Comment la norme ISO 27701 garantit la confidentialité pendant l'emploi : guide de la clause 6.4.2
Les organisations ont une obligation envers leur personnel, qui s'étend jusqu'à ce qu'elles l'informent de ce que l'on attend d'elles dans le contexte de la protection de la vie privée et des informations personnelles – à la fois au niveau général et au niveau spécifique.
En leur qualité de contrôleurs des informations personnelles, les organisations doivent proposer des programmes de formation et de sensibilisation continus et adhérer à une politique disciplinaire solide qui fixe des attentes claires des deux côtés, en cas de violation de données.
Ce qui est couvert par la clause 27701 de la norme ISO 6.4.2
La norme ISO 27701 6.4.2 contient trois sous-paragraphes principaux qui traitent de divers aspects de sujets spécifiques à la protection de la vie privée liés à l'emploi.
Chaque sujet contient conseils issus d’un certain nombre de contrôles ISO 27002, présenté dans le contexte de la gestion organisationnelle des informations confidentielles et de la protection des informations personnelles :
- ISO 27701 Clause 6.4.2.1 – Responsabilités de gestion (Références ISO 27002 Contrôle 5.4)
- ISO 27701 Clause 6.4.2.2 – Sensibilisation, éducation et formation à la sécurité de l'information (Références ISO 27002 Contrôle 6.3)
- ISO 27701 Clause 6.4.2.3 – Procédures disciplinaires (Références ISO 27002 Contrôle 6.4)
Des instructions supplémentaires spécifiques au PIMS concernant le traitement des informations personnelles peuvent être trouvées dans la clause 6.4.2.1, qui est également liée à la législation britannique GDPR.
Veuillez noter que les comparaisons RGPD sont destinées à à titre indicatif seulement. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.4.2.1 – Responsabilités de la direction
Références ISO 27002 Contrôle 5.4
La direction joue un rôle clé dans le maintien des normes de protection de la vie privée – tant d'un point de vue administratif que pour garantir que le personnel comprend ce qu'on attend d'eux et se comporte en conséquence.
La haute direction doit s’assurer que tout le personnel :
- Reconnaître leurs responsabilités individuelles en matière de gestion des informations confidentielles et de protection de la vie privée – à la fois en général et d'un point de vue spécifique – avant d'être autorisés à interagir avec les informations personnelles et les actifs associés (voir ISO 27002 6.3).
- Bénéficient d’un ensemble clair de lignes directrices et de procédures qui régissent la protection de la vie privée dans le contexte de leur rôle.
- Bénéficient des ressources et des niveaux d'autorité appropriés pour planifier des projets/changements et respecter les politiques générales et spécifiques de protection de la vie privée de l'organisation.
- Comprendre les termes et conditions de leur emploi, en ce qui concerne la protection de la vie privée, et ce qu'ils signifient dans la pratique.
- Ont la possibilité de développer leur compréhension de la protection de la vie privée à la fois en tant que concept et en tant que considération opérationnelle continue.
- Comprendre comment communiquer de manière anonyme, et disposer des moyens nécessaires, les violations des politiques de protection de la vie privée dans l'ensemble de l'organisation (c'est-à-dire la « dénonciation »).
Contrôles pertinents
- ISO 27002 6.3
ISO 27701 Clause 6.4.2.2 – Sensibilisation, éducation et formation à la sécurité de l'information
Références ISO 27002 Contrôle 6.3
Formation
La formation continue sur le lieu de travail garantit que le personnel est tenu au courant des politiques organisationnelles de protection de la vie privée (générales et spécifiques à un sujet), des modifications apportées à la législation PII et des directives réglementaires spécifiques au secteur.
En règle générale, les organisations devraient mettre en œuvre des programmes de formation périodiques du personnel (y compris pendant la phase d'intégration) qui s'alignent spécifiquement sur leurs propres politiques générales et spécifiques de protection de la vie privée et sur les exigences liées au PIMS.
Les formats de formation peuvent inclure :
- apprentissage en ligne.
- Conseil individuel.
- Les membres du personnel se suivent mutuellement.
- Séminaires de formation dédiés animés par des spécialistes de la protection de la vie privée thématiques ou généralisées.
- Mentorat en milieu de travail.
Le personnel ayant un rôle spécialisé à jouer dans la protection de la vie privée – par exemple le personnel de maintenance des TIC – devrait bénéficier de plans de formation spécialisés prenant en compte le rôle essentiel qu'il joue dans la protection des informations personnelles.
Les plans/sessions de formation doivent se conclure par une évaluation qui fournit à l’organisation une vue descendante des niveaux de compétence employé par employé.
Programmes de sensibilisation
Pour compléter la formation sur le lieu de travail, les organisations devraient également déployer des programmes de sensibilisation à la protection de la vie privée qui fournissent au personnel une gamme de supports servant de points d'information sur le thème des informations personnelles et de la protection de la vie privée au sein de l'organisation.
Les programmes de sensibilisation peuvent inclure :
- dépliants.
- livrets.
- affiches de bureau.
- sites internet dédiés.
- séances d’information des équipes.
Les efforts de sensibilisation doivent être axés sur :
- Comment la direction prévoit de maintenir le respect de la protection de la vie privée dans l'ensemble de l'organisation et qui sont les principaux points de contact pour les questions liées aux informations personnelles.
- Quelles sont les exigences de conformité de l'organisation, en tenant compte des lois, des stipulations réglementaires, des obligations contractuelles et des accords avec les fournisseurs.
- Soulignant la nécessité d'une responsabilité personnelle lorsqu'il s'agit de protéger les informations personnelles et quelles sont les conséquences des violations de procédure accidentelles ou délibérées.
- Principes fondamentaux de sécurité des TIC, tels que la sécurité des mots de passe et le signalement des incidents.
- Comment le personnel peut-il s'informer sur les aspects les plus subtils de la protection de la vie privée (lectures complémentaires, listes de ressources, etc.).
Conseils supplémentaires spécifiques au PIMS
Les informations personnelles doivent être traitées comme un sujet à part entière dans les programmes de formation sur la protection de la vie privée.
Le personnel doit être pleinement conscient des conséquences juridiques, commerciales, de réputation et disciplinaires spécifiques qui résultent du détournement et/ou de la mauvaise gestion des informations personnelles.
Conseils RGPD
- Article 39 – (1)(b)
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.4.2.3 – Procédures disciplinaires
Références ISO 27002 Contrôle 6.4
Les organisations devraient élaborer des procédures disciplinaires adaptées aux personnes ayant enfreint les politiques générales ou spécifiques à un sujet en matière de protection de la vie privée.
Avant qu'une mesure disciplinaire ne soit prise, il est important que l'organisation confirme qu'une violation de la politique a effectivement eu lieu (voir ISO 27002 5.28).
Les procédures disciplinaires doivent prendre en compte :
- La nature sous-jacente de la violation de données et quelles en sont les différentes conséquences.
- Les motivations de la personne concernée et si la violation était intentionnelle ou non.
- Combien de fois l’individu a enfreint la politique de protection de la vie privée.
- Si la personne a reçu une formation suffisante sur les aspects pertinents de la protection de la vie privée.
- Tout droit individuel à l’anonymat, tout au long du processus disciplinaire.
Les mesures disciplinaires en cas de violation confirmée doivent être utilisées comme moyen de dissuasion pour une activité similaire et doivent prendre en compte les obligations de l'organisation en tant que contrôleur et sous-traitant des informations personnelles, ainsi que toutes les lois, directives réglementaires et obligations contractuelles pertinentes.
Contrôles pertinents
- ISO 27002 5.28
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.4.2.1 | Responsabilités de la direction |
5.4 – Responsabilités de la direction pour la norme ISO 27002 |
Aucun |
| 6.4.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.3 – Sensibilisation, éducation et formation à la sécurité de l’information pour la norme ISO 27002 |
Article (39) |
| 6.4.2.3 | Procédures disciplinaires |
6.4 – Processus disciplinaire pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Nous vous avons couvert.
Si, pour une raison quelconque, vous ressentez un manque de confiance, de capacité ou de volonté d'agir au cours de votre parcours vers la norme ISO 27701, nous pouvons mettre à votre disposition notre équipe d'experts internes ou recommander l'un de nos partenaires de confiance pour donner un coup de pouce à vos efforts.
Ici pour vous aider lorsque vous en avez besoin.
En savoir plus par réserver une démo.
