ISO 27002: 2022, Contrôle 6.4. Processus disciplinaire parle de la nécessité pour les organisations de mettre en place une certaine forme de processus disciplinaire pour servir de moyen de dissuasion afin que le personnel ne commette pas de violations de la sécurité de l'information.
Ce processus doit être formellement communiqué et une sanction appropriée doit être conçue pour les employés et autres parties intéressées concernées qui commettent un acte criminel. politique de sécurité de l'information violation.
La violation de la politique de sécurité des informations est une violation des règles ou des lois régissant le traitement approprié des informations. Les politiques de sécurité des informations sont établies par les organisations pour protéger les données confidentielles, exclusives et personnelles, telles que les dossiers clients et les numéros de carte de crédit. Les politiques de sécurité des informations incluent également des politiques de sécurité informatique qui contribuent à garantir la sécurité et l'intégrité des données stockées sur les ordinateurs.
Par exemple, si vous n'avez pas l'autorisation de votre superviseur pour utiliser la messagerie électronique de l'entreprise pour envoyer des e-mails personnels, cela peut entraîner une violation de la politique de l'entreprise. De plus, si vous commettez une erreur lors de l'utilisation de l'équipement ou du logiciel de l'entreprise et que vous causez des dommages à celui-ci ou aux données qui y sont stockées, cela pourrait également être considéré comme une violation de la politique de sécurité des informations.
Si un employé viole la politique de sécurité des informations d'une organisation, il ou elle pourrait faire l'objet de mesures disciplinaires ou d'un licenciement. Dans certains cas, une entreprise peut choisir de ne pas licencier un employé qui enfreint sa politique d'utilisation de l'ordinateur, mais plutôt de prendre d'autres mesures appropriées pour prévenir de futures violations de la politique de l'entreprise.
Les contrôles peuvent être regroupés à l’aide d’attributs. Lorsque vous examinez les attributs du contrôle, vous pouvez plus facilement le relier aux exigences et à la terminologie établies du secteur. Les attributs suivants sont sous le contrôle 6.4.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif #Correctif | #Confidentialité #Intégrité #Disponibilité | #Protéger #Répondre | #Sécurité des ressources humaines | #Gouvernance et écosystème |
Le but du processus disciplinaire est de garantir que le personnel et les autres parties intéressées concernées comprennent les conséquences d'une violation de la politique de sécurité des informations.
En plus de garantir que les employés et autres parties intéressées comprennent les conséquences des violations de la politique de sécurité de l'information, le contrôle 6.4 est conçu pour dissuader et aider à traiter ceux qui violent ces politiques.
Un élément clé d'un programme de sécurité de l'information efficace est la capacité à mettre en œuvre des mesures disciplinaires appropriées pour les employés qui enfreignent les politiques et procédures de sécurité de l'information. Par ici, les salariés sont conscients des conséquences de violation des politiques et procédures établies, réduisant ainsi le risque de violations de données intentionnelles ou accidentelles.
Voici des exemples d’activités qui peuvent être incluses lors de la mise en œuvre de ce contrôle :
Les mesures disciplinaires énoncées dans le cadre/document doivent être prises rapidement après un incident, afin de décourager toute personne susceptible de vouloir enfreindre les politiques de l'organisation.
Pour répondre aux exigences du contrôle 6.4, des mesures disciplinaires doivent être prises lorsqu'il existe des preuves de non-respect des politiques, procédures ou réglementations de l'organisation. Cela inclut le non-respect de la législation et des réglementations applicables à l’organisation.
Selon le contrôle 6.4, le processus disciplinaire formel devrait prévoir une réponse graduée qui prend en considération les facteurs suivants :
L'action doit prendre en compte toutes les obligations juridiques, législatives, réglementaires, contractuelles et d'entreprise pertinentes, ainsi que toute autre circonstance pertinente.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Si vous connaissez la norme ISO 27002:2013, vous saurez que même si l'identité/le numéro du contrôle a été modifié, le contrôle 6.4 de la norme ISO 27002:2022 n'est pas exactement un nouveau contrôle. Il s'agit plutôt d'une version modifiée du contrôle 7.2.3 de la norme ISO 27002:2013.
Cela dit, il n'y a pas de différences significatives entre les deux contrôles dans les deux versions de la norme ISO 27002. La petite différence que vous remarquerez est que le numéro de contrôle a été modifié de 7.23 à 6.4. De plus, dans la version 2022 de la norme, le tableau des attributs et la déclaration d'intention ont été inclus. Ces deux fonctionnalités ne sont pas dans la version 2013.
Outre leur formulation différente, ces contrôles sont fondamentalement identiques en termes de contenu et de contexte. Convivial la terminologie a été utilisée dans la norme ISO 27002:2022 pour s'assurer que les utilisateurs de la norme puissent mieux comprendre son contenu.
Dans la plupart des cas, le processus disciplinaire est géré par le chef de service ou ressources humaines représentant. Il n'est pas rare que le représentant RH délègue le responsabilité des mesures disciplinaires envers quelqu'un d'autre dans l'organisation, comme un spécialiste de la sécurité de l'information.
L'objectif principal des mesures disciplinaires est de protéger l'organisation contre toute nouvelle violation de la part de l'employé. Il vise également à prévenir des situations similaires incidents récurrents en veillant à ce que tous les employés comprennent l'importance des violations de la sécurité de l'information.
Afin de garantir que des mesures disciplinaires soient prises à l'encontre d'un employé qui a enfreint les politiques ou procédures d'une organisation, il est important qu'il existe des lignes directrices claires pour gérer de telles situations. Ces lignes directrices devraient inclure des instructions spécifiques sur la manière de mener les enquêtes et les mesures à prendre une fois les enquêtes terminées.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Si vous vous demandez ce que ces changements signifient pour vous, voici un bref aperçu des points les plus importants :
La structure de la norme reste inchangée. Certains contrôles ont toutefois été modifiés afin de clarifier leur signification ou d'améliorer la cohérence avec d'autres parties de la norme.
Cependant, si vous avez l'intention de obtention de la certification SMSI, vous devrez peut-être examiner vos procédures de sécurité pour vérifier qu'elles sont conformes à la norme révisée.
Pour en savoir plus sur la manière dont la nouvelle norme ISO 27002 peut affecter vos opérations de sécurité de l'information et ISO 27001 certification, veuillez consulter notre guide gratuit ISO 27002:2022.
ISMS.Online est le leader ISO 27002 logiciel de système de gestion qui prend en charge la conformité avec la norme ISO 27002 et aide les entreprises à aligner leurs politiques et procédures de sécurité sur la norme.
La plateforme basée sur le cloud fournit un ensemble complet d'outils pour aider les organisations à mettre en place un système de gestion de la sécurité de l'information (ISMS) selon ISO 27002.
Ces outils incluent:
ISMS.Online permet également aux utilisateurs de :
ISMS.Online fournit également des conseils sur la meilleure façon de mettre en œuvre votre SMSI en fournissant des conseils sur la façon de créer des politiques et des procédures liées à des aspects tels que la gestion des risques, la formation de sensibilisation à la sécurité du personnel et la planification de la réponse aux incidents.
Notre plateforme a été conçu à partir de zéro avec l'aide d'experts en sécurité de l'information du monde entier, et nous l'avons développé de manière à permettre aux personnes sans aucune connaissance technique des systèmes de gestion de la sécurité de l'information (ISMS) de l'utiliser facilement.
Vous voulez le voir en action?
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |