ISO 27001:2022 Annexe A 5.14 – Transfert d'informations

Propriété de la norme ISO 27001:2022 Annexe A Contrôle 5.14

Le soutien et l'acceptation de la haute direction sont essentiels pour la formation et l'exécution des réglementations, des protocoles et des contrats.

Il est cependant impératif de bénéficier de la collaboration et des connaissances spécialisées des différents acteurs de l’organisation, tels que le personnel juridique, le personnel informatique et les hauts gradés.

L'équipe juridique doit s'assurer que l'organisation conclut des accords de transfert conformes à la norme ISO 27001:2022, Annexe A, Contrôle 5.14. De plus, l'équipe informatique doit être activement impliquée dans la spécification et l'exécution des contrôles de protection des données, comme indiqué au point 5.14.

Orientations générales sur la norme ISO 27001:2022 Annexe A 5.14

Assurer le respect de 5.14 nécessite la création de règles, de procédures et d'accords, y compris une politique de transfert de données spécifique au sujet, et donne aux données en transit un niveau de protection approprié en fonction de la classification qui leur est attribuée.

Le niveau de sécurité doit être proportionnel à l'importance et à la sensibilité des données envoyées. La norme ISO 27001:2022 Annexe A 5.14 exige également que les organisations concluent des accords de transfert avec des tiers destinataires pour garantir une transmission sécurisée des données.

La norme ISO 27001 :2022, Annexe A, Contrôle 5.14 classe les types de transfert en trois groupes :

• Transfert électronique.
• Physique supports de stockage transfert.
• Transfert verbal.

Avant de détailler les exigences spécifiques de chaque type de transfert, ISO 27001: 2022 L'Annexe A Contrôle 5.14 décrit les éléments qui doivent être présents dans tous les règlements, procédures et contrats relatifs aux trois transferts en général :

• Les organisations doivent déterminer les contrôles appropriés en fonction du niveau de classification des informations afin de les protéger pendant leur transit contre tout accès non autorisé, modification, interception, duplication, destruction et attaques par déni de service.
• Les organisations doivent suivre la chaîne de traçabilité pendant le transit et établir et effectuer des contrôles pour garantir la traçabilité des données.
• Précisez qui est impliqué dans le transfert de données et donnez ses coordonnées, telles que les propriétaires des données et le personnel de sécurité.
• En cas de violation de données, les responsabilités seront attribuées.
• Mettez en œuvre un système d’étiquetage pour garder une trace des articles.
• S'assurer que le service de transfert est disponible.
• Lignes directrices concernant les méthodes de transfert d'information doivent être développés en fonction de sujets spécifiques.
• Les directives relatives au stockage et à la suppression de tous les documents commerciaux, y compris les messages, doivent être suivies.
• Examinez l’impact que les lois, réglementations ou autres obligations applicables peuvent avoir sur le transfert.

Conseils supplémentaires sur le transfert électronique

ISO 27001:2022 Annexe A Contrôle 5.14 détaille les exigences de contenu spécifiques pour les règles, procédures et accords associés aux trois types de transferts. Les exigences minimales en matière de contenu doivent être respectées dans les trois domaines.

Les règles, accords et procédures doivent tenir compte des considérations suivantes lors du transfert d’informations par voie électronique :

• L’identification et la prévention des attaques de logiciels malveillants sont primordiales. Il est essentiel que vous utilisiez la technologie la plus récente pour détecter et prévenir les attaques de logiciels malveillants.
• Assurer la sécurité des informations confidentielles trouvé dans les pièces jointes envoyées.
• Assurez-vous que les communications sont envoyées aux destinataires appropriés en évitant le risque d’envoi à une adresse e-mail, une adresse ou un numéro de téléphone incorrects.
• Obtenez la permission avant de commencer à utiliser des services de communication publics.
• Des méthodes d'authentification plus strictes doivent être utilisées lors de l'envoi de données via des réseaux publics.
• Imposer des limites à l'utilisation des services de communication électronique, par exemple en interdisant le transfert automatisé.
• Conseillez au personnel d'éviter d'utiliser des services de messages courts ou de messagerie instantanée pour partager des données sensibles, car le contenu pourrait être consulté par des personnes non autorisées dans les espaces publics.
• Informer le personnel et les autres parties intéressées des risques de protection que les télécopieurs peuvent poser, tels qu'un accès non autorisé ou une mauvaise direction des messages vers certains numéros.

Conseils supplémentaires sur le transfert de supports de stockage physiques

Lorsque les informations sont physiquement partagées, les règles, procédures et accords doivent inclure :

• Les parties sont responsables de se notifier mutuellement la transmission, l'envoi et la réception des informations.
• S’assurer que le message est adressé correctement et envoyé de manière appropriée.
• Un bon emballage élimine le risque d’endommagement du contenu pendant le transport. Par exemple, l’emballage doit être résistant à la chaleur et à l’humidité.
• Une liste de courriers fiables et autorisés a été convenue par la direction.
• Un aperçu des normes d’identification des courriers.
• Pour les informations sensibles et critiques, des sacs inviolables doivent être utilisés.
• Il est important de vérifier l’identité des coursiers.
• Cette liste de tiers, classés selon leur niveau de service, fournissent des services de transport ou de messagerie et a été approuvée.
• Enregistrez l'heure de livraison, le destinataire autorisé, les mesures de sécurité prises et la confirmation de réception à destination dans un journal.

Conseils supplémentaires sur le transfert verbal

Le personnel doit être sensibilisé aux risques associés à l'échange d'informations au sein de l'organisation ou à la transmission de données à des parties externes, conformément à la norme ISO 27001:2022 Annexe A Contrôle 5.14. Ces risques comprennent :

• Ils doivent s’abstenir de discuter de questions confidentielles sur des chaînes publiques non sécurisées ou dans des espaces publics.
• Il ne faut pas laisser de messages vocaux contenant des informations confidentielles en raison du risque de relecture par des personnes non autorisées, ainsi que du risque de réacheminement vers des tiers.
• Les individus, qu'il s'agisse du personnel ou d'autres tiers concernés, doivent être sélectionnés avant d'être autorisés à participer aux conversations.
• Les pièces utilisées pour des conversations confidentielles doivent être équipées de l’insonorisation nécessaire.
• Avant de s’engager dans un dialogue sensible, une clause de non-responsabilité doit être émise.

Changements et différences par rapport à la norme ISO 27001:2013 ?

ISO 27001:2022 Annexe A 5.14 remplace ISO 27001:2013 Annexe A 13.2.1, 13.2.2 et 13.2.3.

Les deux contrôles présentent certaines similitudes, mais deux distinctions majeures rendent les exigences de 2022 plus lourdes.

Exigences spécifiques pour les transferts électriques, physiques et verbaux

La section 13.2.3 de la version 2013 couvrait les exigences particulières en matière de transmission de données par messagerie électronique.

Toutefois, elle ne traite pas spécifiquement de la transmission d’informations par des moyens verbaux ou physiques.

En comparaison, la version 2022 est précise dans l’identification de trois types de transfert d’informations, et précise le contenu nécessaire pour chacun d’eux individuellement.

La norme ISO 27001 : 2022 définit des exigences plus strictes pour le transfert électronique

La section 13.2.3 de la version 2022 définit des exigences plus strictes concernant le contenu des accords de messagerie électronique.

Les organisations doivent détailler et exécuter de nouvelles réglementations pour les transferts numériques sous la forme de règles, de procédures et de contrats pour la norme ISO 27001 : 2022.

Par exemple, les organisations doivent mettre en garde leur personnel contre l'utilisation des services SMS lors de la transmission d'informations sensibles.

Exigences détaillées pour les transferts physiques

La version 2022 impose des réglementations plus strictes sur le transfert physique des supports de stockage. Par exemple, il est plus approfondi dans son authentification des courriers et dans ses garanties contre différentes formes de dommages.

Changements structurels

Dans la version de 2013, une référence explicite était faite aux exigences nécessaires des accords de transfert d'informations. Cependant, les « Règles » et les « Procédures » n'ont pas été décrites en détail.

Pour la norme ISO 27001:2022, des critères spécifiques sont définis pour chacune des trois approches.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

Comment ISMS.online vous aide

Mise en œuvre de la norme ISO 27001:2022 peut être simplifié grâce à notre liste de contrôle étape par étape. Il vous guidera tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à identifier les risques et mettre en œuvre des contrôles.

Réservez votre démonstration dès aujourd'hui. Les rendez-vous sont disponibles sept jours sur sept, alors planifiez le vôtre à un moment qui te convient.