Explication des principales exigences de la clause 27701 de la norme ISO 6.11
Les services d'application, les exigences en matière de sécurité des informations et les activités de gestion de projet doivent être développés parallèlement à tout effort organisationnel de protection de la vie privée afin de garantir que les informations personnelles et les données de paiement/commande bénéficient de la plus grande protection tout au long du cycle de vie de l'application et du projet.
Ce qui est couvert par la clause 27701 de la norme ISO 6.11
La clause 27701 de l'ISO 6.11 contient trois sous-clauses qui traitent des principaux éléments de l'acquisition de systèmes, chaque clause contenant des conseils connexes sur les contrôles contenus dans ISO 27002:
- ISO 27701 6.11.1.1 – Analyse et spécification des exigences en matière de sécurité de l'information (ISO 27002 Contrôle 5.8)
- ISO 27701 6.11.1.2 – Sécurisation des services applicatifs sur les réseaux publics (ISO 27002 Contrôle 8.26)
- ISO 27701 6.11.1.3 – Protection des transactions de services applicatifs (ISO 27002 Contrôle 8.26)
Un sous-paragraphe – 6.11.1.2 – contient des informations qui sont des éléments applicables du Royaume-Uni GDPR législation, sans aucune orientation supplémentaire proposée sur les sujets liés au PIMS ou aux PII.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.11.1.1 – Analyse et spécification des exigences en matière de sécurité de l'information
Références ISO 27002 Contrôle 5.8
Les procédures de protection de la vie privée doivent être intégrées dans les activités de gestion de projet pour garantir que les informations personnelles sont protégées partout et que les politiques de sécurité de l'organisation sont alignées.
Les organisations doivent s’assurer que :
- Les risques liés à la protection de la vie privée sont pris en compte tout au long du cycle de vie du projet, en particulier au début.
- Les progrès en matière d’atténuation des risques liés à la protection de la vie privée sont examinés périodiquement, en mettant l’accent sur l’amélioration de l’efficacité et de la résilience.
- Les comités de projet prennent en compte les contrôles de protection de la vie privée aux étapes appropriées du projet.
- Les rôles et responsabilités en matière de protection de la vie privée doivent être définis dès le début.
- Tous les produits qui doivent être livrés dans le cadre du projet sont soumis à un ensemble clair d'exigences en matière de protection de la vie privée.
- Les cycles de vie du projet (agile, cascade, etc.) reflètent les exigences en matière de risque dudit projet à chaque étape donnée, en mettant l'accent sur la protection de la vie privée.
ISO 27701 Clause 6.11.1.2 – Sécurisation des services d'application sur les réseaux publics
Références ISO 27002 Contrôle 8.26
Les procédures de sécurité des applications doivent être développées parallèlement à des politiques plus larges de protection de la vie privée, généralement via une évaluation des risques structurée qui prend en compte plusieurs variables.
Les exigences de sécurité des applications doivent inclure :
- Les niveaux de confiance inhérents à toutes les entités du réseau (voir ISO 27002 Contrôles 5.17, 8.2 et 8.5).
- La classification des données que l'application est configurée pour traiter (y compris les informations personnelles).
- Toute exigence de séparation.
- Protection contre les attaques internes et externes, et/ou les utilisations malveillantes.
- Toute exigence légale, contractuelle ou réglementaire en vigueur.
- Protection robuste des informations confidentielles.
- Les données qui ne doivent pas être protégées pendant le transit.
- Toutes les exigences cryptographiques.
- Contrôles d’entrée et de sortie sécurisés.
- Utilisation minimale de champs de saisie sans restriction – en particulier ceux qui ont le potentiel de stocker des données personnelles.
- Le traitement des messages d’erreur, y compris une communication claire des codes d’erreur.
Services transactionnels
Les services transactionnels qui facilitent le flux de données confidentielles entre l'organisation et une organisation tierce, ou une organisation partenaire, devraient :
- Établir un niveau de confiance approprié entre les identités organisationnelles.
- Incluez des mécanismes qui vérifient la confiance entre les identités établies (par exemple, hachage et signatures numériques).
- Décrivez des procédures robustes qui régissent ce que les employés sont capables de gérer des documents transactionnels clés.
- Contenir des procédures de gestion des documents et des transactions qui couvrent la confidentialité, l'intégrité, la preuve d'envoi et de réception des documents et transactions clés.
- Incluez des conseils spécifiques sur la manière de préserver la confidentialité des transactions.
Applications de commande et de paiement électroniques
Pour toute application impliquant une commande et/ou un paiement électronique, les organisations doivent :
- Définir des exigences strictes en matière de protection des données de paiement et de commande.
- Vérifiez les informations de paiement avant de passer une commande.
- Stockez en toute sécurité les données transactionnelles et liées à la confidentialité d'une manière inaccessible au public.
- Faites appel à des autorités de confiance lors de la mise en œuvre de signatures numériques, en gardant toujours à l’esprit la protection de la vie privée.
Articles applicables du RGPD
- Article 5 – (1)(f)
- Article 32 – (1)(a)
Contrôles ISO 27002 pertinents
- ISO 27002 5.17
- ISO 27002 8.2
- ISO 27002 8.5
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.11.1.3 – Protection des transactions de services d'application
Références ISO 27002 Contrôle 8.26
Voir la norme ISO 27701, article 6.11.1.2.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.11.1.1 | Analyse et spécification des exigences en matière de sécurité de l'information | 5.8 – Sécurité de l’information dans la gestion de projet pour ISO 27002 | Aucun |
| 6.11.1.2 | Sécurisation des services d'application sur les réseaux publics | 8.26 – Exigences de sécurité des applications pour la norme ISO 27002 | Les articles (5), (32) |
| 6.11.1.3 | Protection des transactions de services d'application | 8.26 – Exigences de sécurité des applications pour la norme ISO 27002 | Aucun |
Comment ISMS.online vous aide
Notre plateforme tout-en-un garantit que votre travail en matière de confidentialité s'aligne et répond aux besoins de chaque section de la norme ISO 27701. Et comme il est indépendant de la réglementation, vous pouvez le mapper sur n’importe quelle réglementation dont vous avez besoin.
- Banque de risques intégrée
- ROPA en toute simplicité
- Espace sécurisé pour la RRC
En savoir plus par réserver une démo.
