Qu'est-ce que le contrôle 6.4 ?
ISO 27002: 2022, Contrôle 6.4. Processus disciplinaire parle de la nécessité pour les organisations de mettre en place une certaine forme de processus disciplinaire pour servir de moyen de dissuasion afin que le personnel ne commette pas de violations de la sécurité de l'information.
Ce processus doit être formellement communiqué et une sanction appropriée doit être conçue pour les employés et autres parties intéressées concernées qui commettent un acte criminel. politique de sécurité de l'information violation.
Violation de la sécurité de l'information expliquée
La violation de la politique de sécurité des informations est une violation des règles ou des lois régissant le traitement approprié des informations. Les politiques de sécurité des informations sont établies par les organisations pour protéger les données confidentielles, exclusives et personnelles, telles que les dossiers clients et les numéros de carte de crédit. Les politiques de sécurité des informations incluent également des politiques de sécurité informatique qui contribuent à garantir la sécurité et l'intégrité des données stockées sur les ordinateurs.
Par exemple, si vous n'avez pas l'autorisation de votre superviseur pour utiliser la messagerie électronique de l'entreprise pour envoyer des e-mails personnels, cela peut entraîner une violation de la politique de l'entreprise. De plus, si vous commettez une erreur lors de l'utilisation de l'équipement ou du logiciel de l'entreprise et que vous causez des dommages à celui-ci ou aux données qui y sont stockées, cela pourrait également être considéré comme une violation de la politique de sécurité des informations.
Si un employé viole la politique de sécurité des informations d'une organisation, il ou elle pourrait faire l'objet de mesures disciplinaires ou d'un licenciement. Dans certains cas, une entreprise peut choisir de ne pas licencier un employé qui enfreint sa politique d'utilisation de l'ordinateur, mais plutôt de prendre d'autres mesures appropriées pour prévenir de futures violations de la politique de l'entreprise.
Tableau des attributs
Les contrôles peuvent être regroupés à l’aide d’attributs. Lorsque vous examinez les attributs du contrôle, vous pouvez plus facilement le relier aux exigences et à la terminologie établies du secteur. Les attributs suivants sont sous le contrôle 6.4.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Sécurité des ressources humaines | #Gouvernance et écosystème |
| #Correctif | #Intégrité | #Répondre | ||
| #Disponibilité |
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Quel est le but du contrôle 6.4 ?
Le but du processus disciplinaire est de garantir que le personnel et les autres parties intéressées concernées comprennent les conséquences d'une violation de la politique de sécurité des informations.
En plus de garantir que les employés et autres parties intéressées comprennent les conséquences des violations de la politique de sécurité de l'information, le contrôle 6.4 est conçu pour dissuader et aider à traiter ceux qui violent ces politiques.
Un élément clé d'un programme de sécurité de l'information efficace est la capacité à mettre en œuvre des mesures disciplinaires appropriées pour les employés qui enfreignent les politiques et procédures de sécurité de l'information. Par ici, les salariés sont conscients des conséquences de violation des politiques et procédures établies, réduisant ainsi le risque de violations de données intentionnelles ou accidentelles.
Voici des exemples d’activités qui peuvent être incluses lors de la mise en œuvre de ce contrôle :
- Organiser des sessions de formation périodiques sur les changements de politique ;
- Concevoir des mesures disciplinaires en cas de non-respect des politiques de sécurité de l'information ;
- Fournir une copie des procédures disciplinaires de l'organisation à chaque employé ;
- Veiller à ce que les procédures disciplinaires soient suivies de manière cohérente dans des situations similaires.
Les mesures disciplinaires énoncées dans le cadre/document doivent être prises rapidement après un incident, afin de décourager toute personne susceptible de vouloir enfreindre les politiques de l'organisation.
Qu'est-ce que cela implique et comment répondre aux exigences
Pour répondre aux exigences du contrôle 6.4, des mesures disciplinaires doivent être prises lorsqu'il existe des preuves de non-respect des politiques, procédures ou réglementations de l'organisation. Cela inclut le non-respect de la législation et des réglementations applicables à l’organisation.
Selon le contrôle 6.4, le processus disciplinaire formel devrait prévoir une réponse graduée qui prend en considération les facteurs suivants :
- La nature (qui, quoi, quand, comment), la gravité et les conséquences de la violation ;
- Si l'infraction était malveillante (intentionnelle) ou non intentionnelle (accidentelle) ;
- Qu'il s'agisse d'une première ou d'une deuxième infraction ;
- Si le contrevenant a reçu ou non une formation adéquate.
L'action doit prendre en compte toutes les obligations juridiques, législatives, réglementaires, contractuelles et d'entreprise pertinentes, ainsi que toute autre circonstance pertinente.
La conformité ne doit pas être compliquée.
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Modifications et différences par rapport à la norme ISO 27002:2013
Si vous connaissez la norme ISO 27002:2013, vous saurez que même si l'identité/le numéro du contrôle a été modifié, le contrôle 6.4 de la norme ISO 27002:2022 n'est pas exactement un nouveau contrôle. Il s'agit plutôt d'une version modifiée du contrôle 7.2.3 de la norme ISO 27002:2013.
Cela dit, il n'y a pas de différences significatives entre les deux contrôles dans les deux versions de la norme ISO 27002. La petite différence que vous remarquerez est que le numéro de contrôle a été modifié de 7.23 à 6.4. De plus, dans la version 2022 de la norme, le tableau des attributs et la déclaration d'intention ont été inclus. Ces deux fonctionnalités ne sont pas dans la version 2013.
Outre leur formulation différente, ces contrôles sont fondamentalement identiques en termes de contenu et de contexte. Convivial la terminologie a été utilisée dans la norme ISO 27002:2022 pour s'assurer que les utilisateurs de la norme puissent mieux comprendre son contenu.
Qui est en charge de ce processus ?
Dans la plupart des cas, le processus disciplinaire est géré par le chef de service ou ressources humaines représentant. Il n'est pas rare que le représentant RH délègue le responsabilité des mesures disciplinaires envers quelqu'un d'autre dans l'organisation, comme un spécialiste de la sécurité de l'information.
L'objectif principal des mesures disciplinaires est de protéger l'organisation contre toute nouvelle violation de la part de l'employé. Il vise également à prévenir des situations similaires incidents récurrents en veillant à ce que tous les employés comprennent l'importance des violations de la sécurité de l'information.
Afin de garantir que des mesures disciplinaires soient prises à l'encontre d'un employé qui a enfreint les politiques ou procédures d'une organisation, il est important qu'il existe des lignes directrices claires pour gérer de telles situations. Ces lignes directrices devraient inclure des instructions spécifiques sur la manière de mener les enquêtes et les mesures à prendre une fois les enquêtes terminées.
Que signifient ces changements pour vous ?
Si vous vous demandez ce que ces changements signifient pour vous, voici un bref aperçu des points les plus importants :
- Il ne s'agit pas d'un changement significatif, vous n'avez donc pas besoin de recertifier.
- Vous pouvez conserver votre certification existante jusqu'à son expiration (si elle est toujours valide).
- Il n'y a pas de changements majeurs dans le contenu de l'ISO 27002.
- L’accent est davantage mis sur la mise à jour de la norme pour l’aligner sur les meilleures pratiques et normes actuelles.
La structure de la norme reste inchangée. Certains contrôles ont toutefois été modifiés afin de clarifier leur signification ou d'améliorer la cohérence avec d'autres parties de la norme.
Cependant, si vous avez l'intention de obtention de la certification SMSI, vous devrez peut-être examiner vos procédures de sécurité pour vérifier qu'elles sont conformes à la norme révisée.
Pour en savoir plus sur la manière dont la nouvelle norme ISO 27002 peut affecter vos opérations de sécurité de l'information et ISO 27001 certification, veuillez consulter notre guide gratuit ISO 27002:2022.
Gérez toute votre conformité en un seul endroit
ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.
Nouveaux contrôles ISO 27002
Nouveaux contrôles
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Équipement | Intelligence de la menace |
| 5.23 | Équipement | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Équipement | Préparation aux TIC pour la continuité des activités |
| 7.4 | Équipement | Surveillance de la sécurité physique |
| 8.9 | Équipement | Gestion de la configuration |
| 8.10 | Équipement | Suppression des informations |
| 8.11 | Équipement | Masquage des données |
| 8.12 | Équipement | Prévention des fuites de données |
| 8.16 | Équipement | Activités de surveillance |
| 8.23 | Équipement | filtrage web |
| 8.28 | Équipement | Codage sécurisé |
Contrôles organisationnels
Contrôles des personnes
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Contrôles physiques
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Équipement | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Contrôles technologiques
Comment ISMS.Online aide
ISMS.Online est le leader ISO 27002 logiciel de système de gestion qui prend en charge la conformité avec la norme ISO 27002 et aide les entreprises à aligner leurs politiques et procédures de sécurité sur la norme.
La plateforme basée sur le cloud fournit un ensemble complet d'outils pour aider les organisations à mettre en place un système de gestion de la sécurité de l'information (ISMS) selon ISO 27002.
Ces outils incluent:
- Une bibliothèque de modèles pour les documents d'entreprise courants ;
- Un ensemble de politiques et de procédures prédéfinies ;
- An outil d'audit pour soutenir les audits internes ;
- Une interface à personnaliser ISMS les politiques et les procédures;
- Un workflow d'approbation pour toutes les modifications apportées aux politiques et procédures ;
- Une liste de contrôle pour vous assurer que vos politiques et processus de sécurité des informations respectent les normes internationales approuvées.
ISMS.Online permet également aux utilisateurs de :
- Gérer tous les aspects du SMSI cycle de vie en toute simplicité.
- Obtenez des informations en temps réel sur leur posture de sécurité et leurs lacunes en matière de conformité.
- Intégrez-vous à d’autres systèmes tels que les ressources humaines, les finances et la gestion de projet.
- Démontrer conformité de leur SMSI aux normes ISO 27001.
ISMS.Online fournit également des conseils sur la meilleure façon de mettre en œuvre votre SMSI en fournissant des conseils sur la façon de créer des politiques et des procédures liées à des aspects tels que la gestion des risques, la formation de sensibilisation à la sécurité du personnel et la planification de la réponse aux incidents.
Notre plateforme a été conçu à partir de zéro avec l'aide d'experts en sécurité de l'information du monde entier, et nous l'avons développé de manière à permettre aux personnes sans aucune connaissance technique des systèmes de gestion de la sécurité de l'information (ISMS) de l'utiliser facilement.
Vous voulez le voir en action?
Contactez-nous dès aujourd'hui pour réserver une démo.
Aller au sujet
Obtenez une certification jusqu'à 5 fois plus rapidement
Remplissez simplement les blancs.
Demander demo Demande de Pro forma
