Amélioration de la gestion de la confidentialité : amélioration continue conformément à la clause 27701 de la norme ISO 5.8
Aux fins de l’adhésion à la norme ISO – pour toutes les normes de sécurité de l’information et de protection de la vie privée – non-conformité peut être défini au sens large comme tout manquement au respect d’une norme spécifique à une clause.
Des non-conformités peuvent survenir dans le cadre de points d'orientation internes ou externes, soit par rapport à l'ensemble de politiques et procédures d'une organisation, soit, le cas échéant, par rapport à leurs réglementations et/ou exigences légales en tant que processeur de PII.
Ce qui est couvert par la clause 27701 de la norme ISO 5.8
La clause 27701 de la norme ISO 5.8 traite de la capacité d'une organisation à détecter, gérer, résoudre et évaluer les non-conformités dans le cadre d'un PIMS, ainsi que de sa politique plus large de protection de la vie privée.
Les orientations s'articulent autour de deux étapes clés : traiter les non-conformités au moment de leur découverte et ce qui doit se passer pour éviter qu'elles ne se reproduisent.
Les deux sous-paragraphes de la norme ISO 27701 5.8 contenir des informations fournies dans la norme ISO 27001, mais dans le cas de la norme ISO 27701, sont plutôt applicables aux non-conformités en matière de protection de la vie privée et de gestion du PIMS.
- ISO 27701 5.8.1 – Non-conformité et actions correctives (Références ISO 27001 Contrôle 10.1)
- ISO 27701 5.8.2 – Amélioration continue (Références ISO 27001 Contrôle 10.2)
La norme ISO 27701 5.8 ne contient aucune directive supplémentaire pour les activités liées au PIMS, autres que celles fournies dans le contexte de la norme ISO 27001, et n'a aucune pertinence dans le cadre de la norme. GDPR.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 5.8.1 – Non-conformité et actions correctives
Références ISO 27001 Contrôle 10.1
Lorsque l'organisation découvre une non-conformité, elle doit :
- Minimisez les risques encourus et prenez les mesures correctives appropriées.
- Examinez attentivement toutes les conséquences et prenez des mesures pour y remédier.
- Gardez à l’esprit la nécessité d’éliminer la non-conformité et d’éviter qu’elle ne se reproduise. Cela devrait être fait par :
- Établir pourquoi cela s'est produit.
- Explorer le potentiel d'événements similaires où la confidentialité est primordiale et où les informations personnelles sont une considération.
- Évaluer l’efficacité de toutes les mesures correctives prises.
- Modifier le PIMS pour tenir compte de tout changement qui a été apporté ou qui doit être apporté afin d'améliorer son efficacité.
L'ISO stipule que toute mesure corrective prise doit être proportionnée aux risques causés par la non-conformité elle-même.
Les preuves documentées doivent être conservées pour prouver :
- La nature sous-jacente de la non-conformité.
- Toutes les mesures correctives qui ont été prises.
- Comment ces actions ont eu un impact sur la protection de la vie privée, les informations personnelles et le développement en cours d'un PIMS.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 5.8.2 – Amélioration continue
Références ISO 27001 Contrôle 10.2
Les organisations doivent se poser trois questions lorsqu’elles cherchent à améliorer leur PIMS et, par procuration, leur politique de protection de la vie privée :
- Pertinence – Le PIMS est-il adapté à la nature de ses opérations et au type de données personnelles et d'informations qu'il traite régulièrement ?
- Adéquation – Le PIMS dispose-t-il d'une capacité opérationnelle suffisante pour remplir son rôle et contient-il des fonctionnalités pertinentes pour les responsabilités de l'organisation ?
- Efficacité – Le PIMS fait-il son travail, dans la limite de ce qui lui est demandé ?
Prise en charge des contrôles ISO 27001 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27001 | Articles associés au RGPD |
|---|---|---|---|
| 5.8.1 | Non-conformité et actions correctives |
10.1 – Non-conformité et actions correctives pour la norme ISO 27001 |
Aucun |
| 5.8.2 | Amélioration continue |
10.2 – Amélioration continue de la norme ISO 27001 |
Aucun |
Comment ISMS.online vous aide
En ajoutant un PIMS à votre ISMS sur la plateforme ISMS.online, votre posture de sécurité reste centralisée et vous éviterez la duplication là où les normes se chevauchent.
Avec votre PIMS accessible instantanément aux parties intéressées, il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27001 et ISO 27701 d'un simple clic.
Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27001 et 27701 en utilisant ISMS.online en réserver une démo.
