ISO 27701 Article 6.5.2 : La clé d'une classification efficace des informations
Le monde du commerce mondial regorge de toutes sortes d’informations – depuis les ensembles de données banals et accessibles au public jusqu’aux enregistrements PII très sensibles contenant des informations financières et des copies de pièces d’identité gouvernementales.
Les organisations doivent bien comprendre les différentes catégories de données qu’elles stockent, traitent et transfèrent, et ajuster leur fonctionnement pour prendre en compte les informations en fonction de leur objectif et de leur type de risque.
Une fois que l'organisation est capable de distinguer les différents types de données – en particulier dans le cas des informations personnelles – elle devrait alors être en mesure d'étiqueter clairement ces informations de manière à distinguer les différentes catégories les unes des autres et à prendre en compte les différents niveaux de risque dans la manière dont la confidentialité est respectée. -les actifs liés sont des processus et sont gérés dans toute l'organisation.
Ce qui est couvert par la clause 27701 de la norme ISO 6.5.2
La clause 27701 de la norme ISO 6.5.2 contient trois sous-clauses qui contiennent tout ce qu'une organisation doit savoir sur la façon de classer, d'étiqueter et de gérer les informations personnelles.
Les trois sous-clauses contiennent informations issues de la norme ISO 27002, mais avec un accent spécifique sur les informations personnelles et la protection de la vie privée :
- ISO 27701 6.5.2.1 – Classification des informations (Références ISO 27002 Contrôle 5.12)
- ISO 27701 6.5.2.2 – Étiquetage des informations (Références ISO 27002 Contrôle 5.13)
- ISO 27701 6.5.2.3 – Manipulation des actifs (Références ISO 27002 Contrôle 5.10)
Les sous-clauses 6.5.2.1 et 6.5.2.2 contiennent toutes deux des orientations pertinentes pour la législation britannique RGPD, et les articles pertinents ont été répertoriés pour votre commodité.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.5.2.1 – Classification des informations
Références ISO 27002 Contrôle 5.12
Plutôt que de mettre toutes les informations détenues sur un pied d'égalité, les organisations devraient classer les informations sur une base thématique spécifique.
Les propriétaires d'informations doivent prendre en compte quatre facteurs clés, lors de la classification des données (en particulier concernant les informations personnelles), qui doivent être révisés périodiquement, ou lorsque ces facteurs changent :
- Construction confidentialité des données.
- Construction intégrité des données.
- Date disponibilité les niveaux.
- L'organisation obligations légales vers les informations personnelles.
Afin de fournir un cadre opérationnel clair, les catégories d'informations doivent être nommées en fonction du niveau de risque inhérent, en cas d'incident compromettant l'un des facteurs ci-dessus.
Pour garantir la compatibilité multiplateforme, les organisations doivent mettre leurs catégories d'informations à la disposition de tout personnel externe avec lequel elles partagent des informations et veiller à ce que le propre système de classification de l'organisation soit largement compris par toutes les parties concernées.
Les organisations doivent se méfier de la sous-classification ou, à l’inverse, de la surclassification des données. La première peut conduire à des erreurs dans le regroupement des informations personnelles avec des types de données moins sensibles, tandis que la première entraîne souvent des dépenses supplémentaires, un plus grand risque d'erreur humaine et d'anomalies de traitement.
Articles applicables du RGPD
- Article 5 – (1)(f), (32)(2)
ISO 27701 Clause 6.5.2.2 – Étiquetage des informations
Références ISO 27002 Contrôle 5.13
Les étiquettes sont un élément clé pour garantir que la politique de classification des informations personnelles de l'organisation (voir ci-dessus) est respectée et que les données peuvent être clairement identifiées en fonction de leur sensibilité (par exemple, les informations personnelles étant étiquetées comme étant distinctes des types de données moins confidentiels).
Les procédures d’étiquetage des informations personnelles doivent définir :
- Tout scénario dans lequel l’étiquetage n’est pas requis (données accessibles au public).
- Instructions sur la manière dont le personnel doit étiqueter les deux numérique ou Physique actifs et lieux de stockage.
- Plans d'urgence pour tout scénario dans lequel l'étiquetage n'est pas physiquement possible.
L'ISO offre aux organisations de nombreuses possibilités de choisir leurs propres techniques d'étiquetage, notamment :
- Physique étiquetage.
- Electronique étiquettes dans les en-têtes et les pieds de page.
- L'ajout ou la modification de métadonnées, y compris des termes consultables et des fonctionnalités interactives avec d'autres plates-formes de gestion de l'information (par exemple, le PIMS de l'organisation).
- Filigrane qui fournit une indication claire de la classification des données document par document.
- Cachet marques sur des copies physiques d’informations.
Articles applicables du RGPD
- Article 5 – (1)(f)
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.5.2.3 – Manipulation des actifs
Références ISO 27002 Contrôle 5.10
Les organisations doivent développer une banque de politiques d'utilisation acceptable spécifiques à un sujet, qui couvrent la gestion des actifs et des informations liés aux informations personnelles.
Tout groupe ou individu – interne ou externe – qui a la capacité de gérer des informations personnelles au nom de l'organisation, ou dans le cadre d'un accord de partage d'informations, doit comprendre ses responsabilités et ce que l'on attend d'eux.
Les politiques spécifiques à un sujet doivent clairement définir :
- Comportement acceptable et inacceptable, dans le contexte de la protection de la vie privée.
- Comment et où l'utilisation des informations personnelles est autorisée.
- Les détails de l’opération de surveillance des informations personnelles de l’organisation.
Des processus et procédures doivent être mis en œuvre qui prennent en considération :
- Exigences RBAC (ou toute forme de contrôle d'accès numérique et/ou physique) qui protège l'accès aux informations personnelles.
- Un enregistrement complet des personnes autorisées à accéder aux informations personnelles et aux actifs et informations liés à la confidentialité.
- Comment protéger les copies temporaires et permanentes des informations liées à la confidentialité.
- Directives des fabricants, lors du stockage d'actifs liés à la confidentialité (voir ISO 27002 7.8).
- Comment les supports de stockage sont marqués à l'attention du destinataire (voir ISO 27002 7.10).
- Comment les informations personnelles et les actifs liés à la confidentialité doivent être soit supprimés, soit détruits définitivement (voir ISO 27002 8.10).
Contrôles ISO 27002 pertinents
- ISO 27002 7.8
- ISO 27002 7.10
- ISO 27002 8.10
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.5.2.1 | Classification des informations |
5.12 – Classification des informations pour la norme ISO 27002 |
Les articles , |
| 6.5.2.2 | Étiquetage des informations |
5.13 – Étiquetage des informations pour la norme ISO 27002 |
Article |
| 6.5.2.3 | Gestion des actifs |
5.10 – Utilisation acceptable des informations et autres actifs associés pour la norme ISO 27002 |
Aucun |
Comment ISMS.online vous aide
La plateforme ISMS.online propose des conseils intégrés à chaque étape, en plus de notre approche de mise en œuvre « Adopter, Adapter, Ajouter », pour vous aider à atteindre la norme ISO 27701 avec moins d'effort.
De plus, vous bénéficierez d’une variété de fonctionnalités qui vous feront gagner du temps.
En savoir plus par réserver une démo.
