L'utilisation de périphériques de stockage tels que des disques SSD, des clés USB, des disques externes et des téléphones mobiles est essentielle à de nombreuses opérations de traitement d'informations critiques telles que la sauvegarde, le stockage et le transfert d'informations.
Cependant, le stockage de données sensibles et critiques les informations sur ces appareils présentent des risques pour l'intégrité, la confidentialité et la disponibilité des actifs informationnels. Ces risques peuvent inclure la perte ou le vol de supports de stockage contenant des informations sensibles, la propagation de logiciels malveillants dans tous les réseaux informatiques d'entreprise via les supports de stockage, ainsi que la panne et la dégradation des supports de stockage utilisés pour la sauvegarde des données.
Le contrôle 7.10 explique comment les organisations peuvent établir des procédures, des politiques et des contrôles appropriés pour maintenir la sécurité des supports de stockage tout au long de leur cycle de vie, de leur acquisition à leur élimination.
Control 7.10 permet aux organisations d'éliminer et d'atténuer les risques d'accès, d'utilisation, de suppression, de modification et de transfert non autorisés d'informations sensibles hébergées sur des périphériques de stockage en définissant des procédures pour la gestion des supports de stockage tout au long de leur cycle de vie.
Le contrôle 7.10 est un type de contrôle préventif qui oblige les organisations à créer, mettre en œuvre et maintenir des procédures et des mesures pour assurer la sécurité des périphériques de stockage depuis leur acquisition jusqu'à leur élimination.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité physique #La gestion d'actifs | #Protection |
Le contrôle 7.10 s'applique à la fois aux supports de stockage numériques et physiques. Par exemple stockage d'informations sur des fichiers physiques est également couvert par le contrôle 7.10.
En outre, outre les supports de stockage amovibles, les supports de stockage fixes tels que les disques durs sont également soumis au contrôle 7.10.
Le contrôle 7.10 exige que les organisations créent et mettent en œuvre des procédures appropriées, des contrôles techniques et des politiques à l'échelle de l'organisation sur l'utilisation des supports de stockage, basées sur le propre système de classification de l'organisation et ses exigences en matière de traitement des données telles que les obligations légales et contractuelles.
Compte tenu de cela, les responsables de la sécurité de l’information devraient être responsables de l’ensemble du processus de conformité.
Bien que les supports de stockage amovibles soient essentiels à de nombreuses opérations commerciales et qu'ils soient couramment utilisés par la plupart du personnel, ils présentent le plus haut degré de risque pour les informations sensibles.
Control 7.10 répertorie dix exigences que les organisations doivent respecter pour la gestion des supports de stockage amovibles tout au long de leur cycle de vie :
Control 7.10 fournit des conseils distincts sur la réutilisation et l'élimination sécurisées des supports de stockage afin que les organisations puissent atténuer et éliminer les risques de compromission de la confidentialité des informations.
Le contrôle 7.10 souligne que les organisations doivent définir et appliquer des procédures de réutilisation et d'élimination des supports de stockage, en tenant compte du niveau de sensibilité des informations contenues dans les supports de stockage.
En établissant ces procédures, les organisations doivent prendre en compte les éléments suivants :
Dernier point mais non le moindre, le Contrôle 7.10 exige que les organisations effectuent une évaluation des risques sur les équipements endommagés stockant des informations confidentielles décider si l'équipement doit être détruit au lieu d'être réparé.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
27002:2022/7.10 remplace 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
Il y a quatre différences clés qui doivent être soulignées :
Alors que la version 2013 contenait trois contrôles sur la gestion des médias, de l'élimination des médias et du transfert des médias physiques, la version 2022 combine ces trois contrôles sous le contrôle 7.10.
Contrairement à la version 2013 qui traitait uniquement de l'élimination sécurisée des supports de stockage, la version 2022 traite également de la réutilisation sécurisée des supports de stockage.
La version 2013 impliquait des exigences plus complètes pour le transfert physique des supports de stockage. Par exemple, la version 2013 comprenait des règles sur la vérification de l'identité des coursiers et des normes d'emballage.
En revanche, le contrôle 7.10 de la version 2022 indiquait uniquement que les organisations devaient agir avec diligence lors du choix des prestataires de services tels que les coursiers.
Alors que les versions 2022 et 2013 sont dans une large mesure similaires en termes d'exigences relatives aux supports de stockage amovibles, la version 2022 introduit l'exigence d'établir une politique thématique spécifique sur les supports de stockage amovibles. La version 2013, en revanche, ne répondait pas à cette exigence.
Les Plateforme ISMS.online utilise une approche basée sur les risques combinée aux meilleures pratiques et modèles de pointe du secteur pour vous aider à identifier les risques auxquels votre organisation est confrontée et les contrôles nécessaires pour gérer ces risques. Cela vous permet de réduire systématiquement à la fois votre exposition aux risques et vos coûts de conformité.
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Nous sommes économiques et rapides