Explication de la clause 27701 de la norme ISO 5.6 : principales exigences opérationnelles
L'article 27701 de l'ISO 5.6 traite de la pratique consistant à contrôler les processus, contrôles et procédures nécessaires au fonctionnement avec un plan de protection de la vie privée et un système de gestion des informations confidentielles robustes.
La planification opérationnelle couvre un large éventail de sujets – des activités structurées de gestion du changement aux évaluations des risques en matière de protection de la vie privée et aux plans de traitement des risques qui améliorer la sécurité des informations personnelles dans les limites du réseau de l'organisation.
Ce qui est couvert par la clause 27701 de la norme ISO 5.6
L'article 27701 de l'ISO 5.6 comprend trois sous-paragraphes qui s'appuyer sur les directives d'accompagnement de la norme ISO 27001:
- ISO 27701 5.6.1 – Planification et contrôle opérationnels (Références ISO 27001 Contrôle 8.1)
- ISO 27701 5.6.2 – Évaluation des risques liés à la sécurité de l'information (Références ISO 27001 Contrôle 8.2)
- ISO 27701 5.6.3 – Traitement des risques liés à la sécurité de l'information (Références ISO 27001 Contrôle 8.3)
La norme ISO 27701 5.6 ne contient aucun autre point d'orientation traitant spécifiquement de la mise en œuvre d'un PIMS – concentrant plutôt son attention plus largement sur la protection de la vie privée de l'organisation – et ne comporte pas non plus de lignes directrices connexes. GDPR articles.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 5.6.1 – Planification et contrôle opérationnels
Références ISO 27001 Contrôle 8.1
La norme ISO 27701 Contrôle 5.6.1 décrit l’approche plus large de l’ISO en matière de planification de la protection de la vie privée. Les organisations doivent « planifier, mettre en œuvre et contrôler » les procédures ou processus internes pertinents pour la protection de la vie privée ainsi que le stockage et le traitement des informations personnelles (voir ISO 27001 6.1 et 6.2).
L'ISO demande également aux organisations de conserver des informations documentées prouvant le respect et les changements dans les contrôles organisationnels de protection de la vie privée, y compris toute activité externalisée.
La planification s'étend également à la gestion du changement. L'ISO exige que les organisations gèrent tout changement interne afin de minimiser le risque pour les informations personnelles et d'évaluer toutes les conséquences imprévues découlant de changements délibérés ou involontaires.
Contrôles ISO 27001 pertinents
- 6.1 – Actions pour faire face aux risques et opportunités
- 6.1.2 – Évaluation des risques liés à la sécurité des informations
- 6.2 – Objectifs de sécurité de l’information et planification pour les atteindre
ISO 27701 Clause 5.6.2 – Évaluation des risques liés à la sécurité de l'information
Références ISO 27001 Contrôle 8.2
Les organisations doivent effectuer des évaluations périodiques des risques liés à la protection de la vie privée à des étapes clés de l'opération, comme un changement majeur ou immédiatement après un incident de sécurité.
Comme pour toutes les activités liées aux informations personnelles, les organisations doivent documenter minutieusement toute évaluation des risques afin d'améliorer leur fonctionnement global en matière de sécurité des informations et pour être en mesure de fournir des preuves suffisantes aux autorités légales et réglementaires si le besoin s'en fait sentir.
Contrôles ISO 27001 pertinents
- 6.1.2 – Évaluation des risques liés à la sécurité des informations
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 5.6.3 – Traitement des risques liés à la sécurité de l'information
Références ISO 27001 Contrôle 8.3
En plus des évaluations périodiques des risques, les organisations doivent également adopter un « plan de traitement des risques » en matière de protection de la vie privée, qui doit contenir des recommandations réduisant la probabilité et/ou l'impact de tout risque inhérent au stockage et au traitement des informations personnelles.
Prise en charge des contrôles ISO 27001 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27001 | Articles associés au RGPD |
|---|---|---|---|
| 5.6.1 | Planification et contrôle opérationnels |
8.1 – Planification et contrôle opérationnels pour ISO 27001 |
Aucun |
| 5.6.2 | Évaluation des risques liés à la sécurité de l'information |
8.2 – Évaluation des risques liés à la sécurité de l'information pour la norme ISO 27001 |
Aucun |
| 5.6.3 | Traitement des risques liés à la sécurité de l’information |
8.3 – Traitement des risques liés à la sécurité de l’information pour la norme ISO 27001 |
Aucun |
Comment ISMS.online vous aide
Avec votre PIMS accessible instantanément aux parties intéressées, il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27001 et ISO 27701 d'un simple clic.
Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27001 et 27701 en utilisant ISMS.online.
Voyez-le en direct avec ISMS.online par réserver une démo.
