ISO 27001 – Annexe A.18 : Conformité

Quel est l’objectif de l’annexe A.18.1 ?

L'annexe A.18.1 concerne le respect des exigences légales et contractuelles. L’objectif est d’éviter les violations des obligations légales, statutaires, réglementaires ou contractuelles liées à la sécurité des informations et de toute exigence de sécurité.

Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001.

A.18.1.1 Identification de la législation applicable et des exigences contractuelles

Un bon contrôle décrit comment toutes les exigences législatives, réglementaires et contractuelles pertinentes, ainsi que l'approche de l'organisation pour répondre à ces exigences, doivent être explicitement identifiées, documentées et tenues à jour pour chaque système d'information et l'organisation. En termes simples, l'organisation doit s'assurer qu'elle se tient au courant et documente la législation et la réglementation qui affectent la réalisation de ses objectifs commerciaux et les résultats du SMSI.

Il est important que l'organisation comprenne les exigences législatives, réglementaires et contractuelles auxquelles elle doit se conformer et celles-ci doivent être enregistrées de manière centralisée dans un registre pour faciliter la gestion et la coordination. L’identification de ce qui est pertinent dépendra en grande partie : Où l'organisation est située ou opère ; Quelle est la nature des activités de l'organisation ; et La nature des informations traitées au sein de l'organisation. L'identification de la législation, de la réglementation et des exigences contractuelles pertinentes comprendra probablement un engagement avec des experts juridiques, des organismes de réglementation et des gestionnaires de contrats.

Il s’agit d’un domaine qui surprend souvent les organisations, car il existe généralement beaucoup plus de lois et de réglementations ayant un impact sur l’organisation qu’on ne le pense au départ. L'auditeur examinera comment l'organisation a identifié et enregistré ses obligations légales, réglementaires et contractuelles ; les responsabilités liées au respect de ces exigences et toutes les politiques, procédures et autres contrôles nécessaires requis pour satisfaire aux contrôles.

De plus, ils veilleront à ce que ce registre soit régulièrement tenu à jour contre tout changement pertinent – ​​en particulier dans la législation dans les domaines communs qui, selon eux, serait impacté par toute organisation.

A.18.1.2 Droits de propriété intellectuelle

Un bon contrôle décrit comment les procédures appropriées garantissent le respect des exigences législatives, réglementaires et contractuelles liées aux droits de propriété intellectuelle et à l'utilisation de produits logiciels propriétaires. En termes simples, l’organisation doit mettre en œuvre des procédures appropriées garantissant qu’elle se conforme à toutes ses exigences, qu’elles soient législatives, réglementaires ou contractuelles – liées à son utilisation de produits logiciels ou aux droits de propriété intellectuelle.

Il y a deux aspects de la gestion des DPI à considérer : Protection des DPI détenus par l'organisation ; et Prévention de l'utilisation abusive ou de la violation des DPI d'autrui. Le premier sera également abordé avec A.13.24 pour les accords de non-divulgation et de confidentialité, où nous suggérons également aux entreprises de gérer leurs contrats-cadres plus larges avec des tiers, et également dans A.15 pour la chaîne d'approvisionnement en particulier. Pour le personnel, l'A7.1.2 Conditions d'emploi couvrira également les DPI.

Des politiques, des processus et des contrôles techniques seront probablement nécessaires pour ces deux aspects. Dans le cadre des registres d'actifs et des politiques d'utilisation acceptable, il est probable que des considérations relatives aux DPI devront être prises en compte – par exemple, lorsqu'un actif est ou contient une protection DPI pour cet actif, il faudra prendre en compte l'aspect DPI. Les contrôles visant à garantir que seuls les logiciels autorisés et sous licence sont utilisés au sein de l'organisation doivent inclure des inspections et des audits réguliers.

L'auditeur voudra s'assurer que les registres des licences détenues par l'organisation pour l'utilisation de logiciels et d'autres actifs d'autrui sont tenus et mis à jour. Il leur sera particulièrement intéressant de veiller à ce que, lorsque les licences incluent un nombre maximum d'utilisateurs ou d'installations, ce nombre ne soit pas dépassé et que les numéros d'utilisateurs et d'installations soient audités périodiquement pour vérifier leur conformité. L'auditeur examinera également la manière dont l'organisation protège ses propres DPI, ce qui peut inclure : Contrôles de perte et de prévention des données ; Politiques et programmes de sensibilisation ciblant l'éducation des utilisateurs ; ou Des accords de non-divulgation et de confidentialité qui se poursuivent après la cessation d'emploi.

A.18.1.3 Protection des dossiers

Un bon contrôle décrit la manière dont les documents sont protégés contre la perte, la destruction, la falsification, l'accès non autorisé et la diffusion non autorisée, conformément aux exigences législatives, réglementaires, contractuelles et commerciales.

Différents types de documents nécessiteront probablement différents niveaux et méthodes de protection. Il est essentiel que les documents soient protégés de manière adéquate et proportionnée contre la perte, la destruction, la falsification, l’accès ou la diffusion non autorisés. La protection des dossiers doit être conforme à toute législation, réglementation ou obligation contractuelle pertinente. Il est particulièrement important de comprendre combien de temps les documents doivent, devraient ou pourraient être conservés et quels problèmes techniques ou physiques pourraient les affecter au fil du temps – en gardant à l’esprit que certaines législations peuvent l’emporter sur d’autres en matière de conservation et de protection. L'auditeur vérifiera que des considérations relatives à la protection des dossiers ont été prises en fonction des exigences commerciales et des obligations légales, réglementaires et contractuelles.

A.18.1.4 Confidentialité et protection des informations personnelles identifiables

Un bon contrôle décrit comment la confidentialité et la protection des informations personnelles identifiables sont assurées par la législation et la réglementation pertinentes. Toute information traitée contenant des informations personnellement identifiables (PII) est susceptible d'être soumise aux obligations législatives et réglementaires. Les informations personnelles sont particulièrement susceptibles d'avoir des exigences élevées en matière de confidentialité et d'intégrité, et dans certains cas également de disponibilité (par exemple, informations sur la santé, informations financières). En vertu de certaines législations (par exemple le RGPD), certains types d'informations personnelles sont définis comme étant également « sensibles » et nécessitent des contrôles supplémentaires pour garantir leur conformité.

Il est important que des campagnes de sensibilisation soient menées auprès du personnel et des parties prenantes pour garantir une compréhension répétée de la responsabilité individuelle en matière de protection des informations personnelles et de la vie privée. L'auditeur examinera comment les informations personnelles sont traitées, si les contrôles appropriés ont été mis en œuvre, sont-ils surveillés, examinés et, si nécessaire, améliorés. Ils chercheront également à vérifier que les exigences de manipulation sont respectées et auditées de manière appropriée. Des responsabilités supplémentaires existent également, par exemple le RGPD exigera un audit régulier pour les domaines où les données personnelles sont menacées. Les organisations intelligentes associeront ces audits à leurs audits ISO 27001 et éviteront les duplications ou les lacunes.

A.18.1.5 Réglementation des contrôles cryptographiques

Un bon contrôle décrit la manière dont les contrôles cryptographiques sont utilisés conformément à tous les accords, lois et réglementations pertinents. L'utilisation de technologies cryptographiques est soumise à la législation et à la réglementation dans de nombreux territoires et il est important qu'une organisation comprenne celles qui sont applicables et mette en œuvre des contrôles et des programmes de sensibilisation garantissant le respect de ces exigences. Cela est particulièrement vrai lorsque la cryptographie est transportée ou utilisée dans des territoires autres que le lieu de résidence ou d'exploitation habituel de l'organisation ou de l'utilisateur. Les lois sur l’importation/exportation transfrontalière peuvent inclure des exigences relatives aux technologies ou à l’utilisation cryptographiques. L'auditeur vérifiera que des considérations relatives à la réglementation appropriée des contrôles cryptographiques ont été prises et que des contrôles pertinents et des programmes de sensibilisation ont été mis en œuvre pour garantir la conformité.

Quel est l’objectif de l’annexe A.18.2 ?

L'annexe A.18.2 concerne les examens de la sécurité des informations. L'objectif de la présente annexe est de garantir que la sécurité de l'information est mise en œuvre et exploitée conformément aux politiques et procédures organisationnelles.

A.18.2.1 Examen indépendant de la sécurité de l'information

Un bon contrôle décrit l'approche de l'organisation en matière de gestion de la sécurité de l'information et sa mise en œuvre (c'est-à-dire les objectifs de contrôle, les contrôles, les politiques, les processus et les procédures pour la sécurité de l'information) est revue de manière indépendante à intervalles planifiés ou lorsque des changements importants se produisent.

Il est bon d’obtenir un examen indépendant des risques et des contrôles de sécurité pour garantir l’impartialité et l’objectivité ainsi que pour bénéficier d’un regard neuf. Cela ne signifie pas que cela doit être externe, il suffit de bénéficier du fait qu'un autre collègue révise les politiques en plus de l'auteur/administrateur principal. Ces examens doivent être effectués à intervalles réguliers et planifiés et lorsque des changements importants liés à la sécurité surviennent – ​​l'ISO interprète régulier comme étant au moins une fois par an.

L'auditeur demandera à la fois un examen de sécurité indépendant régulier et un examen lorsque des changements importants se produisent, et s'assurera qu'il existe un plan pour des examens réguliers. Ils exigeront également la preuve que des examens ont été effectués et que tous les problèmes ou améliorations identifiés lors des examens sont gérés de manière appropriée.

A.18.2.2 Conformité aux politiques et normes de sécurité

Les responsables du SMSI doivent régulièrement vérifier la conformité du traitement des informations et des procédures dans leur domaine de responsabilité. Les politiques ne sont efficaces que si elles sont appliquées et si leur conformité est testée et révisée régulièrement. Il incombe généralement à la hiérarchie de s'assurer que son personnel subordonné se conforme aux politiques et contrôles de l'organisation, mais cela doit être complété par des examens et des audits indépendants occasionnels. Lorsqu'une non-conformité est identifiée, elle doit être enregistrée et gérée, en identifiant pourquoi elle s'est produite, à quelle fréquence elle se produit et la nécessité de mesures d'amélioration liées soit au contrôle, soit à la sensibilisation, à l'éducation ou à la formation de l'utilisateur qui a causé la non-conformité. non-conformité.

L’auditeur veillera à ce que les deux ; Des politiques préventives proactives, des contrôles et des programmes de sensibilisation sont en place, mis en œuvre et efficaces ; et Une surveillance, un examen et un audit réactifs de la conformité sont également en place. Ils vérifieront également s'il existe des preuves de la manière dont des améliorations sont apportées au fil du temps pour garantir une amélioration des niveaux de conformité ou un maintien si la conformité est déjà à 100 %. Cela rejoint les principales exigences de la norme ISO 27001 pour 9 et 10 concernant les audits internes, les revues de direction, les améliorations et les non-conformités également. La sensibilisation et l'engagement du personnel conformément à A 7.2.2 sont également importants à relier à cette partie pour la confiance en matière de conformité.

A.18.2.3 Examen de la conformité technique

Les systèmes d'information doivent être régulièrement examinés pour vérifier leur conformité aux politiques et normes de sécurité de l'information de l'organisation. Des outils automatisés sont normalement utilisés pour vérifier la conformité technique des systèmes et des réseaux et ceux-ci doivent être identifiés et mis en œuvre le cas échéant. Lorsque de tels outils sont utilisés, il est nécessaire de limiter leur utilisation à un petit nombre de personnes autorisées et de contrôler et coordonner soigneusement leur utilisation afin d'éviter toute compromission de la disponibilité et de l'intégrité du système. Les niveaux adéquats de tests de conformité dépendront des exigences commerciales et des niveaux de risque, et l'auditeur s'attendra à voir des preuves de la prise en compte de ces considérations. Ils s’attendront également à pouvoir inspecter les calendriers et les enregistrements des tests.

Comment ISMS.online contribue-t-il à la conformité ?

ISMS.online facilite considérablement l’aspect conformité de la sécurité des informations. Les processus d'approbation intégrés et les rappels automatisés pour les examens rendent la vie beaucoup plus facile et offrent un « plan évolutif » pour montrer aux auditeurs que vous contrôlez le SMSI. L'outil de gestion des risques liés à la législation applicable pré-rempli comprend de nombreux domaines communs de la législation et de la réglementation qui sont fréquemment négligés et facilite également la gestion de tout ce domaine. Les audits internes et externes, les actions correctives, les améliorations et les non-conformités sont tous facilement gérés grâce aux outils et fonctionnalités prédéfinis. La conformité des ressources humaines, qu’il s’agisse du personnel, des fournisseurs ou autres, est également facilement démontrée grâce à l’outil Policy Pack. Les partenaires ISMS.online proposent également des contrôles de santé indépendants spécialisés et une assistance en matière d'audit travaillant au sein de votre plateforme si nécessaire.