Le contrôle 6.6 de la norme ISO 27002:2022 couvre la nécessité pour les organisations d'empêcher la fuite d'informations confidentielles en établissant des accords de confidentialité avec les parties intéressées et le personnel.
Les organisations devraient déterminer les termes de leurs accords avec d'autres parties en fonction des les exigences de sécurité des informations de l'organisation, en tenant compte du type d'informations à traiter, de leur niveau de classification, de leur utilisation prévue et de l'accès autorisé par l'autre partie.
Un accord de confidentialité ou de non-divulgation (NDA) est un document juridique qui empêche la divulgation de secrets commerciaux et d'autres informations confidentielles.
Confidentiel les informations peuvent inclure le plan d'affaires de l'entreprise, données financières, listes de clients et autres informations exclusives. Ces accords peuvent être utilisés dans un large éventail de situations, notamment :
Les partenariats incluent souvent des clauses de confidentialité dans le cadre de leur accord de partenariat afin que chaque partenaire s'engage à ne divulguer aucune information confidentielle obtenue au cours de son partenariat.
Des accords de confidentialité sont conclus aussi bien par des particuliers que par des entreprises. Ils ont de nombreux objectifs, tels que :
Les contrôles sont classés à l'aide d'attributs. Grâce à ceux-ci, vous pouvez rapidement faire correspondre votre sélection de commandes avec les termes et spécifications couramment utilisés dans l'industrie.
Les attributs du contrôle 6.5 sont :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #La gestion d'actifs #Protection des informations #Sécurité physique #Sécurité du système et des réseaux | #Protection |
Le contrôle 6.6 doit être mis en œuvre afin de garantir la sécurité des informations lorsque le personnel, les partenaires et les fournisseurs travaillent avec une organisation.
Ce contrôle est destiné à garantir la informations de l'organisation et d'informer les signataires de leur responsabilité traiter et protéger les informations de manière responsable et autorisée. Il est également utilisé comme outil de protection des droits de propriété intellectuelle, tels que les brevets, les marques, les secrets commerciaux et les droits d'auteur.
Il est important que les employeurs aient mis en place un accord de non-divulgation avant de divulguer des informations confidentielles à un employé ou un entrepreneur. L'accord définira dans quelle mesure l'individu doit protéger les informations auxquelles il est exposé et combien de temps durera la période de confidentialité après la fin de son emploi.
Le contrôle 6.6 vise à protéger la propriété intellectuelle et les intérêts commerciaux de votre organisation en empêchant la divulgation d'informations sensibles à des tiers. Il fait référence à un contrat légal ou à un accord entre votre organisation et ses employés, partenaires, sous-traitants, fournisseurs et autres tiers. qui régit l’utilisation des informations confidentielles.
Les informations confidentielles sont toutes les informations qui n'ont pas été mises à la disposition du public ou d'autres sociétés d'un secteur similaire. Les exemples incluent les secrets commerciaux, les listes de clients, les formules et les plans d’affaires.
Le contrôle doit être mis en œuvre pour évaluer si un un tiers aura accès à des données personnelles sensibles, et si des mesures doivent être prises pour garantir qu'ils ne conservent pas et ne continuent pas à accéder aux données personnelles sensibles de l'organisation après leur départ.
Lorsqu'une organisation détermine qu'un tiers met fin à la relation commerciale et qu'il existe un risque que des données sensibles de l'organisation ou de l'entreprise soient divulguées en conséquence, l'organisation doit alors prendre des mesures raisonnables avant le départ de ce tiers, ou dès que possible. après leur départ, pour empêcher une telle divulgation.
Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.
Le contrôle 6.6 signifie que les parties à l'accord ne divulguent pas les informations confidentielles couvertes par l'accord. Les informations ne peuvent être divulguées qu'avec le consentement écrit de l'organisation ou conformément à une ordonnance du tribunal. Ceci est important pour protéger les informations sensibles sur les pratiques commerciales, la propriété intellectuelle et la recherche et développement.
Pour répondre aux exigences du contrôle 6.6, un accord/contrat de « confidentialité » et de « non-divulgation » doit être soigneusement rédigé afin qu'il couvre tous les secrets commerciaux et les aspects de données/informations sensibles des transactions et transactions de l'organisation. Il est important que les deux parties comprennent leurs obligations en vertu du contrat et leurs devoirs pendant et après la fin de la relation commerciale.
Une clause de confidentialité peut également être incluse dans d'autres contrats qui s'étendent au-delà de la fin de l'emploi de l'employé ou de l'engagement de tiers.
Il est impératif que la personne qui quitte une relation commerciale ou change d'emploi voit ses responsabilités et devoirs en matière de sécurité transférés à une nouvelle personne, et que tous les identifiants d'accès soient supprimés et qu'un nouveau soit créé.
Les éléments suivants doivent être pris en compte lors de l’identification des accords de confidentialité et de non-divulgation :
L'organisation doit s'assurer que les accords de confidentialité et de non-divulgation sont conformes aux lois de la juridiction où ils s'appliquent.
Un examen des accords de confidentialité et de non-divulgation doit avoir lieu périodiquement et chaque fois que des changements ont un impact sur leurs exigences.
Plus d’informations sur la façon dont cela fonctionne sont disponibles dans le document standard ISO 27002:2022.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Contrôle 6.6 dans la nouvelle norme ISO 27002:2022 n'est pas un nouveau contrôle, il s'agit plutôt d'une version modifiée du contrôle 13.2.4 dans la norme ISO 27002:2013.
Bien que ces deux contrôles contiennent des fonctionnalités similaires, ils diffèrent légèrement. Par exemple, même si les instructions de mise en œuvre dans les deux versions sont similaires, elles ne sont pas identiques.
La première fait partie des directives de mise en œuvre dans le contrôle 13.2.4 de la norme ISO 27002:2013, il est indiqué que :
« Les accords de confidentialité ou de non-divulgation devraient répondre à l'exigence de protéger les informations confidentielles en utilisant des conditions juridiquement exécutoires. Les accords de confidentialité ou de non-divulgation sont applicables aux parties externes ou aux employés de l'organisation. Les éléments doivent être sélectionnés ou ajoutés en tenant compte du type de l’autre partie et de son accès ou traitement autorisé aux informations confidentielles.
La même section du contrôle 6.6 de la norme ISO 27002:2022 indique que :
« Les accords de confidentialité ou de non-divulgation devraient répondre à l'exigence de protéger les informations confidentielles en utilisant des conditions juridiquement exécutoires. Les accords de confidentialité ou de non-divulgation sont applicables aux parties intéressées et au personnel de l'organisation.
Sur la base des exigences de sécurité des informations d'une organisation, les termes des accords doivent être déterminés en tenant compte du type d'informations qui seront traitées, de leur niveau de classification, de leur utilisation et de l'accès autorisé par l'autre partie.
Les deux contrôles, bien que différant par leur signification sémantique, ont une structure et une fonction similaires dans leurs contextes respectifs. Cependant, le contrôle 6.6 utilise un langage plus simplifié et plus convivial afin que le contenu et le contexte soient plus faciles à comprendre. Cela signifie que ceux qui utiliseront la norme pourront s’identifier plus facilement à son contenu.
De plus, la version 2022 de la norme ISO 27002 comprend des déclarations d'objectif et des tableaux d'attributs pour chaque contrôle, qui aident les utilisateurs à comprendre et à mettre en œuvre les contrôles plus efficacement. Ces deux sections ne sont pas disponibles dans l'édition 2013.
Selon le contrôle 6.6 de la norme ISO 27002, le service des ressources humaines gère généralement la rédaction et la mise en œuvre de l'accord de confidentialité ou de non-divulgation dans la plupart des organisations, ce qui implique une collaboration avec le responsable ou le service superviseur du tiers concerné.
Le responsable superviseur peut être le responsable de la sécurité de l’information, le responsable des ventes ou de la production.
Ces départements et responsables sont également chargés de garantir que tous les fournisseurs tiers utilisés par l'organisation disposent de mesures de sécurité adéquates pour protéger les informations confidentielles contre toute divulgation ou utilisation non autorisée.
Ils doivent s'assurer que tous les employés signent un accord de confidentialité lorsqu'ils commencent à travailler pour l'entreprise.
Dans la plupart des cas (selon la taille de l'organisation), des accords de confidentialité ou de non-divulgation sont signés par tous les employés ayant accès aux informations confidentielles.
Cela inclut généralement tout employé travaillant dans les ventes, le marketing, le service client ou d'autres départements où il pourrait entrer en contact avec des informations confidentielles concernant les clients ou les fournisseurs.
Dans certains cas, même s'il n'existe pas d'accord écrit réel entre les deux parties, les organisations doivent mettre en place des politiques exigeant que les employés signent un accord de confidentialité avant d'être autorisés à accéder à des informations sensibles sur les clients ou les fournisseurs.
Certains risques associés à l’absence d’une politique d’accord de confidentialité adéquate comprennent :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Nous sommes économiques et rapides
La norme ISO 27002:2013 n'a pas été modifiée de manière significative. La norme a été mise à jour uniquement pour faciliter l'utilisation. Les organisations qui sont actuellement en conformité avec la norme ISO 27002:2013 n'ont pas besoin de prendre de mesures supplémentaires pour maintenir la conformité avec la norme.
Afin de se conformer aux révisions de la norme ISO 27002:2022, l'organisation peut juger nécessaire d'apporter quelques modifications mineures à ses processus et procédures existants, en particulier s'il est nécessaire de recertifier.
Pour en savoir plus sur la façon dont ces modifications apportées au contrôle 6.6 influenceront votre organisation, veuillez consulter notre guide sur la norme ISO 27002:2022.
ISO 27002 est une norme de sécurité de l'information largement reconnue qui fournit un ensemble d'exigences permettant à une organisation de protéger la confidentialité, l'intégrité et la disponibilité de ses informations. La norme a été élaborée par l'Organisation internationale de normalisation (ISO), une organisation non gouvernementale qui définit, examine et publie des normes internationales.
ISMS.Online aide les organisations et les entreprises à répondre aux exigences de la norme ISO 27002 en leur fournissant une plateforme qui facilite la gestion de leurs politiques et procédures de confidentialité ou de non-divulgation, leur mise à jour si nécessaire, leur test et le contrôle de leur efficacité.
Nous fournissons une plate-forme basée sur le cloud pour le gestion des systèmes de gestion de la confidentialité et de la sécurité de l'information, y compris les clauses de non-divulgation, la gestion des risques, les politiques, les plans et les procédures, dans un emplacement central. La plateforme est facile à utiliser et dispose d’une interface intuitive qui facilite l’apprentissage de son utilisation.
ISMS.Online vous permet de :
ISMS.Online propose un gamme complète de fonctionnalités pour aider les organisations et les entreprises à se conformer à la norme industrielle ISO 27001 et/ou ISO 27002 ISMS.
Veuillez nous contacter aujourd'hui pour planifier une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Depuis la migration, nous avons pu réduire le temps consacré à l'administration.
