Les lois, réglementations et exigences contractuelles constituent une grande partie des responsabilités d’une organisation en matière de sécurité de l’information.
Les organisations doivent avoir une compréhension claire de leurs obligations à tout moment et être prêtes à adapter leurs pratiques de sécurité des informations conformément à leur rôle de gestionnaire de données responsable.
Il est important de noter que le contrôle 5.31 ne répertorie aucune condition juridique, réglementaire ou contractuelle spécifique qui les organisations ont besoin soit à appliquer ou à respecter, et ne prévoit pas non plus de procédure de rédaction des contrats. Le contrôle 5.31 se concentre plutôt sur ce qui les organisations doivent considérer du point de vue de la sécurité de l'information perspective, en fonction de leurs exigences uniques.
Le contrôle 5.31 est un contrôle préventif qui modifie le risque en offrant des conseils sur la façon de fonctionner avec un système robuste politique de sécurité de l'information qui maintient la conformité dans tous les environnements juridiques et réglementaires pertinents.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Identifier | #Juridique et Conformité | #Gouvernance et écosystème #Protection |
Il y a 5 points d’orientation généraux à considérer. Les organisations doivent garder à l'esprit leurs exigences légales, statutaires, réglementaires et contractuelles lorsque :
Les organisations doivent « définir et documenter » les processus et responsabilités internes qui leur permettent de :
Dans les TIC, la « cryptographie » est une méthode de protection des informations et des communications grâce à l'utilisation de codes.
En tant que tel, l’ensemble du concept de cryptage et de cryptographie implique généralement des exigences juridiques spécifiques et un nombre considérable de directives réglementaires spécifiques à un sujet qui doivent être respectées.
Dans cette optique, les orientations suivantes doivent être prises en considération :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Nous sommes économiques et rapides
Les organisations doivent tenir compte de leurs obligations en matière de sécurité des informations lors de la rédaction ou de la signature de contrats juridiquement contraignants avec des clients, des fournisseurs ou des vendeurs (y compris des polices et des contrats d'assurance).
Voir Contrôle 5.20 pour plus d'informations concernant les contrats avec les fournisseurs.
27002:2022-5.31 remplace deux contrôles de 27002:2013-18.1.2 (Droits de propriété intellectuelle).
Alors que 27002:2013-18.1.1 offre des conseils minimes autres que la nécessité pour les « gestionnaires » d'identifier toutes les lois que leur type d'activité justifie, 27002 :2022-5.31 discute du respect des environnements législatifs, réglementaires et cryptographiques, ainsi que d'offrir certaines des conseils généralisés et des informations beaucoup plus détaillées sur la manière de rester du bon côté de toute législation ou réglementation en vigueur.
En ce qui concerne le chiffrement, la norme 27002:2022-5.31 adhère aux mêmes principes que la norme 27002:2013-18.1.5 et contient les mêmes conseils sous-jacents, mais va encore plus loin en demandant aux organisations de prendre en compte le matériel et les logiciels susceptibles de transporter des données. fonctions cryptographiques.
ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.
Contactez-nous dès aujourd'hui pour réserver une démo.
ISMS.online est un
solution unique qui a radicalement accéléré notre mise en œuvre.
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Nous ne pouvons penser à aucune entreprise dont le service peut rivaliser avec ISMS.online.