Quels sont les contrôles de sécurité partagés dans la norme ISO 27701:2025 ?
Tableau A.3 de ISO 27701:2025 Annexe A définit 29 contrôles de sécurité de l'information qui s'appliquent à toute organisation traitant des informations personnelles identifiables, que ce soit en tant que responsable du traitement, sous-traitant ou les deux.
Ces contrôles ont remplacé les plus de 90 sous-clauses de la clause 6 de l'édition 2019. L'édition 2025 n'a conservé que les contrôles nécessitant des directives de mise en œuvre spécifiques aux données personnelles, en les regroupant en un ensemble ciblé. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète de 2019 à 2025.
Les instructions de mise en œuvre pour chaque contrôle figurent à l'annexe B, section B.3 (par exemple, les instructions pour A.3.3 Politiques de sécurité de l'information (se trouve en B.3.3).
Liste complète des contrôles du tableau A.3
| Contrôle | Objet | Résumé |
|---|---|---|
| A.3.3 Politiques de sécurité de l'information | Politiques de sécurité des informations | Définir, approuver et communiquer les politiques de sécurité de l'information relatives au traitement des données personnelles identifiables (DPI). |
| A.3.4 Rôles de sécurité | Rôles et responsabilités en matière de sécurité de l'information | Définir et attribuer les rôles et responsabilités de sécurité pour le traitement des données personnelles identifiables (DPI) |
| A.3.5 Classification des informations | Classement des informations | Classer les informations en tenant compte des données personnelles identifiables (DPI) en fonction de la confidentialité, de l'intégrité et de la disponibilité. |
| A.3.6 Étiquetage des informations | Étiquetage des informations | Élaborer des procédures d'étiquetage qui tiennent compte de la classification des données personnelles identifiables. |
| A.3.7 Transfert d'informations | Transfert d'information | Établir des règles, des procédures et des accords de transfert pour les informations personnelles identifiables. |
| A.3.8 Gestion des identités | Gestion d'identité | Gérer l'intégralité du cycle de vie des identités liées au traitement des données personnelles. |
| A.3.9 Droits d'accès | Des droits d'accès | Attribuer, examiner, modifier et supprimer les droits d'accès aux informations personnelles identifiables. |
| A.3.10 Accords avec les fournisseurs | Aborder la sécurité des informations dans les accords avec les fournisseurs | Établir les exigences de sécurité pour le traitement des informations personnelles avec chaque fournisseur |
| A.3.11 Gestion des incidents | Planification et préparation à la gestion des incidents | Planifiez et préparez-vous à gérer les incidents de sécurité liés aux données personnelles. |
| A.3.12 Réponse aux incidents de sécurité | Réponse aux incidents de sécurité de l'information | Répondre aux incidents de sécurité liés aux informations personnelles identifiables conformément aux procédures documentées |
| A.3.13 Exigences légales et réglementaires | Exigences légales, statutaires, réglementaires et contractuelles | Documenter les exigences légales et réglementaires relatives à la sécurité du traitement des données personnelles |
| A.3.14 Protection des dossiers | Protection des dossiers | Protéger les dossiers de traitement des informations personnelles contre la perte, la destruction et l'accès non autorisé |
| A.3.15 Examen indépendant | Examen indépendant de la sécurité de l’information | Examiner de manière indépendante l'approche adoptée en matière de gestion de la sécurité des données personnelles. |
| A.3.16 Conformité aux politiques | Respect des politiques, règles et normes | Examiner régulièrement la conformité aux politiques de sécurité relatives au traitement des renseignements personnels. |
| A.3.17 Sensibilisation et formation à la sécurité | Sensibilisation, éducation et formation à la sécurité de l’information | Fournir une formation appropriée de sensibilisation à la sécurité relative au traitement des données personnelles identifiables. |
| A.3.18 Accords de confidentialité | Accords de confidentialité ou de non-divulgation | Identifier, documenter et examiner les accords de confidentialité pour la protection des renseignements personnels. |
| A.3.19 Bureau dégagé et écran dégagé | Bureau clair et écran clair | Définir et appliquer des règles de bureau et d'écran dégagés pour les installations contenant des informations personnelles identifiables (IPI). |
| A.3.20 Supports de stockage | Supports de stockage | Gérer les supports de stockage contenant des informations personnelles tout au long de leur cycle de vie |
| A.3.21 Élimination sécurisée des équipements | Élimination ou réutilisation sécurisée des équipements | Vérifiez que les données personnelles sont supprimées de l'équipement avant sa mise au rebut ou sa réutilisation. |
| A.3.22 Dispositifs terminaux utilisateur | Appareils de point de terminaison utilisateur | Protéger les informations personnelles sur les appareils des utilisateurs |
| A.3.23 Authentification sécurisée | Authentification sécurisée | Mettre en œuvre une authentification sécurisée pour les systèmes de traitement des informations personnelles identifiables (IPI). |
| A.3.24 Sauvegarde des informations | Sauvegarde des informations | Maintenir et tester les copies de sauvegarde des données personnelles et des systèmes associés. |
| A.3.25 Exploitation forestière | Journal | Produire, stocker, protéger et analyser les journaux d'activités de traitement des données personnelles. |
| A.3.26 Utilisation de la cryptographie | Utilisation de la cryptographie | Définir et mettre en œuvre des règles de cryptographie pour le traitement des informations personnelles identifiables (IPI) |
| A.3.27 Cycle de vie du développement sécurisé | Cycle de vie de développement sécurisé | Établir des règles pour le développement sécurisé des systèmes de traitement des données personnelles identifiables (DPI) |
| A.3.28 Sécurité des applications | Exigences de sécurité des applications | Identifier les exigences de sécurité relatives aux informations personnelles identifiables lors du développement ou de l'acquisition d'applications |
| A.3.29 Architecture système sécurisée | Architecture de système sécurisée et principes d’ingénierie | Établir des principes pour la conception de systèmes de traitement sécurisés des informations personnelles identifiables (IPI). |
| A.3.30 Développement externalisé | Développement externalisé | Diriger, superviser et examiner le développement des systèmes de traitement des données personnelles externalisés |
| A.3.31 Informations sur les tests | Informations de test | Sélectionner, protéger et gérer de manière appropriée les informations de test pour le traitement des données personnelles. |
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quel est le lien entre ces commandes et l'édition 2019 ?
Les 29 contrôles du tableau A.3 sont des dérivés directs de l'article 6 de l'édition 2019. Cependant, l'édition 2019 Article 6 Elle comportait plus de 90 sous-clauses, la plupart faisant référence aux contrôles de la norme ISO 27002. L'édition 2025 a supprimé les sous-clauses ne fournissant aucune indication spécifique sur les données personnelles (sécurité physique, sécurité du réseau, protection contre les logiciels malveillants, continuité d'activité, etc.) et a regroupé les contrôles restants.
Pour la cartographie complète, voir le Tableau de correspondance de l'annexe F.
Qui doit mettre en œuvre le tableau A.3 ?
Toute organisation souhaitant obtenir la certification ISO 27701:2025 doit prendre en compte le tableau A.3, qu'elle agisse en tant que responsable du traitement ou sous-traitant de données personnelles. Ces mesures constituent le fondement de la sécurité de l'information de votre système de gestion des informations relatives à la protection de la vie privée.
Si vous êtes également titulaire de la certification ISO 27001, bon nombre de ces contrôles vous seront déjà familiers. La principale différence réside dans le fait que le tableau A.3 ajoute des exigences spécifiques aux données personnelles à chaque contrôle ; par exemple, A.3.25 Exploitation forestière (La journalisation) exige spécifiquement l'enregistrement de qui a accédé aux données de quel principal PII et des modifications qui ont été apportées.
Pourquoi nous choisir ISMS.en ligne pour les contrôles de sécurité partagés ?
ISMS.en ligne vous aide à mettre en œuvre le tableau A.3 en parallèle de vos autres exigences de conformité :
- Intégré à la norme ISO 27001 — Si vous disposez déjà de contrôles conformes à la norme ISO 27001, consultez le tableau A.3 qui ajoute des exigences spécifiques aux données personnelles sans duplication de travail.
- Gestion de politique — Rédiger, approuver, diffuser et suivre la prise en compte des politiques de sécurité relatives aux données personnelles.
- gestion des incidents — Consigner, évaluer et répondre aux incidents de sécurité liés aux données personnelles avec suivi des notifications
- Gestion des fournisseurs — Suivre les accords avec les fournisseurs, les exigences de sécurité et l'état de conformité
- Outils d'audit — Planifier des examens indépendants et des contrôles de conformité aux exigences du tableau A.3
- Preuves reliant — Joindre directement les politiques, les procédures et les résultats d'audit à chaque contrôle.
Questions fréquentes
Pourquoi n'y a-t-il que 29 contrôles alors que l'édition 2019 comportait plus de 90 sous-clauses ?
L'édition 2019 faisait référence à chaque contrôle de la norme ISO 27002, avec des ajouts relatifs à la protection des données personnelles. De nombreuses sous-clauses se contentaient d'indiquer « aucune recommandation supplémentaire ». L'édition 2025 a supprimé ces sous-clauses et n'a conservé que les 29 contrôles nécessitant des recommandations spécifiques pour la mise en œuvre de la protection des données personnelles, ce qui rend le périmètre plus ciblé et auditable.
Ai-je besoin du tableau A.3 si je possède déjà la norme ISO 27001 ?
Oui. Les contrôles du tableau A.3 correspondent à des exigences spécifiques à la norme ISO 27701, et non à celles de la norme ISO 27001. Ils ajoutent des exigences relatives à la protection des données personnelles à vos contrôles de sécurité existants. Toutefois, une grande partie de vos éléments de preuve et de votre mise en œuvre de la norme ISO 27001 restent directement pertinents.
Qu’est-il advenu des contrôles tels que la sécurité physique et la protection contre les logiciels malveillants ?
Ces éléments ont été retirés de la norme ISO 27701:2025 car ils ne nécessitaient pas de recommandations d'implémentation spécifiques aux données personnelles. Si vous êtes certifié ISO 27001, ces éléments restent couverts par cette norme. Ils ne sont pas supprimés de votre programme de sécurité ; ils ne relèvent simplement plus du champ d'application de la norme ISO 27701.
Enregistrez vos sélections de commandes partagées dans un Déclaration d'applicabilité à côté des commandes de votre contrôleur ou de votre processeur.
Les RSSI qui gèrent l'ensemble de contrôles partagés devraient lire notre Guide du RSSI relatif à la norme ISO 27701:2025.
Nos guide des exigences en matière de preuves d'audit décrit ce que les auditeurs recherchent dans ces contrôles partagés.
