ISO 27701 Clause 6.4 : Renforcement de la sécurité des ressources humaines
Une partie intégrante de la promotion d'une approche proactive en matière de protection de la vie privée implique la mise en œuvre de contrôles de sécurité des ressources humaines robustes qui régissent l'aptitude et la compétence de tout le personnel concerné. devrait interagir avec les informations personnelles au nom de l'organisation.
L'ISO classe ces mesures en deux catégories :
- Vérification préalable à l'emploi (références, contrôles d'identité, etc.).
- Les obligations contractuelles que le personnel est censé respecter une fois qu'il fait partie de l'organisation.
Ce qui est couvert par la clause 27701 de la norme ISO 6.4
La clause 6.4 contient deux sous-clauses principales qui contiennent des orientations spécifiques lié aux informations correspondantes dans la norme ISO 27002, bien que sous couvert de protection de la vie privée, plutôt que de sécurité générale des informations :
- ISO 27701 6.4.1.1 – Dépistage (Références ISO 27002 Contrôle 6.1)
- ISO 27701 6.4.1.2 – Conditions d'emploi (Références ISO 27002 Contrôle 6.2)
Contrairement à d'autres parties de la norme ISO 27701, aucune de ces clauses n'est pertinente pour un domaine spécifique du RGPD et ne contient aucune orientation supplémentaire pour les activités liées au PIMS.
En raison d'un certain nombre de facteurs législatifs et contractuels, la norme ISO 27701 6.4.1.2 (traitant principalement des contrats de travail) contient des informations qui nécessitent des références croisées avec diverses autres clauses contenues dans la norme ISO 27002. Les organisations doivent donc examiner attentivement leurs conditions contractuelles, et adapter leur fonctionnement RH en conséquence.
Gérez toute votre conformité en un seul endroit
ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.
ISO 27701 Clause 6.4.1.1 – Criblage
Références ISO 27002 Contrôle 6.1
Les organisations devraient créer un processus de sélection pour renforcer la sécurité des ressources humaines, incluant tout le personnel à temps plein et à temps partiel, et devrait également être étendu aux sous-traitants tiers par le biais des accords avec les fournisseurs pertinents.
Les organisations doivent s'assurer qu'elles sont conscientes de leur responsabilité en tant que responsable du traitement des informations personnelles lors de la collecte d'informations sur les candidats et les fournisseurs, notamment en restant du bon côté de la législation nationale et décentralisée qui régit la manière dont les candidats sont informés des activités de sélection avant qu'elles ne soient effectuées.
La vérification des antécédents devrait inclure au minimum :
- Références (idéalement une entreprise et une référence personnelle).
- Une vérification complète du curriculum vitae du candidat.
- Vérification des qualifications et certifications académiques, professionnelles et professionnelles.
- IDV (Identity Verification) qui prend en compte les pièces d'identité émises par le gouvernement, ou un niveau de vérification approprié lorsque ces documents ne peuvent pas être produits (par exemple, relevés bancaires ou correspondance des autorités locales).
Si le candidat doit être employé dans un rôle commercialement sensible ou qui lui confère une grande confiance en cas de succès de sa candidature, les organisations devraient également envisager de mettre en œuvre des procédures de vérification améliorées, telles que des vérifications de solvabilité et/ou des vérifications de solvabilité. ou des vérifications de casier judiciaire – le cas échéant.
Les organisations devraient également envisager des moyens de vérifier la aptitude continue de tout personnel employé dans un rôle critique. De telles procédures devraient être décidées travail par travail, et aucune distinction ne doit être faite entre le nouveau personnel et le personnel existant qui a été promu à un rôle comportant davantage de responsabilités.
La vérification de l'emploi ne peut pas toujours être effectuée en temps opportun. Lorsque cela se produit, les organisations doivent envisager d’autres plans d’action qui minimisent les risques associés à un membre du personnel non sélectionné, notamment :
- Intégration retardée.
- Accès restreint aux systèmes.
- Retenue des actifs et équipements de l’entreprise.
- Cessation d'emploi.
La conformité ne doit pas être compliquée.
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
ISO 27701 Clause 6.4.1.2 – Conditions d'emploi
Références ISO 27002 Contrôle 6.2
Les contrats de travail doivent être rédigés et signés en gardant à l'esprit la sécurité des informations organisationnelles, y compris toute politique spécifique à un sujet qui a été élaborée pour aider à renforcer la protection de la vie privée au niveau départemental.
Les contrats doivent comporter un certain degré de mesures de protection de la vie privée qui sont proportionnels au rôle auquel ils sont attachés et doivent être révisés compte tenu de la législation en vigueur ou des obligations réglementaires/contractuelles.
Les rôles et responsabilités en matière de protection de la vie privée doivent être largement diffusés aux candidats tout au long du processus de recrutement. Les contrats de travail doivent comprendre :
- Clauses NDA qui sont étendues à tout le personnel qui traite des informations confidentielles et/ou protège les actifs de l'organisation (voir ISO 27002 6.6).
- Toutes les obligations légales de l'organisation et des employés, en particulier celles qui traitent de la propriété intellectuelle ou de la protection de la vie privée, voir (voir ISO 27002 5.32 et 5.34).
- Toutes les responsabilités pertinentes concernant la classification et la gestion de l'information, les installations de traitement et les services TIC (voir ISO 27002 5.9 et 5.13).
- Quelles sont les conséquences pour tout membre du personnel qui ne respecte pas les politiques de protection de la vie privée de l'organisation.
- Le cas échéant, une série de responsabilités qui perdurent pendant une période de temps appropriée après que le personnel a quitté l'organisation (par exemple, NDA, stipulations IP).
Outre les responsabilités professionnelles continues, le personnel peut également être invité à adhérer à un « code de conduite » à l'échelle de l'organisation, qui définit les principes de base des opérations de protection de la vie privée d'une organisation et des activités liées aux informations personnelles.
Contrôles ISO 27002 pertinents
- ISO 27002 5.9
- ISO 27002 5.13
- ISO 27002 5.32
- ISO 27002 5.34
- ISO 27002 6.4
- ISO 27002 6.5
- ISO 27002 6.6
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.4.1.1 | Tamisage |
6.1 – Vérification pour la norme ISO 27002 | Aucun |
| 6.4.1.2 | Conditions d'emploi |
6.2 – Conditions d’emploi pour ISO 27002 | Aucun |
Comment ISMS.online vous aide
Notre plateforme basée sur le cloud vous permet d'accéder à toutes vos ressources PIMS en un seul endroit. Vous pouvez utiliser notre plateforme facile à utiliser pour documenter tout ce dont vous avez besoin pour montrer que vous répondez aux exigences de la norme ISO 27701.
Notre méthode de résultats assurés (ARM) démystifie les exigences de la norme ISO 27701 et vous donne confiance dans votre progression vers l'obtention de la certification. Nous disposons d'une équipe interne d'experts en sécurité de l'information qui peuvent vous fournir des conseils et répondre à vos questions pour vous aider sur la voie de la certification ISO 27701.
En savoir plus par réserver une démo.
Aller au sujet
Obtenez une certification jusqu'à 5 fois plus rapidement
Remplissez simplement les blancs.
Demander demo Demande de Pro forma
