Lorsque des informations sont transférées à des parties internes ou externes, cela crée un risque accru pour la confidentialité, l'intégrité, la disponibilité et sécurité des informations transmis.
Le contrôle 5.14 implique les exigences que les organisations doivent satisfaire pour maintenir la sécurité des données lorsqu'elles sont partagées en interne ou lorsqu'elles quittent l'organisation vers des tiers.
Le contrôle 5.14 est un type de contrôle préventif qui oblige les organisations à mettre en place des règles, procédures et/ou accords appropriés pour maintenir la sécurité des données lorsqu'elles sont partagées au sein d'une organisation ou lorsqu'elles sont transmises à des tiers.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #La gestion d'actifs #Protection des informations | #Protection |
Bien que l'élaboration et la mise en œuvre de règles, de procédures et d'accords nécessitent le soutien et l'approbation d'une direction de haut niveau, la coopération et l'expertise des différentes parties prenantes au sein d'une organisation, notamment l'équipe juridique, le personnel informatique et la haute direction, sont d'une importance cruciale. .
Par exemple, l'équipe juridique doit s'assurer que l'organisation conclut des accords de transfert avec des tiers et que ces accords sont conformes aux exigences spécifiées dans le contrôle 5.14. De même, l'équipe informatique doit participer activement à la définition et à la mise en œuvre des contrôles visant à maintenir la sécurité des données, comme indiqué au point 5.14.
La conformité à 5.14 implique l'élaboration de règles, de procédures et d'accords, y compris une politique de transfert d'informations spécifique à un sujet, qui fournit aux données en transit un niveau de protection approprié à la classification attribuée à ces informations.
En d’autres termes, le niveau de protection doit correspondre au niveau de criticité et de sensibilité des informations transmises.
De plus, le contrôle 5.14 précise que les organisations doivent signer des accords de transfert avec des tiers destinataires pour garantir une transmission sécurisée des données.
Le contrôle 5.14 regroupe les types de transfert en trois catégories :
Avant de passer à la description des exigences spécifiques à chaque type de transfert, le contrôle 5.14 répertorie les éléments qui doivent être inclus dans toutes les règles, procédures et accords pour les trois types de transferts en général :
Après avoir répertorié les exigences minimales de contenu pour les règles, procédures et accords communs aux trois types de transfert, Control 5.14 répertorie les exigences de contenu spécifiques pour chaque type de transfert.
Les règles, accords et procédures doivent traiter des problèmes suivants lorsque les informations sont transférées par voie électronique :
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Nous sommes économiques et rapides
Lorsque les informations sont partagées via des moyens physiques tels que des documents, les règles, procédures et accords doivent couvrir les éléments suivants :
Le contrôle 5.14 stipule que lorsque le personnel échange des informations au sein de l'organisation ou lorsqu'il transmet des données à des parties externes, il doit être informé des risques suivants :
27002:2022/5.14 remplace 27002:2013/(13.2.1, 13.2.2. 13.2.3).
Bien que les deux contrôles soient similaires dans une certaine mesure, deux différences clés rendent les exigences de la version 2022 plus exigeantes.
Dans la version 2013, section 13.2.3 répondu aux exigences spécifiques pour le transfert d'informations par messagerie électronique.
Cependant, il n’abordait pas séparément le transfert d’informations par voie verbale ou physique.
En revanche, la version 2022 identifie clairement trois types de transfert d’informations et définit ensuite les exigences de contenu pour chacun d’eux séparément.
Alors que la section 13.2.3 contenait des exigences spécifiques concernant le contenu des accords relatifs à la messagerie électronique, la version 2022 impose des obligations plus strictes aux organisations.
La version 2022 exige que les organisations décrivent et mettent en œuvre de nouveaux contrôles dans les règles, procédures et accords pour les transferts électroniques.
Par exemple, les organisations devraient conseiller à leurs employés de ne pas utiliser les services SMS lorsqu'ils incluent des informations sensibles.
La version 2022 impose des exigences plus strictes en matière de transfert de supports de stockage physiques. Par exemple, ses exigences sont plus complètes en ce qui concerne l'authentification des courriers et les types de dommages qui devraient être évités.
Dans la version de 2013, il y avait une référence explicite à des exigences spécifiques pour les accords de transfert d'informations. Cependant, les « Règles » et les « Procédures » n'ont pas été spécifiquement abordées.
En revanche, la version 2022 précise les exigences spécifiques à chacun de ces trois mécanismes.
ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |