Mise en conformité avec la clause 27701 de la norme ISO 6.15 : aperçu complet
La conformité est un élément essentiel de toute opération de protection de la vie privée : les organisations doivent être en mesure de démontrer qu'elles remplissent leurs obligations envers les informations personnelles et les systèmes utilisés pour stocker et traiter les éléments liés à la confidentialité.
Ce qui est couvert par la clause 27701 de la norme ISO 6.15
La norme ISO 27701 6.15 traite de la conformité dans deux domaines principaux : le respect des exigences légales et contractuelles et examens de la sécurité de l'information (ce dernier étant le principal moyen de découvrir les cas de non-conformité et de résoudre tout problème lié à la confidentialité).
- ISO 27701 6.15.1.1 – Identification de la législation applicable et des exigences contractuelles (ISO 27002 Contrôle 5.31)
- ISO 27701 6.15.1.2 – Droits de propriété intellectuelle (ISO 27002 Contrôle 5.32)
- ISO 27701 6.15.1.3 – Protection des enregistrements (ISO 27002 Contrôle 5.33)
- ISO 27701 6.15.1.4 – Confidentialité et protection des informations personnelles identifiables (ISO 27002 Contrôle 5.34)
- ISO 27701 6.15.1.5 – Réglementation des contrôles cryptographiques (ISO 27002 Contrôle 5.31)
- ISO 27701 6.15.2.2 – Conformité aux politiques et normes de sécurité (ISO 27002 Contrôle 5.36)
- ISO 27701 6.15.2.3 – Examen de la conformité technique (ISO 27002 Contrôle 5.36)
Quatre sous-clauses contiennent des informations pertinentes pour le Royaume-Uni GDPR législation – nous avons fourni les références des articles sous chaque sous-clause pour votre commodité :
- ISO 27701 6.15.1.1
- ISO 27701 6.15.1.3
- ISO 27701 6.15.2.1
- ISO 27701 6.15.2.3
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.15.1.1 – Identification de la législation applicable et des exigences contractuelles
Références ISO 27002 Contrôle 5.31
Les organisations doivent se conformer aux exigences légales, statutaires, réglementaires et contractuelles lorsque :
- Rédaction et/ou modification des procédures de sécurité des informations confidentielles.
- Catégoriser les informations.
- Entreprendre des évaluations des risques liés aux activités de sécurité des informations confidentielles.
- Forger des relations avec les fournisseurs, y compris toutes les obligations contractuelles tout au long de la chaîne d'approvisionnement.
Facteurs législatifs et réglementaires
Les organisations doivent suivre des procédures qui leur permettent de identifier, l'analyser et comprendre obligations législatives et réglementaires – en particulier celles qui concernent la protection de la vie privée et les informations personnelles – partout où elles opèrent.
Les organisations doivent être continuellement conscientes de leurs obligations en matière de protection de la vie privée lorsqu’elles concluent de nouveaux accords avec des tiers, des fournisseurs et des sous-traitants.
Cryptographie
Lors du déploiement de méthodes de chiffrement pour renforcer la protection de la vie privée et sauvegarder les informations personnelles, les organisations doivent :
- Respectez toutes les lois qui régissent l’importation et l’exportation de matériel ou de logiciels susceptibles de remplir une fonction cryptographique.
- Fournir un accès à des informations cryptées en vertu des lois de la juridiction dans laquelle ils opèrent.
- Utilisez trois éléments clés du cryptage :
- Signatures numériques.
- Scellés.
- Certificats numériques.
Articles applicables du RGPD
- Article 5 – (1)(f)
- Article 28 – (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), ( 3)(g), (3)(h)
- Article 30 – (2)(d)
- Article 32 – (1)(b)
Contrôles ISO 27002 pertinents
- ISO 27002 5.20
ISO 27701 Clause 6.15.1.2 – Droits de propriété intellectuelle
Références ISO 27002 Contrôle 5.32
Pour protéger les données, logiciels ou actifs qui pourraient être considérés comme de la propriété intellectuelle (PI), les organisations doivent :
- Adhérer à une politique « thématique » qui traite des droits de propriété intellectuelle, qui prend en compte la propriété intellectuelle au cas par cas.
- Adhérez aux procédures qui définissent la manière dont l’intégrité IP peut être maintenue tout en utilisant les logiciels et produits de l’organisation.
- Utilisez uniquement des sources réputées pour acquérir des logiciels, lors de l'achat, de la location ou du crédit-bail de logiciels et d'abonnements à des logiciels.
- Conservez la preuve de propriété (électronique ou physique).
- Respectez les limites d’utilisation des logiciels.
- Soumettez-vous à des examens périodiques des logiciels pour éviter d'utiliser des applications non autorisées ou potentiellement dangereuses.
- Assurez-vous que les licences logicielles sont valides et à jour, et que les directives d'utilisation équitable sont respectées.
- Rédiger des procédures garantissant l’élimination sûre et conforme des actifs logiciels.
- (En ce qui concerne les enregistrements commerciaux), assurez-vous qu'aucune partie de l'enregistrement n'est extraite, copiée ou convertie par des moyens non autorisés.
- Assurez-vous que les données textuelles sont prises en compte aux côtés des médias numériques.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.15.1.3 – Protection des enregistrements
Références ISO 27002 Contrôle 5.33
Les organisations devraient envisager la gestion des dossiers dans 4 domaines clés :
- Authenticité
- Fiabilité
- Intégrité
- Facilité d'utilisation
Pour maintenir un système d'enregistrement fonctionnel qui protège les informations personnelles et les informations liées à la confidentialité, les organisations doivent :
- Publier des lignes directrices traitant de :
- Stockage.
- Manutention (chaîne de contrôle).
- Disposition.
- Prévenir les manipulations.
- Décrivez combien de temps chaque type d’enregistrement doit être conservé.
- Respectez toutes les lois qui traitent de la tenue des dossiers.
- Adhérez aux attentes des clients quant à la manière dont les organisations doivent gérer leurs dossiers.
- Détruisez les enregistrements une fois qu’ils ne sont plus nécessaires.
- Classer les enregistrements en fonction de leur risque de sécurité, par exemple :
- Comptabilité.
- Transactions commerciales.
- Dossiers personnels.
- Informations légales
- Assurez-vous qu’ils sont en mesure de récupérer les dossiers dans un délai acceptable, si un tiers ou un organisme chargé de l’application de la loi leur demande de le faire.
- Respectez toujours les directives du fabricant lors du stockage ou de la manipulation d’enregistrements sur des sources multimédias électroniques.
Articles applicables du RGPD
- Article 5 – (2)
- Article 24 – (2)
ISO 27701 Clause 6.15.1.4 – Confidentialité et protection des informations personnelles identifiables
Références ISO 27002 Contrôle 5.34
Les organisations doivent traiter les informations personnelles comme un spécifique au sujet concept qui doit être abordé dans le cadre de nombreuses fonctions commerciales distinctes.
Avant tout, les organisations doivent mettre en œuvre des politiques qui répondent à trois aspects principaux du traitement et du stockage des informations personnelles :
- Préservation
- Politique
- Protection
Les organisations doivent s'assurer que tous les employés sont conscients de leurs obligations en matière de gestion des informations personnelles, et pas seulement ceux qui y sont confrontés quotidiennement dans le cadre de leur travail.
Responsables de la confidentialité
Les organisations devraient nommer un responsable de la protection de la vie privée, dont le travail consiste à fournir des conseils aux employés et aux organisations tierces en matière d'informations personnelles, tout en offrant des conseils à la haute direction sur la manière de maintenir l'intégrité et la disponibilité des informations confidentielles.
ISO 27701 Clause 6.15.1.5 – Réglementation des contrôles cryptographiques
Références ISO 27002 Contrôle 5.31
Voir la norme ISO 27701, article 6.15.1.1.
ISO 27701 Clause 6.15.2.1 – Examen indépendant de la sécurité de l'information
Références ISO 27002 Contrôle 5.35
Les organisations devraient développer des processus permettant des examens indépendants de leurs pratiques en matière de sécurité des informations confidentielles, y compris à la fois des politiques spécifiques à un sujet et des politiques générales.
Les examens doivent être effectués par :
- Auditeurs internes.
- Gestionnaires de département indépendants.
- Organismes tiers spécialisés.
Les examens doivent être indépendants et effectués par des personnes ayant une connaissance suffisante des directives en matière de protection de la vie privée et des procédures propres à l'organisation.
Les évaluateurs doivent déterminer si les pratiques de sécurité des informations confidentielles sont conformes aux « objectifs et exigences documentés » de l'organisation.
En plus des examens périodiques structurés, les organisations peuvent être confrontées au besoin de mener des examens ad hoc déclenchés par certains événements, notamment :
- Suite à des modifications des politiques internes, des lois, des directives et des réglementations qui affectent la protection de la vie privée.
- Après des incidents majeurs qui ont eu un impact sur la protection de la vie privée.
- Chaque fois qu'une nouvelle entreprise est créée ou que des changements majeurs sont apportés à l'entreprise actuelle.
- Suite à l’adoption d’un nouveau produit ou service traitant de quelque manière que ce soit de la protection de la vie privée.
Articles applicables du RGPD
- Article 32 – (1)(d), (2)
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.15.2.2 – Conformité aux politiques et normes de sécurité
Références ISO 27002 Contrôle 5.36
Les organisations doivent s'assurer que le personnel est en mesure de consulter les politiques de confidentialité dans l'ensemble des opérations commerciales.
La direction doit développer des méthodes techniques de reporting sur le respect de la confidentialité (y compris l'automatisation et des outils sur mesure). Les rapports doivent être enregistrés, stockés et analysés pour améliorer davantage les efforts de sécurité des informations personnelles et de protection de la vie privée.
Lorsque des problèmes de conformité sont découverts, les organisations doivent :
- Établissez la cause.
- Décidez d’une méthode d’action corrective pour combler les lacunes en matière de conformité.
- Revenez sur le problème après une période de temps appropriée, pour vous assurer qu'il est résolu.
Il est d’une importance vitale de mettre en œuvre des mesures correctives le plus rapidement possible. Si les problèmes ne sont pas entièrement résolus au moment du prochain examen, des preuves doivent au minimum être fournies pour montrer que des progrès ont été réalisés.
ISO 27701 Clause 6.15.2.3 – Examen de la conformité technique
Références ISO 27002 Contrôle 5.36
Voir la norme ISO 27701, article 6.15.2.2.
Articles applicables du RGPD
- Article 32 – (1)(d), (2)
Prise en charge des contrôles ISO 27002 et RGPD
Comment ISMS.online vous aide
La norme ISO 27701 n'est pas seulement un cadre que les organisations peuvent adopter ; cela signifie adapter la façon dont les gens comprennent, interagissent et interagissent avec les données.
Chez ISMS.online, nous avons conçu notre système pour que vous et votre personnel puissiez profiter de notre interface facile à utiliser pour documenter votre parcours ISO.
Nous fournissons également des ressources vidéo et un accès à des professionnels de la sécurité de l'information pour vous aider à intégrer les normes dans votre entreprise.
En savoir plus par réserver une démo pratique.
