ISO 27701 Clause 6.5 : Renforcement de la confidentialité grâce à la gestion des actifs
La gestion des actifs est un élément clé du maintien de la protection de la vie privée, aux niveaux physique et numérique.
Les organisations doivent conserver des enregistrements parfaitement clairs de tous les actifs pertinents, afin d'avoir une vue descendante de la manière dont les informations personnelles et les données liées à la confidentialité circulent dans l'organisation.
Le personnel qui utilise tout actif au sein des TIC d'une organisation ayant la capacité de stocker ou de traiter des informations personnelles doit être explicitement informé de ce que l'on attend d'eux en termes d'utilisation acceptable et de la manière dont ces informations sont gérées pendant une période de départ.
Ce qui est couvert par la clause 27701 de la norme ISO 6.5
La norme ISO 27701 6.5 contient quatre sous-paragraphes qui traitent spécifiquement de la protection de la vie privée, dans le contexte de la gestion des actifs.
Chaque sous-clause s'appuie sur les orientations contenues dans divers sous-articles de l'ISO 27002, avec deux sous-paragraphes contenant exactement les mêmes points d'orientation :
- ISO 27701 6.5.1.1 – Inventaire des actifs (Références ISO 27002 Contrôle 5.9).
- ISO 27701 6.5.1.2 – Propriété des actifs (Références ISO 27002 Contrôle 5.9).
- ISO 27701 6.5.1.3 – Utilisation acceptable des actifs (Références ISO 27002 Contrôle 5.10).
- ISO 27701 6.5.1.4 – Restitution des actifs (Références ISO 27002 Contrôle 5.11).
L'ISO ne fournit aucune directive supplémentaire pour les activités liées au PIMS, dans le cadre de la gestion des actifs, et il n'y a pas non plus de ramifications du RGPD à prendre en compte.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.5.1.1 – Inventaire des actifs
Références ISO 27002 Contrôle 5.9
Catégoriser les stocks
Pour accroître la protection de la vie privée, les organisations doivent maintenir une liste précise, à jour et documentée d'informations et d'actifs, y compris la possibilité de référencer les inventaires dans toute l'organisation.
Il existe plusieurs manières par lesquelles les organisations peuvent améliorer le fonctionnement de leurs stocks, notamment :
- Examiner régulièrement le contenu d'un inventaire, par rapport à ce qui est réellement détenu par l'organisation.
- Chaque fois qu'un actif est modifié, introduit ou supprimé par l'organisation, mettre en œuvre des procédures qui mettent automatiquement à jour l'inventaire dans le cadre du processus de changement.
- S'assurer que les inventaires contiennent un champ « localisation », pour identifier facilement la localisation de chaque actif.
Les inventaires ne doivent pas nécessairement être une longue liste de tous les actifs physiques et numériques détenus. Au lieu de cela, l'ISO encourage les organisations à séparer les inventaires catégorie par catégorie, y compris des inventaires distincts pour :
- Actifs informationnels.
- Matériel et logiciel.
- Machines virtuelles (VM).
- Équipement des installations.
- Dossiers personnels.
Il est important de noter que – dans le cas de certains actifs – toutes les informations ne peuvent pas être régulièrement conservées et il n'est pas nécessaire d'inclure tous les actifs dans l'ensemble du patrimoine physique et numérique de l'organisation – par exemple les machines virtuelles de courte durée qui réaliser un objectif singulier pendant une courte période, avant d’être retiré.
La propriété
Tous les actifs catégorisés doivent se voir attribuer un « propriétaire » officiel – qu'il s'agisse d'un individu ou d'un groupe (voir ISO 27002 5.12 et 5.13) – qui doit changer lorsque les fonctions commencent, cessent ou sont modifiées.
Les propriétaires d’actifs doivent s’assurer que :
- Tous les actifs sont correctement enregistrés et classés dans un inventaire.
- Les classifications sont soumises à une révision périodique.
- Tous les composants technologiques sont répertoriés en conséquence et séparément des actifs physiques (par exemple les composants DB).
- L'organisation adhère à une politique d'utilisation acceptable (voir ISO 27002 contrôle 5.10).
- Des restrictions sont imposées sur certaines clarifications d'actifs et sont révisées aux moments appropriés.
- Chaque fois que l'organisation doit supprimer ou supprimer des données de son inventaire, ces données sont éliminées en toute sécurité.
- La gestion des risques est au cœur de toutes les activités de gestion d’actifs.
- Ils offrent un soutien adéquat à tout personnel impliqué dans la protection de la vie privée et la gestion de l'information.
Contrôles ISO 27002 pertinents
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
ISO 27701 Clause 6.5.1.2 – Propriété des actifs
Références ISO 27002 Contrôle 5.9
Voir la clause 27701 de la norme ISO 6.5.1.1.
ISO 27701 Clause 6.5.1.3 – Utilisation acceptable des actifs
Références ISO 27002 Contrôle 5.10
Tout le personnel de l'organisation qui manipule des informations ou des actifs physiques et numériques doit être explicitement conscient de ses responsabilités en matière de protection de la vie privée, y compris de toute exigence de sécurité générale ou spécifique à un sujet.
Les politiques d’utilisation acceptable doivent clairement indiquer :
- Comment l'organisation classe les comportements acceptables et inacceptables, dans le cadre de la protection de la vie privée.
- Comment les informations (en particulier les informations personnelles) peuvent être utilisées sur le réseau.
- Comment l’organisation entend surveiller l’utilisation des actifs.
Des procédures doivent être mises en œuvre pour prendre en compte le cycle de vie complet des informations personnelles, notamment :
- Restrictions d'accès pertinentes pour les informations personnelles.
- Un enregistrement clair et à jour indiquant qui est autorisé à accéder aux données PII et aux actifs associés, et dans quelles circonstances.
- Niveaux adéquats de sécurité et de stockage pour les données PII – y compris les copies temporaires.
- Prendre en compte les recommandations des fabricants lors du stockage des actifs associés à la protection de la vie privée (voir ISO 27002 7.8).
- Étiqueter clairement tous les supports de stockage avec les détails de l'utilisateur/destinataire autorisé (voir ISO 27002 7.10).
- Comment les données PII et les actifs associés sont supprimés du réseau et/ou supprimés et éliminés.
Contrôles ISO 27002 pertinents
- ISO 27002 7.8
- ISO 27002 7.10
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.5.1.4 – Restitution des actifs
Références ISO 27002 Contrôle 5.11
Les procédures de gestion des actifs doivent également inclure des directives explicites sur la manière dont l'organisation gère le retour des actifs impliqués dans le traitement ou le stockage des informations personnelles, ainsi que d'autres informations liées à la confidentialité.
Que le personnel ait utilisé ses propres appareils ou se soit vu attribuer un actif organisationnel, des processus doivent être mis en place pour protéger les informations personnelles en supprimant les données de l'actif en question et en transférant les informations à l'organisation.
Si le personnel est soumis à un délai de préavis, les organisations doivent prendre des mesures pour garantir que les informations personnelles ne soient pas compromises de quelque manière que ce soit par l'employé qui quitte l'entreprise, y compris le partage, le transfert ou la suppression non autorisés.
Les organisations doivent développer des flux de travail qui couvrent le retour de tous les actifs impliqués dans le traitement ou le stockage des informations personnelles, y compris (mais sans s'y limiter) :
- Appareils (ordinateurs portables, mobiles, tablettes, etc.).
- Clés USB.
- Outils et matériel d'authentification (actifs et jetons de validation VPN, équipement d'entrée de porte/local).
- Copies papier des informations personnelles.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.5.1.1 | Inventaire des actifs |
5.9 – Inventaire des informations et autres actifs associés pour la norme ISO 27002 |
Aucun |
| 6.5.1.2 | Propriété des actifs |
5.9 – Inventaire des informations et autres actifs associés pour la norme ISO 27002 |
Aucun |
| 6.5.1.3 | Utilisation acceptable des actifs |
5.10 – Utilisation acceptable des informations et autres actifs associés pour la norme ISO 27002 |
Aucun |
| 6.5.1.4 | Restitution des actifs |
5.11 – Restitution des actifs pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Comment aidons-nous?
En ajoutant un PIMS à votre ISMS sur la plateforme ISMS.online, votre posture de sécurité reste centralisée et vous éviterez la duplication là où les normes se chevauchent.
Avec votre PIMS accessible instantanément aux parties intéressées, il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27002 et ISO 27701 d'un simple clic.
Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27002 et 27701 en utilisant ISMS.online.
En savoir plus par réserver une démo pratique.
