Comprendre la clause 27701 de la norme ISO 6.13 : Guide de gestion des incidents
La gestion des incidents relatifs aux informations confidentielles traite les cas d'événements de sécurité qui ont été transmis à incidents – en termes d’identification, de résolution, de fourniture de preuves et de changement via une analyse des causes profondes.
Les incidents liés à la confidentialité peuvent potentiellement affecter considérablement la réputation et la situation financière d’une organisation. À ce titre, il est d’une importance vitale de fonctionner avec un ensemble solide de procédures de gestion des incidents, facilement communicables et bien comprises par toutes les personnes concernées.
Ce qui est couvert par la clause 27701 de la norme ISO 6.13
La clause 27701 de la norme ISO 6.13 contient 7 sous-clauses qui traitent de la gestion des incidents de sécurité de l'information et des améliorations, chaque contrôle contenant des points d'orientation de ISO 27002, mais dans un contexte de protection de la vie privée :
- ISO 27701 6.13.1.1 – Responsabilités et procédures (ISO 27002 Contrôle 5.24)
- ISO 27701 6.13.1.2 – Signalement des événements liés à la sécurité de l'information (ISO Control 27002 6.8)
- ISO 27701 6.13.1.3 – Signalement des faiblesses en matière de sécurité de l'information (ISO 27002 Control 6.8)
- ISO 27701 6.13.1.4 – Évaluation et décisions concernant les événements liés à la sécurité de l'information (ISO 27002 Control 5.25)
- ISO 27701 6.13.1.5 – Réponse aux incidents de sécurité de l'information (ISO 27002 Contrôle 5.26)
- ISO 27701 6.13.1.6 – Tirer les leçons des incidents de sécurité de l'information (ISO 27002 Contrôle 5.27)
- ISO 27701 6.13.1.7 – Collecte de preuves (ISO 27002 Contrôle 5.28)
La gestion des incidents est un sujet vaste et varié, c'est pourquoi plusieurs sous-paragraphes contiennent des indications supplémentaires sur les contrôles associés au sein de la norme ISO 27002.
Un seul sous-paragraphe (ISO 27701 6.13.1.1) contient des informations pertinentes pour les régions du Royaume-Uni. GDPR législation – nous avons fourni les numéros d’article sous les points d’orientation, pour votre commodité.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.13.1.1 – Responsabilités et procédures
Références ISO 27002 Contrôle 5.24
Rôles et responsabilités
Afin de créer une politique de gestion des incidents cohérente et hautement fonctionnelle qui protège la disponibilité et l'intégrité des informations confidentielles lors d'incidents critiques, les organisations doivent :
- Adhérez à une méthode de signalement des événements de sécurité des informations confidentielles.
- Établissez une série de processus qui gèrent les incidents liés à la sécurité des informations confidentielles dans l’ensemble de l’entreprise, notamment :
- Administration.
- Documentation.
- Détection.
- Triage.
- Priorisation.
- Analyse.
- Communication.
- Rédigez une procédure de réponse aux incidents qui permet à l’organisation d’évaluer les incidents, d’y répondre et d’en tirer des leçons.
- Veiller à ce que les incidents soient gérés par un personnel formé et compétent qui bénéficie de programmes continus de formation et de certification sur le lieu de travail.
Gestion des incidents
Le personnel impliqué dans des incidents de sécurité des informations confidentielles doit comprendre :
- Le temps qu'il faudrait pour résoudre un incident.
- Toutes les conséquences potentielles.
- La gravité de l'incident.
Lorsqu’il traite des événements liés à la sécurité des informations confidentielles, le personnel doit :
- Évaluer les événements conformément à des critères stricts qui les valident comme incidents approuvés.
- Classez les événements liés à la sécurité des informations confidentielles en 5 sous-thèmes :
- Surveillance (voir ISO 27002 Contrôles 8.15 et 8.16).
- Détection (voir ISO 27002 Contrôle 8.16).
- Classification (voir ISO 27002 Contrôle 5.25).
- Analyse.
- Reporting (voir ISO 27002 Contrôle 6.8).
- Lors de la résolution d’incidents de sécurité des informations confidentielles, les organisations doivent :
- Répondre et faire remonter les problèmes (voir ISO 27002 Contrôle 5.26) en fonction du type d'incident.
- Activer les plans de gestion de crise et de continuité d’activité.
- Effectuer une reprise gérée après un incident qui atténue les dommages opérationnels et/ou financiers.
- Assurer une communication approfondie des événements liés à l’incident à tout le personnel concerné.
- Participez au travail collaboratif (voir ISO 27002 Contrôles 5.5 et 5.6).
- Enregistrez toutes les activités basées sur la gestion des incidents.
- Être responsable du traitement des preuves liées à l'incident (voir ISO 27002 Contrôle 5.28).
- Entreprendre une analyse approfondie des causes profondes, afin de minimiser le risque que l'incident se reproduise, y compris des suggestions de modifications à apporter à tous les processus.
Les activités de reporting doivent être centrées autour de 4 domaines clés :
- Actions qui doivent être prises lorsqu’un événement de sécurité des informations se produit.
- Formulaires d'incident qui enregistrent les informations tout au long d'un incident.
- Processus de feedback de bout en bout à tout le personnel concerné.
- Les rapports d'incident détaillent ce qui s'est passé une fois l'incident résolu.
Articles applicables du RGPD
- Article 5 – (1)(f)
- Article 33 – (1), (3)(a), (3)(b), (3)(c), (3)(d), (4), (5)
- Article 34 – (1), (2), (3)(a), (3)(b), (3)(c), (4)
Contrôles ISO 27002 pertinents
- ISO 27002 5.25
- ISO 27002 5.26
- ISO 27002 5.5
- ISO 27002 5.6
- ISO 27002 6.8
- ISO 27002 8.15
- ISO 27002 8.16
ISO 27701 Clause 6.13.1.2 – Signalement des événements liés à la sécurité des informations
Références ISO 27002 Contrôle 6.8
Les organisations doivent s’assurer que les événements relatifs aux informations confidentielles sont signalés de manière rapide et efficace.
Le personnel doit disposer de moyens rapides et simples pour signaler les événements liés à la protection de la vie privée et doit être pleinement conscient de ce qui constitue une violation.
Les événements relatifs aux informations de confidentialité peuvent inclure :
- Contrôles de sécurité des informations confidentielles inefficaces.
- Violation de la confidentialité, de l’intégrité ou de la disponibilité des informations.
- Erreur humaine ou interventions malveillantes.
- Non-respect des politiques de sécurité des informations confidentielles (spécifiques à un sujet et générales).
- Violations des contrôles de sécurité physique.
- Modifications non autorisées du système.
- Dysfonctionnements du logiciel.
- Violations d’accès physique et logique.
- Diverses vulnérabilités.
- Infections par logiciels malveillants (soupçonnées ou réelles).
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.13.1.3 – Signalement des faiblesses en matière de sécurité des informations
Références ISO 27002 Contrôle 6.8
Voir la norme ISO 27701, article 6.13.1.2.
ISO 27701 Clause 6.13.1.4 – Évaluation et décisions concernant les événements liés à la sécurité de l'information
Références ISO 27002 Contrôle 5.25
Les organisations doivent adopter une approche qualitative de la gestion des incidents de sécurité des informations confidentielles qui comprend 4 points clés :
- Rédaction d'un système de catégorisation clair qui renforce la sécurité des informations confidentielles l'évènementiel à la sécurité des informations confidentielles incidents.
- Répertorier un point de contact qui évalue les événements liés à la sécurité des informations confidentielles à l'aide d'un ensemble strict de règles de classification.
- Veiller à ce que le personnel technique soit suffisamment qualifié et équipé pour résoudre les incidents de sécurité des informations confidentielles.
- Enregistrer toutes les conversations et activités de résolution pour un examen ultérieur et pour minimiser le risque d'événements similaires.
ISO 27701 Clause 6.13.1.5 – Réponse aux incidents de sécurité de l'information
Références ISO 27002 Contrôle 5.26
Les organisations doivent s'assurer que les incidents de sécurité des informations confidentielles sont traités par une équipe technique dédiée possédant les compétences et les ressources nécessaires pour parvenir à une résolution rapide (voir ISO 27002 Contrôle 5.24).
Les organisations devraient :
- Contenir toutes les menaces liées à la vie privée découlant du problème d'origine.
- Recueillez un ensemble de preuves tout au long du processus de résolution.
- Incluez l’escalade, les activités BUDR et la planification de la continuité dans tout effort de résolution (voir ISO 27002 Contrôles 5.29 et 5.30).
- Enregistrez toutes les activités liées aux incidents.
- Veiller à ce que le personnel fonctionne selon le principe du « besoin de savoir » lorsqu'il traite des incidents relatifs aux informations confidentielles.
- Soyez continuellement attentif à leurs responsabilités envers leurs clients et les organisations externes, lors de la communication d’incidents relatifs aux informations confidentielles et de violations de données.
- Clôturez les incidents selon un ensemble rigide de critères de résolution.
- Entreprendre une analyse médico-légale (voir ISO 27002 Contrôle 5.28), selon les besoins.
- Chercher à établir la cause sous-jacente d'un incident, une fois qu'il a été résolu (voir ISO 27002 Contrôle 5.27).
- Prendre des mesures correctives sur tous les processus, contrôles, politiques et procédures associés, afin de renforcer la protection de la vie privée de l'organisation une fois qu'un incident a été résolu.
Articles applicables du RGPD
- Article 33 – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (4), (5)
- Article 34 – (1), (2)
Contrôles ISO 27002 pertinents
- ISO 27002 5.24
- ISO 27002 5.27
- ISO 27002 5.28
- ISO 27002 5.29
- ISO 27002 5.30
ISO 27701 Clause 6.13.1.6 – Tirer les leçons des incidents de sécurité de l'information
Références ISO 27002 Contrôle 5.26
Les organisations devraient créer des procédures de gestion des incidents qui traitent trois éléments principaux des incidents de sécurité des informations confidentielles :
- Type d'incident.
- Volume estimé.
- Coût projeté.
Les incidents de sécurité des informations confidentielles devraient bénéficier de procédures qui :
- Renforcer le cadre de gestion des incidents existant de l'organisation (voir ISO 27002 Contrôle 5.24).
- Améliorer les processus d’évaluation des risques liés à la confidentialité des informations de l’organisation.
- Meilleure sensibilisation des utilisateurs – ceci peut être réalisé en fournissant des exemples concrets de scénarios et comment les gérer.
Contrôles ISO 27002 pertinents
- ISO 27702 5.24
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.13.1.7 – Collecte de preuves
Références ISO 27002 Contrôle 5.28
Les organisations doivent collecter des preuves concernant les activités liées aux incidents dans le but exprès de remplir leurs obligations légales, réglementaires, contractuelles et disciplinaires.
Les efforts de collecte de preuves doivent garantir que plusieurs organismes de réglementation et législatifs sont en mesure d'examiner les activités liées aux incidents en utilisant (mais sans s'y limiter) :
- Supports de stockage.
- Actifs et appareils.
- Statut du périphérique.
Les organisations ne doivent faire aucune hypothèse sur les preuves qu'elles doivent collecter – en particulier en ce qui concerne les informations confidentielles – et elles doivent impliquer les autorités judiciaires dès que possible en cas de doute sur ce qui doit se produire.
Lorsqu’elles fournissent des preuves à des organismes externes, les organisations doivent démontrer que :
- Les enregistrements des incidents sont complets et exempts de toute interférence.
- La preuve électronique reflète sa contrepartie physique.
- Les systèmes TIC étaient capables d’enregistrer de manière adéquate toutes les preuves pertinentes.
- Le personnel technique impliqué dans la collecte de preuves est suffisamment qualifié et compétent pour remplir son rôle.
- Ils ont la capacité juridique de recueillir des preuves.
Prise en charge des contrôles ISO 27002 et RGPD
Comment ISMS.online vous aide
Avec ISMS.online, vous pouvez facilement atteindre la conformité ISO 27701 en utilisant une solution de gestion des informations basée sur le cloud.
De plus, nos experts et ressources en sécurité de l’information sont disponibles pour vous accompagner dans le processus d’accréditation ISO 27701.
En savoir plus par réserver une démo.
