Il peut sembler évident de considérer la sécurité des informations parallèlement à la confidentialité des données, mais que stipule exactement le nouveau règlement général sur la protection des données (RGPD) à venir ?
En réalité, le RGPD ne contient pas d’exigences de sécurité spécifiques. Aux termes de l’article 32, intitulé «Sécurité", seulement 135 mots les décrivent :
« Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque plus ou moins probable et grave pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant doivent mettre en œuvre de manière appropriée mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié au risque, y compris, entre autres, le cas échéant :
(a) la pseudonymisation et le cryptage des données personnelles ;
(b) la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
(c) la capacité de rétablir la disponibilité et l'accès à données à caractère personnel dans les meilleurs délais en cas d'incident physique ou technique ;
(d) un processus permettant de tester, d'évaluer et de vérifier régulièrement évaluer l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité des le traitement."
Le mot « approprié » est mentionné trois fois ici. Bien que cela donne un certain degré de flexibilité dans la définition des objectifs de l'organisation contrôles de sécurité, cela comporte également le risque que le point de vue d'un régulateur diffère du vôtre en ce qui concerne les mesures de sécurité que vous avez mises en place.
Cela signifie que vous devez être prêt à démontrer et défendre votre démarche et l'efficacité opérationnelle des contrôles de sécurité en place.
Chris Zoladz*, fondateur de Information & Privacy Advisors, Navigate LLC, et ancien président de l'International Association of Privacy Professionals (IAPP), propose…
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
Nous avons commencé à utiliser des feuilles de calcul et c'était un cauchemar. Avec la solution ISMS.online, tout le travail acharné a été facilité.
1. Utilisez un cadre de sécurité — Si votre organisation n'utilise pas déjà un cadre de sécurité tel que ISO 27001/2 pour guider votre programme de sécurité, sélectionnez un cadre ou une combinaison de cadres connus qui informeront les composants du programme de sécurité global.
2. Gérer la sécuritérisque — Tous les risques de sécurité ne sont pas égaux et tous les risques ne peuvent ou ne doivent pas être éliminés. Ce n’est tout simplement ni réaliste, ni rentable, ni nécessaire. Heureusement, le RGPD reconnaît cette réalité. Cependant, vous devez quand même évaluer les risques de sécurité et prendre des mesures raisonnables pour atténuer les risques importants, mettre en œuvre des contrôles compensatoires ou justifier pourquoi un risque non atténué sera accepté. Chaque organisation doit utiliser un cadre de risque et disposer d'un processus pour évaluer et gérer les risques. Si votre organisation ne dispose pas actuellement d'un processus formel pour identifier, documenter et gérer la sécurité risques, tirez parti de la norme ISO 27001, du NIST ou d’un autre cadre pour apporter des améliorations. Cela ne veut pas dire que votre besoins de l'organisation pour mettre en œuvre chaque élément dans un cadre particulier, mais il servira plutôt de point de départ ou de référence pour garantir que les éléments nécessaires à la gestion des risques sont pris en compte.
3. La documentation est votre amie — Lorsqu'un problème donne lieu à une enquête ou à un audit, le succès de la défense de l'organisation sera directement lié à la force de la démonstration présentée au régulateur ou à l'auditeur. La documentation est l'élément de défense « show » qui peut être utilisé pour démontrer que les contrôles de sécurité sont en place (par exemple, une liste de tous les employés qui ont suivi la formation de sécurité) et fonctionnent efficacement (par exemple, le contrôle d'accès les journaux montrent qu'une tentative d'accès non autorisée à un système contenant des données personnelles a été identifiée et étudiée). Maintenir un niveau raisonnable de documentation pour démontrer et défendre les contrôles de sécurité en place.
4. « Lire et réagir » en permanence — La technologie, les exigences commerciales et les exigences juridiques évolueront continuellement au fil du temps. En conséquence, de nouveaux risques apparaîtront et des contrôles de sécurité nouveaux ou différents seront nécessaires. Il s'agira d'un cycle sans fin qui nécessitera que l'organisation adapte et affine continuellement ses posture de sécurité pour être réactif aux nouveaux risques. La sécurité, tout comme la confidentialité, est un processus continu et non un projet ponctuel.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Des normes comme ISO 27001:2013 encouragent une amélioration. Par externe audit, avec une certification indépendante, vous donnerez à vos clients la confiance dont ils ont besoin pour voir que vous maintenez le SMSI et répondez aux exigences d'examens réguliers et de gestion continue.
Les clients étant également susceptibles d’avoir des points de vue différents sur les contrôles de sécurité appropriés, la mise en œuvre d’une norme bien reconnue permettra d’éviter d’être tiraillé dans des directions différentes.
ISMS.online simplifie la description, la démonstration et la défense de la confidentialité de vos données. et les pratiques de sécurité de l'information et contrôles.
Utilisez notre pré-construit Cadres RGPD et ISO 27001, Politiques et contrôles ISO 27001 avec outils de gestion des risques et les outils pour gérer d'autres processus de travail requis par le RGPD.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup