ISO 27002:2022 – Contrôle 5.14 – Transfert d'informations

Lorsque des informations sont transférées à des parties internes ou externes, cela crée un risque accru pour la confidentialité, l'intégrité, la disponibilité et sécurité des informations Le contrôle 5.14 implique les exigences que les organisations doivent satisfaire pour maintenir la sécurité des données lorsqu'elles sont partagées en interne ou lorsqu'elles sortent de l'organisation vers des tiers.

Demander demo
Auteur
Max Edwards
Mis à jour le 7 février 2025
LinkedIn Twitter Twitter

Objectif du contrôle 5.14

Le contrôle 5.14 est un type de contrôle préventif qui oblige les organisations à mettre en place des règles, procédures et/ou accords appropriés pour maintenir la sécurité des données lorsqu'elles sont partagées au sein d'une organisation ou lorsqu'elles sont transmises à des tiers.

Attributs du contrôle 5.14

Type de contrôlePropriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif#Confidentialité#Protéger#La gestion d'actifs#Protection
#Intégrité#Protection des informations
#Disponibilité

Propriété du contrôle 5.14

Bien que l'élaboration et la mise en œuvre de règles, de procédures et d'accords nécessitent le soutien et l'approbation d'une direction de haut niveau, la coopération et l'expertise des différentes parties prenantes au sein d'une organisation, notamment l'équipe juridique, le personnel informatique et la haute direction, sont d'une importance cruciale. .

Par exemple, l'équipe juridique doit s'assurer que l'organisation conclut des accords de transfert avec des tiers et que ces accords sont conformes aux exigences spécifiées dans le contrôle 5.14. De même, l'équipe informatique doit participer activement à la définition et à la mise en œuvre des contrôles visant à maintenir la sécurité des données, comme indiqué au point 5.14.



Obtenez une longueur d'avance de 81 %

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo


Orientations générales sur le contrôle 5.14

La conformité à 5.14 implique l'élaboration de règles, de procédures et d'accords, y compris une politique de transfert d'informations spécifique à un sujet, qui fournit aux données en transit un niveau de protection approprié à la classification attribuée à ces informations.

En d’autres termes, le niveau de protection doit correspondre au niveau de criticité et de sensibilité des informations transmises.

De plus, le contrôle 5.14 précise que les organisations doivent signer des accords de transfert avec des tiers destinataires pour garantir une transmission sécurisée des données.

Le contrôle 5.14 regroupe les types de transfert en trois catégories :

  • Transfert électronique
  • Transfert de supports de stockage physiques
  • Transfert verbal

Avant de passer à la description des exigences spécifiques à chaque type de transfert, le contrôle 5.14 répertorie les éléments qui doivent être inclus dans toutes les règles, procédures et accords pour les trois types de transferts en général :

  • Les organisations doivent définir des contrôles approprié au niveau de classification des informations pour protéger les informations en transit contre tout accès non autorisé, modification, interception, copie, destruction et attaques par déni de service.
  • Une organisation doit garder le contrôle de la chaîne de traçabilité pendant son transit et doit définir et mettre en œuvre des contrôles pour assurer la traçabilité des informations.
  • Les parties concernées impliquées dans le transfert d'informations doivent être définies et leurs coordonnées doivent être fournies. Cela peut inclure les propriétaires d’informations et les agents de sécurité.
  • Allocation de responsabilités en cas de violation de données se produit.
  • Utiliser un système d'étiquetage.
  • Assurer la disponibilité du service de transfert.
  • Créer des lignes directrices spécifiques à un sujet sur les méthodes de transfert d'informations.
  • Lignes directrices pour le stockage et la suppression de tous les dossiers commerciaux, y compris les messages.
  • Analyse de l’impact que les lois, réglementations ou autres obligations applicables peuvent avoir sur le transfert.


La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo


Conseils supplémentaires sur le transfert électronique

Après avoir répertorié les exigences minimales de contenu pour les règles, procédures et accords communs aux trois types de transfert, Control 5.14 répertorie les exigences de contenu spécifiques pour chaque type de transfert.

Les règles, accords et procédures doivent traiter des problèmes suivants lorsque les informations sont transférées par voie électronique :

  • Détection et prévention des attaques de logiciels malveillants.
  • Protéger les informations sensibles contenues dans les pièces jointes transférées.
  • S'assurer que toutes les communications sont envoyées aux bons destinataires et que le risque d'envoyer des communications à de mauvaises adresses e-mail, adresses ou numéros de téléphone sont éliminés.
  • Obtenir une autorisation préalable avant de commencer à utiliser tout service de communication publique.
  • Mettre en œuvre des méthodes d'authentification plus strictes lorsque les données sont transmises via les réseaux publics.
  • Imposer des restrictions sur l'utilisation des services de communication électronique, comme l'interdiction du transfert automatique.
  • Conseillez au personnel de ne pas utiliser les services de messages courts ou de messagerie instantanée pour partager des données sensibles, car ce contenu peut être vu par des personnes non autorisées dans les espaces publics.
  • Conseiller le personnel et les autres parties concernées sur les risques de sécurité présentés par les télécopieurs, comme le risque d'accès non autorisé ou de réacheminement des messages vers des numéros spécifiques.

Conseils supplémentaires sur le transfert de supports de stockage physiques

Lorsque les informations sont partagées via des moyens physiques tels que des documents, les règles, procédures et accords doivent couvrir les éléments suivants :

  • Attribution des responsabilités pour la notification de la transmission, de l'expédition et de la réception.
  • Assurer l’adressage et le transport corrects du message.
  • L'emballage élimine le risque de dommages au contenu pouvant survenir lors du transport du contenu. Par exemple, l’emballage doit être suffisamment bon pour ne pas être affecté par la chaleur ou l’humidité.
  • Une liste de coursiers fiables agréés et autorisés par la direction.
  • Description des normes d'identification des courriers.
  • Utilisation de contrôles inviolables tels que des sacs si le niveau de sensibilité et de criticité des informations l'exige.
  • Procédures pour vérifier les identités des coursiers.
  • Liste approuvée des tiers fournissant des services de transport ou de messagerie selon le niveau de classification.
  • Tenir un journal de l'heure de livraison, de la liste des destinataires autorisés, des protections appliquées et de la réception à destination.

Conseils supplémentaires sur le transfert verbal

Le contrôle 5.14 stipule que lorsque le personnel échange des informations au sein de l'organisation ou lorsqu'il transmet des données à des parties externes, il doit être informé des risques suivants :

  • Ils doivent éviter d’avoir des conversations confidentielles sur des chaînes publiques non sécurisées ou dans des espaces publics.
  • Ils ne doivent pas laisser de messages vocaux contenant des informations confidentielles, compte tenu du risque de relecture par des personnes non autorisées et du risque de réacheminement du message vers services externes.
  • Chaque individu, qu'il s'agisse d'employés ou d'autres tiers concernés, doit être examiné avant d'être autorisé à écouter les conversations.
  • Les pièces dans lesquelles se déroulent des conversations confidentielles doivent être équipées de contrôles appropriés tels que l'insonorisation.
  • Ils doivent donner une clause de non-responsabilité avant d'avoir une conversation sensible.


Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo


Changements et différences par rapport à la norme ISO 27002:2013

27002:2022/5.14 remplace 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Bien que les deux contrôles soient similaires dans une certaine mesure, deux différences clés rendent les exigences de la version 2022 plus exigeantes.

Exigences spécifiques pour les transferts électriques, physiques et verbaux

Dans la version 2013, section 13.2.3 répondu aux exigences spécifiques pour le transfert d'informations par messagerie électronique.

Cependant, il n’abordait pas séparément le transfert d’informations par voie verbale ou physique.

En revanche, la version 2022 identifie clairement trois types de transfert d’informations et définit ensuite les exigences de contenu pour chacun d’eux séparément.

La version 2022 définit des exigences plus strictes en matière de transfert électronique

Alors que la section 13.2.3 contenait des exigences spécifiques concernant le contenu des accords relatifs à la messagerie électronique, la version 2022 impose des obligations plus strictes aux organisations.

La version 2022 exige que les organisations décrivent et mettent en œuvre de nouveaux contrôles dans les règles, procédures et accords pour les transferts électroniques.

Par exemple, les organisations devraient conseiller à leurs employés de ne pas utiliser les services SMS lorsqu'ils incluent des informations sensibles.

Exigences plus détaillées pour les transferts physiques

La version 2022 impose des exigences plus strictes en matière de transfert de supports de stockage physiques. Par exemple, ses exigences sont plus complètes en ce qui concerne l'authentification des courriers et les types de dommages qui devraient être évités.

Changements structurels

Dans la version de 2013, il y avait une référence explicite à des exigences spécifiques pour les accords de transfert d'informations. Cependant, les « Règles » et les « Procédures » n'ont pas été spécifiquement abordées.

En revanche, la version 2022 précise les exigences spécifiques à chacun de ces trois mécanismes.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7ÉquipementIntelligence de la menace
5.23ÉquipementSécurité des informations pour l'utilisation des services cloud
5.30ÉquipementPréparation aux TIC pour la continuité des activités
7.4ÉquipementSurveillance de la sécurité physique
8.9ÉquipementGestion de la configuration
8.10ÉquipementSuppression des informations
8.11ÉquipementMasquage des données
8.12ÉquipementPrévention des fuites de données
8.16ÉquipementActivités de surveillance
8.23Équipementfiltrage web
8.28ÉquipementCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7ÉquipementIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.1208.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.1709.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23ÉquipementSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30ÉquipementPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4ÉquipementSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9ÉquipementGestion de la configuration
8.10ÉquipementSuppression des informations
8.11ÉquipementMasquage des données
8.12ÉquipementPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16ÉquipementActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Équipementfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28ÉquipementCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.

Contactez-nous dès aujourd'hui pour réserver une démo.

Aller au sujet

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Visite de la plateforme ISMS

Intéressé par une visite de la plateforme ISMS.online ?

Commencez dès maintenant votre démo interactive gratuite de 2 minutes et découvrez la magie d'ISMS.online en action !

Testez-le gratuitement

Nous sommes un leader dans notre domaine

Les utilisateurs nous aiment
Grid Leader - Printemps 2025
Momentum Leader - Printemps 2025
Responsable régional - Printemps 2025 Royaume-Uni
Responsable régional - Printemps 2025 UE
Meilleure estimation. ROI Entreprise - Printemps 2025
Les plus susceptibles de recommander Enterprise - Printemps 2025

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

-Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

-Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

-Ben H.

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !