ISO 27002:2022, Contrôle 6.4 – Processus disciplinaire

Contrôles révisés ISO 27002 : 2022

Demander demo

Bureau,bâtiment,moderne,sur,un,ciel,clair,arrière-plan

Qu'est-ce que le contrôle 6.4 ?

ISO 27002: 2022, Contrôle 6.4. Processus disciplinaire parle de la nécessité pour les organisations de mettre en place une certaine forme de processus disciplinaire pour servir de moyen de dissuasion afin que le personnel ne commette pas de violations de la sécurité de l'information.

Ce processus doit être formellement communiqué et une sanction appropriée doit être conçue pour les employés et autres parties intéressées concernées qui commettent un acte criminel. politique de sécurité de l'information violation.

Violation de la sécurité de l'information expliquée

La violation de la politique de sécurité des informations est une violation des règles ou des lois régissant le traitement approprié des informations. Les politiques de sécurité des informations sont établies par les organisations pour protéger les données confidentielles, exclusives et personnelles, telles que les dossiers clients et les numéros de carte de crédit. Les politiques de sécurité des informations incluent également des politiques de sécurité informatique qui contribuent à garantir la sécurité et l'intégrité des données stockées sur les ordinateurs.

Par exemple, si vous n'avez pas l'autorisation de votre superviseur pour utiliser la messagerie électronique de l'entreprise pour envoyer des e-mails personnels, cela peut entraîner une violation de la politique de l'entreprise. De plus, si vous commettez une erreur lors de l'utilisation de l'équipement ou du logiciel de l'entreprise et que vous causez des dommages à celui-ci ou aux données qui y sont stockées, cela pourrait également être considéré comme une violation de la politique de sécurité des informations.

Si un employé viole la politique de sécurité des informations d'une organisation, il ou elle pourrait faire l'objet de mesures disciplinaires ou d'un licenciement. Dans certains cas, une entreprise peut choisir de ne pas licencier un employé qui enfreint sa politique d'utilisation de l'ordinateur, mais plutôt de prendre d'autres mesures appropriées pour prévenir de futures violations de la politique de l'entreprise.

Tableau des attributs

Les contrôles peuvent être regroupés à l’aide d’attributs. Lorsque vous examinez les attributs du contrôle, vous pouvez plus facilement le relier aux exigences et à la terminologie établies du secteur. Les attributs suivants sont sous le contrôle 6.4.

Type de contrôlePropriétés de sécurité des informations Concepts de cybersécurité Capacités opérationnelles Domaines de sécurité
#Préventif
#Correctif		#Confidentialité
#Intégrité
#Disponibilité		#Protéger
#Répondre		#Sécurité des ressources humaines#Gouvernance et écosystème
Aller au sujet
Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Quel est le but du contrôle 6.4 ?

Le but du processus disciplinaire est de garantir que le personnel et les autres parties intéressées concernées comprennent les conséquences d'une violation de la politique de sécurité des informations.

En plus de garantir que les employés et autres parties intéressées comprennent les conséquences des violations de la politique de sécurité de l'information, le contrôle 6.4 est conçu pour dissuader et aider à traiter ceux qui violent ces politiques.

Un élément clé d'un programme de sécurité de l'information efficace est la capacité à mettre en œuvre des mesures disciplinaires appropriées pour les employés qui enfreignent les politiques et procédures de sécurité de l'information. Par ici, les salariés sont conscients des conséquences de violation des politiques et procédures établies, réduisant ainsi le risque de violations de données intentionnelles ou accidentelles.

Voici des exemples d’activités qui peuvent être incluses lors de la mise en œuvre de ce contrôle :

  • Organiser des sessions de formation périodiques sur les changements de politique ;

  • Concevoir des mesures disciplinaires en cas de non-respect des politiques de sécurité de l'information ;

  • Fournir une copie des procédures disciplinaires de l'organisation à chaque employé ;

  • Veiller à ce que les procédures disciplinaires soient suivies de manière cohérente dans des situations similaires.

Les mesures disciplinaires énoncées dans le cadre/document doivent être prises rapidement après un incident, afin de décourager toute personne susceptible de vouloir enfreindre les politiques de l'organisation.

Qu'est-ce que cela implique et comment répondre aux exigences

Pour répondre aux exigences du contrôle 6.4, des mesures disciplinaires doivent être prises lorsqu'il existe des preuves de non-respect des politiques, procédures ou réglementations de l'organisation. Cela inclut le non-respect de la législation et des réglementations applicables à l’organisation.

Selon le contrôle 6.4, le processus disciplinaire formel devrait prévoir une réponse graduée qui prend en considération les facteurs suivants :

  1. La nature (qui, quoi, quand, comment), la gravité et les conséquences de la violation ;

  2. Si l'infraction était malveillante (intentionnelle) ou non intentionnelle (accidentelle) ;

  3. Qu'il s'agisse d'une première ou d'une deuxième infraction ;

  4. Si le contrevenant a reçu ou non une formation adéquate.

L'action doit prendre en compte toutes les obligations juridiques, législatives, réglementaires, contractuelles et d'entreprise pertinentes, ainsi que toute autre circonstance pertinente.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

Modifications et différences par rapport à la norme ISO 27002:2013

Si vous connaissez la norme ISO 27002:2013, vous saurez que même si l'identité/le numéro du contrôle a été modifié, le contrôle 6.4 de la norme ISO 27002:2022 n'est pas exactement un nouveau contrôle. Il s'agit plutôt d'une version modifiée du contrôle 7.2.3 de la norme ISO 27002:2013.

Cela dit, il n'y a pas de différences significatives entre les deux contrôles dans les deux versions de la norme ISO 27002. La petite différence que vous remarquerez est que le numéro de contrôle a été modifié de 7.23 à 6.4. De plus, dans la version 2022 de la norme, le tableau des attributs et la déclaration d'intention ont été inclus. Ces deux fonctionnalités ne sont pas dans la version 2013.

Outre leur formulation différente, ces contrôles sont fondamentalement identiques en termes de contenu et de contexte. Convivial la terminologie a été utilisée dans la norme ISO 27002:2022 pour s'assurer que les utilisateurs de la norme puissent mieux comprendre son contenu.

Qui est en charge de ce processus ?

Dans la plupart des cas, le processus disciplinaire est géré par le chef de service ou ressources humaines représentant. Il n'est pas rare que le représentant RH délègue le responsabilité des mesures disciplinaires envers quelqu'un d'autre dans l'organisation, comme un spécialiste de la sécurité de l'information.

L'objectif principal des mesures disciplinaires est de protéger l'organisation contre toute nouvelle violation de la part de l'employé. Il vise également à prévenir des situations similaires incidents récurrents en veillant à ce que tous les employés comprennent l'importance des violations de la sécurité de l'information.

Afin de garantir que des mesures disciplinaires soient prises à l'encontre d'un employé qui a enfreint les politiques ou procédures d'une organisation, il est important qu'il existe des lignes directrices claires pour gérer de telles situations. Ces lignes directrices devraient inclure des instructions spécifiques sur la manière de mener les enquêtes et les mesures à prendre une fois les enquêtes terminées.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

Que signifient ces changements pour vous ?

Si vous vous demandez ce que ces changements signifient pour vous, voici un bref aperçu des points les plus importants :

  • Il ne s'agit pas d'un changement significatif, vous n'avez donc pas besoin de recertifier.

  • Vous pouvez conserver votre certification existante jusqu'à son expiration (si elle est toujours valide).

  • Il n'y a pas de changements majeurs dans le contenu de l'ISO 27002.

  • L’accent est davantage mis sur la mise à jour de la norme pour l’aligner sur les meilleures pratiques et normes actuelles.

La structure de la norme reste inchangée. Certains contrôles ont toutefois été modifiés afin de clarifier leur signification ou d'améliorer la cohérence avec d'autres parties de la norme.

Cependant, si vous avez l'intention de obtention de la certification SMSI, vous devrez peut-être examiner vos procédures de sécurité pour vérifier qu'elles sont conformes à la norme révisée.

Pour en savoir plus sur la manière dont la nouvelle norme ISO 27002 peut affecter vos opérations de sécurité de l'information et ISO 27001 certification, veuillez consulter notre guide gratuit ISO 27002:2022.

Comment ISMS.Online aide

ISMS.Online est le leader ISO 27002 logiciel de système de gestion qui prend en charge la conformité avec la norme ISO 27002 et aide les entreprises à aligner leurs politiques et procédures de sécurité sur la norme.

La plateforme basée sur le cloud fournit un ensemble complet d'outils pour aider les organisations à mettre en place un système de gestion de la sécurité de l'information (ISMS) selon ISO 27002.

Ces outils incluent:

  • Une bibliothèque de modèles pour les documents d'entreprise courants ;

  • Un ensemble de politiques et de procédures prédéfinies ;

  • An outil d'audit pour soutenir les audits internes ;

  • Une interface à personnaliser ISMS les politiques et les procédures;

  • Un workflow d'approbation pour toutes les modifications apportées aux politiques et procédures ;

  • Une liste de contrôle pour vous assurer que vos politiques et processus de sécurité des informations respectent les normes internationales approuvées.

ISMS.Online permet également aux utilisateurs de :

ISMS.Online fournit également des conseils sur la meilleure façon de mettre en œuvre votre SMSI en fournissant des conseils sur la façon de créer des politiques et des procédures liées à des aspects tels que la gestion des risques, la formation de sensibilisation à la sécurité du personnel et la planification de la réponse aux incidents.

Notre plateforme a été conçu à partir de zéro avec l'aide d'experts en sécurité de l'information du monde entier, et nous l'avons développé de manière à permettre aux personnes sans aucune connaissance technique des systèmes de gestion de la sécurité de l'information (ISMS) de l'utiliser facilement.

Vous voulez le voir en action?

Contactez-nous dès aujourd'hui pour réserver une démo.

Êtes-vous prêt pour
la nouvelle ISO 27002

Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit
Dites bonjour au succès de la norme ISO 27001

Obtenez 81 % du travail effectué pour vous et obtenez une certification plus rapidement avec ISMS.online

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage