Lorsque des équipements informatiques tels que des disques externes, des clés USB, des ordinateurs portables ou des imprimantes ne sont plus nécessaires, ils sont soit physiquement détruits, renvoyés au locataire, transférés à un tiers, recyclés ou mis à disposition pour être réutilisés dans le cadre d'autres activités. opérations.
Considérant que cet équipement peut contenir actifs informationnels et les logiciels sous licence, les organisations doivent s'assurer que toutes les informations et tous les logiciels sous licence sont irrémédiablement effacés ou écrasés avant leur élimination ou leur réutilisation. Cela aidera à maintenir la confidentialité des informations contenues dans cet équipement.
Par exemple, si une organisation fait appel à un fournisseur de services externe d'élimination des actifs informatiques et transfère d'anciens ordinateurs portables, imprimantes et disques externes à ce fournisseur, ce fournisseur de services peut obtenir un accès non autorisé aux informations hébergées sur cet équipement.
Le contrôle 7.14 explique comment les organisations peuvent maintenir la confidentialité des informations stockées sur les équipements à éliminer ou à réutiliser en mettant en œuvre des mesures et procédures de sécurité appropriées.
Control 7.14 permet aux organisations d'empêcher tout accès non autorisé aux informations sensibles en confirmant que toutes les informations et tous les logiciels sous licence stockés sur l'équipement sont irréversiblement supprimés ou écrasés avant que l'équipement ne soit éliminé ou fourni à des tiers pour être réutilisé.
Le contrôle 7.14 est un type de contrôle préventif qui oblige les organisations à maintenir la confidentialité des informations hébergés sur les équipements qui seront éliminés ou déployés pour être réutilisés en établissant et en appliquant des procédures et des mesures appropriées pour l'élimination et la réutilisation.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité | #Protéger | #Sécurité physique #La gestion d'actifs | #Protection |
La conformité au contrôle 7.14 nécessite l'établissement d'une procédure d'élimination-réutilisation des données à l'échelle de l'organisation, l'identification de tous les équipements et la mise en œuvre de mécanismes techniques d'élimination et d'un processus de réutilisation appropriés.
Par conséquent, le directeur de l’information devrait être responsable de l’établissement, de la mise en œuvre et de la maintenance des procédures et mécanismes d’élimination et de réutilisation des équipements.
Le Contrôle 7.14 énumère quatre considérations clés que les organisations doivent prendre en compte pour la conformité :
Avant que l'équipement ne soit mis au rebut ou mis à disposition pour être réutilisé, les organisations doivent confirmer si l'équipement contient des actifs informationnels et logiciels sous licence et doit veiller à ce que ces informations ou logiciels soient définitivement supprimés.
Le contrôle 7.14 énumère deux méthodes par lesquelles les informations contenues dans l'équipement peuvent être supprimées de manière sécurisée et permanente :
Les composants de l'équipement et les informations qu'il contient peuvent comporter des étiquettes et des marquages qui identifient l'organisation ou divulguent le nom du propriétaire de l'actif, du réseau ou du niveau de classification des informations attribué.
Toutes ces étiquettes et marquages doivent être irrémédiablement détruits.
En tenant compte des conditions suivantes, les organisations peuvent choisir de désinstaller tous les contrôles de sécurité tels que les restrictions d'accès ou les systèmes de surveillance lorsqu'elles quittent les installations :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
En plus des orientations générales, le Contrôle 7.14 comporte trois recommandations spécifiques pour les organisations.
Lorsqu'un équipement endommagé contenant des informations est envoyé en réparation, il peut être exposé à un risque d'accès non autorisé par des tiers.
Les organisations devraient effectuer une évaluation des risques prenant en compte le niveau de sensibilité des informations et déterminez si la destruction de l’équipement est une option plus viable que la réparation.
Même si la technique de chiffrement complet du disque minimise considérablement les risques pour la confidentialité des informations, elle doit respecter les normes suivantes :
Les organisations doivent choisir une technique d'écrasement en tenant compte des critères suivants :
27002:2022/7.14 replaces 27002:2013/(11.2.7)
Le Control 7.14 est en grande partie similaire à son homologue de la version 2013. Cependant, le Control 7.14 de la version 2022 inclut des exigences plus complètes dans les orientations générales.
Contrairement à la version 2013, la version 2022 introduit les exigences suivantes :
ISMS.Online est une solution complète pour ISO 27002 la mise en œuvre.
Il s'agit d'un système Web qui vous permet de montrer que votre système de gestion de la sécurité de l'information (ISMS) est conforme aux normes approuvées en utilisant des processus, des procédures et des listes de contrôle bien pensés.
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |