Comprendre les responsabilités de direction dans la clause 27701 de la norme ISO 5.3
Le leadership et la gestion organisationnels sont un thème récurrent dans toutes les différentes normes ISO relatives aux systèmes de management de la sécurité de l'information.
Les politiques et procédures ne sont efficaces que si elles sont à la fois reconnues et uniformément respectées. La haute direction joue un rôle clé pour garantir que PII et Activités liées au PIMS reçoivent le niveau de respect et de professionnalisme que justifie leur rôle dans la minimisation des risques et l’amélioration de la sécurité de l’information à tous les niveaux.
Ce qui est couvert par la clause 27701 de la norme ISO 5.3
La clause 5.3 traite directement du rôle de la haute direction dans l'établissement d'un PIMS qui répond aux obligations externes d'une organisation et aux exigences PII de fond en comble, à travers trois domaines opérationnels clés :
- Leadership et engagement.
- Politique
- Rôles organisationnels, responsabilités et autorités.
Pour y parvenir, l'ISO 27701-5.3 contient trois sous-paragraphes qui directives de référence de 27001:2013.
Toutes ces clauses doivent être considérées sous l’angle de l’établissement et du maintien d’un PIMS, de la sécurité des informations personnelles et de la protection de la vie privée, plutôt que d’être largement appliquées à la sécurité de l’information en tant que concept.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 5.3.1 – Leadership et engagement
Références ISO 27001 Contrôle 5.1
La norme ISO 27001 :2013-5.1 contient 7 points d'orientation principaux qui aident la direction à faire preuve de « leadership et d'engagement » lors de la rédaction d'une politique de sécurité de l'information relative aux informations personnelles.
Tout au long du processus d’établissement d’un PIMS, la haute direction doit :
- Gardez à l'esprit les objectifs opérationnels du système de gestion dans son ensemble et assurez-vous que les activités liées au PIMS sont alignées sur ce que l'entreprise tente d'atteindre ;
- Veiller à ce que le PIMS de l'organisation soit intégré à l'ensemble des processus de sécurité de l'information de l'entreprise ;
- Mettre à disposition une quantité adéquate de ressources pour mettre en œuvre un PIMS fonctionnel – y compris un espace budgétaire et le nombre adéquat d’employés pour le mettre en œuvre et le maintenir ;
- Faire connaître les avantages d'un PIMS à tout le personnel de l'organisation – et pas seulement à ceux qui interagissent directement avec lui – afin de maximiser l'adhésion des employés et d'améliorer leur adhésion ;
- Convenir d'un ensemble clair de résultats, afin de mesurer les performances d'un PIMS et son impact sur la sécurité des informations personnelles ;
- Fournir un leadership et un soutien à tout employé qui joue un rôle dans l'amélioration des performances du PIMS, et entretenir une attitude proactive envers la protection des informations personnelles ;
- Offrir des conseils et un soutien aux membres de l’équipe de direction junior, dans les domaines de leur travail qui sont directement liés aux activités liées au PIMS et à la sécurité des informations personnelles.
ISO 27701 Clause 5.3.2 – Politique
Références ISO 27001 Contrôle 5.2
Les politiques d’information constituent le pain et le beurre des efforts plus larges d’une organisation en matière de protection de la vie privée.
La haute direction utilise des protocoles et des procédures non seulement pour améliorer la gestion des risques liés à la sécurité de l'information dans son ensemble, mais également comme outil pour mesurer les performances du personnel et démontrer aux autorités légales et réglementaires que l'organisation remplit ses obligations envers les informations personnelles.
Les politiques de sécurité des informations relatives à la protection de la vie privée, aux informations personnelles et au PIMS doivent :
- Rester pertinent et adapté aux besoins commerciaux et liés aux ressources uniques de l'organisation ;
- Définir un ensemble clair d'objectifs liés aux informations personnelles ou, lorsque cela n'est pas pertinent, contribuer à établir un cadre pour la définition des futurs objectifs de sécurité et de confidentialité (voir ISO 27001 article 6.2*);
- Soyez conscient de toutes les exigences organisationnelles spécifiques relatives aux informations personnelles, y compris celles des organismes juridiques, consultatifs et réglementaires tiers ;
- Promouvoir une approche proactive envers l'évaluation continue du PIMS de l'organisation, y compris les améliorations qui peuvent être apportées ;
Une fois établies, les politiques doivent être mises à la disposition de tout le personnel concerné sous forme de documents dont les versions sont contrôlées et être largement communiquées dans toute l'organisation – soit au moment de leur création, soit lorsque des modifications sont apportées susceptibles d'avoir un impact sur la sécurité des informations personnelles.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 5.3.3 – Rôles organisationnels, responsabilités et autorités
Références ISO 27001 Contrôle 5.3
Dans toute sa famille de normes de sécurité de l'information, l'ISO fait continuellement référence à des activités basées sur les rôles, en fonction du type de travail d'une personne et des responsabilités qui lui sont assignées.
La norme ISO 27701-5.3.3 demande aux organisations de s'assurer que toute personne qui utilise des informations personnelles, interagit avec un PIMS ou est responsable de la protection de la vie privée a un rôle clairement défini et comprend précisément de quoi elle est responsable (y compris celle de la haute direction elle-même).
La haute direction doit s'assurer que toutes les procédures liées au PIMS et aux PII sont conformes aux normes ISO 27001 et déléguer les responsabilités de reporting aux membres du personnel qui analysent les performances du PIMS de l'organisation à intervalles réguliers.
Prise en charge des contrôles ISO 27001 et RGPD
*Contrôle 6.2 – Objectifs de sécurité de l’information et planification pour les atteindre (référencés dans la clause 27701 de la norme ISO 5.3.2)
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27001 | Articles associés au RGPD |
|---|---|---|---|
| 5.3.1 | Leadership et engagement |
5.1 – Leadership et engagement pour la norme ISO 27001 |
Aucun |
| 5.3.2 | de confidentialité |
5.2 – Politique de sécurité des informations pour la norme ISO 27001 |
Aucun |
| 5.3.3 | Rôles organisationnels, responsabilités et autorités |
5.3 – Rôles organisationnels, responsabilités et autorités pour la norme ISO 27001 |
Aucun |
Comment ISMS.online peut vous aider
Avec notre PIMS préconfiguré, vous pouvez organiser et gérer rapidement et facilement les informations sur les clients, les fournisseurs et le personnel pour vous conformer pleinement à la norme ISO 27701.
Nous faisons du mappage de données une tâche simple. Il est facile d'enregistrer et de réviser tout cela, en ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.
Vous devrez montrer dans quelle mesure vous gérez les demandes de droits des personnes concernées (DRR). Notre espace RRC sécurisé conserve tout cela au même endroit, en le soutenant avec des rapports et des informations automatisés.
Nous avons créé une banque de risques intégrée et une gamme d'autres outils pratiques qui vous aideront dans chaque étape du processus d'évaluation et de gestion des risques.
En savoir plus par réserver une démo.
