ISO 27701 Clause 6.5.3 : Bonnes pratiques pour la sécurité des médias
Les supports TIC – qu'ils soient amovibles ou statiques – utilisés pour stocker et traiter les informations personnelles sont souvent considérés comme le principal problème pour les organisations qui cherchent à rester du bon côté de leurs obligations légales, réglementaires et contractuelles.
Les difficultés liées à la gestion des supports amovibles – et des informations personnelles qu'ils contiennent – augmentent de façon exponentielle avec la taille de l'organisation et le nombre d'employés autorisés à utiliser de tels appareils.
En plus de leur utilisation opérationnelle, les supports de stockage doivent être correctement retirés du réseau et éliminés lorsqu'ils ne sont plus nécessaires, et les organisations doivent s'assurer qu'aucune trace résiduelle ne reste des informations personnelles ou liées à la confidentialité avant leur réutilisation.
Ce qui est couvert par la clause 27701 de la norme ISO 6.5.3
Chaque article de la norme ISO 27701 traite du concept de PII, dans le contexte des supports de stockage :
- ISO 27701 6.5.3.1 – Gestion des supports amovibles (Références ISO 27002 contrôle 7.10)
- ISO 27701 6.5.3.2 – Élimination des fluides (Références ISO 27002 contrôle 7.10)
- ISO 27701 6.5.3.3 – Transfert de supports physiques (Références ISO 27002 contrôle 7.10)
La clause 27701 de la norme ISO 6.5.3 est une fusion de trois clauses ISO 27002 précédentes, qui ont désormais été regroupées en une seule clause dans l’itération 2022 – ISO 27002 7.10 (Supports de stockage).
Chaque contrôle contient des conseils supplémentaires relatifs aux informations personnelles qui régissent l'approche d'une organisation en matière de supports de stockage.
En outre, chaque sous-clause contient plusieurs points d’orientation liés à des articles spécifiques de la législation britannique RGPD.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.5.3.1 – Gestion des supports amovibles
Références ISO 27002 Contrôle 7.10
Supports de stockage amovibles
Lors de l’élaboration de politiques régissant le traitement des ressources multimédias impliquées dans le stockage des informations personnelles, les organisations doivent :
- Élaborer des politiques spécifiques à un sujet uniques basées sur les exigences du département ou du poste.
- Assurez-vous que l'autorisation appropriée est demandée et accordée avant que le personnel puisse retirer les supports de stockage du réseau (y compris en gardant un enregistrement précis et à jour de ces activités).
- Stockez les supports conformément aux spécifications du fabricant, sans aucun dommage environnemental.
- Envisagez d'utiliser le cryptage comme condition préalable à l'accès ou, lorsque cela n'est pas possible, de mettre en œuvre des mesures de sécurité physique supplémentaires.
- Minimisez le risque de corruption des informations personnelles en transférant les informations entre les supports de stockage, comme requis.
- Introduisez la redondance des informations personnelles en stockant les informations protégées sur plusieurs actifs en même temps.
- Autorisez l'utilisation de supports de stockage uniquement sur les entrées approuvées (c'est-à-dire les cartes SD et les ports USB), actif par actif.
- Surveillez de près le transfert des informations personnelles sur des supports de stockage, à quelque fin que ce soit.
- Prendre en considération les risques inhérents au transfert physique des supports de stockage (et par procuration, des informations personnelles qu'ils contiennent), lors du déplacement d'actifs entre le personnel ou les locaux (voir ISO 27002 5.14).
Réutilisation et élimination
Lors de la réutilisation, de la réutilisation ou de l'élimination de supports de stockage, des procédures robustes doivent être mises en place pour garantir que les informations personnelles ne soient pas affectées de quelque manière que ce soit, notamment :
- Formater le support de stockage et garantir que toutes les informations personnelles sont supprimées avant leur réutilisation (voir ISO 27002 8.10), y compris la conservation d'une documentation adéquate de toutes ces activités.
- Éliminer en toute sécurité tout support dont l'organisation n'a plus l'utilité et qui a été utilisé pour stocker des informations personnelles.
- Si l'élimination nécessite l'intervention d'un tiers, l'organisation doit veiller très soigneusement à s'assurer qu'elle est un partenaire compétent et approprié pour accomplir ces tâches, conformément à la responsabilité de l'organisation en matière d'informations personnelles et de protection de la vie privée.
- Mettre en œuvre des procédures qui identifient les supports de stockage disponibles pour une réutilisation ou pouvant être éliminés en conséquence.
Si les appareils qui ont été utilisés pour stocker des informations personnelles sont endommagés, l'organisation doit soigneusement déterminer s'il est plus approprié ou non de détruire ces supports ou de les envoyer pour réparation (en privilégiant le premier).
Conseils supplémentaires relatifs aux informations personnelles
L'ISO met en garde les organisations contre l'utilisation de périphériques de stockage non chiffrés pour toute activité liée aux informations personnelles.
Contrôles ISO 27002 pertinents
- Contrôle ISO 27002 5.14
Articles applicables du RGPD
- Article 5 – (1)(f)
- Article 32 – (1)(a)
ISO 27701 Clause 6.5.3.2 – Élimination des supports
Références ISO 27002 Contrôle 7.10
Voir la norme ISO 27701, article 6.5.3.1.
Conseils supplémentaires relatifs aux informations personnelles
Si des médias contenant des informations personnelles doivent être supprimés, les organisations doivent mettre en œuvre des procédures qui documentent la destruction des informations personnelles et des données liées à la confidentialité, y compris l'assurance catégorique qu'elles ne sont plus disponibles.
Articles applicables du RGPD
- Article 5 – (1)(f)
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.5.3.3 – Transfert de supports physiques
Références ISO 27002 Contrôle 7.10
Voir la norme ISO 27701, article 6.5.3.1.
Conseils supplémentaires relatifs aux informations personnelles
Les organisations doivent faire particulièrement attention lors du transport de supports de stockage contenant des informations personnelles, par opposition aux catégories de données standard.
Des enregistrements doivent être conservés pour tous les médias entrants et sortants contenant des informations personnelles, notamment :
- Type de support (HDD, USB, carte SD, etc.).
- Expéditeurs autorisés et destinataires internes.
- Date et heure du transfert.
- La quantité de supports physiques à transférer.
Articles applicables du RGPD
- Article 5 – (1)(f)
- Article 32 – (1)(a)
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.5.3.1 | Gestion des supports amovibles | 7.10 – Supports de stockage pour ISO 27002 | Les articles , |
| 6.5.3.2 | Élimination des médias | 7.10 – Supports de stockage pour ISO 27002 | Article |
| 6.5.3.3 | Transfert de supports physiques | 7.10 – Supports de stockage pour ISO 27002 | Les articles , |
Comment ISMS.online vous aide
ISMS.online facilite la gestion des informations personnelles grâce à une excellente solution basée sur le cloud pour prendre en charge la conformité ISO 27701 dans votre organisation.
De plus, nous disposons d’experts et de ressources en sécurité de l’information pour vous guider tout au long du processus d’accréditation ISO 27701.
Apprenez-en davantage et bénéficiez d'une démonstration pratique en réserver une démo.
