ISO 27701 – Article 6.14 – Aspects liés à la sécurité des informations dans la gestion de la continuité des activités

ISO 27701 Clause 6.14 : Protection de la continuité de la sécurité de l'information

En résumé, la planification de la continuité signifie s’assurer qu’une organisation est en mesure de poursuivre ses activités lorsque des problèmes surviennent et que des informations confidentielles – ou des installations entières de traitement de l’information – sont compromises ou indisponibles.

La continuité des activités est étroitement liée à la sauvegarde et à la reprise après sinistre (BUDR) – un concept technique TIC qui englobe les couches de redondance, les sauvegardes, la duplication des actifs et les alertes.

Ce qui est couvert par la clause 27701 de la norme ISO 6.14

La norme ISO 27701 se concentre sur deux domaines clés de la gestion de la continuité, sécurité des informations confidentielles et du redondance, à travers 4 sous-clauses :

• ISO 27701 6.14.1.1 – Planification de la continuité de la sécurité de l'information (ISO 27002 Contrôle 5.29)
• ISO 27701 6.14.1.2 – Mise en œuvre de la continuité de la sécurité de l'information (ISO 27002 Contrôle 5.29)
• ISO 27701 6.14.1.3 – Vérifier, renouveler et évaluer la continuité de la sécurité de l'information (ISO 27002 Contrôle 5.29)
• ISO 27701 6.14.2.1 – Disponibilité des installations de traitement de l'information (ISO 27002 Contrôle 8.14)

Chaque sous-paragraphe contient des informations d'orientation de la norme ISO 27002, appliquées dans le contexte de la sécurité des informations confidentielles.

ISO 27701 Clause 6.14.1.1 – Planification de la continuité de la sécurité de l'information

Références ISO 27002 Contrôle 5.29

Les organisations doivent considérer la sécurité des informations confidentielles comme partie intégrante d’une procédure plus large de gestion de la continuité des activités.

L'ISO demande aux organisations de se concentrer sur deux domaines clés lors de la formulation des plans de continuité des activités :

1. Perte de confidentialité
2. L'intégrité des informations

L’intégrité de la sécurité des informations confidentielles doit être maintenue à tout moment. Si les informations personnelles ou les actifs liés à la confidentialité sont compromis de quelque manière que ce soit, les organisations doivent faire tout ce qu'elles peuvent pour les restaurer de manière rapide et efficace, et aux mêmes niveaux d'avant la perturbation.

Les organisations devraient :

• Opérez avec des contrôles généralisés de sécurité des informations confidentielles qui fonctionnent en harmonie avec les plans de continuité des activités.
• Adhérez aux processus qui maintiennent les contrôles de sécurité des informations confidentielles pendant les périodes de perturbation ou de perte d’activité.

S'il n'est pas possible de maintenir des contrôles de sécurité des informations confidentielles à un moment donné (en particulier pendant les périodes de perturbation), les organisations doivent adopter des contrôles « compensatoires » qui s'efforcent d'atteindre un niveau de sécurité des informations aussi élevé que possible.

ISO 27701 Clause 6.14.1.2 – Mise en œuvre de la continuité de la sécurité de l'information

Références ISO 27002 Contrôle 5.29

Voir la norme ISO 27701, article 6.14.1.1.

ISO 27701 Clause 6.14.1.3 – Vérifier, renouveler et évaluer la sécurité des informations

Références ISO 27002 Contrôle 5.29

Voir la norme ISO 27701, article 6.14.1.1.

ISO 27701 Clause 6.14.2.1 – Disponibilité des installations de traitement de l'information

Références ISO 27002 Contrôle 8.14

Les organisations doivent s'efforcer de garantir que les services commerciaux et les systèmes d'information sur la confidentialité sont opérationnels à tout moment.

L'ISO recommande la duplication comme mécanisme de redondance : les organisations doivent conserver un inventaire des pièces de rechange, des composants matériels et logiciels en double, des périphériques réseau de rechange et des périphériques pouvant être remplacés en cas de dysfonctionnement des actifs sur le réseau.

Des alertes doivent être configurées pour identifier d'abord les installations défaillantes de traitement des informations confidentielles, et pour que des systèmes alternatifs soient mis en place le plus rapidement possible.

Les organisations devraient :

• Garantissez une relation continue avec deux fournisseurs de services distincts, réduisant ainsi le risque de temps d’arrêt.
• Envisagez des mesures de redondance lors de la conception et de la mise en œuvre de réseaux, telles que plusieurs contrôleurs de domaine et les plans BUDR.
• Utilisez des emplacements géographiquement distincts pour les sauvegardes et les services de données associés.
• Utilisez des techniques industrielles bien connues telles que l’équilibrage de charge et le basculement automatique entre deux composants logiciels ou systèmes redondants identiques.
• Testez régulièrement les mesures de redondance pour vous assurer qu'elles sont en mesure de répondre aux exigences de l'entreprise lorsque cela est nécessaire.
• Fonctionnez avec des composants de stockage en double (matrices RAID, processeurs) et des périphériques réseau dotés de versions de micrologiciel congruentes.

Prise en charge des contrôles ISO 27002 et RGPD

Comment ISMS.online vous aide

Nos solutions ISMS.online permettent aux organisations de superviser facilement les projets, en garantissant que les politiques et procédures du contrôleur de données et du sous-traitant sont conformes à la norme ISO.

Notre système en ligne garantit également que les responsables de la mise en œuvre du système disposent d'un seul endroit de référence et de collaboration. Notre méthode de résultats assurés (ARM) vous permet d’être sûr que vous cochez toutes les cases dont vous avez besoin pour vous conformer à la norme.

En savoir plus par réserver une démo pratique.