En plus de gérer l'utilisation continue des données et des informations sur les serveurs internes et les périphériques de stockage (disques durs, baies, clés USB, etc.), l'organisation doit être parfaitement consciente de ses obligations en matière de suppression de toutes les données détenues sur les employés, les utilisateurs et les clients. ou des organisations lorsque cela est raisonnablement nécessaire (généralement lorsque cela n’est plus nécessaire).
Le contrôle 8.10 est un contrôle préventif qui modifie le risque en décrivant une approche de suppression des données qui complète les politiques de conservation des données existantes d'une organisation et les maintient conformes aux lois ou directives réglementaires en vigueur.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité | #Protéger | #Protection des informations #Juridique et Conformité | #Protection |
Control 8.10 traite en grande partie des tâches de maintenance liées à la suppression et à la destruction de données et/ou d'actifs informatiques, y compris l'utilisation de logiciels spécialisés et la liaison avec des fournisseurs spécialisés dans la suppression de données et d'appareils. En tant que tel, la propriété doit appartenir au responsable informatique ou à son équivalent organisationnel.
Il peut parfois être difficile de déterminer quand les données doivent être supprimées. En règle générale, le Contrôle 8.10 demande aux organisations de supprimer les données lorsqu'elles ne sont plus nécessaires, afin de minimiser ce que l'on appelle divulgation indésirable – c'est-à-dire que les données sont consultées ou transmises à des individus et à des organisations qui ne sont pas autorisés à y accéder.
Conformément à cette directive, lorsque vient le temps de supprimer des données, les organisations doivent :
Lors de la formulation d’un processus de suppression, les organisations doivent :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Lors de l'expédition d'équipements (notamment des serveurs et des postes de travail) aux fournisseurs, les organisations doivent retirer tout périphérique de stockage interne ou externe avant de le faire.
Aucun. Le contrôle 8.10 n'a pas de précédent dans la norme ISO 27002:2013 car il est nouveau.
La plateforme ISMS.online fournit une gamme d'outils puissants qui simplifient la façon dont vous pouvez documenter, mettre en œuvre, maintenir et améliorer votre système de gestion de la sécurité de l'information (ISMS) et atteindre la conformité à la norme ISO 27002.
L'ensemble complet d'outils vous offre un endroit central où vous pouvez créer un ensemble de politiques et de procédures sur mesure qui s'alignent sur les risques et les besoins spécifiques de votre organisation. Il permet également une collaboration entre collègues ainsi qu’avec des partenaires externes tels que des fournisseurs ou des auditeurs tiers.
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |