Qu'est-ce que le contrôle 5.11, Restitution des actifs ?
An actif informationnel désigne tout type de données ou d'informations qui ont de la valeur pour une organisation. Les actifs informationnels peuvent inclure des documents physiques, des fichiers et bases de données numériques, des logiciels et même des éléments intangibles comme les secrets commerciaux et la propriété intellectuelle.
Les actifs informationnels peuvent avoir de la valeur de diverses manières. Ils peuvent contenir informations d'identification personnelle (PII) sur les clients, les employés ou d’autres parties prenantes qui pourraient être utilisés par de mauvais acteurs à des fins de gain financier ou d’usurpation d’identité. Ils peuvent contenir des informations sensibles sur les finances, la recherche ou les opérations de votre organisation qui pourraient conférer un avantage concurrentiel à vos concurrents s'ils parvenaient à mettre la main dessus.
C'est pourquoi il est important que le personnel et les sous-traitants dont les relations avec une organisation prennent fin soient tenus de restituer tous les actifs en leur possession.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Attributs du contrôle 5.11
Le nouveau système d’ Norme ISO 27002: 2022 comprend des tables attributaires qui n'étaient pas incluses dans la norme précédente de 2013. Les contrôles sont classés en fonction de leurs attributs. Vous pouvez également utiliser ces attributs pour faire correspondre votre sélection de contrôles aux termes et spécifications couramment utilisés dans le secteur.
Les attributs du contrôle 5.11 sont :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #La gestion d'actifs | #Protection |
| #Intégrité | ||||
| #Disponibilité |
Quel est le but du contrôle 5.11 ?
Le contrôle 5.11 est conçu pour protéger les actifs de l'organisation dans le cadre du processus de changement ou de résiliation d'un emploi, d'un contrat ou d'un accord. L'objectif de ce contrôle est d'empêcher des personnes non autorisées de conserver des actifs (par exemple, équipements, informations, logiciels, etc.) appartenant à l'organisation.
Lorsque des employés et des sous-traitants quittent votre organisation, vous devez vous assurer qu'ils n'emportent aucune donnée sensible avec eux. Pour ce faire, vous identifiez les menaces potentielles et surveillez les activités de l'utilisateur avant son départ.
Ce contrôle vise à garantir que l'individu n'a pas accès aux systèmes et réseaux informatiques lors de leur résiliation. Les organisations doivent établir une procédure de résiliation formelle garantissant que les individus ne pourront accéder à aucun système informatique après leur départ de l'organisation. Cela peut être fait en révoquant toutes les autorisations, en désactivant les comptes et en supprimant l'accès aux locaux du bâtiment.
Des procédures doivent être en place pour garantir que les employés, les sous-traitants et les autres parties concernées restituent tous les actifs de l'organisation qui ne sont plus nécessaires à des fins commerciales ou qui doivent être remplacés. Les organisations peuvent également souhaiter effectuer une vérification finale de la zone de travail de l'individu pour s'assurer que toutes les informations sensibles ont été renvoyées.
Par exemple :
- Lors de la séparation, les équipements appartenant à l'organisation sont collectés (par exemple, les supports amovibles, les ordinateurs portables).
- Les entrepreneurs restituent le matériel et les informations à la fin de leur contrat.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Qu'est-ce que cela implique et comment répondre aux exigences
Afin de répondre aux exigences du contrôle 5.11, le processus de changement ou de résiliation doit être formalisé pour inclure le retour de tous les actifs physiques et électroniques précédemment émis détenus par ou confiés à l'organisation.
Le processus doit également garantir que tous les droits d’accès, comptes, certificats numériques et mots de passe sont supprimés. Cette formalisation est particulièrement importante dans les cas où un changement ou une résiliation survient de manière inattendue, comme un décès ou une démission, afin d'empêcher tout accès non autorisé aux actifs de l'organisation qui pourrait conduire à une violation de données.
Le processus doit garantir que tous les actifs sont comptabilisés et qu'ils ont tous été restitués/éliminés de manière sécurisée.
Selon le contrôle 5.11 de la norme ISO 27002:2022, l'organisation doit clairement identifier et documenter toutes les informations et autres actifs associés à restituer, qui peuvent inclure :
a) appareils de point de terminaison utilisateur ;
b) dispositifs de stockage portables;
c) équipement spécialisé;
d) matériel d'authentification (par exemple clés mécaniques, jetons physiques et cartes à puce) pour systèmes d'information, sites et archives physiques ;
e) copies physiques des informations.
Ceci peut être réalisé grâce à une liste de contrôle formelle contenant tous les éléments nécessaires à retourner/éliminer et à compléter par l'utilisateur lors de la résiliation, ainsi que toutes les signatures nécessaires confirmant que les actifs ont été restitués/éliminés avec succès.
Différences entre ISO 27002:2013 et ISO 27002:2022
La nouvelle révision 2022 de la norme ISO 27002 a été publiée le 15 février 2022 et constitue une mise à niveau de la norme ISO 27002:2013.
Le contrôle 5.11 de la norme ISO 27002 : 2022 n'est pas un nouveau contrôle, mais plutôt une modification du contrôle 8.1.4 – restitution des actifs de la norme ISO 27002 : 2013.
Les deux contrôles sont essentiellement les mêmes, avec un langage et une phraséologie presque similaires contenus dans les directives de mise en œuvre. Cependant, contrôle 5.11 dans la norme ISO 27002:2022 est livré avec une table d'attributs qui permet aux utilisateurs de faire correspondre le contrôle avec ce qu'ils implémentent. En outre, le contrôle 5.11 de la norme ISO 27002 : 2022 répertorie les actifs qui peuvent relever de ce qui doit être restitué à la fin de l'emploi ou de la résiliation du contrat.
Il s'agit notamment de:
a) appareils de point de terminaison utilisateur ;
b) dispositifs de stockage portables;
c) équipement spécialisé;
d) matériel d'authentification (par exemple clés mécaniques, jetons physiques et cartes à puce) pour systèmes d'information, sites et archives physiques ;
e) copies physiques des informations.
Cette liste n'est pas disponible dans la version 2013.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Que signifient ces changements pour vous ?
La norme ISO 27002:2022 mise à jour est basée sur la version 2013. Le comité qui supervise la norme n’a apporté aucune mise à jour ou modification significative aux versions précédentes. En conséquence, toute organisation actuellement conforme à la norme ISO 27002:2013 est déjà conforme à la nouvelle norme. Si votre entreprise envisage de maintenir sa conformité à la norme ISO 27002, vous n'aurez pas besoin d'apporter de nombreux changements importants à vos systèmes et processus.
Cependant, vous pouvez en savoir plus sur l'impact de ces modifications apportées au contrôle 5.11 sur votre organisation dans notre guide ISO 27002:2022.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.online vous aide
La plateforme ISMS.online est un excellent outil pour vous aider à mettre en œuvre et gérer une certification ISO 27001/27002. Système de gestion de la sécurité de l'information, quelle que soit votre expérience avec le Standard.
Notre système vous guidera à travers les étapes pour configurer avec succès votre SMSI et le gérer à l'avenir. Vous aurez accès à un large éventail de ressources, notamment :
- Un manuel interactif ISMS.online qui fournit un guide étape par étape pour mettre en œuvre la norme ISO 27001/27002 dans toute organisation.
- A outil d'évaluation des risques qui vous guide tout au long du processus d’identification et d’évaluation de vos risques.
- Un en ligne ensemble de politiques facile à personnaliser en fonction de vos besoins.
- Un système de contrôle de documents qui vous aide à gérer chaque document et enregistrement créé dans le cadre de votre SMSI.
- Reporting automatique pour une meilleure prise de décision.
- Une liste de contrôle que vous pouvez utiliser pour vérifier que vos processus sont conformes au cadre ISO 27002. Au final, notre plateforme basée sur le cloud dispose de tout ce dont vous avez besoin pour documenter la preuve de conformité au cadre ISO.
Contactez-nous dès aujourd'hui pour réserver une démo.
