Comprendre la clause 6.3 : Organiser efficacement la sécurité de l'information
La protection de la vie privée doit être administrée comme un concept, ainsi qu’une réalité opérationnelle.
Les organisations doivent considérer la protection de la vie privée non seulement en termes de systèmes qu'elles utilisent pour protéger les données, mais également dans la manière dont elles gèrent les personnes qui accèdent aux informations personnelles et dans la manière dont la protection de la vie privée est traitée parallèlement à d'autres fonctions commerciales, telles que la gestion de projet.
La norme ISO 27701 6.3 décrit comment les organisations peuvent gérer la protection de la vie privée en tant que processus de bout en bout, englobant les facteurs ci-dessus.
Ce qui est couvert par la clause 27701 de la norme ISO 6.3
La norme ISO 27701 6.3 contient trois sous-paragraphes qui incluent des conseils spécifiques à la protection de la vie privée, adaptés de trois clauses complémentaires dans la norme ISO 27002:
- ISO 27701 6.3.1.1 – Rôles et responsabilités en matière de sécurité de l'information (Références ISO 27002 contrôle 5.2)
- ISO 27701 6.3.1.2 – Séparation des tâches (Références ISO 27002 contrôle 5.3)
- ISO 27701 6.3.1.5 – Sécurité de l'information dans la gestion de projet (Références ISO 27002 contrôle 5.8)
Des instructions supplémentaires spécifiques au PIMS concernant le traitement des informations personnelles peuvent être trouvées dans la clause 6.3.1.1, qui est également liée aux articles contenus dans la législation GDPR.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.3.1.1 – Rôles et responsabilités en matière de sécurité de l'information
Références ISO 27002 Contrôle 5.2
Les organisations doivent définir des rôles et des responsabilités spécifiques aux fonctions individuelles contenues dans leur politique de protection de la vie privée – à la fois leur politique générale et leurs politiques spécifiques à un sujet.
Les personnes ayant des responsabilités spécifiques doivent être suffisamment compétentes pour effectuer des tâches liées à la protection de la vie privée et doivent se voir offrir un soutien continu permettant de maintenir un niveau de compétence acceptable.
Les domaines de responsabilité devraient inclure :
- La protection des informations personnelles et de tout actif lié à la confidentialité.
- Exécuter les procédures de protection de la vie privée.
- Activités de gestion des risques liées aux informations personnelles, y compris les mesures correctives.
- Toute personne qui utilise les informations et les données de l'organisation, y compris l'utilisation des actifs TIC.
- Personnes ayant une responsabilité de haut niveau en matière de protection de la vie privée et déléguant des tâches à d'autres.
L'ISO reconnaît que chaque organisation est unique dans la manière dont elle traite l'information. Les domaines de responsabilité ci-dessus doivent être accompagnés de directives spécifiques au site et à l'installation qui prennent en compte les facteurs du monde réel affectant les opérations de traitement des informations personnelles d'une organisation.
Toutes les responsabilités et domaines de sécurité ci-dessus doivent être clairement documentés et mis à la disposition de tous les membres du personnel concernés.
Conseils supplémentaires spécifiques au PIMS
Les organisations doivent désigner une personne que les clients (et les autorités externes) peuvent utiliser comme point de contact dédié pour toutes les questions liées aux informations personnelles (voir ISO 27701 7.3.2).
En outre, les organisations doivent déléguer la responsabilité à une ou plusieurs personnes pour élaborer un programme organisationnel de gouvernance de la confidentialité qui renforce le respect des lois et réglementations locales et nationales sur les informations personnelles.
Articles applicables du RGPD
- Article 27 – (1), (2)(a), (2)(b), (3), (4), (5)
- Article 37 – (1)(a), (1)(b), (1)(c), (2), (3), (4), (5), (6), (7)
- Article 38 – (1), (2), (3), (4), (5), (6)
- Article 39 – (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (2)
Clauses d'accompagnement
- ISO 27701 Article 7.3.2
ISO 27701 Clause 6.3.1.2 – Séparation des tâches
Références ISO 27002 Contrôle 5.3
Dans une organisation comportant de nombreux rôles différents en matière de protection de la vie privée, les responsabilités et les devoirs peuvent souvent entrer en conflit les uns avec les autres.
Les individus peuvent souvent exercer des fonctions susceptibles de compromettre les informations personnelles, soit parce qu'ils sont l'unique autorité, soit parce qu'ils manquent de surveillance de la part de la direction.
Les responsabilités devraient être séparées pour garantir une opération de protection de la vie privée plus solide. Voici des exemples de rôles pouvant contenir des conflits :
- Demander, approuver ou mettre en œuvre une modification du PIMS.
- Apporter des modifications aux droits d’accès, y compris RBAC.
- Écrire ou modifier du code, ou effectuer tout type de développement d'applications.
- Utiliser des applications ou des bases de données traitant du traitement et/ou du stockage des informations personnelles.
- Rédiger, approuver et/ou réviser les contrôles de protection de la vie privée.
Les contrôles de ségrégation doivent être élaborés en tenant compte de divers facteurs :
- Prévenir la collusion.
- Identifier les conflits.
- Activités de suivi.
- Création de pistes d'audit.
- Automatisation du processus d'identification des conflits.
L'ISO reconnaît que les petites organisations peuvent avoir des difficultés à séparer les rôles, compte tenu de leurs ressources limitées, mais le concept de ségrégation dans son ensemble devrait néanmoins être poursuivi dans la mesure où cela est commercialement et opérationnellement possible.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.3.1.5 – Sécurité des informations dans la gestion de projet
Références ISO 27002 Contrôle 5.8
Outre la génération de revenus récurrents au quotidien, la protection de la vie privée devrait également s’étendre aux activités de mise en œuvre et de gestion des projets.
Les projets incluent souvent la migration, la création et la modification de grandes quantités de données personnelles et, en tant que tels, doivent faire l'objet d'une attention particulière afin que les organisations puissent maintenir leur conformité aux lois et aux directives réglementaires locales et nationales liées à la confidentialité.
Un « projet » peut être toute activité qui modifie une méthode de travail standard ou introduit de nouveaux processus et/ou équipements et applications dans une organisation.
Les activités de gestion de projet doivent garantir que :
- Les risques et les exigences en matière de protection de la vie privée sont pris en compte dès le début du projet et sont maintenus tout au long du cycle de vie du projet (voir ISO 27002, clauses 5.32 et 8.26).
- La protection de la vie privée est continuellement surveillée et mise en œuvre – au moyen d'évaluations formelles par des personnes ou des organes de gouvernance appropriés et de tests structurés.
- Tous les rôles liés à la protection de la vie privée spécifique au projet sont clairement définis.
- Tous les produits ou services à fournir dans le cadre du projet doivent être créés conformément aux normes de confidentialité publiées par l'organisation.
- La protection de la vie privée est renforcée par des méthodes telles que la modélisation des menaces, l'examen des incidents, les seuils de vulnérabilité et la planification d'urgence.
Les efforts de protection de la vie privée ne devraient pas se limiter aux projets TIC. Les organisations doivent prendre en compte une série de facteurs lors de la détermination des exigences spécifiques liées aux informations personnelles, notamment :
- Les variables d'information uniques, y compris les données spécifiques impliquées, leurs besoins de sécurité et les conséquences d'une violation ou d'une utilisation abusive.
- Les assurances qui doivent être recherchées en termes de confidentialité, d’intégrité et de disponibilité.
- La fourniture de droits d'accès et de protocoles d'autorisation pour le personnel interne et externe (y compris les clients).
- Définir des attentes claires qui informent les utilisateurs de leurs obligations.
- Les exigences des autres contrôles de sécurité internes.
- Toutes les actions liées au système requises en raison des activités opérationnelles (par exemple, journalisation des transactions).
- Maintenir le respect des exigences légales, réglementaires et contractuelles.
- Obligations contractuelles de tiers alignées sur les propres normes de confidentialité de l'organisation.
Contrôles ISO 27002 pertinents
- ISO 27002 5.32
- ISO 27002 8.26
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.3.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
5.2 – Rôles et responsabilités en matière de sécurité de l'information pour la norme ISO 27002 |
Les articles (27), (37), (38), (39) |
| 6.3.1.2 | Séparation des tâches |
5.3 – Séparation des tâches pour la norme ISO 27002 |
Aucun |
| 6.3.1.5 | Sécurité de l'information dans la gestion de projet |
5.8 – Sécurité de l’information dans la gestion de projet pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Nos solutions ISMS.online permettent aux organisations de superviser facilement les projets, en garantissant que les politiques et procédures du contrôleur de données et du sous-traitant sont conformes à la norme ISO.
Notre système en ligne garantit également que les responsables de la mise en œuvre du système disposent d'un seul endroit de référence et de collaboration.
Notre méthode de résultats assurés (ARM) vous permet d’être sûr que vous cochez toutes les cases dont vous avez besoin pour vous conformer à la norme.
Apprenez-en davantage et bénéficiez d'une démonstration pratique en réserver une démo.
