ISO 27001 – Annexe A.8 : Gestion des actifs

Quel est l’objectif de l’annexe A.8.1 ?

L'annexe A.8.1 concerne la responsabilité des actifs. L'objectif de la présente annexe est d'identifier les actifs informationnels entrant dans le champ d'application du système de gestion et de définir les responsabilités de protection appropriées.

Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001.

A.8.1.1 Inventaire des actifs

Tous les actifs associés aux informations et aux installations de traitement de l'information doivent être identifiés et gérés tout au long de leur cycle de vie, toujours à jour.

Un registre ou un inventaire de ces actifs doit être dressé pour montrer comment ils sont gérés et contrôlés, en fonction de leur importance (ce qui s'intègre également parfaitement dans la classification des informations ci-dessous). Ce cycle de vie des informations comprend généralement des étapes de création, de traitement, de stockage, de transmission, de suppression et de destruction.

A.8.1.2 Propriété des actifs

Tous les actifs informationnels doivent avoir des propriétaires. La propriété de la gestion d’actifs peut également être différente de la propriété légale, et elle peut être effectuée au niveau individuel, au sein d’un service ou d’une autre entité. La propriété doit être attribuée lors de la création des actifs.

Le propriétaire de l'actif est responsable de la gestion efficace de l'actif tout au long de son cycle de vie. Ils peuvent également en déléguer la gestion et la propriété peut changer au cours de ce cycle de vie, à condition que les deux soient documentés.

A.8.1.3 Utilisation acceptable des actifs

Il est important d’utiliser de manière acceptable l’information et les actifs pour réussir. Les règles d'utilisation acceptable des actifs sont souvent documentées dans une « Politique d'utilisation acceptable ». Les règles d'utilisation acceptable doivent prendre en compte les employés, le personnel temporaire, les sous-traitants et autres tiers, le cas échéant, pour l'ensemble des actifs informationnels auxquels ils ont accès.

Il est important que toutes les parties concernées aient accès à l'ensemble des règles d'utilisation acceptables documentées et celles-ci soient renforcées lors de formations régulières et de sensibilisation à la sécurité de l'information et d'activités liées à la conformité.

A.8.1.4 Restitution des actifs

Tous les employés et utilisateurs externes sont tenus de restituer tous les actifs organisationnels et informationnels à la fin de leur emploi, contrat ou accord. En tant que tel, les employés et les utilisateurs externes doivent avoir l'obligation de restituer tous les actifs et ces obligations seraient attendues dans les accords pertinents avec le personnel, les sous-traitants et autres.

Un processus solide et documenté est également nécessaire pour garantir que le retour des actifs est géré de manière appropriée et peut être prouvé pour chaque personne ou fournisseur qui le traverse – cela est conforme aux contrôles de sortie de l'annexe 7 pour la sécurité des ressources humaines et de l'annexe 13.2.4. pour les accords de confidentialité et l'annexe A.15 pour l'activité des fournisseurs.

Lorsque les actifs ne sont pas restitués conformément au processus, sauf accord contraire et documenté dans le cadre du processus de sortie, le non-retour doit être enregistré comme un incident de sécurité et faire l'objet d'un suivi conformément à l'annexe A.16. La procédure de restitution des actifs n'est jamais infaillible, ce qui souligne également la nécessité d'un audit périodique des actifs pour garantir leur protection continue.

Quel est l’objectif de l’annexe A.8.2 ?

L'annexe A.8.2 concerne la classification des informations. L'objectif de cette annexe est de garantir que les informations bénéficient d'un niveau de protection approprié en fonction de leur importance pour l'organisation (et les parties intéressées telles que les clients).

A.8.2.1 Classification des informations

Les informations doivent être classées en termes d'exigences légales, de valeur, de criticité et de sensibilité à toute divulgation ou modification non autorisée, idéalement classées pour refléter l'activité commerciale plutôt que de l'inhiber ou de la compliquer. Par exemple, les informations rendues publiques, par exemple sur un site Web, peuvent simplement être marquées comme « publiques », alors que les informations confidentielles ou commerciales sont évidentes car les informations sont plus sensibles que publiques.

La classification des informations est l’un des contrôles clés utilisés pour garantir que les actifs sont protégés de manière adéquate et proportionnée. De nombreuses organisations disposent de 3 à 4 options de classification pour permettre une gestion efficace des informations en tenant compte de leur valeur et de leur importance. Cela peut cependant être aussi simple ou aussi complexe que nécessaire pour garantir le bon niveau de granularité pour la protection des actifs.

N'oubliez pas que si vous restez très simple et que vous avez trop peu de classifications, cela peut signifier que vous êtes au-dessus ou sous les contrôles techniques. Un trop grand nombre d'options de classification est susceptible de dérouter les utilisateurs finaux quant à ce qu'il convient d'adopter et de créer une surcharge supplémentaire sur le système de gestion. Comme pour tous les contrôles, celui-ci doit être réexaminé régulièrement pour garantir son adéquation continue à son objectif.

A.8.2.2 Étiquetage des informations

Un ensemble approprié de procédures d'étiquetage des informations doit être développé et mis en œuvre conformément au système de classification des informations adopté par l'organisation. Les procédures d’étiquetage des informations devront couvrir les informations et les actifs associés sous forme physique et électronique. Cet étiquetage doit refléter le système de classification établi en 8.2.1.

Les étiquettes doivent être facilement reconnaissables et faciles à gérer dans la pratique, sinon elles ne seront pas suivies. Par exemple, il pourrait être plus facile de décider de facto que tout est confidentiel dans les systèmes numériques, sauf indication contraire expresse, plutôt que de demander au personnel d'étiqueter chaque mise à jour du CRM avec une déclaration de confidentialité commerciale !

Soyez clair sur l'endroit où cet étiquetage de facto est effectué et documentez-le dans votre politique, puis n'oubliez pas de l'inclure dans la formation du personnel.

A.8.2.3 Traitement des actifs

Les procédures de traitement des actifs doivent être élaborées et mises en œuvre conformément au système de classification des informations. Les éléments suivants doivent être pris en compte : Restrictions d'accès pour chaque niveau de classification ; Tenue d'un registre formel des destinataires autorisés des actifs ; Stockage du patrimoine informatique selon les spécifications des constructeurs, marquage des supports pour les habilités.

Si l'organisation gère des actifs informationnels pour des clients, des fournisseurs et d'autres personnes, il est important soit de démontrer une politique de cartographie, par exemple la classification client des cartes sensibles officielles, à notre organisation commerciale en toute confidentialité, soit que la classification supplémentaire serait traitée d'autres manières pour montrer qu'il est protégé.

Quel est l’objectif de l’annexe A.8.3 ?

L'annexe A.8.3 concerne la gestion des médias. L'objectif de la présente annexe est d'empêcher la divulgation, la modification, la suppression ou la destruction non autorisée des informations stockées sur des supports.

A.8.3.1 Gestion des supports amovibles

Des procédures doivent être mises en place pour la gestion des supports amovibles conformément au schéma de classification. L'utilisation générale de supports amovibles doit faire l'objet d'une évaluation des risques et il peut être nécessaire de procéder également à des évaluations des risques spécifiques à l'utilisation. Les supports amovibles ne devraient être autorisés que s’il existe une raison commerciale justifiée.

S’il n’est plus nécessaire, le contenu de tout support réutilisable doit être rendu irrécupérable et détruit ou effacé en toute sécurité. Tous les supports doivent être stockés dans un environnement sûr et sécurisé, conformément aux spécifications des fabricants et aux techniques supplémentaires telles que la cryptographie prises en compte le cas échéant (c'est-à-dire dans le cadre de l'évaluation des risques).

Lorsque cela est nécessaire et pratique, une autorisation devrait être requise pour les médias retirés de l'organisation, et un enregistrement doit être conservé afin de conserver une piste d'audit.

A.8.3.2 Élimination des supports

Lorsqu’ils ne sont plus nécessaires, les supports doivent être éliminés en toute sécurité en suivant les procédures documentées. Ces procédures minimisent le risque de fuite d’informations confidentielles vers des parties non autorisées.

Les procédures doivent être proportionnelles au caractère sensible des informations supprimées. Les éléments à prendre en compte comprennent : si les médias contiennent ou non des informations confidentielles ; et avoir des procédures en place qui aident à identifier les éléments qui pourraient. nécessitent une élimination sécurisée.

A.8.3.3 Transfert de supports physiques

Tout support contenant des informations doit être protégé contre tout accès non autorisé, toute utilisation abusive ou toute corruption pendant le transport (à moins qu'il ne soit déjà accessible au public).

Les éléments suivants doivent être pris en compte pour protéger les supports lors de leur transport : Des moyens de transport ou des coursiers fiables doivent être utilisés – peut-être qu'une liste de coursiers autorisés devrait être convenue avec la direction ; L'emballage doit être suffisant pour protéger le contenu de tout dommage physique pendant le transport ; et Des journaux doivent être conservés, identifiant le contenu du média et la protection appliquée.

Il convient également de noter que lorsque les informations confidentielles présentes sur les supports ne sont pas cryptées, une protection physique supplémentaire des supports doit être envisagée.