Assurer des transferts d'informations sécurisés : explication de la clause 27701 de la norme ISO 6.10.2
Les informations sont souvent les plus vulnérables lorsqu’elles sont transférées d’un endroit à un autre – que ce soit physiquement, numériquement ou verbalement.
Les organisations doivent protéger les informations personnelles en transit et fournir aux employés et aux fournisseurs un ensemble clair de directives sur la manière de se comporter lors du transfert d'informations d'une source à une autre.
Ce qui est couvert par la clause 27701 de la norme ISO 6.10.2
La clause 27701 de la norme ISO 6.10.2 contient 4 sous-clauses qui traitent de la protection de la vie privée dans le cadre des transferts d'informations. Chaque sous-paragraphe dépend des informations d'orientation de ISO 27002:
- ISO 27701 6.10.2.1 – Politiques et procédures de transfert d'informations (ISO 27002 Contrôle 5.14).
- ISO 27701 6.10.2.2 – Accords pour le transfert d'informations (ISO 27002 Contrôle 5.14).
- ISO 27701 6.10.2.3 – Messagerie électronique (ISO 27002 Contrôle 5.14).
- ISO 27701 6.10.2.4 – Accords de confidentialité ou de non-divulgation (ISO 27002 Control 6.6).
Deux sous-clauses contiennent des directives applicables au Royaume-Uni. GDPR législation – (Clauses 6.10.2.1 et 6.10.2.4), sans aucune orientation supplémentaire relative au PIMS ou aux PII proposée en dehors des points d’orientation généraux déjà énoncés.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.10.2.1 – Politiques et procédures de transfert d'informations
Références ISO 27002 Contrôle 5.14
Les opérations de transfert d’informations doivent :
- Concentrez-vous sur les contrôles qui empêchent interception, l'accès non autorisé, copier, modifiant, mauvais acheminement, destruction et déni de service des informations personnelles et des informations relatives à la confidentialité (voir ISO 27002 Contrôle 8.24).
- Assurez-vous que les informations sont traçables.
- Classez une liste de contacts – c'est-à-dire les propriétaires, les propriétaires de risques, etc.
- Décrire les responsabilités en cas d'incident de sécurité.
- Incluez des systèmes d’étiquetage clairs et concis (voir ISO 27002 Contrôle 5.13).
- Garantir une installation de transfert fiable, y compris des politiques spécifiques au sujet sur le transfert de données (voir ISO 27002 Contrôle 5.10).
- Décrivez les directives de conservation et d’élimination, y compris les lois et directives spécifiques à une région ou à un secteur.
Transfert électronique
Lorsqu’elles utilisent des moyens de transfert électronique, les organisations doivent :
- Tentative de détection et de protection contre les programmes malveillants (voir ISO 27002 Control 8.7).
- Concentrez-vous sur la protection des pièces jointes.
- Faites très attention à envoyer les informations à la bonne adresse.
- Mandater un processus d'approbation avant que les employés puissent transmettre des informations via des « services publics externes » (par exemple la messagerie instantanée) et exercer un plus grand contrôle sur ces méthodes.
- Évitez d'utiliser les services SMS et les télécopieurs, dans la mesure du possible.
Transferts physiques (y compris les supports de stockage)
Lors du transfert de supports physiques (y compris des documents papier) entre des locaux ou des emplacements externes, les organisations doivent :
- Décrivez clairement les responsabilités en matière d’expédition et de réception.
- Faites très attention à saisir les coordonnées correctes.
- Utilisez un emballage offrant une protection contre les dommages physiques ou la falsification.
- Opérez avec une liste de coursiers autorisés et d’expéditeurs tiers, y compris des normes d’identification robustes.
- Tenez des journaux complets de tous les transferts physiques, y compris les détails des destinataires, les dates et heures des transferts et toutes les mesures de protection physique.
Transferts verbaux
La transmission orale d'informations sensibles présente un risque de sécurité unique, en particulier en ce qui concerne la protection des informations personnelles et de la vie privée.
Les organisations doivent rappeler à leurs employés :
- Évitez d'avoir de telles conversations dans un lieu public ou dans un lieu interne non sécurisé.
- Évitez de laisser des messages vocaux contenant des informations sensibles ou restreintes.
- Assurez-vous que la personne à qui vous parlez est d'un niveau approprié pour recevoir ladite information et informez-la de ce qui va être dit avant de divulguer l'information.
- Soyez attentif à leur environnement et assurez-vous que les contrôles de la pièce sont respectés.
Articles applicables du RGPD
- Article 5 – (1)(f)
Contrôles ISO 27002 pertinents
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 Clause 6.10.2.2 – Accords de transfert d'informations
Références ISO 27002 Contrôle 5.14
Voir la norme ISO 27701, article 6.10.2.1.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.10.2.3 – Messagerie électronique
Références ISO 27002 Contrôle 5.14
Voir la norme ISO 27701, article 6.10.2.1.
ISO 27701 Clause 6.10.2.4 – Accords de confidentialité ou de non-divulgation
Références ISO 27002 Contrôle 6.6
Les organisations doivent utiliser des accords de non-divulgation (NDA) et des accords de confidentialité pour protéger la divulgation volontaire ou accidentelle d'informations sensibles à du personnel non autorisé.
Lors de la rédaction, de la mise en œuvre et du maintien de tels accords, les organisations doivent :
- Proposez une définition des informations qui doivent être protégées.
- Décrivez clairement la durée prévue de l’accord.
- Énoncez clairement toutes les actions requises une fois l’accord résilié.
- Toutes les responsabilités convenues par les signataires confirmés.
- Propriété des informations (y compris la propriété intellectuelle et les secrets commerciaux).
- Comment les signataires sont autorisés à utiliser les informations.
- Décrivez clairement le droit de l’organisation de surveiller les informations confidentielles.
- Toutes les répercussions qui découleront du non-respect.
- Examine régulièrement leurs besoins en matière de confidentialité et ajuste tout accord futur en conséquence.
Les lois sur la confidentialité varient d'une juridiction à l'autre, et les organisations doivent tenir compte de leurs propres obligations légales et réglementaires lors de la rédaction des NDA et des accords de confidentialité (voir les contrôles ISO 27002 5.31, 5.32, 5.33 et 5.34).
Articles applicables du RGPD
- Article 5 – (1)
- Article 25 – (1)(f)
- Article 28 – (3)(b)
- Article 38 – (5)
Contrôles ISO 27002 pertinents
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.10.2.1 | Politiques et procédures de transfert d'informations |
5.14 – Transfert d'informations pour ISO 27002 |
Article |
| 6.10.2.2 | Accords de transfert d'informations |
5.14 – Transfert d'informations pour ISO 27002 |
Aucun |
| 6.10.2.3 | Messagerie électronique |
5.14 – Transfert d'informations pour ISO 27002 |
Aucun |
| 6.10.2.4 | Accords de confidentialité ou de non-divulgation |
6.6 – Accords de confidentialité ou de non-divulgation pour la norme ISO 27002 |
Article , , , |
Comment ISMS.online vous aide
Que vous commenciez tout juste à vous intéresser à la confidentialité des données ou que vous soyez un expert cherchant à intégrer plusieurs normes et réglementations, nos fonctionnalités sont faciles à utiliser et vous progresserez dès votre connexion.
- Banque de risques intégrée
- ROPA en toute simplicité
- Espace sécurisé pour la RRC
En savoir plus par réserver une démo.
