Le contrôle 5.11 indique que le personnel et autres parties intéressées le cas échéant, ils doivent restituer tous les actifs de l'organisation en leur possession en cas de changement ou de résiliation de leur emploi, contrat ou accord.
Cela signifie que l'organisation doit avoir une politique écrite qui définit des règles claires pour la restitution des actifs en cas de résiliation. Les organisations doivent également disposer de personnel qui confirmera la réception des actifs restitués, et s’assurer que les actifs sont correctement inventoriés et comptabilisé.
An actif informationnel désigne tout type de données ou d'informations qui ont de la valeur pour une organisation. Les actifs informationnels peuvent inclure des documents physiques, des fichiers et bases de données numériques, des logiciels et même des éléments intangibles comme les secrets commerciaux et la propriété intellectuelle.
Les actifs informationnels peuvent avoir de la valeur de diverses manières. Ils peuvent contenir informations d'identification personnelle (PII) sur les clients, les employés ou d’autres parties prenantes qui pourraient être utilisés par de mauvais acteurs à des fins de gain financier ou d’usurpation d’identité. Ils peuvent contenir des informations sensibles sur les finances, la recherche ou les opérations de votre organisation qui pourraient conférer un avantage concurrentiel à vos concurrents s'ils parvenaient à mettre la main dessus.
C'est pourquoi il est important que le personnel et les sous-traitants dont les relations avec une organisation prennent fin soient tenus de restituer tous les actifs en leur possession.
Le nouveau système d’ Norme ISO 27002: 2022 comprend des tables attributaires qui n'étaient pas incluses dans la norme précédente de 2013. Les contrôles sont classés en fonction de leurs attributs. Vous pouvez également utiliser ces attributs pour faire correspondre votre sélection de contrôles aux termes et spécifications couramment utilisés dans le secteur.
Les attributs du contrôle 5.11 sont :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #La gestion d'actifs | #Protection |
Nous sommes économiques et rapides
Le contrôle 5.11 est conçu pour protéger les actifs de l'organisation dans le cadre du processus de changement ou de résiliation d'un emploi, d'un contrat ou d'un accord. L'objectif de ce contrôle est d'empêcher des personnes non autorisées de conserver des actifs (par exemple, équipements, informations, logiciels, etc.) appartenant à l'organisation.
Lorsque des employés et des sous-traitants quittent votre organisation, vous devez vous assurer qu'ils n'emportent aucune donnée sensible avec eux. Pour ce faire, vous identifiez les menaces potentielles et surveillez les activités de l'utilisateur avant son départ.
Ce contrôle vise à garantir que l'individu n'a pas accès aux systèmes et réseaux informatiques lors de leur résiliation. Les organisations doivent établir une procédure de résiliation formelle garantissant que les individus ne pourront accéder à aucun système informatique après leur départ de l'organisation. Cela peut être fait en révoquant toutes les autorisations, en désactivant les comptes et en supprimant l'accès aux locaux du bâtiment.
Des procédures doivent être en place pour garantir que les employés, les sous-traitants et les autres parties concernées restituent tous les actifs de l'organisation qui ne sont plus nécessaires à des fins commerciales ou qui doivent être remplacés. Les organisations peuvent également souhaiter effectuer une vérification finale de la zone de travail de l'individu pour s'assurer que toutes les informations sensibles ont été renvoyées.
Par exemple :
Afin de répondre aux exigences du contrôle 5.11, le processus de changement ou de résiliation doit être formalisé pour inclure le retour de tous les actifs physiques et électroniques précédemment émis détenus par ou confiés à l'organisation.
Le processus doit également garantir que tous les droits d’accès, comptes, certificats numériques et mots de passe sont supprimés. Cette formalisation est particulièrement importante dans les cas où un changement ou une résiliation survient de manière inattendue, comme un décès ou une démission, afin d'empêcher tout accès non autorisé aux actifs de l'organisation qui pourrait conduire à une violation de données.
Le processus doit garantir que tous les actifs sont comptabilisés et qu'ils ont tous été restitués/éliminés de manière sécurisée.
Selon le contrôle 5.11 de la norme ISO 27002:2022, l'organisation doit clairement identifier et documenter toutes les informations et autres actifs associés à restituer, qui peuvent inclure :
a) appareils de point de terminaison utilisateur ;
b) dispositifs de stockage portables;
c) équipement spécialisé;
d) matériel d'authentification (par exemple clés mécaniques, jetons physiques et cartes à puce) pour systèmes d'information, sites et archives physiques ;
e) copies physiques des informations.
Ceci peut être réalisé grâce à une liste de contrôle formelle contenant tous les éléments nécessaires à retourner/éliminer et à compléter par l'utilisateur lors de la résiliation, ainsi que toutes les signatures nécessaires confirmant que les actifs ont été restitués/éliminés avec succès.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
La nouvelle révision 2022 de la norme ISO 27002 a été publiée le 15 février 2022 et constitue une mise à niveau de la norme ISO 27002:2013.
Le contrôle 5.11 de la norme ISO 27002 : 2022 n'est pas un nouveau contrôle, mais plutôt une modification du contrôle 8.1.4 – restitution des actifs de la norme ISO 27002 : 2013.
Les deux contrôles sont essentiellement les mêmes, avec un langage et une phraséologie presque similaires contenus dans les directives de mise en œuvre. Cependant, contrôle 5.11 dans la norme ISO 27002:2022 est livré avec une table d'attributs qui permet aux utilisateurs de faire correspondre le contrôle avec ce qu'ils implémentent. En outre, le contrôle 5.11 de la norme ISO 27002 : 2022 répertorie les actifs qui peuvent relever de ce qui doit être restitué à la fin de l'emploi ou de la résiliation du contrat.
Il s'agit notamment de:
a) appareils de point de terminaison utilisateur ;
b) dispositifs de stockage portables;
c) équipement spécialisé;
d) matériel d'authentification (par exemple clés mécaniques, jetons physiques et cartes à puce) pour systèmes d'information, sites et archives physiques ;
e) copies physiques des informations.
Cette liste n'est pas disponible dans la version 2013.
La norme ISO 27002:2022 mise à jour est basée sur la version 2013. Le comité qui supervise la norme n’a apporté aucune mise à jour ou modification significative aux versions précédentes. En conséquence, toute organisation actuellement conforme à la norme ISO 27002:2013 est déjà conforme à la nouvelle norme. Si votre entreprise envisage de maintenir sa conformité à la norme ISO 27002, vous n'aurez pas besoin d'apporter de nombreux changements importants à vos systèmes et processus.
Cependant, vous pouvez en savoir plus sur l'impact de ces modifications apportées au contrôle 5.11 sur votre organisation dans notre guide ISO 27002:2022.
La plateforme ISMS.online est un excellent outil pour vous aider à mettre en œuvre et gérer une certification ISO 27001/27002. Système de gestion de la sécurité de l'information, quelle que soit votre expérience avec le Standard.
Notre système vous guidera à travers les étapes pour configurer avec succès votre SMSI et le gérer à l'avenir. Vous aurez accès à un large éventail de ressources, notamment :
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
