Qu'est-ce que le contrôle 6.2 – Conditions d'emploi ?
Contrôle 6.2, conditions d'emploi dans le nouveau ISO 27002: 2022 parle de la nécessité d'un accord contractuel pour informer tout nouvel employé de sa responsabilité ainsi que de celle de l'organisation envers la sécurité de l'information.
Cela signifie que les employés doivent connaître les activités de l'entreprise. politique de sécurité de l'information, ainsi que les rôles et responsabilités des personnes qui travaillent avec la sécurité de l'information dans l'entreprise. Cela peut être fait en faisant signer au personnel un contrat de travail ou quelque chose de similaire.
Un tel accord contractuel décrira généralement les exigences générales pour protéger les actifs informationnels, y compris la sécurité physique, les contrôles environnementaux, les contrôles d'accès et la planification d'urgence, ainsi qu'un accord de confidentialité s'ils travaillent avec des informations personnelles.
La sécurité de l'information expliquée
La sécurité de l'information est la pratique consistant à protéger les informations contre tout accès, utilisation, divulgation, perturbation, modification, lecture, inspection, enregistrement ou destruction non autorisés. Cela comprend la garantie de la confidentialité, de l’intégrité et de la disponibilité des données.
À notre humble avis, la sécurité de l'information consiste à protéger les actifs et la propriété intellectuelle de l'organisation contre les attaques de pirates informatiques et autres menaces de sécurité.
Les menaces à la sécurité de l'information expliquées
Les menaces à la sécurité des informations sont des dangers potentiels que des acteurs malveillants peuvent représenter pour les données et l'infrastructure des organisations. Le les risques sont souvent associés à une mauvaise sécurité des informations pratiques et/ou mesures de protection inadéquates.
Les menaces à la sécurité des informations les plus courantes comprennent :
- Violations de données et la perte.
- Attaques de phishing.
- Malware et ransomware.
- Infections virales et vers.
- Attaques DDoS.
Les menaces à la sécurité de l’information évoluent constamment et deviennent de plus en plus complexes. Les menaces viennent à la fois de l’extérieur et de l’intérieur de l’organisation et peuvent frapper à tout moment.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Tableau des attributs
Les attributs sont un moyen de regrouper les contrôles. Il est plus facile de faire correspondre votre choix de contrôle aux spécifications et à la terminologie standard de l'industrie si vous examinez les attributs du contrôle. Dans le contrôle 6.2, les attributs suivants peuvent être utilisés.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Sécurité des ressources humaines | #Gouvernance et écosystème |
| #Intégrité | ||||
| #Disponibilité |
Quel est le but du contrôle 6.2 ?
L'objectif du contrôle 6.2 est de garantir que tous les employés comprennent leur rôle dans la protection des actifs et des informations confidentielles de l'entreprise, en particulier en ce qui concerne le rôle pour lequel ils sont employés.
Obligations sous contrôle 6.2
Le contrôle 6.2, les conditions d'emploi, constitue une partie importante de votre système de gestion de la sécurité de l'information de l'organisation (SMSI). Cela vous aide respecter vos obligations au titre du RGPD et d'autres exigences légales relatives au traitement des données personnelles et à la sécurité des informations.
Le but de ce contrôle est de s'assurer que le personnel comprend ses responsabilités en matière de sécurité de l'information dans l'organisation.
Pour y parvenir, il est il est important que les employés soient informés de leurs obligations de confidentialité et d'autres termes et conditions pertinents avant de commencer à travailler dans une organisation. Cela peut également inclure toute restriction sur l’utilisation de la technologie ou des plateformes de médias sociaux.
Ce contrôle doit être revu chaque année pour garantir que tout changement dans la structure organisationnelle ou les procédures est reflété dans la documentation fournie aux employés.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Qu'est-ce que cela implique et comment répondez-vous aux exigences
Le moyen le plus évident de répondre aux exigences du contrôle 6.2, termes et conditions d'emploi, est de fournir à tous les employés un contrat de travail écrit, ou une lettre d'offre, qui décrit tous les termes et conditions de leur emploi, en particulier dans le domaine de la sécurité de l'information. .
En outre, les obligations contractuelles du personnel doivent prendre en considération les caractéristiques de l'organisation. politique de sécurité de l'information et les politiques spécifiques à un sujet pertinent, et les points suivants doivent être bien couverts dans le contrat de travail :
- des accords de confidentialité ou de non-divulgation que le personnel ayant accès aux informations confidentielles doit signer avant d'avoir accès aux informations et aux autres actifs associés ;
- responsabilités et droits légaux [par exemple concernant les lois sur le droit d'auteur ou la législation sur la protection des données ;
- responsabilités en matière de classification des informations et de gestion des informations de l'organisation
- les informations et autres actifs associés, les installations de traitement de l'information et les services d'information gérés par le personnel ;
- les responsabilités pour le traitement des informations reçues des parties intéressées ;
- les mesures à prendre si le personnel ne respecte pas les exigences de sécurité de l'organisation.
Enfin, l'organisation doit s'assurer que le personnel accepte les termes et conditions concernant la sécurité des informations.
Modifications et différences par rapport à la norme ISO 27002:2013
Contrôle 6.2 dans la norme ISO 27002:2022 n'est pas exactement un nouveau contrôle dans cette série ISO. Publiée en février 2022, cette version de l'ISO 27002 est une évolution de la version 2013. Par conséquent, le contrôle 6.2 est une version modifiée du contrôle 7.1.2 de la norme ISO 27002:2013.
La version 2022 est livrée avec un tableau d'attributs et une déclaration d'intention qui ne sont pas disponibles dans le contrôle 7.1.2.
Cela dit, il n’y a pas d’autre différence évidente entre les deux contrôles hormis le changement de numéro de contrôle. Bien que la phraséologie des deux contrôles ne soit pas similaire, le contenu et le contexte sont pratiquement les mêmes.
Qui est en charge de ce processus ?
La réponse est simple : cela dépend de la taille de l'entreprise et de la manière dont ses salariés sont organisés.
Dans les petites entreprises, une seule personne peut être responsable de toutes les fonctions RH (par exemple recrutement, contrats, formation). Il peut également être possible de déléguer ces responsabilités à une autre personne au sein de l'entreprise. Cette personne s'assurerait que le Contrôle 6.2 est suivi correctement par tous les employés mais ne serait pas responsable de son élaboration ou de son interprétation.
Cette fonction peut également être une responsabilité partagée entre tous les managers et superviseurs de l'organisation, du PDG jusqu'aux niveaux de direction intermédiaire.
Toutefois, pour une bonne mise en œuvre de ce contrôle, il est préférable que le responsable RH en soit responsable, sous la supervision du Responsable SMSI.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Que signifient ces changements pour vous ?
La nouvelle norme ISO 27002:2022 ne constitue pas une mise à jour significative. De ce fait, vous n’aurez pas besoin d’apporter de modifications significatives pour être conforme à la version la plus récente de la norme ISO 27002.
Néanmoins, si vous envisagez de mettre en œuvre un SMSI (ou même une certification ISMS), il est crucial que vous évaluiez l'édition actuelle de la norme ISO 27002 et confirmiez que vos procédures de sécurité sont adéquates.
Informations supplémentaires sur la façon dont le nouveau ISO 27002 affectera vos opérations de sécurité de l'information et ISO 27001 La certification se trouve dans notre manuel ISO 27002:2022, disponible en téléchargement gratuit sur notre site Web.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.Online aide
ISMS.online est un solution basée sur le cloud qui aide les entreprises à démontrer leur conformité à la norme ISO 27002. La solution ISMS.online peut être utilisée pour gérer les exigences de la norme ISO 27002 et garantir que votre organisation reste conforme à la nouvelle norme.
La norme ISO 27002 a été mise à jour pour refléter les cybermenaces croissantes auxquelles nous sommes confrontés en tant que société. La norme actuelle a été publiée pour la première fois en 2005 et révisée en 2013 pour refléter les changements technologiques, réglementaires et industriels. La nouvelle version de la norme ISO 27002 intègre ces mises à jour dans un seul document et ajoute de nouvelles exigences pour les organisations afin de les aider à mieux protéger leurs données contre les cyberattaques.
La solution ISMS.online aide les organisations à mettre en œuvre la norme ISO 27002 : 2022 en fournissant un cadre facile à utiliser pour documenter les politiques et procédures de sécurité des informations. Il fournit également un emplacement centralisé où vous pouvez stocker toute votre documentation de conformité afin qu'elle soit facilement accessible par les différentes parties prenantes de l'entreprise (par exemple RH, informatique).
Notre plateforme est convivial et simple. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre entreprise.
Contactez-nous dès aujourd'hui pour réserver une démo.
