Comprendre la clause 27701 de la norme ISO 6.10 : Sécurité des communications
La sécurité des communications est au cœur de la plupart des opérations de protection de la vie privée, y compris les activités qui limitent et surveillent l'accès aux informations personnelles et aux actifs liés à la vie privée.
Les organisations doivent exercer un contrôle strict sur qui et quoi est en mesure d'accéder aux ressources TIC liées à la sécurité et à la confidentialité grâce à l'utilisation généralisée de contrôles de réseau sécurisés, de gestion des services et de ségrégation.
Ce qui est couvert par la clause 27701 de la norme ISO 6.10
La norme ISO 27701 contient trois sous-paragraphes qui traitent de domaines distincts de la sécurité des communications :
- ISO 27701 6.10.1.1 – Contrôles de réseau (ISO 27002 Contrôle 8.20)
- ISO 27701 6.10.1.2 – Sécurité dans les services réseau (ISO 27002 Contrôle 8.21)
- ISO 27701 6.10.1.3 – Ségrégation dans les réseaux (ISO 27002 Contrôle 8.22)
Chaque article contient des informations adjacentes de la norme ISO 27002, avec un long ensemble d'articles de support (en particulier dans le sous-paragraphe 6.10.1.1), comme il convient à la nature complexe du sujet.
L'ISO n'offre aucune orientation supplémentaire relative aux PIMS ou aux PII sur le thème de la sécurité des communications, et il n'existe pas non plus de lignes directrices au Royaume-Uni. GDPR articles à prendre en compte.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.10.1.1 – Contrôles de réseau
Références ISO 27002 Contrôle 8.20
La clause 27701 de la norme ISO 6.10.1.1 se concentre sur deux aspects clés de la sécurité des réseaux :
- La protection de la vie privée
- Protection contre les accès non autorisés
Les organisations devraient :
- Classer les données (y compris les informations personnelles) par type et classification.
- Assurez-vous que seul du personnel qualifié est invité à entretenir l’équipement réseau, conformément à un ensemble clair de rôles et de responsabilités.
- Conservez un enregistrement des schémas de réseau, des versions de micrologiciels et des fichiers de configuration des appareils critiques tels que les routeurs, les pare-feu, les WAP et les commutateurs réseau.
- Séparez les responsabilités du réseau (voir ISO 27002 Contrôle 5.3), y compris la séparation du trafic administratif du trafic réseau standard.
- Adhérez aux contrôles qui facilitent le stockage et le transfert sécurisés des données, y compris toutes les applications et systèmes connectés (voir ISO 27002 Contrôles 5.22, 8.24, 5.14 et 6.6).
- Tenir des journaux de sécurité pour l'ensemble du système et les composants individuels, comme requis (voir ISO 27002 Contrôles 8.16 et 8.15).
- Effectuer des tâches de gestion et d’administration du réseau en harmonie avec les autres processus métier.
- Veiller à ce qu'une autorisation appropriée soit demandée et accordée avant que le personnel accède aux parties concernées du réseau.
- Utilisez les restrictions de trafic, le filtrage de contenu et les règles de données sur tout le réseau, pour les données entrantes et sortantes.
- Assurez-vous que tout appareil connecté au réseau peut être géré par le personnel administratif.
- Avoir la capacité de séparer et de partitionner les zones critiques du réseau, pour assurer la continuité des activités après des événements critiques, y compris la suspension des protocoles réseau.
Contrôles ISO 27002 pertinents
- ISO 27002 5.14
- ISO 27002 5.22
- ISO 27002 5.3
- ISO 27002 6.6
- ISO 27002 8.15
- ISO 27002 8.16
- ISO 27002 8.24
ISO 27701 Clause 6.10.1.2 – Sécurité dans les services réseau
Références ISO 27002 Contrôle 8.21
Lorsque l’on considère le concept plus large de sécurité des services réseau, il y a trois facteurs principaux à garder à l’esprit :
- Fonctions de sécurité.
- Niveaux de service.
- Exigences des services.
Les organisations doivent s'assurer que les prestataires de services comprennent ce que l'on attend d'eux et remplissent leurs obligations déclarées de manière cohérente.
Les organisations doivent être en mesure de se référer à un ensemble sans ambiguïté de SLA et de contrôler leur respect tout au long de la durée d'un accord de service.
Les références doivent être recherchées et obtenues auprès de sources fiables, dans le but final d'établir la capacité d'un prestataire de services à répondre aux exigences commerciales et opérationnelles de l'organisation.
Les règles de sécurité doivent inclure :
- Tous les services réseau auxquels l'accès est autorisé, y compris une liste complète des conditions d'authentification préalables.
- Contrôles de gestion du réseau qui protègent les informations personnelles et les actifs liés à la confidentialité contre toute utilisation abusive et tout accès non autorisé.
- Accès à distance et sur site.
- La journalisation des informations clés sur l'accès aux services réseau, y compris l'heure d'accès, l'emplacement d'accès et les données de l'appareil.
- Activités de suivi.
Sécurité des services réseau
Les organisations se voient présenter diverses mesures de sécurité supplémentaires qui protègent davantage l’intégrité et la disponibilité des informations personnelles.
Les organisations devraient :
- Tenez compte des fonctionnalités de sécurité telles que protocoles d'authentification, chiffrement et contrôles de connexion.
- Établissez des directives claires qui régissent les connexions aux services réseau.
- Permettez aux utilisateurs de choisir la quantité de données mises en cache pour augmenter les performances et minimiser les risques de confidentialité associés à un stockage excessif.
- Restreindre l'accès aux services réseau.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.10.1.3 – Ségrégation dans les réseaux
Références ISO 27002 Contrôle 8.22
Pour améliorer l'intégrité et la disponibilité des informations personnelles et des actifs liés à la confidentialité, les organisations doivent séparer les services, les utilisateurs et les systèmes sur l'ensemble de leur réseau, en fonction de leurs exigences de sécurité uniques et conformément à un spécifique au sujet approche (voir ISO 27002 Contrôle 5.15).
Pour y parvenir, les organisations doivent :
- Séparez les domaines de tous les réseaux publics, y compris Internet.
- Séparez les zones du réseau en fonction de la confiance, de la criticité et de la sensibilité.
- Envisagez des fonctions opérationnelles distinctes lors de la séparation du réseau, telles que les ressources humaines, les finances et le marketing.
- Séparez en utilisant une combinaison de contrôles physiques et logiques.
- Opérez avec des périmètres de réseau clairement définis et des passerelles étroitement contrôlées.
- Envisagez l'accès WiFi conformément à ce qui est souvent un périmètre de réseau vaguement défini, avec des exigences d'accès variables, et assurez-vous que le trafic externe passe par une passerelle avant que l'accès interne ne soit accordé (voir ISO 27002 Contrôle 8.20).
- Séparez l’accès Wi-Fi des invités et des employés et imposez de lourdes restrictions à l’accès des invités pour décourager son utilisation par le personnel.
Contrôles ISO 27002 pertinents
- ISO 27002 5.15
- ISO 27002 8.20
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.10.1.1 | Commandes réseau |
8.20 – Sécurité des réseaux pour ISO 27002 |
Aucun |
| 6.10.1.2 | Sécurité dans les services réseau |
8.21 – Sécurité des services réseau pour ISO 27002 |
Aucun |
| 6.10.1.3 | Ségrégation dans les réseaux |
8.22 – Ségrégation des réseaux pour ISO 27002 |
Aucun |
Comment l'aide d'ISMS.online
ISO 27701 vous montre comment créer un système de gestion des informations confidentielles conforme à la plupart des réglementations en matière de confidentialité, y compris le RGPD de l'UE, BS 10012 et POPIA en Afrique du Sud. Notre logiciel simplifié, sécurisé et durable vous aide à suivre facilement l'approche décrite par la norme internationalement reconnue.
Notre plateforme tout-en-un garantit que votre travail en matière de confidentialité s'aligne et répond aux besoins de chaque section de la norme ISO 27701. Et comme il est indépendant de la réglementation, vous pouvez le mapper sur n’importe quelle réglementation dont vous avez besoin.
En savoir plus par réserver une démo.
