'existence de tels fichiers consiste à effectuer des vérifications périodiques des fichiers temporaires sur le réseau.

Les organisations devraient adhérer à ce qu'on appelle procédure de collecte des ordures qui supprime les fichiers temporaires lorsqu'ils ne sont plus nécessaires.

ISO 27701 Clause 8.4.3 (Contrôles PII) et RGPD 5 (1)(f) de l'UE

Chaque fois qu'il est nécessaire de transmettre des informations personnelles sur un réseau de données (y compris une liaison dédiée), les organisations doivent veiller à ce que les informations personnelles parviennent aux bons destinataires, en temps opportun.

Lors du transfert de données personnelles entre réseaux de données, les organisations doivent :

• Assurez-vous que seules les personnes autorisées sont en mesure d’effectuer le transfert.
• Respectez les procédures publiées qui régissent le transfert des informations personnelles de l'organisation à un tiers.
• Conservez toutes les données d’audit.
• Incluez les exigences de transport dans le contrat du client.
• Consulter le client avant tout transfert, s'il n'existe aucune stipulation écrite ou contractuelle.

Prise en charge des clauses ISO 27701 et des contrôles ISO 27002

Comment l'aide d'ISMS.online

Votre solution complète RGPD.

Un environnement pré-construit qui s'intègre parfaitement à votre système de gestion vous permet de décrire et de démontrer votre approche en matière de protection des données des clients européens et britanniques.

Avec ISMS.online, vous pouvez passer directement à la conformité au RGPD et démontrer des niveaux de protection qui vont au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.

En combinaison avec notre approche de mise en œuvre « Adopter, Adapter, Ajouter », la plateforme ISMS.online offre des conseils intégrés à chaque étape, réduisant ainsi les efforts requis pour démontrer votre conformité au RGPD. Un certain nombre de fonctionnalités puissantes permettant de gagner du temps seront également à votre disposition.

En savoir plus par réserver une courte démo de 30 minutes.