ISO 27001:2022 Annexe A Contrôle 5.14

Transfert d'information

Demander demo

groupe,de,heureux,collègues,discutant,dans,la,salle,de,conférence

L'objectif de la norme ISO 27001:2022 Annexe A 5.14 est d'assurer la sécurité de tous les appareils des utilisateurs.

Cela signifie que des mesures doivent être prises pour protéger les appareils contre les logiciels malveillants et autres menaces, ainsi que pour maintenir la confidentialité, l'intégrité et la disponibilité des données qui y sont stockées.

ISO 27001: 2022 Annexe A Le contrôle 5.14 oblige les organisations à installer les règles, procédures ou contrats nécessaires pour maintenir la sécurité des données lorsqu'elles sont partagées en interne ou envoyées à des parties externes.

Propriété de la norme ISO 27001:2022 Annexe A Contrôle 5.14

Le soutien et l'acceptation de la haute direction sont essentiels pour la formation et l'exécution des réglementations, des protocoles et des contrats.

Il est cependant impératif de bénéficier de la collaboration et des connaissances spécialisées des différents acteurs de l’organisation, tels que le personnel juridique, le personnel informatique et les hauts gradés.

L'équipe juridique doit s'assurer que l'organisation conclut des accords de transfert conformes à la norme ISO 27001:2022, Annexe A, Contrôle 5.14. De plus, l'équipe informatique doit être activement impliquée dans la spécification et l'exécution des contrôles de protection des données, comme indiqué au point 5.14.

Aller au sujet

100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup

Commencez votre voyage aujourd'hui
Réservez votre démo

Orientations générales sur la norme ISO 27001:2022 Annexe A 5.14

Assurer le respect de 5.14 nécessite la création de règles, de procédures et d'accords, y compris une politique de transfert de données spécifique au sujet, et donne aux données en transit un niveau de protection approprié en fonction de la classification qui leur est attribuée.

Le niveau de sécurité doit être proportionnel à l'importance et à la sensibilité des données envoyées. La norme ISO 27001:2022 Annexe A 5.14 exige également que les organisations concluent des accords de transfert avec des tiers destinataires pour garantir une transmission sécurisée des données.

La norme ISO 27001 :2022, Annexe A, Contrôle 5.14 classe les types de transfert en trois groupes :

Avant de détailler les exigences spécifiques de chaque type de transfert, ISO 27001: 2022 L'Annexe A Contrôle 5.14 décrit les éléments qui doivent être présents dans tous les règlements, procédures et contrats relatifs aux trois transferts en général :

  • Les organisations doivent déterminer les contrôles appropriés en fonction du niveau de classification des informations afin de les protéger pendant leur transit contre tout accès non autorisé, modification, interception, duplication, destruction et attaques par déni de service.

  • Les organisations doivent suivre la chaîne de traçabilité pendant le transit et établir et effectuer des contrôles pour garantir la traçabilité des données.

  • Précisez qui est impliqué dans le transfert de données et donnez ses coordonnées, telles que les propriétaires des données et le personnel de sécurité.

  • En cas de violation de données, les responsabilités seront attribuées.

  • Mettez en œuvre un système d’étiquetage pour garder une trace des articles.

  • S'assurer que le service de transfert est disponible.

  • Lignes directrices concernant les méthodes de transfert d'information doivent être développés en fonction de sujets spécifiques.

  • Les directives relatives au stockage et à la suppression de tous les documents commerciaux, y compris les messages, doivent être suivies.

  • Examinez l’impact que les lois, réglementations ou autres obligations applicables peuvent avoir sur le transfert.

Conseils supplémentaires sur le transfert électronique

ISO 27001:2022 Annexe A Contrôle 5.14 détaille les exigences de contenu spécifiques pour les règles, procédures et accords associés aux trois types de transferts. Les exigences minimales en matière de contenu doivent être respectées dans les trois domaines.

Les règles, accords et procédures doivent tenir compte des considérations suivantes lors du transfert d’informations par voie électronique :

  • L’identification et la prévention des attaques de logiciels malveillants sont primordiales. Il est essentiel que vous utilisiez la technologie la plus récente pour détecter et prévenir les attaques de logiciels malveillants.

  • Assurer la sécurité des informations confidentielles trouvé dans les pièces jointes envoyées.

  • Assurez-vous que les communications sont envoyées aux destinataires appropriés en évitant le risque d’envoi à une adresse e-mail, une adresse ou un numéro de téléphone incorrects.

  • Obtenez la permission avant de commencer à utiliser des services de communication publics.

  • Des méthodes d'authentification plus strictes doivent être utilisées lors de l'envoi de données via des réseaux publics.

  • Imposer des limites à l'utilisation des services de communication électronique, par exemple en interdisant le transfert automatisé.

  • Conseillez au personnel d'éviter d'utiliser des services de messages courts ou de messagerie instantanée pour partager des données sensibles, car le contenu pourrait être consulté par des personnes non autorisées dans les espaces publics.

  • Informer le personnel et les autres parties intéressées des risques de protection que les télécopieurs peuvent poser, tels qu'un accès non autorisé ou une mauvaise direction des messages vers certains numéros.

Conseils supplémentaires sur le transfert de supports de stockage physiques

Lorsque les informations sont physiquement partagées, les règles, procédures et accords doivent inclure :

  • Les parties sont responsables de se notifier mutuellement la transmission, l'envoi et la réception des informations.

  • S’assurer que le message est adressé correctement et envoyé de manière appropriée.

  • Un bon emballage élimine le risque d’endommagement du contenu pendant le transport. Par exemple, l’emballage doit être résistant à la chaleur et à l’humidité.

  • Une liste de courriers fiables et autorisés a été convenue par la direction.

  • Un aperçu des normes d’identification des courriers.

  • Pour les informations sensibles et critiques, des sacs inviolables doivent être utilisés.

  • Il est important de vérifier l’identité des coursiers.

  • Cette liste de tiers, classés selon leur niveau de service, fournissent des services de transport ou de messagerie et a été approuvée.

  • Enregistrez l'heure de livraison, le destinataire autorisé, les mesures de sécurité prises et la confirmation de réception à destination dans un journal.

Conseils supplémentaires sur le transfert verbal

Le personnel doit être sensibilisé aux risques associés à l'échange d'informations au sein de l'organisation ou à la transmission de données à des parties externes, conformément à la norme ISO 27001:2022 Annexe A Contrôle 5.14. Ces risques comprennent :

  • Ils doivent s’abstenir de discuter de questions confidentielles sur des chaînes publiques non sécurisées ou dans des espaces publics.

  • Il ne faut pas laisser de messages vocaux contenant des informations confidentielles en raison du risque de relecture par des personnes non autorisées, ainsi que du risque de réacheminement vers des tiers.

  • Les individus, qu'il s'agisse du personnel ou d'autres tiers concernés, doivent être sélectionnés avant d'être autorisés à participer aux conversations.

  • Les pièces utilisées pour des conversations confidentielles doivent être équipées de l’insonorisation nécessaire.

  • Avant de s’engager dans un dialogue sensible, une clause de non-responsabilité doit être émise.

Changements et différences par rapport à la norme ISO 27001:2013 ?

ISO 27001:2022 Annexe A 5.14 remplace ISO 27001:2013 Annexe A 13.2.1, 13.2.2 et 13.2.3.

Les deux contrôles présentent certaines similitudes, mais deux distinctions majeures rendent les exigences de 2022 plus lourdes.

Exigences spécifiques pour les transferts électriques, physiques et verbaux

La section 13.2.3 de la version 2013 couvrait les exigences particulières en matière de transmission de données par messagerie électronique.

Toutefois, elle ne traite pas spécifiquement de la transmission d’informations par des moyens verbaux ou physiques.

En comparaison, la version 2022 est précise dans l’identification de trois types de transfert d’informations, et précise le contenu nécessaire pour chacun d’eux individuellement.

La norme ISO 27001 : 2022 définit des exigences plus strictes pour le transfert électronique

La section 13.2.3 de la version 2022 définit des exigences plus strictes concernant le contenu des accords de messagerie électronique.

Les organisations doivent détailler et exécuter de nouvelles réglementations pour les transferts numériques sous la forme de règles, de procédures et de contrats pour la norme ISO 27001 : 2022.

Par exemple, les organisations doivent mettre en garde leur personnel contre l'utilisation des services SMS lors de la transmission d'informations sensibles.

Exigences détaillées pour les transferts physiques

La version 2022 impose des réglementations plus strictes sur le transfert physique des supports de stockage. Par exemple, il est plus approfondi dans son authentification des courriers et dans ses garanties contre différentes formes de dommages.

Changements structurels

Dans la version de 2013, une référence explicite était faite aux exigences nécessaires des accords de transfert d'informations. Cependant, les « Règles » et les « Procédures » n'ont pas été décrites en détail.

Pour la norme ISO 27001:2022, des critères spécifiques sont définis pour chacune des trois approches.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

Mise en œuvre de la norme ISO 27001:2022 peut être simplifié grâce à notre liste de contrôle étape par étape. Il vous guidera tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à identifier les risques et mettre en œuvre des contrôles.

Réservez votre démonstration dès aujourd'hui. Les rendez-vous sont disponibles sept jours sur sept, alors planifiez le vôtre à un moment qui te convient.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage