ISO 27701, Article 5.4 – Planification

Explication des contrôles et des clauses ISO 27701

Demander demo

silhouettes,de,personnes,assis,à,la,table.,une,équipe,de

Il est essentiel qu'avant de mettre en œuvre un PIMS, les organisations obtiennent une image claire de leurs objectifs spécifiques en matière de protection de la vie privée et d'informations personnelles, à tous les niveaux de leurs opérations de sécurité des informations.

L'évaluation des risques doit être un élément clé de tous les protocoles de protection de la vie privée à l'échelle de l'organisation, y compris la compréhension de la manière d'évaluer et d'analyser les risques, ainsi que le « traitement des risques » – le processus de modification des risques par une série de mesures techniques.

Ce qui est couvert par la clause 27701 de la norme ISO 5.4

La norme ISO 27701 5.4 traite des étapes que les organisations doivent suivre lors de la planification d'un PIMS ou d'une politique de protection de la vie privée.

L'ISO 27701 5.4 s'appuie sur les lignes directrices de l'ISO 27001 6.1 (Actions pour faire face aux risques et aux opportunités) et contient des lignes directrices supplémentaires dans quatre sous-paragraphes principaux :

  • ISO 27701 Clause 5.4.1.1 (Références ISO 27001 Contrôle 6.1.1)

  • ISO 27701 Clause 5.4.1.2 (Références ISO 27001 Contrôle 6.1.2)

  • ISO 27701 Clause 5.4.1.3 (Références ISO 27001 Contrôle 6.1.3)

  • ISO 27701 Clause 5.4.2 (Références ISO 27001 Contrôle 6.2)

Deux sous-paragraphes (5.4.1.2 et 5.4.1.3) contiennent tous deux des orientations directement liées à l'article 32 du RGPD, plus précisément, les articles (1)(b), (2).

Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.

Aller au sujet
Réussissez la certification ISO 27701

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISO 27701 Clause 5.4.1.1 – Général

Références ISO 27001 Contrôle 6.1.1

De manière générale, les organisations doivent adopter une approche spécifique aux risques pour planifier un PIMS qui :

  1. Travaille à la création d’un PIMS qui atteint un ensemble d’objectifs spécifiques en matière de protection de la vie privée.

  2. Cherche à éradiquer complètement ou à minimiser tout effet indésirable.

  3. S'efforce de développer et d'améliorer continuellement les informations personnelles et les activités liées à la protection de la vie privée.

Lors de l’élaboration d’un plan, les organisations doivent :

  1. Soyez conscient des actions spécifiques nécessaires pour faire face à tout risque et mettez-les en œuvre dans un PIMS.

  2. Évaluez constamment leur approche.

Contrôles ISO 27001 pertinents

Les lignes directrices contenues dans la norme ISO 27701 5.4.1.1 sont étroitement liées à la capacité d'une organisation à comprendre ses exigences et les attentes du personnel interne et externe et des sujets PII dont l'organisation détient les données.

  • ISO 27001 4.1 – Comprendre l'organisation et son contexte.

  • ISO 27001 4.2 – Comprendre les besoins et les attentes des parties intéressées.

ISO 27701 Clause 5.4.1.2 – Évaluation des risques liés à la sécurité de l'information

Références ISO 27001 Contrôle 6.1.2

Les organisations doivent définir et mettre en œuvre un processus d’évaluation des risques en matière de protection de la vie privée qui :

  • Comprend des critères d'acceptation des risques, aux fins de la réalisation d'évaluations de la protection de la vie privée.

  • Fournit un cadre pour l’analyse comparable de toutes les évaluations de la protection de la vie privée.

  • Identifie les risques en matière de protection de la vie privée (et leurs propriétaires).

  • Prend en compte les dangers et les risques inhérents à la perte de « confidentialité, disponibilité et intégrité » des informations personnelles.

  • Analyse les risques en matière de protection de la vie privée en fonction de trois facteurs :

    • Leurs conséquences potentielles.

    • La probabilité qu’ils se produisent.

    • Leur gravité.

  • Analyse et priorise les risques identifiés en fonction de leur niveau de risque.

Conseils supplémentaires sur les PIMS et les PII

Les organisations doivent concentrer leurs activités d’évaluation des risques sur la sécurité des informations, mais aussi sur la mise en œuvre d’un PIMS, ainsi que sur le traitement et le stockage des informations personnelles.

Les organisations doivent garder à l’esprit les conséquences, non seulement pour l’entreprise elle-même, mais aussi pour tous les responsables des informations personnelles, si des problèmes surviennent.

Articles applicables du RGPD

  • Article 32 – Sécurité du traitement

    • Articles applicables – (1)(b), (2)

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nous sommes économiques et rapides

Découvrez à quel point ISO 27701 est simple avec ISMS.online
Obtenez votre devis

ISO 27701 Clause 5.4.1.3 – Traitement des risques liés à la sécurité de l'information

Références ISO 27001 Contrôle 6.1.3

Les organisations doivent rédiger et mettre en œuvre un « processus de traitement des risques » en matière de protection de la vie privée et d’informations personnelles qui :

  1. mettre en œuvre un « plan de traitement des risques » en matière de protection de la vie privée.

  2. identifie la manière dont un PIMS doit traiter les niveaux de risque individuels, sur la base d'un ensemble de résultats d'évaluation.

  3. met en évidence une série de contrôles nécessaires à la mise en œuvre du traitement des risques en matière de protection de la vie privée.

  4. faire référence à tous les contrôles identifiés avec la liste complète fournie par l'ISO dans Annexe A de la norme ISO 27001.

  5. documenter et justifier l'utilisation de tout contrôle utilisé dans une « déclaration d'applicabilité » formelle.

  6. demander l'approbation de tout propriétaire de risque avant de finaliser un plan de traitement des risques liés à la protection de la vie privée qui inclut tout risque « résiduel » de protection de la vie privée et de renseignements personnels.

Articles applicables du RGPD

  • Article 32 – Sécurité du traitement

    • Articles applicables – (1)(b), (2)

ISO 27701 Clause 5.4.2 – Objectifs de sécurité de l'information et planification pour les atteindre

Références ISO 27001 Contrôle 6.2

Les objectifs organisationnels en matière de protection de la vie privée devraient :

  • Soyez aligné sur les autres politiques de sécurité de l’information.

  • Être quantifiable, à des fins de reporting et d’évaluation.

  • Incorporer les données issues des évaluations des risques et des traitements des risques.

  • Être mis à la disposition de tous les membres du personnel et personnes concernées concernés.

  • Être continuellement amélioré et mis à jour en fonction des résultats opérationnels et des événements du monde réel.

  • Soyez documenté.

Tout au long du processus de planification, les organisations doivent établir les éléments suivants :

  1. Toutes les ressources qui seront nécessaires.

  2. À qui s’appropriera les objectifs, en totalité ou en partie.

  3. Quand les objectifs déclarés d’une organisation seront atteints.

  4. Comment les données doivent être analysées.

Prise en charge des contrôles ISO 27001 et RGPD

Identificateur de clause ISO 27701Nom de la clause ISO 27701Exigence ISO 27001Articles associés au RGPD
5.4.1.1Général6.1.1 – Aspects généraux de la planification autour des risques pour la norme ISO 27001Aucun
5.4.1.2Évaluation des risques liés à la sécurité de l'information6.1.2 – Évaluation des risques liés à la sécurité de l'information pour la norme ISO 27001Article (32)
5.4.1.3Traitement des risques liés à la sécurité de l’information6.1.3 – Traitement des risques liés à la sécurité de l’information pour la norme ISO 27001Article (32)
5.4.2Objectifs de sécurité de l’information et planification pour les atteindre6.2 – Objectifs de sécurité de l’information et planification pour les atteindre pour la norme ISO 27001Aucun

Comment ISMS.online vous aide

Vous devez créer un système de gestion des informations confidentielles (PIMS) afin de respecter la norme ISO 27701. Avec notre système de gestion des informations confidentielles (PIMS) prédéfini, vous pouvez organiser et gérer rapidement et efficacement les informations sur les clients, les fournisseurs et les employés pour satisfaire aux exigences de la norme ISO 27701.

Les évaluations de confidentialité peuvent être configurées et exécutées facilement, allant des évaluations d'impact sur la protection des données aux évaluations de préparation à la réglementation ou à la conformité.

Découvrez notre gamme complète de fonctionnalités en réserver une démo.

Voir notre plateforme
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage