La norme ISO 27001 : 2022, annexe A 6.6, stipule que les organisations doivent mettre en place des mesures pour protéger les informations confidentielles contre toute divulgation non autorisée. Cela comprend l'établissement d'accords de confidentialité avec les parties intéressées et le personnel.
Les organisations devraient créer des conditions pour leurs accords avec d'autres parties après avoir pris en compte les sécurité de l'information besoins, le type d'informations à gérer, leur niveau de classification, l'objectif auquel elles sont destinées et l'accès accordé à l'autre partie.
Un accord de confidentialité ou de non-divulgation (NDA) est un document juridique qui interdit la divulgation de secrets commerciaux et d'autres informations confidentielles.
Les informations confidentielles peuvent englober le plan d'affaires d'une entreprise, les chiffres financiers, les listes de clients et d'autres détails exclusifs. Ces contrats sont utilisés dans diverses circonstances, telles que :
Les partenariats comportent souvent des clauses de confidentialité dans leur accord de partenariat, par lesquelles chaque partenaire s'engage à garder toute information confidentielle acquise au cours du partenariat entièrement confidentielle.
Les accords de confidentialité sont couramment utilisés par les particuliers et les entreprises. Ils répondent à une série d’objectifs, notamment :
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
La norme ISO 27001:2022 Annexe A 6.6 doit être appliquée pour garantir la sécurité des données lorsque le personnel, les partenaires et les fournisseurs collaborent avec une organisation.
Ce contrôle vise à sécuriser les données de l'organisation et à informer les signataires de leur obligation de gérer et de sauvegarder les informations de manière responsable et licite. Il sert également d’outil pour préserver les droits de propriété intellectuelle, par exemple les brevets, les marques, les secrets commerciaux et les droits d’auteur.
Les employeurs doivent s'assurer qu'un accord de non-divulgation est en place avant que des informations confidentielles ne soient divulguées à un employé ou un entrepreneur. L'accord clarifiera la responsabilité de l'individu de maintenir le secret des informations et la durée de la période de confidentialité après la fin de l'emploi.
ISO 27001:2022 Annexe A Control 6.6 est conçu pour protéger la propriété intellectuelle et les intérêts commerciaux de votre organisation en arrêtant la divulgation de données confidentielles à des tiers. Cela implique l'établissement d'un accord ou d'un arrangement juridique entre votre organisation et son personnel, associés, sous-traitants, fournisseurs et autres tiers, qui contrôle l'utilisation des informations classifiées.
Les informations confidentielles sont toutes les données qui n'ont pas été rendues publiques ou partagées avec d'autres organisations du même secteur. Cela englobe les secrets commerciaux, les registres de clients, les formules et les stratégies commerciales.
Évaluez le contrôle pour décider si un tiers sera autorisé à accéder aux données personnelles sensibles et si des mesures doivent être prises pour garantir qu'il ne conserve pas ou ne continue pas à accéder aux données personnelles sensibles de l'organisation après son départ.
Lorsqu'un tiers quitte une organisation et qu'il existe un risque que des données sensibles soient exposées, l'organisation doit prendre les mesures nécessaires pour empêcher leur divulgation avant ou peu de temps après son départ.
ISO 27001: 2022 L'Annexe A 6.6 exige que les parties à l'accord s'abstiennent de divulguer les informations confidentielles qui relèvent de son champ d'application. Le consentement de l’organisation est nécessaire dans tous les cas où la divulgation est nécessaire, sauf ordonnance du tribunal. Cette disposition est essentielle pour sauvegarder les données concernant les activités commerciales, la propriété intellectuelle et la recherche et développement.
Pour se conformer à l'annexe A 6.6, un accord/contrat de confidentialité et de non-divulgation doit être préparé avec précision pour protéger tous les secrets commerciaux et les données/informations sensibles liées aux activités et transactions de l'entreprise. Il est essentiel que les deux parties comprennent leurs devoirs et responsabilités en vertu de l'accord pendant et après la conclusion du partenariat commercial.
Une clause de confidentialité peut être incluse dans les contrats qui s'étendent au-delà de l'emploi de l'employé ou de l'engagement de tiers. Cela doit être fait pour garantir que les informations restent sécurisées.
Il est essentiel qu'un employé qui quitte un poste ou qui change d'emploi voit ses tâches et responsabilités en matière de sécurité transférées à une nouvelle personne, tous les identifiants d'accès étant supprimés et de nouveaux créés.
Lors de l’évaluation des accords de confidentialité et de non-divulgation, il convient de garder plusieurs éléments à l’esprit :
L'organisation doit s'assurer que les accords de confidentialité et de non-divulgation respectent les lois de la juridiction concernée.
Périodiquement et lorsque des changements affectent leurs exigences, il est nécessaire de revoir les accords de confidentialité et de non-divulgation.
De plus amples détails sur ce processus peuvent être trouvés dans la norme ISO 27001:2022.
ISO 27001:2022 Annexe A 6.6 est une modification de l'ISO 27001:2013 Annexe A 13.2.4, plutôt qu'un nouveau contrôle.
Les deux contrôles de l'annexe A présentent divers parallèles, bien qu'ils ne soient pas identiques. Par exemple, les instructions de mise en œuvre des deux sont similaires, mais pas identiques.
La première partie du guide de mise en œuvre de la norme ISO 27001:2013, l'Annexe A 13.2.4, souligne que :
« Les accords de confidentialité ou de non-divulgation devraient répondre à l'exigence de protéger les informations confidentielles en utilisant des conditions juridiquement exécutoires. Les accords de confidentialité ou de non-divulgation sont applicables aux parties externes ou aux employés de l'organisation.
Les éléments doivent être sélectionnés ou ajoutés en tenant compte du type de l’autre partie et de son accès ou traitement autorisé aux informations confidentielles.
L'annexe A 6.6 de la norme ISO 27001:2022 déclare que toute organisation doit prendre les mesures appropriées pour :
« Les accords de confidentialité ou de non-divulgation devraient répondre à l'exigence de protéger les informations confidentielles en utilisant des conditions juridiquement exécutoires. Les accords de confidentialité ou de non-divulgation sont applicables aux parties intéressées et au personnel de l'organisation.
Sur la base des exigences de sécurité des informations d'une organisation, les termes des accords doivent être déterminés en tenant compte du type d'informations qui seront traitées, de leur niveau de classification, de leur utilisation et de l'accès autorisé par l'autre partie.
Les deux contrôles ont une structure et une fonction analogues dans leurs contextes individuels, bien que leur signification sémantique varie. L'annexe A 6.6 utilise un langage plus simple et convivial, facilitant la compréhension du contenu et du contexte. Ainsi, les utilisateurs peuvent plus facilement s’identifier à la norme.
Les Acompte 2022 de la norme ISO 27001 comprend des déclarations d'intention et des tableaux d'attributs selon le contrôle de l'annexe A, pour faciliter la compréhension et une mise en œuvre réussie. Ceci n’est pas prévu dans l’édition 2013.
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Conformément à l'annexe A 6.6 de la norme ISO 27001 : 2022, le service des ressources humaines supervise généralement la rédaction et l'application de l'accord de confidentialité/non-divulgation dans la plupart des organisations, en collaboration avec le responsable/département de supervision tiers concerné.
Le responsable de la sécurité de l’information, le responsable des ventes ou le responsable de la production peuvent tous agir en tant que responsable superviseur.
Les départements et les responsables doivent garantir que tous les fournisseurs tiers employés par l'organisation prennent les mesures de sécurité appropriées pour protéger les données confidentielles contre toute divulgation ou utilisation non approuvée.
Tous les employés doivent signer un accord de confidentialité au début de leur emploi dans l'entreprise.
Dans de nombreuses organisations, quelle que soit leur taille, tout le personnel qui traite des informations confidentielles est tenu de signer un accord de confidentialité ou de non-divulgation.
Les employés des ventes, du marketing, du service client et des autres départements qui interagissent avec des informations confidentielles concernant les clients et les fournisseurs doivent recevoir une formation.
Les organisations doivent avoir des politiques en place obligeant le personnel à signer un accord de confidentialité avant d'accéder aux informations sensibles concernant les clients ou les fournisseurs, même en l'absence d'accord écrit.
Le fait de ne pas avoir de politique d’accord de confidentialité peut entraîner de graves risques. Ces risques comprennent :
La norme ISO 27001 reste largement inchangée. Pour améliorer la convivialité, il a simplement été mis à jour. Les organisations adhérant à cette norme n’ont donc pas besoin de prendre de mesures supplémentaires pour rester conformes.
Afin de répondre aux changements de la norme ISO 27001:2022, l'organisation devra peut-être apporter de légères modifications à ses processus et procédures actuels, surtout s'ils nécessitent une recertification.
Pour mieux comprendre l’impact de la modification de la norme ISO 27001:2022 sur votre entreprise, veuillez consulter notre guide ISO 27001.
ISMS.Online aide les organisations et les entreprises à respecter les normes ISO 27001:2022 en fournissant un plateforme qui simplifie la gestion de protocoles de confidentialité ou de non-divulgation, permettant de les mettre à jour si nécessaire, de les tester et de suivre leur efficacité.
Nous fournissons un service basé sur le cloud plateforme pour gérer la confidentialité et la sécurité de l’information Systèmes de gestion, y compris les clauses de non-divulgation, la gestion des risques, les politiques, les plans et les procédures, le tout dans un seul endroit centralisé. La plateforme est conviviale et possède une interface intuitive qui facilite son apprentissage.
ISMS.Online facilite :
ISMS.Online propose une sélection complète d'outils pour aider les entreprises et les organisations à répondre aux exigences de la norme ISO 27001 et/ou ISO 27001 SMSI. Nous facilitons le respect des normes de l’industrie et vous offrons une tranquillité d’esprit.
Contactez-nous dès maintenant pour organiser une démonstration.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo