- Voir ISO 27002:2022 Contrôle 5.14 pour en profiter.
- Voir ISO 27001:2013 Annexe A 13.2.1 pour en profiter.
- Voir ISO 27001:2013 Annexe A 13.2.2 pour en profiter.
- Voir ISO 27001:2013 Annexe A 13.2.3 pour en profiter.
Les fondamentaux du transfert sécurisé d'informations : ISO 27001 5.14
L'objectif de la norme ISO 27001:2022 Annexe A 5.14 est d'assurer la sécurité de tous les appareils des utilisateurs.
Cela signifie que des mesures doivent être prises pour protéger les appareils contre les logiciels malveillants et autres menaces, ainsi que pour maintenir la confidentialité, l'intégrité et la disponibilité des données qui y sont stockées.
ISO 27001: 2022 Annexe A Le contrôle 5.14 oblige les organisations à installer les règles, procédures ou contrats nécessaires pour maintenir la sécurité des données lorsqu'elles sont partagées en interne ou envoyées à des parties externes.
Propriété de la norme ISO 27001:2022 Annexe A Contrôle 5.14
Le soutien et l'acceptation de la haute direction sont essentiels pour la formation et l'exécution des réglementations, des protocoles et des contrats.
Il est cependant impératif de bénéficier de la collaboration et des connaissances spécialisées des différents acteurs de l’organisation, tels que le personnel juridique, le personnel informatique et les hauts gradés.
L'équipe juridique doit s'assurer que l'organisation conclut des accords de transfert conformes à la norme ISO 27001:2022, Annexe A, Contrôle 5.14. De plus, l'équipe informatique doit être activement impliquée dans la spécification et l'exécution des contrôles de protection des données, comme indiqué au point 5.14.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Orientations générales sur la norme ISO 27001:2022 Annexe A 5.14
Assurer le respect de 5.14 nécessite la création de règles, de procédures et d'accords, y compris une politique de transfert de données spécifique au sujet, et donne aux données en transit un niveau de protection approprié en fonction de la classification qui leur est attribuée.
Le niveau de sécurité doit être proportionnel à l'importance et à la sensibilité des données envoyées. La norme ISO 27001:2022 Annexe A 5.14 exige également que les organisations concluent des accords de transfert avec des tiers destinataires pour garantir une transmission sécurisée des données.
La norme ISO 27001 :2022, Annexe A, Contrôle 5.14 classe les types de transfert en trois groupes :
- Transfert électronique.
- Physique supports de stockage transfert.
- Transfert verbal.
Avant de détailler les exigences spécifiques de chaque type de transfert, ISO 27001: 2022 L'Annexe A Contrôle 5.14 décrit les éléments qui doivent être présents dans tous les règlements, procédures et contrats relatifs aux trois transferts en général :
- Les organisations doivent déterminer les contrôles appropriés en fonction du niveau de classification des informations afin de les protéger pendant leur transit contre tout accès non autorisé, modification, interception, duplication, destruction et attaques par déni de service.
- Les organisations doivent suivre la chaîne de traçabilité pendant le transit et établir et effectuer des contrôles pour garantir la traçabilité des données.
- Précisez qui est impliqué dans le transfert de données et donnez ses coordonnées, telles que les propriétaires des données et le personnel de sécurité.
- En cas de violation de données, les responsabilités seront attribuées.
- Mettez en œuvre un système d’étiquetage pour garder une trace des articles.
- S'assurer que le service de transfert est disponible.
- Lignes directrices concernant les méthodes de transfert d'information doivent être développés en fonction de sujets spécifiques.
- Les directives relatives au stockage et à la suppression de tous les documents commerciaux, y compris les messages, doivent être suivies.
- Examinez l’impact que les lois, réglementations ou autres obligations applicables peuvent avoir sur le transfert.
Conseils supplémentaires sur le transfert électronique
ISO 27001:2022 Annexe A Contrôle 5.14 détaille les exigences de contenu spécifiques pour les règles, procédures et accords associés aux trois types de transferts. Les exigences minimales en matière de contenu doivent être respectées dans les trois domaines.
Les règles, accords et procédures doivent tenir compte des considérations suivantes lors du transfert d’informations par voie électronique :
- L’identification et la prévention des attaques de logiciels malveillants sont primordiales. Il est essentiel que vous utilisiez la technologie la plus récente pour détecter et prévenir les attaques de logiciels malveillants.
- Assurer la sécurité des informations confidentielles trouvé dans les pièces jointes envoyées.
- Assurez-vous que les communications sont envoyées aux destinataires appropriés en évitant le risque d’envoi à une adresse e-mail, une adresse ou un numéro de téléphone incorrects.
- Obtenez la permission avant de commencer à utiliser des services de communication publics.
- Des méthodes d'authentification plus strictes doivent être utilisées lors de l'envoi de données via des réseaux publics.
- Imposer des limites à l'utilisation des services de communication électronique, par exemple en interdisant le transfert automatisé.
- Conseillez au personnel d'éviter d'utiliser des services de messages courts ou de messagerie instantanée pour partager des données sensibles, car le contenu pourrait être consulté par des personnes non autorisées dans les espaces publics.
- Informer le personnel et les autres parties intéressées des risques de protection que les télécopieurs peuvent poser, tels qu'un accès non autorisé ou une mauvaise direction des messages vers certains numéros.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Conseils supplémentaires sur le transfert de supports de stockage physiques
Lorsque les informations sont physiquement partagées, les règles, procédures et accords doivent inclure :
- Les parties sont responsables de se notifier mutuellement la transmission, l'envoi et la réception des informations.
- S’assurer que le message est adressé correctement et envoyé de manière appropriée.
- Un bon emballage élimine le risque d’endommagement du contenu pendant le transport. Par exemple, l’emballage doit être résistant à la chaleur et à l’humidité.
- Une liste de courriers fiables et autorisés a été convenue par la direction.
- Un aperçu des normes d’identification des courriers.
- Pour les informations sensibles et critiques, des sacs inviolables doivent être utilisés.
- Il est important de vérifier l’identité des coursiers.
- Cette liste de tiers, classés selon leur niveau de service, fournissent des services de transport ou de messagerie et a été approuvée.
- Enregistrez l'heure de livraison, le destinataire autorisé, les mesures de sécurité prises et la confirmation de réception à destination dans un journal.
Conseils supplémentaires sur le transfert verbal
Le personnel doit être sensibilisé aux risques associés à l'échange d'informations au sein de l'organisation ou à la transmission de données à des parties externes, conformément à la norme ISO 27001:2022 Annexe A Contrôle 5.14. Ces risques comprennent :
- Ils doivent s’abstenir de discuter de questions confidentielles sur des chaînes publiques non sécurisées ou dans des espaces publics.
- Il ne faut pas laisser de messages vocaux contenant des informations confidentielles en raison du risque de relecture par des personnes non autorisées, ainsi que du risque de réacheminement vers des tiers.
- Les individus, qu'il s'agisse du personnel ou d'autres tiers concernés, doivent être sélectionnés avant d'être autorisés à participer aux conversations.
- Les pièces utilisées pour des conversations confidentielles doivent être équipées de l’insonorisation nécessaire.
- Avant de s’engager dans un dialogue sensible, une clause de non-responsabilité doit être émise.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Changements et différences par rapport à la norme ISO 27001:2013 ?
ISO 27001:2022 Annexe A 5.14 remplace ISO 27001:2013 Annexe A 13.2.1, 13.2.2 et 13.2.3.
Les deux contrôles présentent certaines similitudes, mais deux distinctions majeures rendent les exigences de 2022 plus lourdes.
Exigences spécifiques pour les transferts électriques, physiques et verbaux
La section 13.2.3 de la version 2013 couvrait les exigences particulières en matière de transmission de données par messagerie électronique.
Toutefois, elle ne traite pas spécifiquement de la transmission d’informations par des moyens verbaux ou physiques.
En comparaison, la version 2022 est précise dans l’identification de trois types de transfert d’informations, et précise le contenu nécessaire pour chacun d’eux individuellement.
La norme ISO 27001 : 2022 définit des exigences plus strictes pour le transfert électronique
La section 13.2.3 de la version 2022 définit des exigences plus strictes concernant le contenu des accords de messagerie électronique.
Les organisations doivent détailler et exécuter de nouvelles réglementations pour les transferts numériques sous la forme de règles, de procédures et de contrats pour la norme ISO 27001 : 2022.
Par exemple, les organisations doivent mettre en garde leur personnel contre l'utilisation des services SMS lors de la transmission d'informations sensibles.
Exigences détaillées pour les transferts physiques
La version 2022 impose des réglementations plus strictes sur le transfert physique des supports de stockage. Par exemple, il est plus approfondi dans son authentification des courriers et dans ses garanties contre différentes formes de dommages.
Changements structurels
Dans la version de 2013, une référence explicite était faite aux exigences nécessaires des accords de transfert d'informations. Cependant, les « Règles » et les « Procédures » n'ont pas été décrites en détail.
Pour la norme ISO 27001:2022, des critères spécifiques sont définis pour chacune des trois approches.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Comment ISMS.online vous aide
Mise en œuvre de la norme ISO 27001:2022 peut être simplifié grâce à notre liste de contrôle étape par étape. Il vous guidera tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à identifier les risques et mettre en œuvre des contrôles.
Réservez votre démonstration dès aujourd'hui. Les rendez-vous sont disponibles sept jours sur sept, alors planifiez le vôtre à un moment qui te convient.
