Les enregistrements sont un concept nébuleux que certaines organisations ont du mal à classer et à gérer, à des fins de conformité.
Les enregistrements, dans le cadre des TIC, sont un autre terme désignant les données et informations qu'une organisation conserve et/ou utilise pour mener à bien ses activités commerciales quotidiennes, y compris (mais sans s'y limiter) :
L'ISO définit les enregistrements dans le champ d'application de leurs normes comme « tout ensemble d'informations, quelle que soit leur structure ou leur forme », y compris « un document, un ensemble de données ou d'autres types d'informations qui sont créés, capturés et gérés dans le cadre d'une activité commerciale ». », y compris les métadonnées d'un enregistrement.
Toute organisation a l'obligation de garantir que les données qu'elle détient – y compris, mais sans s'y limiter, les données personnelles, financières les informations ou les zones d’opération – sont conservées en toute sécurité, et les procédures internes restent conformes à toutes les exigences en vigueur.
Le contrôle 5.33 traite de la protection des dossiers commerciaux contre 5 événements majeurs :
Le contrôle 5.33 est un contrôle préventif qui maintient le risque en créant des lignes directrices et des procédures – y compris des calendriers de conservation – qui répondent aux exigences légales, statutaires, réglementaires et contractuelles d'une organisation relatives au protection et disponibilité de tous les dossiers qu'il détient.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Identifier #Protéger | #Juridique et Conformité #La gestion d'actifs #Protection des informations | #La défense |
Le contrôle 5.33 reconnaît qu'un les besoins de l'organisation sont fluides lorsqu'il s'agit de la quantité et du type de documents nécessaires pour faire des affaires d'un jour à l'autre.
En tant que tel, Control 5.33 classe la gestion des enregistrements en 4 attributs principaux :
Dans le cadre de ces attributs, le contrôle 5.33 demande aux organisations de :
27002:2022-5.33 remplace 27002:2013-18.1.3 (Protection des enregistrements), avec divers ajouts sous la forme de points d'orientation individuels et de processus généraux qui doivent être respectés.
Lors du contrôle 2022, l'ISO reconnaît l'importance de définir ce qui constitue un dossier commercial. 27002:2022-5.33 contient de nombreux exemples de ce que l'ISO considère comme un enregistrement (voir ci-dessus), qui sont absents de 27002:2013-18.1.3.
Le contrôle 5.33 attire également l'attention d'une organisation sur deux points d'orientation principaux qui ne sont pas contenus dans son homologue de 2013 (lignes directrices 1 et 2 ci-dessus), qui constituent à leur tour la base de la politique d'archivage d'une organisation - en particulier, un calendrier de conservation qui dicte comment de longs enregistrements doivent être conservés, ainsi que pour toute exigence spécifique au média.
Les métadonnées ont également fait leur première apparition dans la gestion des documents. 27002:2013-18.1.3 n’en fait aucune mention, alors que 27002:2022-5.33 le considère comme un « composant essentiel ».
Utiliser ISMS.online vous pouvez:
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |