ISO 27001 – Annexe A.6 : Organisation de la sécurité de l'information

Quel est l’objectif de l’annexe A.6.1 ?

L'annexe A.6.1 concerne l'organisation interne. L'objectif de ce domaine de l'Annexe A est d'établir un cadre de gestion pour lancer et contrôler la mise en œuvre et le fonctionnement de la sécurité de l'information au sein de l'organisation.

Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001. Comprenons maintenant ces exigences et ce qu’elles signifient de manière un peu plus approfondie.

A.6.1.1 Rôles et responsabilités en matière de sécurité de l'information

Toutes les responsabilités en matière de sécurité de l’information doivent être définies et réparties. Les responsabilités en matière de sécurité de l'information peuvent être générales (par exemple, protéger les informations) et/ou spécifiques (par exemple, la responsabilité d'accorder une autorisation particulière).

Il convient de prendre en compte la propriété des actifs informationnels ou des groupes d’actifs lors de l’identification des responsabilités. Voici quelques exemples de rôles professionnels susceptibles d'avoir une certaine pertinence en matière de sécurité de l'information : Chefs de département ; Propriétaires de processus métier ; Gestionnaire des installations; Responsable des ressources humaines; et auditeur interne.

L'auditeur cherchera à s'assurer que l'organisation a clairement indiqué qui est responsable de quoi, de manière adéquate et proportionnée en fonction de la taille et de la nature de l'organisation. Pour les petites organisations, il est généralement irréaliste d’associer des rôles à temps plein à ces rôles et responsabilités.

En tant que tel, il est important de clarifier les responsabilités spécifiques en matière de sécurité de l'information au sein des postes existants. Par exemple, le directeur des opérations ou le PDG pourrait également être l'équivalent du RSSI, le responsable de la sécurité de l'information, avec la responsabilité globale de l'ensemble du SMSI. Le CTO peut posséder tous les actifs d'information liés à la technologie, etc.

A.6.1.2 Séparation des tâches

Les tâches et domaines de responsabilité conflictuels doivent être séparés afin de réduire les possibilités de modification non autorisée ou involontaire ou d'utilisation abusive de l'un des actifs de l'organisation.

L'organisation doit se demander si la séparation des tâches a été envisagée et mise en œuvre le cas échéant. Les petites organisations peuvent avoir des difficultés avec cela, mais le principe doit être appliqué autant que possible et une bonne gouvernance et des contrôles mis en place pour les actifs informationnels à plus haut risque et de plus grande valeur, capturés dans le cadre de l'évaluation et du traitement des risques.

A.6.1.3 Contact avec les autorités

Des contacts appropriés avec les autorités compétentes doivent être maintenus. N'oubliez pas, lorsque vous adaptez ce contrôle, de réfléchir aux responsabilités légales liées au contact avec les autorités telles que la police, le bureau du commissaire à l'information ou d'autres organismes de réglementation, par exemple autour du RGPD.

Réfléchissez à la manière dont ce contact doit être établi, par qui, dans quelles circonstances et à la nature des informations à fournir.

A.6.1.4 Contact avec les groupes d'intérêts particuliers

Des contacts appropriés avec des groupes d'intérêt particuliers ou d'autres forums spécialisés en matière de sécurité et associations professionnelles doivent également être maintenus. Lorsque vous adaptez ce contrôle à vos besoins spécifiques, n'oubliez pas que l'adhésion à des organismes professionnels, des organisations industrielles, des forums et des groupes de discussion sont toutes prises en compte dans ce contrôle.

Il est important de comprendre la nature de chacun de ces groupes et dans quel but ils ont été créés (par exemple, y a-t-il un objectif commercial derrière cela).

A.6.1.5 Sécurité de l'information dans la gestion de projet

La sécurité de l’information doit être prise en compte dans la gestion de projet, quel que soit le type de projet. La sécurité de l’information doit être ancrée dans le tissu de l’organisation et la gestion de projet en est un domaine clé. Nous recommandons l'utilisation de modèles de cadres pour les projets qui incluent une simple liste de contrôle reproductible pour montrer que la sécurité des informations est prise en compte.

L'auditeur veillera à ce que toutes les personnes impliquées dans les projets soient chargées de prendre en compte la sécurité des informations à toutes les étapes du cycle de vie du projet. Cela devrait donc également être couvert dans le cadre de l'éducation et de la sensibilisation conformément à la sécurité des ressources humaines pour A.7.2.2. .

Les organisations intelligentes intégreront également A.6.1.5 aux obligations associées en matière de données personnelles et prendront en compte la sécurité dès la conception ainsi que les évaluations d'impact sur la protection des données (DPIA) et des processus similaires pour démontrer la conformité au règlement général sur la protection des données (RGPD) et à la loi sur la protection des données. 2018.

ISMS.online intègre des cadres et des modèles simples et pratiques pour la sécurité de l'information dans la gestion de projet ainsi que la DPIA et d'autres évaluations de données personnelles connexes, par exemple les évaluations d'intérêt légitime (LIA).

Quel est l’objectif de l’annexe A.6.2 ?

L'annexe A.6.2 concerne les appareils mobiles et le télétravail. L’objectif de ce domaine de l’annexe A est d’établir un cadre de gestion pour assurer la sécurité du télétravail et de l’utilisation des appareils mobiles.

A.6 semble être un endroit étrange pour aborder les appareils mobiles et les politiques de télétravail, mais c'est le cas, et presque tout dans A.6.2 est lié aux autres contrôles de l'Annexe A, dans la mesure où une grande partie de la vie professionnelle inclut le mobile et le télétravail.

Dans ce cas, le télétravail inclut également les travailleurs à domicile et ceux travaillant dans des sites satellites qui n'ont peut-être pas besoin des mêmes contrôles d'infrastructure physique que (par exemple) le siège social, mais qui sont néanmoins exposés à des informations précieuses et aux actifs associés.

A.6.2.1 Politique relative aux appareils mobiles

Une politique et des mesures de sécurité doivent être adoptées pour gérer les risques liés à l'utilisation de téléphones mobiles et d'autres appareils mobiles tels que les ordinateurs portables, les tablettes, etc. À mesure que les appareils mobiles deviennent de plus en plus intelligents, ce domaine politique devient beaucoup plus important au-delà de l'utilisation traditionnelle d'un téléphone mobile. téléphone. L’utilisation d’appareils mobiles et le télétravail constituent à la fois une excellente opportunité de travail flexible et une vulnérabilité potentielle en matière de sécurité.

BYOD ou Bring Your Own Device est également un élément majeur à prendre en compte. Bien qu’il y ait d’énormes avantages à permettre au personnel d’utiliser ses propres appareils, sans contrôles adéquats sur l’utilisation au cours de la vie et surtout à la sortie, les menaces peuvent également être considérables.

Une organisation doit s'assurer que lorsque des appareils mobiles sont utilisés ou que le personnel travaille hors site, ses informations ainsi que celles des clients et autres parties intéressées restent protégées et idéalement sous son contrôle. Cela devient de plus en plus difficile avec le stockage cloud grand public, la sauvegarde automatisée et les appareils personnels partagés par les membres de la famille.

Une organisation devrait envisager de mettre en œuvre une stratégie de « défense en profondeur » combinant des contrôles physiques, techniques et politiques complémentaires. L'un des aspects les plus importants est l'éducation, la formation et la sensibilisation à l'utilisation des appareils mobiles également dans les lieux publics, en évitant le risque d'un wifi « gratuit » qui pourrait compromettre rapidement les informations ou empêcher les observateurs non invités de regarder l'écran pendant le voyage en train. maison.

L'auditeur voudra s'assurer que des politiques et des contrôles clairs sont mis en place pour garantir que les informations restent sécurisées lorsque vous travaillez en dehors des sites physiques de l'organisation. Les politiques doivent couvrir les domaines suivants :

• inscription et gestion
• protection physique
• restrictions sur les logiciels pouvant être installés, les services et applications pouvant être ajoutés et accessibles, utilisation de développeurs autorisés et non autorisés
• mises à jour des appareils d'exploitation et applications de correctifs
• la classification des informations accessibles et toute autre contrainte d'accès aux actifs (par exemple, aucun accès aux actifs critiques pour l'infrastructure)
• attentes en matière de cryptographie, de logiciels malveillants et d'antivirus
• Exigences de connexion, de désactivation à distance, d'effacement, de verrouillage et de « trouver mon appareil »
• sauvegarde et stockage
• famille et autres conditions d'accès des utilisateurs (si BYOD), par exemple séparation des comptes
• utilisation dans les lieux publics
• connectivité et réseaux fiables

A.6.2.2 Télétravail

Une politique et des mesures de sécurité à l’appui doivent également être mises en œuvre pour protéger les informations consultées, traitées ou stockées sur les sites de télétravail. Le télétravail fait référence au travail à domicile et aux autres travaux hors site, comme sur les sites des fournisseurs ou des clients. Pour le personnel en télétravail, l’éducation, la formation et la sensibilisation aux risques potentiels sont essentielles.

L'auditeur s'attendra à ce que les décisions relatives à l'utilisation des appareils mobiles et au télétravail ainsi que les mesures de sécurité soient basées sur une évaluation des risques appropriée, équilibrant la nécessité d'un travail flexible et les menaces et vulnérabilités potentielles qu'une telle utilisation pourrait introduire.

Le télétravail est également étroitement lié à de nombreuses autres zones de contrôle de l'Annexe A dans A.6, A.8, A.9, A.10, A.11, A.12 et A.13, alors rejoignez-les dans le cadre du approche de bureau et de télétravail pour éviter les duplications et les lacunes. A.7 est également essentiel pour réussir la sélection et le recrutement des télétravailleurs et la gestion tout au long du cycle de vie devient essentielle à inclure dans les audits et à démontrer aux auditeurs que les télétravailleurs ne constituent pas une menace mal gérée.