Contrôle 6.5 dans la norme ISO 27002:2022 couvre la nécessité pour les organisations de définir les devoirs et responsabilités en matière de sécurité de l'information qui restent valables en cas d'arrêt de travail du personnel ou de déménagement dans un nouveau service.
Ces devoirs et responsabilités doivent être communiqués à l'employé ainsi qu'à toute autre partie concernée.
Les devoirs et responsabilités en matière d'information sont les obligations qu'un employé a envers son employeur lorsqu'il s'agit de traiter des informations confidentielles. Le devoir de garder les informations confidentielles est une obligation légale dans la plupart des États, il est donc important que les employés comprennent ce qu'ils sont tenus de faire lorsqu'il s'agit de protéger les informations de leur employeur.
Dans la plupart des cas, les employeurs ont le droit d'attendre de leurs employés non seulement qu'ils protègent les informations confidentielles informations, mais également à ne pas utiliser ces informations à des fins personnelles gain, par exemple par le biais de délits d'initiés ou d'autres activités illégales.
Voici des exemples de tâches et de responsabilités en matière de sécurité de l'information :
En tant qu'organisation, il est important de comprendre votre responsabilités lors du traitement des informations personnelles car cela vous aidera à éviter de violer les lois sur la confidentialité, ce qui peut avoir de graves conséquences tant pour votre entreprise que pour vos employés.
Les contrôles sont classés à l'aide d'attributs. Grâce à ceux-ci, vous pouvez rapidement faire correspondre votre sélection de commandes avec les termes et spécifications couramment utilisés dans l'industrie.
Les attributs du contrôle 6.5 sont :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité des ressources humaines #La gestion d'actifs | #Gouvernance et écosystème |
Le contrôle 6.5 est un contrôle qui doit être mis en œuvre lorsqu'un employé ou un sous-traitant quitte l'organisation, ou que le contrat est résilié avant son expiration.
Le but de ce contrôle est de protéger les intérêts de sécurité des informations de l'organisation dans le cadre du processus de changement ou de résiliation d'emploi ou de contrat.
Ce contrôle peut également servir à protéger contre les risque pour les employés ayant accès à des informations et à des processus sensibles, abusant de leur position à des fins personnelles ou dans des intentions malveillantes, en particulier après avoir quitté l'organisation ou leur poste.
Le contrôle 6.5 vise à protéger les intérêts de l’organisation en matière de sécurité des informations dans le cadre du processus de changement ou de résiliation d’un emploi ou d’un contrat. Cela inclut les employés, les sous-traitants et les tiers qui ont accès à vos informations sensibles.
La mise en œuvre du contrôle signifie évaluer si des personnes (y compris celles employées par un tiers) ayant accès à vos données personnelles sensibles quittent votre organisation et s'il est nécessaire de prendre des mesures pour garantir qu'elles ne conservent pas et ne continuent pas d'accéder à vos données personnelles sensibles. données personnelles après leur départ.
Si vous constatez que quelqu'un part et qu'il existe un risque que des données personnelles sensibles soient divulguées, vous devez alors prendre des mesures raisonnables avant son départ, ou dès que possible après son départ, afin que cela n'arrive pas.
Afin de répondre aux exigences du contrôle 6.5, les termes et conditions de l'emploi, du contrat ou de l'accord d'un individu doivent préciser : toutes les responsabilités et devoirs en matière de sécurité de l’information qui restent en vigueur après la fin de la relation.
Les tâches liées à la sécurité de l'information peuvent également être incluses dans d'autres contrats ou accords qui s'étendent au-delà de la fin de l'emploi d'un employé.
Toute personne qui quitte ou change d'emploi doit voir ses responsabilités et devoirs en matière de sécurité de l'information transférés à une nouvelle personne, et toutes les informations d'identification d'accès doivent être supprimées et une nouvelle créée.
Plus d'informations sur la façon dont cela fonctionne peuvent être trouvées dans le Document normatif ISO 27002:2022.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Le contrôle 6.5 de la nouvelle norme ISO 27002:2022 n'est pas un nouveau contrôle, il s'agit plutôt d'une version modifiée du contrôle 7.3.1 de la norme ISO 27002:2013.
Bien que les bases de ces deux commandes soient similaires, il existe de légères variations. Par exemple, les instructions de mise en œuvre dans les deux versions sont légèrement différentes.
La première partie des lignes directrices de mise en œuvre du contrôle 7.3.1 de la norme ISO 27002 : 2013 indique que
« La communication des responsabilités de licenciement doit inclure les exigences continues en matière de sécurité de l'information et les responsabilités juridiques et, le cas échéant, les responsabilités contenues dans tout accord de confidentialité et les conditions d'emploi se poursuivant pendant une période définie après la fin de l'emploi de l'employé ou de l'entrepreneur. »
La même section du contrôle 6.5 de la norme ISO 27002:2022 indique que
« Le processus de gestion de la cessation ou du changement d'emploi doit définir quelles responsabilités et devoirs en matière de sécurité de l'information doivent rester valables après la cessation ou le changement. Cela peut inclure la confidentialité des informations, de la propriété intellectuelle et d'autres connaissances obtenues, ainsi que les responsabilités contenues dans tout autre accord de confidentialité.
Les responsabilités et devoirs encore valables après la cessation de l'emploi ou du contrat doivent être contenus dans les conditions générales d'emploi, le contrat ou l'accord de l'individu. D'autres contrats ou accords qui se poursuivent pendant une période définie après la fin de l'emploi de l'individu peuvent également contenir des responsabilités en matière de sécurité de l'information.
Cela dit, quelle que soit la différence entre leurs formulations, les deux contrôles ont une structure et une fonction pour l’essentiel similaires dans leurs contextes respectifs. Le langage utilisé dans le contrôle 6.5 a été simplifié pour le rendre plus convivial, afin que ceux qui utiliseront la norme puissent s'identifier plus facilement à son contenu.
Il est important de souligner également que la version 2022 de la norme ISO 27002 est également accompagnée d'une déclaration d'objectif et d'un tableau d'attributs pour chaque contrôle afin d'aider les utilisateurs à mieux comprendre et mettre en œuvre les contrôles. Ces deux sections sont absentes de l'édition 2013.
Conformément aux recommandations du contrôle 6.5, le Département des Ressources Humaines est généralement responsable du processus de résiliation total dans la plupart des organisations et collabore avec le responsable superviseur de la personne en transition pour superviser les éléments de sécurité de l'information des procédures associées.
Le personnel fourni par une partie externe (par exemple, un fournisseur) est licencié par la partie externe conformément aux termes et conditions du contrat établi entre l'organisation et la partie externe.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
La norme ISO 27002:2013 n'a pas été modifiée de manière significative. La norme vient d'être mise à jour pour faciliter la convivialité. Il n'est pas nécessaire pour toute organisation actuellement en conformité avec la norme ISO 27002:2013 de prendre des mesures supplémentaires pour maintenir sa conformité avec la norme ISO 27002.
Afin de se conformer aux révisions de la norme ISO 27002:2022, l'organisation n'aura besoin que d'apporter des modifications mineures à ses processus et procédures existants, en particulier si elle a l'intention de se recertifier.
Si vous souhaitez en savoir plus sur la manière dont ces changements apportés au contrôle 6.5 influenceront votre organisation, veuillez consulter notre guide sur la norme ISO 27002:2022.
Les entreprises peuvent utiliser ISMS.Online pour les aider dans leurs efforts de conformité ISO 27002 en leur fournissant une plateforme qui facilite la gestion de leurs politiques et procédures de sécurité, leur mise à jour si nécessaire, leur test et le contrôle de leur efficacité.
Notre plateforme basée sur le cloud vous permet de rapidement et facilement gérer tous les aspects de votre SMSI, y compris la gestion des risques, les politiques, les plans, les procédures et bien plus encore, dans un emplacement central. La plateforme est facile à utiliser et dispose d’une interface intuitive qui facilite l’apprentissage de son utilisation.
ISMS.Online vous permet de :
Si vous êtes une entreprise qui doit se conformer ISO 27001 et/ou ISO 27002, ISMS.Online propose une gamme complète de fonctionnalités pour vous aider à atteindre cet objectif important.
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
