Comprendre les exigences de la clause 27701 de la norme ISO 6.3.1.3
L'Organisation internationale de normalisation (ISO) plaide en faveur d'une approche holistique de la protection de la vie privée et des activités liées au PIMS, qui inclut les organisations établissant des liens professionnels avec des « groupes d'intérêt particuliers » (c'est-à-dire un individu ou une organisation impliquée dans la sécurité de l'information et comprenant comment réagir à incidents en impliquant les autorités externes compétentes.
Quelle que soit la personne avec laquelle l’organisation décide de communiquer – et quelle que soit la manière dont elle choisit de le faire – tous les efforts doivent être concentrés à la fois sur l’amélioration des normes actuelles de protection de la vie privée et sur le renforcement de la résilience contre la perte, le vol ou l’utilisation abusive des informations personnelles.
Ce qui est couvert par la clause 27701 de la norme ISO 6.3.1.3
ISO 27701 Clauses 6.3.1.3 et 6.3.1.4, bien qu'elles ne constituent pas leur propre paragraphe 6.3, sont liés entre eux de nombreuses manières et doivent être considérés ensemble à des fins pratiques.
Les deux clauses sont liées à lignes directrices contenues dans la norme ISO 27002, mais au lieu de faire référence à la sécurité des informations, traitez uniquement des informations personnelles, de la protection de la vie privée et de la configuration et de la maintenance d'un PIMS (aucune des deux clauses ne contient d'orientations spécifiques au RGPD).
- ISO 27701 Clause 6.3.1.3 – Contact avec les autorités (Références ISO 27002 Contrôle 5.5)
- ISO 27701 Clause 6.3.1.4 – Contact avec des groupes d'intérêt particuliers (Références ISO 27002 Contrôle 5.6)
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.3.1.3 – Contact avec les autorités
Références ISO 27002 Contrôle 5.5
Les organisations agissant en tant que contrôleur de données PII qui subissent une intrusion doivent disposer d'un ensemble d'instructions catégoriques sur lesquelles s'appuyer, qui décrivent comment communiquer avec les autorités externes pour :
- Agissez contre la source.
- Définissez les attentes internes.
- Améliorer le temps de résolution.
Les autorités externes peuvent inclure :
- Les services d'urgence.
- Fournisseurs de services publics.
- Fournisseurs Internet/téléphonie.
Toutes les méthodes de communication doivent être planifiées et documentées dans le cadre d'une politique de protection de la vie privée qui informe les organismes chargés de l'application de la loi, les organismes de réglementation et tout autre organisme industriel ou sectoriel qui a le droit d'être informé des questions liées à la protection de la vie privée.
Le contact avec les autorités est étroitement lié à :
- Gestion des incidents organisationnels (voir contrôles ISO 27002 5.24 à 5.28).
- BUDR et continuité d’activité (voir contrôles ISO 27002 5.29 à 5.30).
Contrôles pertinents
- ISO 27002 5.24
- ISO 27002 5.28
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.3.1.4 – Contact avec des groupes d'intérêt particuliers
Références ISO 27002 Contrôle 5.6
Aux côtés des autorités externes, les organisations doivent entretenir des relations professionnelles continues avec des « groupes d'intérêt particuliers » spécifiques à l'industrie et au secteur, pour démontrer leur conformité, améliorer leurs normes de protection des informations personnelles et développer un système plus efficace. Système de gestion des informations confidentielles.
Les organisations devraient rechercher l’adhésion à des groupes d’intérêts spéciaux afin de :
- Restez informé des meilleures pratiques actuelles de l’industrie et obtenez des conseils spécialisés.
- Se mettre dans la meilleure position possible pour recevoir des alertes précoces sur les vecteurs d'attaque réels et projetés.
- Participez à des forums et à des séminaires à l’échelle de l’industrie qui diffusent les dernières technologies, techniques de sécurité, normes de protection et procédures d’exploitation.
- Tisser des liens avec les particuliers et les entreprises qui sauront intervenir en cas d'incident (voir ISO 27002 5.24 à 5.28).
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.3.1.3 | Contact avec les autorités |
5.5 – Contact avec les autorités pour ISO 27002 |
Aucun |
| 6.3.1.4 | Contact avec des groupes d'intérêt spécial |
5.6 – Contact avec les groupes d’intérêts particuliers pour l’ISO 27002 |
Aucun |
Comment ISMS.online vous aide
En ajoutant un PIMS à votre ISMS sur la plateforme ISMS.online, votre posture de sécurité reste centralisée et vous éviterez la duplication là où les normes se chevauchent.
Avec votre PIMS accessible instantanément aux parties intéressées, il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27001 et ISO 27701 d'un simple clic.
Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27001 et 27701 en utilisant ISMS.online.
En savoir plus par réserver une démo.
