ISO 27701, Article 5.7, Évaluation des performances

ISO 27701 – Article 5.7 – Évaluation des performances

L'article 5.7 de la norme ISO/IEC 27701 porte sur l'évaluation des performances au sein d'un système de gestion des informations de confidentialité (PIMS), en garantissant la surveillance, la mesure, l'analyse et l'évaluation des contrôles de confidentialité. Il étend les processus d'évaluation des performances de la norme ISO/IEC 27001 pour inclure les considérations de confidentialité des informations personnelles identifiables (PII).

ISO 27701 Article 5.7 : Guide pour l'évaluation des performances

Une partie intégrante du fonctionnement avec un ensemble étanche de contrôles de protection de la vie privée consiste à reconnaître la nécessité de surveiller, d'évaluer et d'améliorer en permanence le respect par l'organisation des
Objectifs liés aux informations personnelles et exigences légales/réglementaires.

La norme ISO 27701 Control 5.7 définit un ensemble clair de lignes directrices qui informent les organisations sur la manière d'évaluer leurs propres performances et, tout aussi important, sur la manière de mettre en œuvre des changements significatifs afin que la protection de la vie privée reste au premier plan de leur politique plus large de sécurité des informations.

Ce qui est couvert par la clause 27701 de la norme ISO 5.7

L'article 27701 de l'ISO 5.7 contient trois sous-paragraphes qui traitent des trois principaux éléments constitutifs de l'évaluation de la protection de la vie privée : la surveillance, l'audition et l'examen.

Chaque sous-clause est lié à un ensemble de directives de sécurité de l’information de la norme ISO 27001:

ISO 27701 5.7.1 – Surveillance, mesure, analyse et évaluation (Références ISO 27001 Contrôle 9.1)
ISO 27701 5.7.2 – Audit interne (Références ISO 27001 Contrôle 9.2)
ISO 27701 5.7.3 – Revue de direction (Références ISO 27001 Contrôle 9.3)

La clause 5.7 ne contient aucune indication supplémentaire sur la manière d'appliquer les directives d'évaluation des performances dans le contexte d'un PIM, ni aucune orientation dans le cadre de GDPR.

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo

ISO 27701 Clause 5.7.1 – Surveillance, mesure, analyse et évaluation

Références ISO 27001 Contrôle 9.1

Les organisations doivent constamment surveiller et évaluer leurs performances du point de vue de la protection de la vie privée, ainsi que l'efficacité de leur PIMS dans le cadre de leurs objectifs déclarés.

Ce faisant, les organisations doivent établir :

Quels sont précisément les domaines de leur fonctionnement qui nécessitent une surveillance ?
Comment ils vont effectuer cette surveillance et les mécanismes qu'ils vont utiliser pour analyser les données obtenues ;
Quand des activités de surveillance doivent être menées ;
Quels membres du personnel seront impliqués dans les activités de suivi ?
Période pendant laquelle les résultats doivent être analysés, après toute activité de surveillance.

Comme pour toutes les autres activités liées à la protection de la vie privée et aux informations personnelles, un enregistrement complet de toutes les activités de surveillance doit être conservé sous la forme d’une documentation officielle.

ISO 27701 Clause 5.7.2 – Audit interne

Références ISO 27001 Contrôle 9.2

Les organisations doivent être conscientes de leur responsabilité envers leurs propres données et processus, en effectuant des audits planifiés à intervalles appropriés.

Les audits doivent établir :

Si le PIMS est conforme aux exigences de protection de la vie privée de l'organisation et aux normes ISO pertinentes ;
Ce PIMS a été mis en œuvre correctement et est correctement entretenu.

Pour atteindre ces objectifs, les organisations doivent :

Planifier, créer et maintenir un programme d'audit qui prend en compte plusieurs détails clés :

Fréquence des audits ;
Méthode d'audit ;
Rôles et responsabilités internes ;
Exigences préalables à la mise en œuvre et à la planification ;
Reporting des données d'audit.

Établir la portée de chaque audit individuel.
Renforcez la nécessité d’impartialité et d’approche objective de l’analyse des données, quelle que soit la personne choisie pour réaliser l’audit, qu’il s’agisse de personnel interne ou externe.
Veiller à ce que les résultats de l'audit parviennent aux canaux internes appropriés (haute direction, etc.), afin que des actions significatives puissent être prises pour améliorer le système de gestion de la sécurité de l'information de l'organisation, si le besoin s'en fait sentir.
Tenir un registre complet de toutes les activités d’audit sous la forme d’informations documentées.

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo

ISO 27701 Clause 5.7.3 – Revue de direction

Références ISO 27001 Contrôle 9.3

La haute direction joue un rôle clé en garantissant la viabilité et l’efficacité de toute politique de protection de la vie privée ou de mise en œuvre du PIMS.

Lors de l’examen du respect par l’organisation des contrôles, politiques et procédures liés aux informations personnelles, la direction doit inclure :

Toutes les actions restantes de l'examen précédent.
Tout changement dans le fonctionnement de l'organisation susceptible d'avoir un impact sur la protection de la vie privée ou sur le traitement et/ou le stockage des informations personnelles.
Commentaires de toutes les sources pertinentes sur la protection de la vie privée, qui incluent des tendances notables dans :

Non-respect et actions correctives ;
Toutes les données obtenues lors des activités de surveillance ;
Les résultats des audits récents ;
Comment l'organisation atteint ses objectifs déclarés en matière de protection de la vie privée.

Commentaires de tout personnel concerné (interne ou externe).
Les résultats de toute évaluation des risques liés à la protection de la vie privée et la manière dont ils seront traités via un plan de traitement des risques dédié.
Comment l'organisation entend développer et améliorer ses opérations de protection de la vie privée, y compris les changements qui doivent être apportés.

Tous les examens doivent être soigneusement documentés pour une analyse future et pour assurer la continuité d'un examen à l'autre.

Prise en charge des contrôles ISO 27001 et RGPD

Identificateur de clause ISO 27701	Nom de la clause ISO 27701	Exigence ISO 27001	Articles associés au RGPD
5.7.1	Suivi, mesure, analyse et évaluation	9.1 – Surveillance, mesure, analyse et évaluation pour la norme ISO 27001	Aucun
5.7.2	Audit Interne	9.2 – Audit interne pour ISO 27001	Aucun
5.7.3	Examen de la gestion	9.3 – Revue de direction pour la norme ISO 27001	Aucun

Comment ISMS.online vous aide

La plateforme ISMS.online intègre des conseils à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour atteindre la norme ISO 27701 sont considérablement réduits.

Vous bénéficierez également d’une gamme de fonctionnalités puissantes qui vous feront gagner du temps.

Découvrez les avantages d'ISMS.online en réserver une démo.

Toby Canne

Responsable de la réussite client partenaire

Toby Cane est Senior Partner Success Manager chez ISMS.online. Il travaille pour l'entreprise depuis près de 4 ans et a occupé divers postes, notamment celui d'animateur de webinaires. Avant de travailler dans le SaaS, Toby était professeur de lycée.

Clauses ISO 27701

Nous sommes un leader dans notre domaine