Éléments clés de la clause 6.2 : Cadre stratégique pour la protection des informations personnelles identifiables
Les politiques de protection de la vie privée fournissent un cadre opérationnel permettant aux organisations de se comporter en tant que contrôleur de données responsable et de sensibiliser le personnel à leurs obligations quotidiennes en matière d'informations personnelles.
La documentation relative aux politiques doit être approuvée par la haute direction et communiquée au personnel afin que tous les membres de l'organisation travaillent selon le même ensemble de principes directeurs liés aux informations personnelles.
Ce qui est couvert par la clause 27701 de la norme ISO 6.2
La norme ISO 27701 6.2 contient deux sous-paragraphes qui fournissent des conseils spécifiques en matière de protection de la vie privée :
- ISO 27701 6.2.1.1 – Politiques de sécurité de l'information (Références ISO 27002 Contrôle 5.1)
- ISO 27701 6.2.1.2 – Revue des politiques de sécurité de l'information (Références ISO 27002 Control 5.1)
Comme pour les autres articles de la norme, La clause 27701 de la norme ISO 6.2 renvoie à la norme ISO 27002 lors de la description de la manière dont les organisations doivent gérer les informations liées aux PII et au PIMS.
Le libellé de la norme ISO 27701 6.2 contient des références à la norme ISO 27002:2013, mais cette norme a maintenant été remplacée par une version plus à jour – ISO 27002:2022. Lorsque des références sont faites à des clauses de la norme ISO 27002:2013, nous avons croisé les citations avec leurs versions mises à jour dans la norme ISO 27002:2022.
À cet effet, l'ISO 27701 6.2 est liée à deux normes de l'ISO 27002:2013 (5.1.1 et 5.1.2) qui ont été fusionnées en une seule norme au sein de l'ISO 27002:2022 (5.1).
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.2.1.1 – Politiques de sécurité des informations
Références ISO 27002 Contrôle 5.1
L'ISO préconise une approche double face de la protection de la vie privée au sein des organisations, qui comprend :
- Une politique générale de protection de la vie privée.
- Politiques de protection de la vie privée spécifiques à un sujet.
Les deux types de politiques peuvent être soit combinés en un seul document, soit séparés selon le bon vouloir de l’organisation.
Les politiques doivent être diffusées à tous les membres du personnel concernés (et au personnel externe, le cas échéant), afin de garantir le respect continu des exigences internes et externes en matière de protection de la vie privée.
Il convient de demander à toute personne recevant une politique de confirmer, de préférence par écrit, qu'elle comprend ce qui lui est demandé et qu'elle est prête à s'y conformer.
Les politiques doivent être revues lorsque des modifications sont apportées à :
- Stratégie d'entreprise.
- Pratiques opérationnelles/environnements techniques.
- Toutes les lois (y compris le RGPD), les stipulations réglementaires ou les directives générales relatives aux informations personnelles que l'organisation a la responsabilité de respecter.
- Niveaux de risque en matière de protection de la vie privée et paysage des menaces dominantes/prévues.
Politiques spécifiques à un sujet
Une approche thématique de la protection de la vie privée donne aux organisations la liberté de traiter les éléments individuels de leurs opérations de traitement des données/sécurité de l'information sur une base sujet par sujet, avec une politique distincte pour chacun.
Les domaines spécifiques à un sujet peuvent inclure des fonctions TIC telles que le contrôle d'accès, la sécurité des réseaux, la planification BUDR et les processus de cryptage.
Chaque politique spécifique à un sujet doit être créée conformément à la politique globale de protection de la vie privée de l'organisation et rédigée par des personnes du département (pas nécessairement la haute direction) qui possèdent le niveau d'expertise et de compétence pertinent dans le domaine à considérer.
Politiques générales de protection de la vie privée
La haute direction doit établir une politique de protection de la vie privée de haut niveau qui décrit clairement les processus et les mesures pratiques qui seront prises afin de protéger les informations personnelles. Les politiques organisationnelles de protection de la vie privée doivent contenir des informations provenant de et rester pertinentes pour :
- La stratégie commerciale globale.
- Toute exigence réglementaire, légale ou contractuelle en vigueur.
- Tout risque clair et présent en matière de protection de la vie privée.
Les politiques de protection de la vie privée doivent définir les éléments suivants de l'organisation :
- Définition opérationnelle de la protection de la vie privée.
- Objectifs déclarés en matière de protection de la vie privée.
- Ensemble plus large de principes directeurs relatifs à la protection des informations personnelles.
- Engagement à atteindre leurs objectifs liés aux informations personnelles et à les améliorer de manière continue.
- Approche consistant à déléguer la responsabilité de tout ou partie de la politique de protection de la vie privée aux types de rôles concernés.
- Approche pour gérer les exceptions à la politique.
- Plans pour que la haute direction examine et approuve les changements.
Conseils supplémentaires spécifiques aux informations personnelles
Les organisations doivent mettre en œuvre des politiques et des procédures qui traitent spécifiquement de toute législation en vigueur relative aux informations personnelles, des directives réglementaires ou des accords contractuels. Lorsque des organisations tierces sont impliquées, les politiques doivent clairement définir les responsabilités des deux parties en matière d’informations personnelles.
Articles applicables du RGPD
- Article 24 – (24)(2)
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.2.1.2 – Examen des politiques de sécurité de l'information
Références ISO 27002 Contrôle 5.1
La clause 27701 de l'ISO 6.2.1.2 contient exactement les mêmes directives que la clause 27701 de l'ISO 6.2.1.1, sans aucune exigence supplémentaire relative aux informations personnelles.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.2.1.1 | Politiques de sécurité des informations |
5.1 – Politiques de sécurité des informations pour ISO 27002 |
Article Trap olympique |
| 6.2.1.2 | Examen des politiques de sécurité de l'information |
5.1 – Politiques de sécurité des informations pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Il peut être difficile de savoir par où commencer avec la norme ISO 27701, surtout si vous n'avez jamais eu à faire quelque chose de pareil auparavant. C'est là qu'ISMS.online entre en jeu !
Nos solutions ISO 27701 fournissent des cadres qui permettent à votre organisation de démontrer sa conformité à la norme ISO 27701.
Nos experts en sécurité de l'information peuvent travailler avec vous pour garantir que vous développez un processus de mise en œuvre logique qui s'aligne sur le cadre de documentation en ligne.
Apprenez-en davantage et bénéficiez d'une démonstration pratique en réserver une démo.
