Objectif du contrôle 8.11
Le masquage des données est une technique utilisée pour protéger les données sensibles – généralement toutes les données pouvant être considérées comme des informations personnelles identifiables (PII) – au-delà des protocoles standard de sécurité des informations d'une organisation tels que le contrôle d'accès, etc.
Le masquage des données est souvent mentionné dans les directives juridiques, statutaires et réglementaires ainsi que dans les lois régissant le stockage et l'accès aux informations sur les employés, les clients, les utilisateurs et les fournisseurs.
Attributs Table de contrôle 8.11
Le contrôle 8.11 est un préventif contrôler cela modifie le risque en suggérant une série de techniques de masquage des données qui protègent les informations personnelles et aident l'organisation à rester conforme à ce qui lui est demandé par les autorités judiciaires et les agences de régulation.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Protection des informations | #Protection |
Propriété du contrôle 8.11
Le masquage des données est un processus technique complexe qui consiste à modifier des informations sensibles et à empêcher les utilisateurs d'identifier les personnes concernées par diverses mesures.
Bien qu'il s'agisse en soi d'une tâche administrative, la nature du masquage des données est directement liée à la capacité d'une organisation à rester conforme aux lois, réglementations et directives statutaires concernant le stockage, l'accès et le traitement des données. En tant que tel, la propriété devrait appartenir au Responsable de la sécurité de l'information, ou équivalent organisationnel.
La conformité ne doit pas être compliquée.
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Orientations générales sur la conformité
Le contrôle 8.11 demande aux organisations d'envisager le masquage des données à travers deux techniques principales : pseudonymisation et/ou anonymisation. Ces deux méthodes sont conçues pour dissimuler le véritable objectif des informations personnelles par le biais de la dissociation, c'est-à-dire en cachant le lien entre les données brutes et le sujet (généralement une personne).
Les organisations doivent faire très attention à ce qu'aucune donnée ne compromette l'identité du sujet.
Lorsqu’elles utilisent l’une ou l’autre de ces techniques, les organisations doivent prendre en compte :
- Le niveau de pseudonymisation et/ou d’anonymisation requis, relatif à la nature des données.
- Comment les données masquées sont accessibles.
- Tout accord contraignant limitant l'utilisation des données doit être masqué.
- Garder les données masquées séparées de tout autre type de données, afin d'éviter que la personne concernée ne soit facilement identifiée.
- Enregistrement de la date de réception des données et de la manière dont elles ont été fournies à des sources internes ou externes.
Conseils – Techniques supplémentaires
La pseudonymisation et l'anonymisation ne sont pas les seules méthodes disponibles pour les organisations cherchant à masquer les informations personnelles ou les données sensibles. Control 8.11 présente 5 autres méthodes qui peuvent être utilisées pour renforcer la sécurité des données :
- Cryptage basé sur une clé.
- Annuler ou supprimer des caractères dans l’ensemble de données.
- Nombres et dates variables.
- Remplacement des valeurs dans les données.
- Masquage des valeurs basé sur le hachage.
Conseils – Principes de masquage des données
Le masquage des données est un élément important de la politique d'une organisation visant à protéger les informations personnelles et à sauvegarder l'identité des personnes sur lesquelles elle détient des données.
En plus des techniques ci-dessus, les organisations doivent prendre en compte les suggestions ci-dessous lors de l'élaboration de leur stratégie en matière de masquage des données :
- Mettre en œuvre des techniques de masquage qui ne révèlent que quantité minimale de données à quiconque l'utilise.
- « Obfusquer » (masquer) certaines données à la demande du sujet et permettre uniquement à certains membres du personnel d'accéder aux sections qui les concernent.
- Construire leur opération de masquage de données autour de directives juridiques et réglementaires spécifiques.
- Lorsque la pseudonymisation est mise en œuvre, l'algorithme utilisé pour « démasquer » les données est conservé en toute sécurité.
Gérez toute votre conformité en un seul endroit
ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.
Modifications et différences par rapport à la norme ISO 27002:2013
Aucun. Le contrôle 8.11 n'a pas de précédent dans la norme ISO 27002:2013 car il est nouveau.
Nouveaux contrôles ISO 27002
Nouveaux contrôles
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NEW | Intelligence de la menace |
| 5.23 | NEW | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NEW | Préparation aux TIC pour la continuité des activités |
| 7.4 | NEW | Surveillance de la sécurité physique |
| 8.9 | NEW | Gestion de la configuration |
| 8.10 | NEW | Suppression des informations |
| 8.11 | NEW | Masquage des données |
| 8.12 | NEW | Prévention des fuites de données |
| 8.16 | NEW | Activités de surveillance |
| 8.23 | NEW | filtrage web |
| 8.28 | NEW | Codage sécurisé |
Contrôles organisationnels
Contrôles des personnes
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Contrôles physiques
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NEW | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Contrôles technologiques
Comment ISMS.online vous aide
Notre plate-forme basée sur le cloud vous offre un cadre robuste de contrôles de sécurité des informations afin que vous puissiez vérifier votre processus ISMS au fur et à mesure pour vous assurer qu'il répond aux exigences de la norme ISO 27002:2022.
Contactez-nous dès aujourd'hui pour réserver une démo.
Aller au sujet
Obtenez une certification jusqu'à 5 fois plus rapidement
Remplissez simplement les blancs.
Demander demo Demande de Pro forma
