Aller au sujet
Quel est l’objectif de l’annexe A.7.1 ?
L'annexe A.7.1 concerne les conditions préalables à l'emploi. L'objectif de cette annexe est de garantir que les employés et les entrepreneurs comprennent leurs responsabilités et conviennent aux rôles pour lesquels ils sont considérés. Il couvre également ce qui se passe lorsque ces personnes quittent ou changent de rôle.
Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001.
A.7.1.1 Dépistage
Un bon contrôle couvre la vérification des antécédents et des compétences de tous les candidats à un emploi. Celles-ci doivent être réalisées conformément aux lois, réglementations et éthiques en vigueur, et doivent être proportionnelles aux exigences de l'entreprise, à la classification des informations qui seront consultées et aux risques perçus associés.
Par exemple, le personnel accédant à des informations de niveau supérieur qui comportent plus de risques peut être soumis à des contrôles beaucoup plus stricts que le personnel qui n'a accès qu'à des informations publiques ou qui manipule des actifs présentant une menace limitée. La mise en place de contrôles RH adéquats et proportionnés à toutes les étapes de l’emploi contribue à réduire la probabilité de menaces accidentelles ou malveillantes.
La vérification doit également avoir lieu pour les sous-traitants (à moins que leur organisation mère ne réponde à vos contrôles de sécurité plus larges, par exemple si elle possède sa propre norme ISO 27001 et effectue ses propres vérifications d'antécédents).
Un auditeur s'attendra à ce qu'un processus de sélection avec des procédures claires soit appliqué de manière cohérente à chaque fois pour aider également à éviter tout risque de préférence/préjugé. Idéalement, cela sera aligné sur le processus global de recrutement de l’organisation.
A.7.1.2 Conditions d'emploi
L'accord contractuel avec les employés et les sous-traitants doit indiquer leurs responsabilités et celles de l'organisation en matière de sécurité de l'information. Ces accords constituent un bon endroit pour définir les responsabilités générales et individuelles clés en matière de sécurité de l’information, car elles ont un poids juridique – ce qui signifie qu’elles sont soutenues par la loi.
Ceci est également très important en ce qui concerne le RGPD et la nouvelle loi sur la protection des données de 2018. Ils doivent faire référence et couvrir toute une série de domaines de contrôle, y compris la conformité globale avec le SMSI ainsi que plus particulièrement l'utilisation acceptable, la propriété des DPI, la restitution des actifs, etc.
Nous vous recommandons de travailler avec un avocat spécialisé en ressources humaines en cas de doute, car les conséquences d'une erreur dans les contrats de travail du point de vue de la sécurité de l'information (et d'autres dimensions) peuvent être importantes.
Quel est l’objectif de l’annexe A.7.2 ?
L'objectif de cette annexe est de garantir que les employés et les sous-traitants connaissent et s'acquittent de leurs responsabilités en matière de sécurité de l'information pendant leur emploi.
A.7.2.1 Responsabilités de gestion
Un bon contrôle décrit la manière dont les employés et les sous-traitants appliquent la sécurité des informations conformément aux politiques et procédures de l'organisation.
Les responsabilités confiées aux gestionnaires devraient inclure les exigences suivantes : Veiller à ce que les personnes dont ils sont responsables comprennent les menaces, les vulnérabilités et les contrôles en matière de sécurité de l'information pertinents pour leurs fonctions et reçoivent une formation régulière (conformément à A7.2.2) ; Garantir l’adhésion à un soutien proactif et adéquat pour les politiques et contrôles pertinents en matière de sécurité de l’information ; et Renforcer les exigences des termes et conditions d’emploi.
Les managers jouent un rôle essentiel en garantissant la conscience et la conscience de la sécurité dans toute l’organisation et en développant une « culture de sécurité » appropriée.
A.7.2.2 Sensibilisation, éducation et formation à la sécurité de l'information
Tous les employés et sous-traitants concernés doivent recevoir une sensibilisation et une formation appropriées pour faire leur travail correctement et en toute sécurité. Ils doivent également recevoir des mises à jour régulières sur les politiques et procédures organisationnelles lorsqu'elles sont modifiées, ainsi qu'une bonne compréhension de la législation applicable qui les affecte dans leur rôle.
Il est courant que l'équipe de sécurité de l'information s'associe aux RH ou à une équipe de formation et de développement pour effectuer des évaluations des aptitudes, des connaissances, des compétences et de la sensibilisation et pour planifier et mettre en œuvre un programme de sensibilisation, d'éducation et de formation tout au long du cycle de vie de l'emploi (pas seulement au induction). Vous devez être en mesure de démontrer cette formation et cette conformité aux auditeurs.
Examinez également attentivement la manière dont la formation et la sensibilisation sont dispensées afin de donner au personnel et aux ressources du sous-traitant les meilleures chances de la comprendre et de la suivre – cela signifie une attention particulière au contenu et au support de diffusion.
Quel est l’objectif de l’annexe A.7.3 ?
L'annexe A.7.3 concerne la cessation d'emploi et le changement d'emploi. L'objectif de cette annexe est de protéger les intérêts de l'organisation dans le cadre du processus de changement et de cessation d'emploi.
A.7.3.1 Cessation ou changement des responsabilités liées à l'emploi
Les responsabilités et obligations en matière de sécurité de l'information qui restent valables après la cessation ou le changement d'emploi doivent être définies, communiquées à l'employé ou à l'entrepreneur et appliquées. Les exemples incluent garder les informations confidentielles et ne pas repartir avec des informations appartenant à l’organisation.
Il est très important de garantir que les informations restent protégées après qu'un employé ou un sous-traitant quitte l'organisation, car les personnes elles-mêmes parcourent les magasins de données. Les termes et conditions contractuelles devraient renforcer cela, et le processus de départ et/ou le processus de résiliation du contrat (y compris la restitution des actifs) devraient inclure un rappel aux individus qu'ils ont certaines responsabilités envers l'organisation même après leur départ.
Un auditeur voudra voir des preuves que les sortants ont restitué leurs actifs et que le processus est clôturé et documenté pour démontrer que les actifs sont également mis à jour dans l'inventaire des actifs (A8.1.1), le cas échéant.
Il ne s’agit pas seulement de résiliation et de sortie. Si un employé change de rôle, par exemple en passant des opérations aux ventes, vous devez effectuer un examen pour démontrer qu'il n'a plus accès aux ressources informationnelles qui ne sont pas requises dans le nouveau rôle et qu'il a accès aux ressources informationnelles nécessaires pour l'avenir.
A.7.2.3 Processus disciplinaire
Un processus disciplinaire documenté doit être en place et communiqué (conformément à A7.2.2 ci-dessus). Bien qu’elle soit axée ici sur les mesures disciplinaires consécutives à des violations de sécurité, elle peut également être associée à d’autres raisons disciplinaires. Si votre organisation dispose déjà d'un processus disciplinaire RH reconnu, assurez-vous qu'il couvre la sécurité des informations de la manière requise par la norme ISO 27001:2013.
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
