Conformité à la norme ISO 27701 : gestion des risques liés aux appareils mobiles et au travail à distance
Les appareils mobiles et le travail à distance deviennent rapidement partie intégrante du lieu de travail moderne.
La nécessité pour l'organisation de garantir que tous les types d'appareils sont couverts par une politique générale relative aux appareils de l'utilisateur final qui prend en considération la nature de l'appareil, la manière dont il sera utilisé conjointement avec les informations personnelles, la manière dont il est géré par l'organisation et les obligations de l'utilisateur final. sont pendant l'utilisation de l'appareil.
L'ISO demande aux organisations de classer les terminaux de deux manières :
- Appareils devant être utilisés dans les limites du réseau et des locaux physiques de l'organisation.
- Appareils utilisés à la fois à l’intérieur et à l’extérieur du réseau local et des locaux physiques de l’organisation.
Ce qui est couvert par la clause 27701 de la norme ISO 6.3.2
La clause 6.3.2 couvre deux aspects clés de ce qui était auparavant connu sous le nom de « télétravail », mais qui est désormais plus communément appelé « travail à distance » : la gestion des appareils et les principes généralisés du travail à distance.
La clause 6.3.2 les divise en deux sous-paragraphes, contenant des conseils issus de deux sous-paragraphes liés qui traitent de la sécurité des données organisationnelles dans la norme ISO 27002 :
- ISO 27701 6.3.2.1 – Appareils mobiles et télétravail (Références ISO 27002 Contrôle 8.1)
- ISO 27701 6.3.2.2 – Télétravail (Références ISO 27002 Contrôle 6.7)
La sous-clause 6.3.2.1 contient des indications supplémentaires sur les domaines applicables de la législation RGPD.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
Aucun des deux paragraphes ne contient d'orientations supplémentaires concernant l'établissement ou la maintenance d'un PIMS, dans le contexte du travail à distance ou de la gestion des appareils des utilisateurs.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.3.2.1 – Politiques relatives aux appareils mobiles
Références ISO 27002 Contrôle 8.1
Les organisations doivent mettre en œuvre des politiques spécifiques à un sujet qui traitent de différentes catégories de terminaux et de versions logicielles des appareils mobiles, ainsi que la manière dont les contrôles de sécurité doivent être adaptés pour améliorer la sécurité des données.
La politique, les procédures et les mesures de sécurité d'une organisation en matière d'appareils mobiles doivent prendre en compte :
- Les différentes catégories de données que l'appareil peut à la fois traiter et stocker.
- Comment les appareils sont enregistrés et identifiés sur le réseau.
- Comment les appareils seront physiquement protégés.
- Toute limitation sur les applications et les installations de logiciels.
- Gestion à distance, y compris les mises à jour et les correctifs.
- Contrôles d'accès des utilisateurs, y compris RBAC si nécessaire.
- Chiffrement
- Contre-mesures antimalware (gérées ou non gérées).
- BOUDR.
- Restrictions de navigation.
- Analyse des utilisateurs (voir ISO 27002 Control 8.16).
- L'installation, l'utilisation et la gestion à distance de périphériques de stockage amovibles ou de périphériques amovibles.
- Comment séparer les données sur l'appareil, afin que les informations personnelles soient séparées des données standard de l'appareil (y compris les données personnelles de l'utilisateur). Cela implique de déterminer s'il est approprié ou non de stocker tout type de données organisationnelles sur l'appareil physique, plutôt que d'utiliser l'appareil pour y fournir un accès en ligne.
- Que se passe-t-il en cas de perte ou de vol d'un appareil ? c'est-à-dire répondre à toutes les exigences légales, réglementaires ou contractuelles et traiter avec les assureurs de l'organisation.
Responsabilité individuelle de l'utilisateur
Tous les membres de l'organisation qui utilisent l'accès à distance doivent être explicitement informés de toute politique et procédure relative aux appareils mobiles qui s'appliquent à eux dans le contexte de la gestion sécurisée des appareils terminaux.
Les utilisateurs doivent être invités à :
- Fermez toutes les sessions de travail actives lorsqu'elles ne sont plus utilisées.
- Mettre en œuvre des contrôles de protection physique et numérique, comme l’exige la politique.
- Soyez conscient de leur environnement physique – et des risques de sécurité inhérents qu’ils contiennent – lorsque vous accédez à des données sécurisées à l’aide de l’appareil.
Apportez votre propre appareil (BYOD)
Les organisations qui autorisent leur personnel à utiliser des appareils personnels doivent également prendre en compte les contrôles de sécurité suivants :
- Installation d'un logiciel sur l'appareil (y compris les téléphones mobiles) qui facilite la séparation des données professionnelles et personnelles.
- Appliquer une politique BYOD qui comprend :
- Reconnaissance de la propriété organisationnelle des informations personnelles.
- Mesures de protection physique et numérique (voir ci-dessus).
- Suppression des données à distance.
- Toutes les mesures garantissant l’alignement avec la législation PII et les orientations réglementaires.
- Droits de propriété intellectuelle, concernant la propriété de l'entreprise sur tout ce qui a été produit sur un appareil personnel.
- Accès organisationnel à l'appareil – soit à des fins de protection de la vie privée, soit pour se conformer à une enquête interne ou externe.
- CLUF et licences logicielles pouvant être affectés par l'utilisation de logiciels commerciaux sur un appareil privé.
Configurations sans fil
Lors de la rédaction de procédures traitant de la connectivité sans fil sur les appareils finaux, les organisations doivent :
- Réfléchissez attentivement à la manière dont ces appareils devraient pouvoir se connecter aux réseaux sans fil pour accéder à Internet, à des fins de protection des informations personnelles.
- Assurez-vous que les connexions sans fil ont une capacité suffisante pour faciliter les sauvegardes ou toute autre fonction spécifique à un sujet.
Contrôles ISO 27002 pertinents
- Contrôle ISO 27002 8.9 – Gestion de la configuration
- Contrôle ISO 27002 8.16 – Activités de surveillance
Articles applicables du RGPD
- Article 5 – (1)(f)
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.3.2.2 – Télétravail
Références ISO 27002 Contrôle 6.7
Comme pour la gestion des appareils des utilisateurs, les politiques de travail à distance doivent être spécifiques à un sujet et liées aux différents rôles exercés au sein de l'organisation.
Lors de la formulation de politiques de travail à distance, les organisations doivent prendre en compte :
- Tout risque potentiel affecte la sécurité physique et la sécurité des informations des appareils sur des lieux de travail distants spécifiques, y compris l'accès par du personnel non autorisé.
- Contrôles qui protègent les données de l'entreprise, notamment la sécurité des transports, les politiques de bureau claires, l'impression sécurisée, les plates-formes anti-programme malveillant, les pare-feu, etc.
- Une liste catégorielle des lieux de travail à distance acceptés, y compris les espaces publics tels que les hôtels, les salles de réunion publiques et les sites de télétravail.
- Comment l'appareil va communiquer avec le réseau de l'organisation (paramètres VPN, etc.), en fonction de la catégorie de données transférées et de la nature du fonctionnement des informations personnelles de l'organisation.
- Environnements de bureau virtuels.
- Protocoles de sécurité sans fil et risques de sécurité sous-jacents répandus dans les réseaux domestiques ou publics.
- Gestion à distance des appareils (désactivation à distance, installations, suppression de données, etc.).
- Méthodes d’authentification, plus précisément, utilisation de MFA.
Pour améliorer la protection de la vie privée et sauvegarder les informations personnelles, les politiques générales et spécifiques au travail à distance devraient inclure :
- La fourniture d'équipements adéquats (équipements TIC et mesures de stockage physique), lorsqu'un tel équipement n'existe pas dans l'environnement de travail à distance.
- Des directives claires sur le type de travail autorisé et sur les systèmes, données et applications accessibles à distance.
- Des programmes de formation qui régissent le travail à distance, tant en termes d'appareils utilisés que de ce que l'on attend des travailleurs à distance d'un point de vue pratique et contractuel.
- Mesures offrant une gestion à distance granulaire des terminaux, notamment une fonctionnalité de verrouillage d'écran, un suivi GPS et un audit à distance.
- Mesures de sécurité physique qui régissent l’utilisation hors site des kits appartenant à l’organisation et à l’utilisateur, y compris l’accès de tiers.
- Couverture d'assurance.
- Un plan BUDR spécifique au travail à distance, comprenant des contrôles de continuité d'activité.
- Procédures décrivant comment l'accès des utilisateurs distants est restreint ou révoqué selon les besoins.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.3.2.1 | Politique relative aux appareils mobiles |
8.1 – Appareils de point de terminaison utilisateur pour ISO 27002 |
Article |
| 6.3.2.2 | Télétravail |
6.7 – Travail à distance pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Chez ISMS.online, nous pouvons intégrer la gestion de la sécurité des informations de la chaîne d'approvisionnement dans votre ISMS.
Des mesures de performance rapides et pratiques peuvent également être utilisées pour suivre les progrès de vos fournisseurs et d’autres partenariats tiers.
Utilisez les clusters ISMS.online pour regrouper l’ensemble de la chaîne d’approvisionnement en un seul endroit pour plus de clarté, d’informations et de contrôle.
Apprenez-en davantage et bénéficiez d'une démonstration pratique en réserver une démo.
