ISO 27701 – Article 6.5.2 – Classification des informations

La norme ISO 27701, clause 6.5.2 – Classification des informations décrit la manière dont les organisations doivent classer, étiqueter et gérer les informations personnelles identifiables (PII) pour maintenir la sécurité et la conformité aux exigences légales telles que le RGPD britannique. Elle met l'accent sur la catégorisation, l'étiquetage et la gestion appropriés des actifs pour garantir la protection des données.

Demander demo
Auteur
Max Edwards
Mis à jour le 25 février 2025
LinkedIn Twitter Twitter

ISO 27701 Article 6.5.2 : La clé d'une classification efficace des informations

Le monde du commerce mondial regorge de toutes sortes d’informations – depuis les ensembles de données banals et accessibles au public jusqu’aux enregistrements PII très sensibles contenant des informations financières et des copies de pièces d’identité gouvernementales.

Les organisations doivent bien comprendre les différentes catégories de données qu’elles stockent, traitent et transfèrent, et ajuster leur fonctionnement pour prendre en compte les informations en fonction de leur objectif et de leur type de risque.

Une fois que l'organisation est capable de distinguer les différents types de données – en particulier dans le cas des informations personnelles – elle devrait alors être en mesure d'étiqueter clairement ces informations de manière à distinguer les différentes catégories les unes des autres et à prendre en compte les différents niveaux de risque dans la manière dont la confidentialité est respectée. -les actifs liés sont des processus et sont gérés dans toute l'organisation.

Ce qui est couvert par la clause 27701 de la norme ISO 6.5.2

La clause 27701 de la norme ISO 6.5.2 contient trois sous-clauses qui contiennent tout ce qu'une organisation doit savoir sur la façon de classer, d'étiqueter et de gérer les informations personnelles.

Les trois sous-clauses contiennent informations issues de la norme ISO 27002, mais avec un accent spécifique sur les informations personnelles et la protection de la vie privée :

  • ISO 27701 6.5.2.1 – Classification des informations (Références ISO 27002 Contrôle 5.12)
  • ISO 27701 6.5.2.2 – Étiquetage des informations (Références ISO 27002 Contrôle 5.13)
  • ISO 27701 6.5.2.3 – Manipulation des actifs (Références ISO 27002 Contrôle 5.10)

Les sous-clauses 6.5.2.1 et 6.5.2.2 contiennent toutes deux des orientations pertinentes pour la législation britannique RGPD, et les articles pertinents ont été répertoriés pour votre commodité.

Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.



Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo


ISO 27701 Clause 6.5.2.1 – Classification des informations

Références ISO 27002 Contrôle 5.12

Plutôt que de mettre toutes les informations détenues sur un pied d'égalité, les organisations devraient classer les informations sur une base thématique spécifique.

Les propriétaires d'informations doivent prendre en compte quatre facteurs clés, lors de la classification des données (en particulier concernant les informations personnelles), qui doivent être révisés périodiquement, ou lorsque ces facteurs changent :

  1. La série confidentialité des données.
  2. La série intégrité des données.
  3. Date disponibilité les niveaux.
  4. L'organisation obligations légales vers les informations personnelles.

Afin de fournir un cadre opérationnel clair, les catégories d'informations doivent être nommées en fonction du niveau de risque inhérent, en cas d'incident compromettant l'un des facteurs ci-dessus.

Pour garantir la compatibilité multiplateforme, les organisations doivent mettre leurs catégories d'informations à la disposition de tout personnel externe avec lequel elles partagent des informations et veiller à ce que le propre système de classification de l'organisation soit largement compris par toutes les parties concernées.

Les organisations doivent se méfier de la sous-classification ou, à l’inverse, de la surclassification des données. La première peut conduire à des erreurs dans le regroupement des informations personnelles avec des types de données moins sensibles, tandis que la première entraîne souvent des dépenses supplémentaires, un plus grand risque d'erreur humaine et d'anomalies de traitement.

Articles applicables du RGPD

  • Article 5 – (1)(f), (32)(2)

ISO 27701 Clause 6.5.2.2 – Étiquetage des informations

Références ISO 27002 Contrôle 5.13

Les étiquettes sont un élément clé pour garantir que la politique de classification des informations personnelles de l'organisation (voir ci-dessus) est respectée et que les données peuvent être clairement identifiées en fonction de leur sensibilité (par exemple, les informations personnelles étant étiquetées comme étant distinctes des types de données moins confidentiels).

Les procédures d’étiquetage des informations personnelles doivent définir :

  • Tout scénario dans lequel l’étiquetage n’est pas requis (données accessibles au public).
  • Instructions sur la manière dont le personnel doit étiqueter les deux numérique et Physique actifs et lieux de stockage.
  • Plans d'urgence pour tout scénario dans lequel l'étiquetage n'est pas physiquement possible.

L'ISO offre aux organisations de nombreuses possibilités de choisir leurs propres techniques d'étiquetage, notamment :

  1. Physique étiquetage.
  2. Electronique étiquettes dans les en-têtes et les pieds de page.
  3. L'ajout ou la modification de métadonnées, y compris des termes consultables et des fonctionnalités interactives avec d'autres plates-formes de gestion de l'information (par exemple, le PIMS de l'organisation).
  4. Filigrane qui fournit une indication claire de la classification des données document par document.
  5. Cachet marques sur des copies physiques d’informations.

Articles applicables du RGPD

  • Article 5 – (1)(f)


La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo


ISO 27701 Clause 6.5.2.3 – Manipulation des actifs

Références ISO 27002 Contrôle 5.10

Les organisations doivent développer une banque de politiques d'utilisation acceptable spécifiques à un sujet, qui couvrent la gestion des actifs et des informations liés aux informations personnelles.

Tout groupe ou individu – interne ou externe – qui a la capacité de gérer des informations personnelles au nom de l'organisation, ou dans le cadre d'un accord de partage d'informations, doit comprendre ses responsabilités et ce que l'on attend d'eux.

Les politiques spécifiques à un sujet doivent clairement définir :

  1. Comportement acceptable et inacceptable, dans le contexte de la protection de la vie privée.
  2. Comment et où l'utilisation des informations personnelles est autorisée.
  3. Les détails de l’opération de surveillance des informations personnelles de l’organisation.

Des processus et procédures doivent être mis en œuvre qui prennent en considération :

  • Exigences RBAC (ou toute forme de contrôle d'accès numérique et/ou physique) qui protège l'accès aux informations personnelles.
  • Un enregistrement complet des personnes autorisées à accéder aux informations personnelles et aux actifs et informations liés à la confidentialité.
  • Comment protéger les copies temporaires et permanentes des informations liées à la confidentialité.
  • Directives des fabricants, lors du stockage d'actifs liés à la confidentialité (voir ISO 27002 7.8).
  • Comment les supports de stockage sont marqués à l'attention du destinataire (voir ISO 27002 7.10).
  • Comment les informations personnelles et les actifs liés à la confidentialité doivent être soit supprimés, soit détruits définitivement (voir ISO 27002 8.10).

Contrôles ISO 27002 pertinents

  • ISO 27002 7.8
  • ISO 27002 7.10
  • ISO 27002 8.10

Prise en charge des contrôles ISO 27002 et RGPD

Identificateur de clause ISO 27701Nom de la clause ISO 27701Exigence ISO 27002Articles associés au RGPD
6.5.2.1Classification des informations
5.12 – Classification des informations pour la norme ISO 27002
 Articles (5), (32)
6.5.2.2Étiquetage des informations
5.13 – Étiquetage des informations pour la norme ISO 27002
 Article (5)
6.5.2.3Gestion des actifs
5.10 – Utilisation acceptable des informations et autres actifs associés pour la norme ISO 27002
Aucun

Comment ISMS.online vous aide

La plateforme ISMS.online propose des conseils intégrés à chaque étape, en plus de notre approche de mise en œuvre « Adopter, Adapter, Ajouter », pour vous aider à atteindre la norme ISO 27701 avec moins d'effort.

De plus, vous bénéficierez d’une variété de fonctionnalités qui vous feront gagner du temps.

En savoir plus par réserver une démo.

Aller au sujet

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Visite de la plateforme ISMS

Intéressé par une visite de la plateforme ISMS.online ?

Commencez dès maintenant votre démo interactive gratuite de 2 minutes et découvrez la magie d'ISMS.online en action !

Testez-le gratuitement

Nous sommes un leader dans notre domaine

Les utilisateurs nous aiment
Grid Leader - Printemps 2025
Momentum Leader - Printemps 2025
Responsable régional - Printemps 2025 Royaume-Uni
Responsable régional - Printemps 2025 UE
Meilleure estimation. ROI Entreprise - Printemps 2025
Les plus susceptibles de recommander Enterprise - Printemps 2025

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

-Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

-Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

-Ben H.

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !