L'Annexe A 27001 de la norme ISO 2022 : 6.5 exige que les organisations spécifient les rôles et responsabilités en matière de sécurité de l'information qui restent efficaces même si le personnel quitte ou est réaffecté. Communiquez ces devoirs et responsabilités à l’employé et à tout tiers concerné.
Les salariés sont légalement tenus de garder confidentielle toute information que leur employeur leur confie. Il est essentiel que le personnel comprenne les exigences de protection des données de son employeur.
Les employeurs sont généralement en droit d'attendre de leurs employés qu'ils protègent les données confidentielles et ne les exploitent pas à des fins personnelles, par exemple par le biais de délits d'initiés ou d'autres activités illégales.
Voici quelques exemples de tâches et responsabilités en matière de sécurité de l’information :
Il est essentiel que les organisations soient conscientes de leurs obligations en matière de gestion des données personnelles afin d'éviter d'enfreindre les réglementations en matière de confidentialité, car les répercussions sur l'entreprise et son personnel pourraient être désastreuses.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
Annexe A 6.5 doit être mis en œuvre lors du départ d'un employé ou d'un entrepreneur de l'organisation, ou lorsqu'un contrat prend fin avant son expiration.
Ce contrôle protège les intérêts de l'organisation en matière de sécurité des informations en cas de changement d'emploi ou de résiliation de contrat.
Cette annexe A Contrôle protège contre la possibilité que les employés profitent de leur accès à des informations et processus confidentiels à des fins personnelles ou dans des intentions malveillantes, en particulier après leur départ de l'organisation ou de leur emploi.
ISO 27001: 2022 L'annexe A 6.5 vise à protéger les intérêts de l'organisation en matière de sécurité des données en cas de changement ou de résiliation d'un emploi ou d'un contrat. Cela couvre les employés, les sous-traitants et les tiers qui ont accès aux données confidentielles.
Évaluez si des personnes (y compris celles sous contrat) ayant accès à vos données personnelles sensibles quittent votre organisation et prenez des mesures pour garantir qu'elles ne conservent pas et ne persistent pas à accéder à vos données personnelles sensibles après leur départ.
Si vous détectez le départ d'une personne et qu'il est possible que des informations personnelles confidentielles soient révélées, vous devez alors prendre les mesures appropriées avant son départ ou le plus rapidement possible après pour garantir que cela ne se produise pas.
Pour répondre aux critères de l'annexe A 6.5, le contrat ou l'accord de travail d'un individu doit préciser tout responsabilités en matière de sécurité de l'information et les devoirs qui subsistent après la conclusion de la relation.
Les responsabilités en matière de sécurité de l'information peuvent être incluses dans d'autres contrats ou accords dont la durée est plus longue que la période d'emploi d'un employé.
Lorsqu'il quitte un poste ou change d'emploi, le titulaire doit s'assurer que ses responsabilités en matière de sécurité sont transférées et que tous les identifiants d'accès sont supprimés et remplacés.
Pour plus de détails sur ce processus, consultez le document standard ISO 27001:2022.
ISO 27001:2022 Annexe A 6.5 est une adaptation de la norme ISO 27001:2013 Annexe A 7.3.1 plutôt qu’un nouveau contrôle de l’Annexe A.
Les principes fondamentaux de ces deux contrôles sont similaires, même s’il existe de légères différences. Par exemple, les directives de mise en œuvre diffèrent légèrement dans les deux versions.
La première partie de l'annexe A 7.3.1 de la norme ISO 27001:2013 indique que les organisations doivent :
En cas de licenciement, il est essentiel de communiquer les exigences légales et de sécurité des informations nécessaires, ainsi que tous les accords de confidentialité et conditions d'emploi applicables qui peuvent s'appliquer pendant une période déterminée après la fin de l'engagement de l'employé ou de l'entrepreneur.
La même section, annexe A 6.5 de la norme ISO 27001:2022, stipule que :
La procédure de gestion de la cessation ou du changement d'emploi doit préciser quelles responsabilités et obligations en matière de sécurité de l'information restent en vigueur après la cessation ou la modification. Cela peut inclure le maintien de la confidentialité des informations, de la propriété intellectuelle et des autres connaissances acquises, ainsi que toute autre responsabilité stipulée dans un accord de confidentialité.
Les responsabilités et devoirs qui restent en vigueur après la résiliation de l'emploi, du contrat ou de l'accord d'un individu doivent être détaillés dans leurs termes et conditions. De plus, tout contrat ou accord qui s'étend sur une période définie au-delà de la fin de l'emploi de l'individu peut inclure des responsabilités en matière de sécurité des informations.
Malgré la différence de formulation, les deux contrôles de l’annexe A ont une structure et un objectif largement similaires dans leurs contextes respectifs. Pour rendre l'Annexe A 6.5 plus conviviale, le langage a été simplifié, permettant aux utilisateurs de mieux comprendre son contenu.
La version 2022 de la norme ISO 27001 comprend une déclaration d'objectif et un tableau d'attributs pour chaque contrôle, aidant les utilisateurs à les comprendre et à les mettre en œuvre. Ceci est absent de l’édition 2013.
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
| Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
| Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Conformément à la recommandation de la norme ISO 27001:2022 Annexe A 6.5, les ressources humaines prennent généralement en charge l'ensemble du processus de licenciement dans la plupart des organisations, en collaborant avec le superviseur de l'individu pour assurer la sécurité des informations dans le cadre des procédures.
Le personnel fourni par une partie externe (par exemple, un fournisseur) doit être licencié conformément au contrat établi entre l'organisation et la partie externe.
La norme ISO 27001:2022 est restée largement inchangée, simplement mise à jour pour une meilleure convivialité. Aucune organisation actuellement conforme à la norme ISO 27001:2013 n'a besoin de prendre des mesures supplémentaires pour rester conforme.
Pour répondre aux changements de la norme ISO 27001:2022, l'organisation n'aura qu'à apporter de légères modifications à ses méthodes et processus existants, en particulier si elle vise à renouveler la certification.
Les entreprises peuvent exploiter ISMS.online pour les aider à adhérer à la norme ISO 27001:2022. Cette plateforme simplifie le processus de gestion, de mise à jour, de test et d'évaluation de leurs protocoles de sécurité.
Notre plateforme basée sur le cloud simplifie la gestion du SMSI, vous permettant de superviser efficacement la gestion des risques, les politiques, les plans, les procédures et bien plus encore, le tout à partir d'une seule source. La plateforme est simple et son interface conviviale la rend simple à prendre en main.
ISMS.online permet à votre organisation de :
Si vous exploitez une entreprise nécessitant le respect de la norme ISO 27001, ISMS.Online propose une sélection complète de fonctionnalités pour vous permettre d'accomplir cette tâche essentielle.
Contactez-nous maintenant pour organiser une démonstration.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
