ISO 27002:2022, Contrôle 5.14 – Transfert d'informations

Contrôles révisés ISO 27002 : 2022

Demander demo

femme,spécialiste,travaille,sur,ordinateur de bureau,,gestionnaire de projet,se trouve,à côté

Lorsque des informations sont transférées à des parties internes ou externes, cela crée un risque accru pour la confidentialité, l'intégrité, la disponibilité et sécurité des informations transmis.

Le contrôle 5.14 implique les exigences que les organisations doivent satisfaire pour maintenir la sécurité des données lorsqu'elles sont partagées en interne ou lorsqu'elles quittent l'organisation vers des tiers.

Objectif du contrôle 5.14

Le contrôle 5.14 est un type de contrôle préventif qui oblige les organisations à mettre en place des règles, procédures et/ou accords appropriés pour maintenir la sécurité des données lorsqu'elles sont partagées au sein d'une organisation ou lorsqu'elles sont transmises à des tiers.

Tableau des attributs

Type de contrôlePropriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif#Confidentialité
#Intégrité
#Disponibilité		#Protéger#La gestion d'actifs
#Protection des informations		#Protection

Propriété du contrôle 5.14

Bien que l'élaboration et la mise en œuvre de règles, de procédures et d'accords nécessitent le soutien et l'approbation d'une direction de haut niveau, la coopération et l'expertise des différentes parties prenantes au sein d'une organisation, notamment l'équipe juridique, le personnel informatique et la haute direction, sont d'une importance cruciale. .

Par exemple, l'équipe juridique doit s'assurer que l'organisation conclut des accords de transfert avec des tiers et que ces accords sont conformes aux exigences spécifiées dans le contrôle 5.14. De même, l'équipe informatique doit participer activement à la définition et à la mise en œuvre des contrôles visant à maintenir la sécurité des données, comme indiqué au point 5.14.

Aller au sujet
Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Orientations générales sur le contrôle 5.14

La conformité à 5.14 implique l'élaboration de règles, de procédures et d'accords, y compris une politique de transfert d'informations spécifique à un sujet, qui fournit aux données en transit un niveau de protection approprié à la classification attribuée à ces informations.

En d’autres termes, le niveau de protection doit correspondre au niveau de criticité et de sensibilité des informations transmises.

De plus, le contrôle 5.14 précise que les organisations doivent signer des accords de transfert avec des tiers destinataires pour garantir une transmission sécurisée des données.

Le contrôle 5.14 regroupe les types de transfert en trois catégories :

  • Transfert électronique
  • Transfert de supports de stockage physiques
  • Transfert verbal

Avant de passer à la description des exigences spécifiques à chaque type de transfert, le contrôle 5.14 répertorie les éléments qui doivent être inclus dans toutes les règles, procédures et accords pour les trois types de transferts en général :

  • Les organisations doivent définir des contrôles approprié au niveau de classification des informations pour protéger les informations en transit contre tout accès non autorisé, modification, interception, copie, destruction et attaques par déni de service.

  • Une organisation doit garder le contrôle de la chaîne de traçabilité pendant son transit et doit définir et mettre en œuvre des contrôles pour assurer la traçabilité des informations.

  • Les parties concernées impliquées dans le transfert d'informations doivent être définies et leurs coordonnées doivent être fournies. Cela peut inclure les propriétaires d’informations et les agents de sécurité.

  • Allocation de responsabilités en cas de violation de données se produit.

  • Utiliser un système d'étiquetage.

  • Assurer la disponibilité du service de transfert.

  • Créer des lignes directrices spécifiques à un sujet sur les méthodes de transfert d'informations.

  • Lignes directrices pour le stockage et la suppression de tous les dossiers commerciaux, y compris les messages.

  • Analyse de l’impact que les lois, réglementations ou autres obligations applicables peuvent avoir sur le transfert.

Conseils supplémentaires sur le transfert électronique

Après avoir répertorié les exigences minimales de contenu pour les règles, procédures et accords communs aux trois types de transfert, Control 5.14 répertorie les exigences de contenu spécifiques pour chaque type de transfert.

Les règles, accords et procédures doivent traiter des problèmes suivants lorsque les informations sont transférées par voie électronique :

  • Détection et prévention des attaques de logiciels malveillants.

  • Protéger les informations sensibles contenues dans les pièces jointes transférées.

  • S'assurer que toutes les communications sont envoyées aux bons destinataires et que le risque d'envoyer des communications à de mauvaises adresses e-mail, adresses ou numéros de téléphone sont éliminés.

  • Obtenir une autorisation préalable avant de commencer à utiliser tout service de communication publique.

  • Mettre en œuvre des méthodes d'authentification plus strictes lorsque les données sont transmises via les réseaux publics.

  • Imposer des restrictions sur l'utilisation des services de communication électronique, comme l'interdiction du transfert automatique.

  • Conseillez au personnel de ne pas utiliser les services de messages courts ou de messagerie instantanée pour partager des données sensibles, car ce contenu peut être vu par des personnes non autorisées dans les espaces publics.

  • Conseiller le personnel et les autres parties concernées sur les risques de sécurité présentés par les télécopieurs, comme le risque d'accès non autorisé ou de réacheminement des messages vers des numéros spécifiques.

Êtes-vous prêt pour
la nouvelle ISO 27002

Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Conseils supplémentaires sur le transfert de supports de stockage physiques

Lorsque les informations sont partagées via des moyens physiques tels que des documents, les règles, procédures et accords doivent couvrir les éléments suivants :

  • Attribution des responsabilités pour la notification de la transmission, de l'expédition et de la réception.

  • Assurer l’adressage et le transport corrects du message.

  • L'emballage élimine le risque de dommages au contenu pouvant survenir lors du transport du contenu. Par exemple, l’emballage doit être suffisamment bon pour ne pas être affecté par la chaleur ou l’humidité.

  • Une liste de coursiers fiables agréés et autorisés par la direction.

  • Description des normes d'identification des courriers.

  • Utilisation de contrôles inviolables tels que des sacs si le niveau de sensibilité et de criticité des informations l'exige.

  • Procédures pour vérifier les identités des coursiers.

  • Liste approuvée des tiers fournissant des services de transport ou de messagerie selon le niveau de classification.

  • Tenir un journal de l'heure de livraison, de la liste des destinataires autorisés, des protections appliquées et de la réception à destination.

Conseils supplémentaires sur le transfert verbal

Le contrôle 5.14 stipule que lorsque le personnel échange des informations au sein de l'organisation ou lorsqu'il transmet des données à des parties externes, il doit être informé des risques suivants :

  • Ils doivent éviter d’avoir des conversations confidentielles sur des chaînes publiques non sécurisées ou dans des espaces publics.

  • Ils ne doivent pas laisser de messages vocaux contenant des informations confidentielles, compte tenu du risque de relecture par des personnes non autorisées et du risque de réacheminement du message vers des tiers.

  • Chaque individu, qu'il s'agisse d'employés ou d'autres tiers concernés, doit être examiné avant d'être autorisé à écouter les conversations.

  • Les pièces dans lesquelles se déroulent des conversations confidentielles doivent être équipées de contrôles appropriés tels que l'insonorisation.

  • Ils doivent donner une clause de non-responsabilité avant d'avoir une conversation sensible.

Changements et différences par rapport à la norme ISO 27002:2013

27002:2022/5.14 remplace 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Bien que les deux contrôles soient similaires dans une certaine mesure, deux différences clés rendent les exigences de la version 2022 plus exigeantes.

Exigences spécifiques pour les transferts électriques, physiques et verbaux

Dans la version 2013, section 13.2.3 répondu aux exigences spécifiques pour le transfert d'informations par messagerie électronique.

Cependant, il n’abordait pas séparément le transfert d’informations par voie verbale ou physique.

En revanche, la version 2022 identifie clairement trois types de transfert d’informations et définit ensuite les exigences de contenu pour chacun d’eux séparément.

La version 2022 définit des exigences plus strictes en matière de transfert électronique

Alors que la section 13.2.3 contenait des exigences spécifiques concernant le contenu des accords relatifs à la messagerie électronique, la version 2022 impose des obligations plus strictes aux organisations.

La version 2022 exige que les organisations décrivent et mettent en œuvre de nouveaux contrôles dans les règles, procédures et accords pour les transferts électroniques.

Par exemple, les organisations devraient conseiller à leurs employés de ne pas utiliser les services SMS lorsqu'ils incluent des informations sensibles.

Exigences plus détaillées pour les transferts physiques

La version 2022 impose des exigences plus strictes en matière de transfert de supports de stockage physiques. Par exemple, ses exigences sont plus complètes en ce qui concerne l'authentification des courriers et les types de dommages qui devraient être évités.

Changements structurels

Dans la version de 2013, il y avait une référence explicite à des exigences spécifiques pour les accords de transfert d'informations. Cependant, les « Règles » et les « Procédures » n'ont pas été spécifiquement abordées.

En revanche, la version 2022 précise les exigences spécifiques à chacun de ces trois mécanismes.

Comment ISMS.online vous aide

ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.

Contactez-nous dès aujourd'hui pour réserver une démo.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit
Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage