Que requiert le contrôle A.3.5 ?
Les informations doivent être classées en fonction des besoins de sécurité de l'information de l'organisation, en tenant compte des données personnelles identifiables, sur la base des critères de confidentialité, d'intégrité, de disponibilité et des exigences des parties intéressées concernées.
Cette commande se trouve à l'intérieur de contrôles de sécurité partagés (Tableau A.3Elle étend les exigences de classification de l'information de la norme ISO 27001 en précisant que les informations personnelles identifiables doivent être prises en compte dans le système de classification et non traitées comme une simple réflexion après coup.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.3.5) fournit les indications suivantes :
- Le système de classification devrait tenir explicitement compte des informations personnelles en tant que catégorie d'informations nécessitant une protection
- Comprendre quelles informations personnelles l'organisation traite-t-elle ?, où il est stocké et par quels systèmes il peut circuler
- Considérons le type de données personnelles et si elle inclut des catégories particulières (par exemple, des données de santé, des données biométriques, l'origine raciale ou ethnique)
- La classification devrait guider l'application des contrôles appropriés, les classifications les plus élevées bénéficiant d'une protection renforcée.
- Le dispositif doit être pratique et appliqué de manière cohérente dans toute l'organisation.
- Voir aussi A.3.20 : Supports de stockage pour les exigences connexes
- Voir aussi A.3.21 : Élimination ou réutilisation sécurisée des équipements pour les exigences connexes
Les lignes directrices reconnaissent que les données personnelles ne constituent pas une catégorie unique et homogène. Une adresse électronique présente un profil de risque différent de celui d'un dossier médical. Le système de classification doit tenir compte de ces différences et garantir une protection proportionnée.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.5 correspond à GDPR Article 5(1)(f) (intégrité et confidentialité) et article 32(2) (obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour la sécurité du traitement). GDPR elle préconise une approche de la sécurité fondée sur les risques, et la classification est le mécanisme par lequel des niveaux de risque sont attribués à différents types d'informations.
Les catégories particulières de données personnelles visées à l'article 9 du RGPD doivent bénéficier du niveau de classification le plus élevé, reflétant les protections supplémentaires que le règlement exige pour ce type de données.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
En tant que contrôle de sécurité partagé, A.3.5 soutient le cadre plus large ISO 29100 Le cadre de classification est un mécanisme de gouvernance fondamental qui permet l'application cohérente du principe de sécurité de l'information à tous les types d'informations, les données personnelles identifiables recevant l'attention qu'elles requièrent.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.5, les auditeurs recherchent généralement :
- Schéma de classification — Une politique de classification documentée qui inclut explicitement les renseignements personnels et les catégories particulières de renseignements personnels comme critères de classification
- Inventaire des données — Un registre des données personnelles traitées par l'organisation, indiquant où elles sont stockées et quels systèmes les gèrent.
- décisions de classification — Preuve que les actifs contenant des informations personnelles identifiables ont été classés conformément au système (par exemple, les bases de données marquées comme « Confidentielles » ou « Restreintes »).
- Cartographie de contrôle — Preuves que les niveaux de classification déterminent l'application des contrôles de sécurité (classification plus élevée = contrôles plus stricts)
- Formation et sensibilisation — Preuve que le personnel comprend le système de classification et sait comment l'appliquer aux renseignements personnels
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.6 Étiquetage des informations | Une fois classifiées, les informations doivent être étiquetées de manière à ce que la classification soit visible et applicable. |
| A.3.3 Politiques de sécurité des informations | Le système de classification doit être défini dans la politique de sécurité de l'information ou y être référencé. |
| A.3.7 Transfert d'informations | Les règles de transfert doivent faire référence aux niveaux de classification afin de déterminer les mécanismes de transfert appropriés. |
| A.3.8 Gestion des identités | L'accès aux informations personnelles hautement classifiées devrait être restreint par des contrôles de gestion des identités et des accès. |
| A.3.4 Rôles et responsabilités | Les responsables de l'information (un rôle défini) sont chargés des décisions de classification. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée à la clause 6.5.2.1. Le fond reste inchangé, mais la restructuration de 2025 intègre plus clairement ce contrôle au cadre des contrôles de sécurité partagés. Les lignes directrices de mise en œuvre (B.3.5) insistent désormais davantage sur la compréhension des flux de données et des catégories particulières de données personnelles identifiables (DPI) dans le cadre du processus de classification. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la classification et la protection des informations personnelles identifiables ?
ISMS.en ligne vous aide à construire et à maintenir un système pratique de classification de l'information :
- Registre des actifs avec classification — Enregistrez chaque ressource informationnelle, attribuez-lui un niveau de classification et étiquetez les ressources contenant des données personnelles ou des catégories particulières de données personnelles.
- Cartographie des flux de données — Visualisez où sont stockées les informations personnelles et comment elles circulent dans les systèmes, afin de faciliter l'identification des actifs nécessitant une classification particulière.
- Liaison de contrôle — Associer les niveaux de classification aux contrôles de sécurité à appliquer à chaque niveau, en assurant une protection proportionnée
- Flux de travail d'examen — Planifiez des révisions périodiques de la classification et suivez leur réalisation afin que les classifications restent à jour malgré l'évolution des activités de traitement.
- Outils de sensibilisation — Diffuser les directives de classification au personnel et assurer le suivi des accusés de réception, en fournissant les preuves de formation attendues par les auditeurs.
Questions fréquentes
Comment les informations personnelles identifiables (IPI) devraient-elles s'intégrer dans un système de classification existant ?
La plupart des organisations utilisent un système de classification à plusieurs niveaux (par exemple, Public, Interne, Confidentiel, Restreint). Les données personnelles doivent généralement être classées au niveau Confidentiel ou supérieur, les catégories particulières de données personnelles (données de santé, biométriques, raciales/ethniques) étant classées au niveau le plus élevé. Si votre système actuel ne comporte pas de niveau reflétant adéquatement la sensibilité des données personnelles, envisagez d'en ajouter un ou de mettre à jour les descriptions des niveaux existants afin de traiter explicitement la question des données personnelles.
Faut-il classer chaque enregistrement individuel ?
Non. La classification s'applique généralement au niveau de l'actif (par exemple, une base de données, un partage de fichiers, une application) plutôt qu'au niveau de chaque enregistrement. L'essentiel est d'identifier les actifs contenant des données personnelles et de les classer en conséquence. Lorsqu'un même système contient différents types de données personnelles présentant différents niveaux de sensibilité, il convient de le classer en fonction des données les plus sensibles qu'il contient.
Quelles sont les catégories particulières de données personnelles identifiables (DPI) ?
En vertu du RGPD, les catégories particulières de données comprennent les données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques, les données biométriques d’identification, les données de santé et les données relatives à la vie sexuelle ou à l’orientation sexuelle. La norme ISO 27701 utilise le terme plus général de « données personnelles sensibles » et laisse la définition précise des catégories à la législation applicable. Votre système de classification doit identifier ces types de données et leur attribuer le niveau de protection le plus élevé.
Documentez ce contrôle dans votre Déclaration d'applicabilité avec votre justification de mise en œuvre.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.
