Qu'est-ce que le contrôle 6.5 ?
Contrôle 6.5 dans la norme ISO 27002:2022 couvre la nécessité pour les organisations de définir les devoirs et responsabilités en matière de sécurité de l'information qui restent valables en cas d'arrêt de travail du personnel ou de déménagement dans un nouveau service.
Ces devoirs et responsabilités doivent être communiqués à l'employé ainsi qu'à toute autre partie concernée.
Devoirs et responsabilités en matière d'information expliqués
Les devoirs et responsabilités en matière d'information sont les obligations qu'un employé a envers son employeur lorsqu'il s'agit de traiter des informations confidentielles. Le devoir de garder les informations confidentielles est une obligation légale dans la plupart des États, il est donc important que les employés comprennent ce qu'ils sont tenus de faire lorsqu'il s'agit de protéger les informations de leur employeur.
Dans la plupart des cas, les employeurs ont le droit d'attendre de leurs employés non seulement qu'ils protègent les informations confidentielles informations, mais également à ne pas utiliser ces informations à des fins personnelles gain, par exemple par le biais de délits d'initiés ou d'autres activités illégales.
Voici des exemples de tâches et de responsabilités en matière de sécurité de l'information :
- Protéger la confidentialité des informations personnelles.
- Tenir des registres de la manière dont les informations personnelles sont traitées, utilisées et divulguées.
- Pour garantir que les informations sont exactes et fiables. Cela implique de s'assurer qu'ils ont été collectés à partir d'une source fiable, stockés en toute sécurité et supprimés en toute sécurité lorsqu'ils ne sont plus nécessaires.
- Pour garantir que seules les personnes autorisées peuvent accéder aux informations.
- Utiliser et divulguer données personnelles de manière loyale et licite, conformément aux lois en vigueur.
En tant qu'organisation, il est important de comprendre votre responsabilités lors du traitement des informations personnelles car cela vous aidera à éviter de violer les lois sur la confidentialité, ce qui peut avoir de graves conséquences tant pour votre entreprise que pour vos employés.
Attributs Table de contrôle 6.5
Les contrôles sont classés à l'aide d'attributs. Grâce à ceux-ci, vous pouvez rapidement faire correspondre votre sélection de commandes avec les termes et spécifications couramment utilisés dans l'industrie.
Les attributs du contrôle 6.5 sont :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Sécurité des ressources humaines | #Gouvernance et écosystème |
| #Intégrité | #La gestion d'actifs | |||
| #Disponibilité |
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Quel est le but du contrôle 6.5 ?
Le contrôle 6.5 est un contrôle qui doit être mis en œuvre lorsqu'un employé ou un sous-traitant quitte l'organisation, ou que le contrat est résilié avant son expiration.
Le but de ce contrôle est de protéger les intérêts de sécurité des informations de l'organisation dans le cadre du processus de changement ou de résiliation d'emploi ou de contrat.
Ce contrôle peut également servir à protéger contre les risque pour les employés ayant accès à des informations et à des processus sensibles, abusant de leur position à des fins personnelles ou dans des intentions malveillantes, en particulier après avoir quitté l'organisation ou leur poste.
Contrôle 6.5 expliqué
Le contrôle 6.5 vise à protéger les intérêts de l’organisation en matière de sécurité des informations dans le cadre du processus de changement ou de résiliation d’un emploi ou d’un contrat. Cela inclut les employés, les sous-traitants et les tiers qui ont accès à vos informations sensibles.
La mise en œuvre du contrôle signifie évaluer si des personnes (y compris celles employées par un tiers) ayant accès à vos données personnelles sensibles quittent votre organisation et s'il est nécessaire de prendre des mesures pour garantir qu'elles ne conservent pas et ne continuent pas d'accéder à vos données personnelles sensibles. données personnelles après leur départ.
Si vous constatez que quelqu'un part et qu'il existe un risque que des données personnelles sensibles soient divulguées, vous devez alors prendre des mesures raisonnables avant son départ, ou dès que possible après son départ, afin que cela n'arrive pas.
Qu'est-ce que cela implique et comment répondre aux exigences
Afin de répondre aux exigences du contrôle 6.5, les termes et conditions de l'emploi, du contrat ou de l'accord d'un individu doivent préciser : toutes les responsabilités et devoirs en matière de sécurité de l’information qui restent en vigueur après la fin de la relation.
Les tâches liées à la sécurité de l'information peuvent également être incluses dans d'autres contrats ou accords qui s'étendent au-delà de la fin de l'emploi d'un employé.
Toute personne qui quitte ou change d'emploi doit voir ses responsabilités et devoirs en matière de sécurité de l'information transférés à une nouvelle personne, et toutes les informations d'identification d'accès doivent être supprimées et une nouvelle créée.
Plus d'informations sur la façon dont cela fonctionne peuvent être trouvées dans le Document normatif ISO 27002:2022.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Modifications et différences par rapport à la norme ISO 27002:2013
Le contrôle 6.5 de la nouvelle norme ISO 27002:2022 n'est pas un nouveau contrôle, il s'agit plutôt d'une version modifiée du contrôle 7.3.1 de la norme ISO 27002:2013.
Bien que les bases de ces deux commandes soient similaires, il existe de légères variations. Par exemple, les instructions de mise en œuvre dans les deux versions sont légèrement différentes.
La première partie des lignes directrices de mise en œuvre du contrôle 7.3.1 de la norme ISO 27002 : 2013 indique que
« La communication des responsabilités de licenciement doit inclure les exigences continues en matière de sécurité de l'information et les responsabilités juridiques et, le cas échéant, les responsabilités contenues dans tout accord de confidentialité et les conditions d'emploi se poursuivant pendant une période définie après la fin de l'emploi de l'employé ou de l'entrepreneur. »
La même section du contrôle 6.5 de la norme ISO 27002:2022 indique que
« Le processus de gestion de la cessation ou du changement d'emploi doit définir quelles responsabilités et devoirs en matière de sécurité de l'information doivent rester valables après la cessation ou le changement. Cela peut inclure la confidentialité des informations, de la propriété intellectuelle et d'autres connaissances obtenues, ainsi que les responsabilités contenues dans tout autre accord de confidentialité.
Les responsabilités et devoirs encore valables après la cessation de l'emploi ou du contrat doivent être contenus dans les conditions générales d'emploi, le contrat ou l'accord de l'individu. D'autres contrats ou accords qui se poursuivent pendant une période définie après la fin de l'emploi de l'individu peuvent également contenir des responsabilités en matière de sécurité de l'information.
Cela dit, quelle que soit la différence entre leurs formulations, les deux contrôles ont une structure et une fonction pour l’essentiel similaires dans leurs contextes respectifs. Le langage utilisé dans le contrôle 6.5 a été simplifié pour le rendre plus convivial, afin que ceux qui utiliseront la norme puissent s'identifier plus facilement à son contenu.
Il est important de souligner également que la version 2022 de la norme ISO 27002 est également accompagnée d'une déclaration d'objectif et d'un tableau d'attributs pour chaque contrôle afin d'aider les utilisateurs à mieux comprendre et mettre en œuvre les contrôles. Ces deux sections sont absentes de l'édition 2013.
Qui est en charge de ce processus ?
Conformément aux recommandations du contrôle 6.5, le Département des Ressources Humaines est généralement responsable du processus de résiliation total dans la plupart des organisations et collabore avec le responsable superviseur de la personne en transition pour superviser les éléments de sécurité de l'information des procédures associées.
Le personnel fourni par une partie externe (par exemple, un fournisseur) est licencié par la partie externe conformément aux termes et conditions du contrat établi entre l'organisation et la partie externe.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Que signifient ces changements pour vous ?
La norme ISO 27002:2013 n'a pas été modifiée de manière significative. La norme vient d'être mise à jour pour faciliter la convivialité. Il n'est pas nécessaire pour toute organisation actuellement en conformité avec la norme ISO 27002:2013 de prendre des mesures supplémentaires pour maintenir sa conformité avec la norme ISO 27002.
Afin de se conformer aux révisions de la norme ISO 27002:2022, l'organisation n'aura besoin que d'apporter des modifications mineures à ses processus et procédures existants, en particulier si elle a l'intention de se recertifier.
Si vous souhaitez en savoir plus sur la manière dont ces changements apportés au contrôle 6.5 influenceront votre organisation, veuillez consulter notre guide sur la norme ISO 27002:2022.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.Online aide
Les entreprises peuvent utiliser ISMS.Online pour les aider dans leurs efforts de conformité ISO 27002 en leur fournissant une plateforme qui facilite la gestion de leurs politiques et procédures de sécurité, leur mise à jour si nécessaire, leur test et le contrôle de leur efficacité.
Notre plateforme basée sur le cloud vous permet de rapidement et facilement gérer tous les aspects de votre SMSI, y compris la gestion des risques, les politiques, les plans, les procédures et bien plus encore, dans un emplacement central. La plateforme est facile à utiliser et dispose d’une interface intuitive qui facilite l’apprentissage de son utilisation.
ISMS.Online vous permet de :
- Documentez vos processus à l'aide d'une interface Web intuitive sans avoir besoin d'installer de logiciel sur votre ordinateur ou votre réseau.
- Automatisez votre évaluation des risques processus.
- Démontrez facilement votre conformité avec des rapports et des listes de contrôle en ligne.
- Suivez les progrès tout en travaillant vers la certification.
Si vous êtes une entreprise qui doit se conformer ISO 27001 et/ou ISO 27002, ISMS.Online propose une gamme complète de fonctionnalités pour vous aider à atteindre cet objectif important.
Contactez-nous dès aujourd'hui pour réserver une démo.
