Assurer l'élimination et la réutilisation sécurisées des équipements : explication du contrôle 27002 de la norme ISO 7.14
Lorsque des équipements informatiques tels que des disques externes, des clés USB, des ordinateurs portables ou des imprimantes ne sont plus nécessaires, ils sont soit physiquement détruits, renvoyés au locataire, transférés à un tiers, recyclés ou mis à disposition pour être réutilisés dans le cadre d'autres activités. opérations.
Considérant que cet équipement peut contenir actifs informationnels et les logiciels sous licence, les organisations doivent s'assurer que toutes les informations et tous les logiciels sous licence sont irrémédiablement effacés ou écrasés avant leur élimination ou leur réutilisation. Cela aidera à maintenir la confidentialité des informations contenues dans cet équipement.
Par exemple, si une organisation fait appel à un fournisseur de services externe d'élimination des actifs informatiques et transfère d'anciens ordinateurs portables, imprimantes et disques externes à ce fournisseur, ce fournisseur de services peut obtenir un accès non autorisé aux informations hébergées sur cet équipement.
Le contrôle 7.14 explique comment les organisations peuvent maintenir la confidentialité des informations stockées sur les équipements à éliminer ou à réutiliser en mettant en œuvre des mesures et procédures de sécurité appropriées.
Objectif du contrôle 7.14
Control 7.14 permet aux organisations d'empêcher tout accès non autorisé aux informations sensibles en confirmant que toutes les informations et tous les logiciels sous licence stockés sur l'équipement sont irréversiblement supprimés ou écrasés avant que l'équipement ne soit éliminé ou fourni à des tiers pour être réutilisé.
Attributs Table de contrôle 7.14
Le contrôle 7.14 est un type de contrôle préventif qui oblige les organisations à maintenir la confidentialité des informations hébergés sur les équipements qui seront éliminés ou déployés pour être réutilisés en établissant et en appliquant des procédures et des mesures appropriées pour l'élimination et la réutilisation.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Sécurité physique | #Protection |
| #La gestion d'actifs |
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Propriété du contrôle 7.14
La conformité au contrôle 7.14 nécessite l'établissement d'une procédure d'élimination-réutilisation des données à l'échelle de l'organisation, l'identification de tous les équipements et la mise en œuvre de mécanismes techniques d'élimination et d'un processus de réutilisation appropriés.
Par conséquent, le directeur de l’information devrait être responsable de l’établissement, de la mise en œuvre et de la maintenance des procédures et mécanismes d’élimination et de réutilisation des équipements.
Orientations générales sur la conformité
Le Contrôle 7.14 énumère quatre considérations clés que les organisations doivent prendre en compte pour la conformité :
- Une approche proactive doit être adoptée
Avant que l'équipement ne soit mis au rebut ou mis à disposition pour être réutilisé, les organisations doivent confirmer si l'équipement contient des actifs informationnels et logiciels sous licence et doit veiller à ce que ces informations ou logiciels soient définitivement supprimés.
- Destruction physique ou suppression irrémédiable des informations
Le contrôle 7.14 énumère deux méthodes par lesquelles les informations contenues dans l'équipement peuvent être supprimées de manière sécurisée et permanente :
- Les équipements hébergeant des supports de stockage contenant des informations doivent être physiquement détruits.
- Les informations stockées sur l'équipement doivent être effacées, écrasées ou détruites de manière irrécupérable afin que les parties malveillantes ne puissent pas accéder aux informations. Il est recommandé aux organisations d'examiner le contrôle 7.10 sur les supports de stockage et le contrôle 8.10 sur la suppression des informations.
- Suppression de toutes les étiquettes et marquages
Les composants de l'équipement et les informations qu'il contient peuvent comporter des étiquettes et des marquages qui identifient l'organisation ou divulguent le nom du propriétaire de l'actif, du réseau ou du niveau de classification des informations attribué.
Toutes ces étiquettes et marquages doivent être irrémédiablement détruits.
- Suppression des contrôles
En tenant compte des conditions suivantes, les organisations peuvent choisir de désinstaller tous les contrôles de sécurité tels que les restrictions d'accès ou les systèmes de surveillance lorsqu'elles quittent les installations :
- Les termes du contrat de location concernaient les conditions dans lesquelles il doit être restitué.
- Éliminer et atténuer le risque d’accès non autorisé aux informations sensibles par le prochain locataire.
- Si les contrôles existants peuvent être réutilisés dans la prochaine installation.
Orientations supplémentaires sur le contrôle 7.14
En plus des orientations générales, le Contrôle 7.14 comporte trois recommandations spécifiques pour les organisations.
Équipement endommagé
Lorsqu'un équipement endommagé contenant des informations est envoyé en réparation, il peut être exposé à un risque d'accès non autorisé par des tiers.
Les organisations devraient effectuer une évaluation des risques prenant en compte le niveau de sensibilité des informations et déterminez si la destruction de l’équipement est une option plus viable que la réparation.
Chiffrement complet du disque
Même si la technique de chiffrement complet du disque minimise considérablement les risques pour la confidentialité des informations, elle doit respecter les normes suivantes :
- Le cryptage est robuste et couvre toutes les parties du disque, y compris l’espace disponible.
- Les clés cryptographiques doivent être suffisamment longues pour empêcher les attaques par force brute.
- Les organisations doivent maintenir la confidentialité des clés cryptographiques. Par exemple, la clé de chiffrement ne doit pas être stockée sur le même disque.
Outils d'écrasement
Les organisations doivent choisir une technique d'écrasement en tenant compte des critères suivants :
- Niveau de classification des informations attribué à l'actif informationnel.
- Type de support de stockage sur lequel les informations sont stockées.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Modifications et différences par rapport à la norme ISO 27002:2013
27002:2022/7.14 replaces 27002:2013/(11.2.7)
Le Control 7.14 est en grande partie similaire à son homologue de la version 2013. Cependant, le Control 7.14 de la version 2022 inclut des exigences plus complètes dans les orientations générales.
Contrairement à la version 2013, la version 2022 introduit les exigences suivantes :
- Les organisations doivent supprimer tous les marquages et étiquettes identifiant l’organisation, le réseau et le niveau de classification.
- Les organisations devraient envisager de supprimer les contrôles mis en œuvre sur une installation lorsqu’elles quittent cette installation.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.online vous aide
ISMS.Online est une solution complète pour ISO 27002 la mise en œuvre.
Il s'agit d'un système Web qui vous permet de montrer que votre système de gestion de la sécurité de l'information (ISMS) est conforme aux normes approuvées en utilisant des processus, des procédures et des listes de contrôle bien pensés.
Contactez-nous dès aujourd'hui pour réserver une démo.
