ISO 27701 Clause 6.12 : Principes fondamentaux de la gestion des fournisseurs
L'établissement et le maintien de relations productives avec les fournisseurs constituent une part importante de la plupart des entreprises modernes basées sur les données, que ce soit par la fourniture d'équipements, de services d'assistance ou de sous-traitance.
Dès le début de la relation et pendant toute la durée du contrat de service, les deux parties doivent être continuellement conscientes de leurs obligations en matière de sécurité des informations confidentielles, et les normes doivent être alignées pour protéger les informations personnelles et garantir l'intégrité des informations sensibles.
Ce qui est couvert par la clause 27701 de la norme ISO 6.12
L'article 27701 de l'ISO 6.12 est composé de deux parties constitutives :
- ISO 27701 6.12.1 – Sécurité de l'information dans les relations avec les fournisseurs
- ISO 27701 6.12.2 – Gestion de la prestation de services des fournisseurs
Dans ces deux sections, il y a 5 sous-clauses qui contiennent des conseils de ISO 27002, appliqué dans le contexte de la gestion et de la sécurité des informations confidentielles :
- ISO 27701 6.12.1.1 – Politique de sécurité de l'information pour les relations avec les fournisseurs (ISO 27002 Contrôle 5.19)
- ISO 27701 6.12.1.2 – Aborder la sécurité dans les accords avec les fournisseurs (ISO 27002 Control 5.20)
- ISO 27701 6.12.1.3 – Chaîne d'approvisionnement des technologies de l'information et de la communication (ISO 27002 Contrôle 5.21)
- ISO 27701 6.12.2.1 – Suivi et revue des services fournisseurs (ISO 27002 Contrôle 5.22)
- ISO 27701 6.12.2.2 – Gestion des modifications apportées aux services des fournisseurs (ISO 27002 Contrôle 5.22)
Un seul article contient des conseils applicables au Royaume-Uni GDPR législation – (ISO 27701 6.12.1.2). Les numéros d'article ont été fournis pour votre commodité.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.12.1.1 – Protection des données d'essai
Références ISO 27002 Contrôle 5.19
Les organisations doivent mettre en œuvre des politiques et des procédures qui non seulement régissent l'utilisation par l'organisation des ressources des fournisseurs et des plateformes cloud, mais qui constituent également la base de la manière dont elles attendent de leurs fournisseurs qu'ils se comportent avant et pendant la durée de la relation commerciale, en particulier en ce qui concerne les informations personnelles et les informations personnelles. actifs liés à la vie privée.
La norme ISO 27701 6.12.1.1 peut être considérée comme le document de qualification essentiel qui dicte la manière dont la gouvernance des informations confidentielles est gérée au cours d'un contrat avec un fournisseur.
Les organisations devraient :
- Tenir un registre des types de fournisseurs susceptibles d’affecter la sécurité des informations confidentielles.
- Comprendre comment contrôler les fournisseurs, en fonction de différents niveaux de risque.
- Identifiez les fournisseurs qui ont déjà mis en place des contrôles de sécurité des informations confidentielles.
- Identifiez les zones de l'infrastructure TIC de l'organisation auxquelles les fournisseurs pourront accéder ou visualiser.
- Définir comment la propre infrastructure des fournisseurs peut avoir un impact sur la protection de la vie privée.
- Identifiez et gérez les risques liés à la confidentialité liés à :
- Utilisation d'informations confidentielles.
- Utilisation des actifs protégés.
- Matériel défectueux ou logiciel défectueux.
- Surveillez la conformité à la sécurité des informations confidentielles sur une base spécifique à un sujet ou à un type de fournisseur.
- Limiter les éventuelles perturbations causées par le non-respect.
- Opérer avec une procédure de gestion des incidents.
- Mettre en œuvre un plan de formation approfondi qui informe le personnel sur la manière dont il doit interagir avec les fournisseurs.
- Soyez très prudent lors du transfert d’informations confidentielles et d’actifs physiques et virtuels entre l’organisation et les fournisseurs.
- Assurez-vous que les relations avec les fournisseurs prennent fin en gardant à l’esprit la sécurité des informations confidentielles.
Les organisations doivent utiliser les directives ci-dessus lorsqu’elles établissent de nouvelles relations avec des fournisseurs et envisager le non-respect au cas par cas.
L’ISO reconnaît que les relations commerciales varient considérablement d’un secteur à l’autre et d’une entreprise à l’autre, et donne aux organisations une marge de manœuvre en recommandant d’explorer des « contrôles compensatoires » qui cherchent à mettre en œuvre les mêmes principes sous-jacents de protection de la vie privée.
ISO 27701 Clause 6.12.1.2 – Aborder la sécurité dans les accords avec les fournisseurs
Références ISO 27002 Contrôle 5.20
Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.
Ce faisant, les organisations devraient :
- Proposez une description claire qui détaille les informations de confidentialité auxquelles il faut accéder et comment ces informations seront accessibles.
- Classer les informations de confidentialité auxquelles il faut accéder conformément à un système de classification accepté (voir ISO 27002 Contrôles 5.10, 5.12 et 5.13).
- Tenir dûment compte du propre système de classification des fournisseurs.
- Classez les droits en quatre domaines principaux – légaux, statutaires, réglementaires et contractuels – avec une description détaillée des obligations par domaine.
- Veiller à ce que chaque partie soit tenue d'adopter une série de contrôles qui surveillent, évaluent et gèrent les niveaux de risque pour la sécurité des informations confidentielles.
- Décrivez la nécessité pour le personnel du fournisseur d'adhérer aux normes de sécurité des informations d'une organisation (voir ISO 27002 Contrôle 5.20).
- Faciliter une compréhension claire de ce qui constitue une utilisation à la fois acceptable et inacceptable des informations confidentielles et des actifs physiques et virtuels de l’une ou l’autre partie.
- Adoptez les contrôles d'autorisation requis pour que le personnel du côté fournisseur puisse accéder ou consulter les informations de confidentialité d'une organisation.
- Tenez compte de ce qui se passe en cas de rupture de contrat ou de non-respect des stipulations individuelles.
- Décrivez une procédure de gestion des incidents, y compris la manière dont les événements majeurs sont communiqués.
- Veiller à ce que le personnel reçoive une formation de sensibilisation à la sécurité.
- (Si le fournisseur est autorisé à faire appel à des sous-traitants), ajoutez des exigences pour garantir que les sous-traitants sont alignés sur le même ensemble de normes de sécurité des informations confidentielles que le fournisseur.
- Réfléchissez à la manière dont le personnel des fournisseurs est sélectionné avant d'interagir avec les informations confidentielles.
- Stipuler la nécessité d'attestations de tiers attestant de la capacité du fournisseur à répondre aux exigences de sécurité des informations confidentielles de l'organisation.
- Avoir le droit contractuel d’auditer les procédures d’un fournisseur.
- Exigez des fournisseurs qu’ils fournissent des rapports détaillant l’efficacité de leurs propres processus et procédures.
- Concentrez-vous sur la prise de mesures pour affecter la résolution rapide et complète de tout défaut ou conflit.
- Veiller à ce que les fournisseurs opèrent avec une politique BUDR adéquate, pour protéger l'intégrité et la disponibilité des informations personnelles et des actifs liés à la confidentialité.
- Exiger une politique de gestion des changements côté fournisseur qui informe l’organisation de tout changement susceptible d’avoir un impact sur la protection de la vie privée.
- Mettez en œuvre des contrôles de sécurité physique proportionnels à la sensibilité des données stockées et traitées.
- (Lorsque les données doivent être transférées), demandez aux fournisseurs de garantir que les données et les actifs sont protégés contre la perte, les dommages ou la corruption.
- Décrivez une liste des mesures à prendre par l'une ou l'autre des parties en cas de résiliation.
- Demandez au fournisseur d'expliquer comment il a l'intention de détruire les informations confidentielles après la résiliation, ou si les données ne sont plus nécessaires.
- Prenez des mesures pour garantir une interruption minimale des activités pendant une période de transfert.
Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.
Articles applicables du RGPD
- Article 5, paragraphe 1, point f)
- Article 28 (1)
- Article 28 (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), (3)(g) , (3)(h)
- Article 30, paragraphe 2, point d)
- Article 32, paragraphe 1, point b)
Contrôles ISO 27002 pertinents
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.20
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.12.1.3 – Chaîne d'approvisionnement des technologies de l'information et de la communication
Références ISO 27002 Contrôle 5.21
Lorsqu’elles sous-traitent des éléments de leur chaîne d’approvisionnement, afin de protéger les informations personnelles et les actifs liés à la confidentialité, les organisations doivent :
- Rédigez un ensemble clair de normes de sécurité des informations confidentielles que les fournisseurs et les sous-traitants connaissent parfaitement.
- Demandez aux fournisseurs de fournir des informations sur tous les composants logiciels utilisés pour fournir un service.
- Identifiez les fonctions de sécurité de tout produit ou service fourni et établissez comment lesdits produits et services doivent être exploités de manière à ne pas compromettre la sécurité des informations confidentielles.
- Rédigez des procédures garantissant que tout produit ou service répond aux normes acceptées de l’industrie.
- Adhérez à un processus qui identifie et enregistre les éléments d'un produit ou d'un service qui sont cruciaux pour maintenir les fonctionnalités de base.
- Demandez aux fournisseurs de fournir l'assurance que certains composants sont accompagnés d'un journal d'audit qui prouve les mouvements tout au long de la chaîne d'approvisionnement.
- Recherchez l'assurance que les produits et services ne contiennent aucune fonctionnalité susceptible de présenter un risque de sécurité.
- Assurez-vous que les fournisseurs envisagent des mesures anti-falsification tout au long du cycle de vie du développement.
- Recherchez l’assurance que tous les produits ou services fournis sont conformes aux exigences de sécurité des informations confidentielles standard du secteur.
- Prendre des mesures pour garantir que les fournisseurs sont conscients de leurs obligations lorsqu’ils partagent des informations confidentielles tout au long de la chaîne d’approvisionnement.
- Rédigez des procédures qui gèrent les risques liés au fonctionnement avec des composants indisponibles, non pris en charge ou existants.
Il est important de noter que le contrôle qualité ne s’étend pas nécessairement à une inspection granulaire des propres procédures du fournisseur.
Les organisations doivent mettre en œuvre des contrôles spécifiques aux fournisseurs qui confirment que les organisations tierces sont une source fiable, dans le domaine de la gestion des informations confidentielles.
ISO 27701 Clause 6.12.2.1 – Surveillance et examen des services des fournisseurs
Références ISO 27002 Contrôle 5.22
Les organisations doivent être continuellement conscientes de la manière dont les services des fournisseurs sont fournis – et à quels niveaux – afin de maintenir une opération de gestion des informations confidentielles sûre et sécurisée.
Pour y parvenir, les organisations doivent :
- Surveiller les niveaux de service conformément aux SLA publiés.
- Remédiez aux défaillances ou événements de service le plus rapidement possible, en particulier ceux qui ont un impact sur les informations personnelles ou les actifs liés à la confidentialité.
- Surveillez toutes les modifications apportées par le fournisseur à ses propres opérations susceptibles d'avoir un impact sur la protection de la vie privée, y compris toute modification spécifique au service.
- Demandez à recevoir des rapports de service réguliers et des réunions d'examen programmées.
- Examinez les partenaires d’externalisation et les sous-traitants et suivez tout sujet de préoccupation.
- Opérer selon les normes et pratiques convenues en matière de gestion des incidents.
- Conservez un enregistrement des événements de sécurité des informations confidentielles, des problèmes opérationnels et des pannes.
- Mettez en évidence toutes les vulnérabilités en matière de sécurité des informations et atténuez-les au maximum.
- Soyez attentif aux relations des fournisseurs avec leurs propres fournisseurs et sous-traitants, ainsi qu'à l'impact que cela a sur la protection de la vie privée au sein de l'organisation elle-même.
- Identifiez le personnel du fournisseur qui est responsable du respect des termes du contrat de service.
- Effectuer des audits qui confirment la capacité d'un fournisseur à maintenir des normes adéquates en matière de confidentialité.
Contrôles ISO 27002 pertinents
- ISO 27002 5.29
- ISO 27002 5.30
- ISO 27002 5.35
- ISO 27002 5.36
- ISO 27002 8.14
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.12.2.2 – Gestion des modifications apportées aux services des fournisseurs
Références ISO 27002 Contrôle 5.22
Voir la norme ISO 27701, article 6.12.2.1.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.12.1.1 | Politique de sécurité des informations pour les relations avec les fournisseurs |
5.19 – Sécurité des informations dans les relations avec les fournisseurs pour ISO 27002 |
Aucun |
| 6.12.1.2 | Aborder la sécurité dans les accords avec les fournisseurs |
5.20 – Aborder la sécurité des informations dans les accords de fournisseurs pour la norme ISO 27002 |
Les articles , , , |
| 6.12.1.3 | Chaîne d’approvisionnement des technologies de l’information et de la communication |
5.21 – Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC pour ISO 27002 |
Aucun |
| 6.12.2.1 | Surveillance et examen des services des fournisseurs |
5.22 – Surveillance, révision et gestion du changement des services des fournisseurs pour la norme ISO 27002 |
Aucun |
| 6.12.2.2 | Gestion des modifications apportées aux services des fournisseurs |
5.22 – Surveillance, révision et gestion du changement des services des fournisseurs pour la norme ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Il peut être difficile de savoir par où commencer avec la norme ISO 27701, surtout si vous n'avez jamais eu à faire quelque chose de pareil auparavant. C'est là qu'ISMS.online entre en jeu !
Nos solutions ISO 27701 fournissent des cadres qui permettent à votre organisation de démontrer sa conformité à la norme ISO 27701.
Nos experts en sécurité de l'information peuvent travailler avec vous pour garantir que vous développez un processus de mise en œuvre logique qui s'aligne sur le cadre de documentation en ligne.
Pour en savoir plus, consultez réserver une démo pratique.
