ISO 27002:2022, Contrôle 7.10 – Supports de stockage

Contrôles révisés ISO 27002 : 2022

Demander demo

image recadrée,de,professionnel,femme d'affaires,travaillant,à,son,bureau,via

L'utilisation de périphériques de stockage tels que des disques SSD, des clés USB, des disques externes et des téléphones mobiles est essentielle à de nombreuses opérations de traitement d'informations critiques telles que la sauvegarde, le stockage et le transfert d'informations.

Cependant, le stockage de données sensibles et critiques les informations sur ces appareils présentent des risques pour l'intégrité, la confidentialité et la disponibilité des actifs informationnels. Ces risques peuvent inclure la perte ou le vol de supports de stockage contenant des informations sensibles, la propagation de logiciels malveillants dans tous les réseaux informatiques d'entreprise via les supports de stockage, ainsi que la panne et la dégradation des supports de stockage utilisés pour la sauvegarde des données.

Le contrôle 7.10 explique comment les organisations peuvent établir des procédures, des politiques et des contrôles appropriés pour maintenir la sécurité des supports de stockage tout au long de leur cycle de vie, de leur acquisition à leur élimination.

Objectif du contrôle 7.10

Control 7.10 permet aux organisations d'éliminer et d'atténuer les risques d'accès, d'utilisation, de suppression, de modification et de transfert non autorisés d'informations sensibles hébergées sur des périphériques de stockage en définissant des procédures pour la gestion des supports de stockage tout au long de leur cycle de vie.

Tableau des attributs

Le contrôle 7.10 est un type de contrôle préventif qui oblige les organisations à créer, mettre en œuvre et maintenir des procédures et des mesures pour assurer la sécurité des périphériques de stockage depuis leur acquisition jusqu'à leur élimination.

Type de contrôlePropriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif#Confidentialité
#Intégrité
#Disponibilité		#Protéger#Sécurité physique
#La gestion d'actifs 		#Protection
Aller au sujet
Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Quels supports de stockage sont couverts par Control 7.10 ?

Le contrôle 7.10 s'applique à la fois aux supports de stockage numériques et physiques. Par exemple stockage d'informations sur des fichiers physiques est également couvert par le contrôle 7.10.

En outre, outre les supports de stockage amovibles, les supports de stockage fixes tels que les disques durs sont également soumis au contrôle 7.10.

Propriété du contrôle 7.10

Le contrôle 7.10 exige que les organisations créent et mettent en œuvre des procédures appropriées, des contrôles techniques et des politiques à l'échelle de l'organisation sur l'utilisation des supports de stockage, basées sur le propre système de classification de l'organisation et ses exigences en matière de traitement des données telles que les obligations légales et contractuelles.

Compte tenu de cela, les responsables de la sécurité de l’information devraient être responsables de l’ensemble du processus de conformité.

Orientations générales sur la conformité

Supports de stockage amovibles

Bien que les supports de stockage amovibles soient essentiels à de nombreuses opérations commerciales et qu'ils soient couramment utilisés par la plupart du personnel, ils présentent le plus haut degré de risque pour les informations sensibles.

Control 7.10 répertorie dix exigences que les organisations doivent respecter pour la gestion des supports de stockage amovibles tout au long de leur cycle de vie :

  1. Les organisations doivent établir une politique thématique spécifique sur l’acquisition, l’autorisation, l’utilisation et l’élimination des supports de stockage amovibles. Cette politique doit être communiquée à tout le personnel et à toutes les parties concernées.

  2. Si cela est pratique et nécessaire, les organisations doivent mettre en place des procédures d'autorisation sur la manière dont les supports de stockage amovibles peuvent être retirés des locaux de l'entreprise. En outre, les organisations doivent conserver des journaux de retrait des supports de stockage à des fins de piste d’audit.

  3. Tous les supports de stockage amovibles doivent être stockés dans une zone sécurisée telle qu'un coffre-fort, en tenant compte du niveau de classification des informations attribué à l'information et des menaces environnementales et physiques pesant sur les supports de stockage.

  4. Si la confidentialité et l'intégrité des informations contenues sur les supports de stockage amovibles revêtent une importance cruciale, des techniques cryptographiques doivent être utilisées pour protéger les supports de stockage contre tout accès non autorisé.

  5. Contre le risque de dégradation des supports de stockage amovibles et de perte des informations stockées sur le support, les informations doivent être transférées vers un nouveau périphérique de stockage avant qu'un tel risque ne se produise.

  6. Les informations critiques et sensibles doivent être copiées et stockées sur plusieurs supports de stockage afin de minimiser le risque de perte d'informations critiques.

  7. Pour atténuer le risque de perte totale d’informations, l’enregistrement des périphériques de stockage amovibles peut être une option à envisager.

  8. À moins qu’il n’y ait une raison professionnelle d’utiliser des ports de supports de stockage amovibles tels que des ports USB ou des emplacements pour carte SD, ils ne devraient pas être autorisés.

  9. Un mécanisme de surveillance doit être mis en place pour le transfert d'informations vers des périphériques de stockage amovibles.

  10. Lorsque des informations contenues sur des supports physiques tels que des papiers sont transférées par courrier ou par courrier, il existe un risque élevé d'accès non autorisé à ces informations. Des mesures appropriées doivent donc être appliquées.

Conseils sur la réutilisation et l'élimination sécurisées des supports de stockage

Control 7.10 fournit des conseils distincts sur la réutilisation et l'élimination sécurisées des supports de stockage afin que les organisations puissent atténuer et éliminer les risques de compromission de la confidentialité des informations.

Le contrôle 7.10 souligne que les organisations doivent définir et appliquer des procédures de réutilisation et d'élimination des supports de stockage, en tenant compte du niveau de sensibilité des informations contenues dans les supports de stockage.

En établissant ces procédures, les organisations doivent prendre en compte les éléments suivants :

  1. Si un support de stockage doit être réutilisé par une partie interne au sein d'une organisation, les informations sensibles hébergées sur ce support de stockage doivent être supprimées ou reformatées de manière irréversible avant d'être autorisées à être réutilisées.

  2. Les supports de stockage hébergeant des informations sensibles doivent être détruits de manière sécurisée lorsqu’ils ne sont plus nécessaires. Par exemple, les documents papier peuvent être déchiquetés et les équipements numériques peuvent être physiquement détruits.

  3. Il devrait y avoir une procédure pour l'identification des éléments de support de stockage qui doivent être éliminés.

  4. Lorsque les organisations choisissent de travailler avec une partie externe pour gérer la collecte et l'élimination des supports de stockage, elles doivent prendre les mesures nécessaires. diligence pour s’assurer que le fournisseur choisi est compétent et il met en œuvre des contrôles appropriés.

  5. Tenir un registre de tous les articles éliminés pour Piste d'audit.

  6. Lorsque plusieurs supports de stockage doivent être éliminés ensemble, l'effet d'accumulation doit être pris en compte : la combinaison de différents éléments d'information de chaque support de stockage peut transformer des informations non sensibles en informations sensibles.

Dernier point mais non le moindre, le Contrôle 7.10 exige que les organisations effectuent une évaluation des risques sur les équipements endommagés stockant des informations confidentielles décider si l'équipement doit être détruit au lieu d'être réparé.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/7.10 remplace 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Il y a quatre différences clés qui doivent être soulignées :

  • Changements structurels

Alors que la version 2013 contenait trois contrôles sur la gestion des médias, de l'élimination des médias et du transfert des médias physiques, la version 2022 combine ces trois contrôles sous le contrôle 7.10.

  • La version 2022 inclut des exigences pour la réutilisation des supports de stockage

Contrairement à la version 2013 qui traitait uniquement de l'élimination sécurisée des supports de stockage, la version 2022 traite également de la réutilisation sécurisée des supports de stockage.

  • La version 2013 contient des exigences plus complètes pour le transfert physique des supports de stockage

La version 2013 impliquait des exigences plus complètes pour le transfert physique des supports de stockage. Par exemple, la version 2013 comprenait des règles sur la vérification de l'identité des coursiers et des normes d'emballage.

En revanche, le contrôle 7.10 de la version 2022 indiquait uniquement que les organisations devaient agir avec diligence lors du choix des prestataires de services tels que les coursiers.

  • La version 2022 nécessite une politique spécifique à un sujet sur les supports de stockage amovibles

Alors que les versions 2022 et 2013 sont dans une large mesure similaires en termes d'exigences relatives aux supports de stockage amovibles, la version 2022 introduit l'exigence d'établir une politique thématique spécifique sur les supports de stockage amovibles. La version 2013, en revanche, ne répondait pas à cette exigence.

Comment ISMS.online vous aide

Les Plateforme ISMS.online utilise une approche basée sur les risques combinée aux meilleures pratiques et modèles de pointe du secteur pour vous aider à identifier les risques auxquels votre organisation est confrontée et les contrôles nécessaires pour gérer ces risques. Cela vous permet de réduire systématiquement à la fois votre exposition aux risques et vos coûts de conformité.

Contactez-nous dès aujourd'hui pour réserver une démo.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage