Comprendre la clause 27701 de la norme ISO 6.6 : Bonnes pratiques en matière de contrôle d'accès
Le contrôle d'accès régit la manière dont les entités humaines et non humaines ont accès aux données, aux ressources informatiques et aux applications – et dans le cas de la norme ISO 27701 6.6, aux informations personnelles et aux éléments liés à la confidentialité.
Le contrôle d'accès est une fonction TIC complexe et aux multiples facettes qui s'appuie sur de nombreuses autres fonctions commerciales, telles que la gestion du changement, la sécurité des actifs, l'autorisation thématique, les contrôles de sécurité physique et des concepts techniques tels que RBAC, MAC et DAC. En tant que telle, la norme ISO 27701 6.6 contient de nombreuses lignes directrices complémentaires provenant de mesures similaires en matière de protection de la vie privée et des informations. contrôles contenus dans la norme ISO 27002.
Obtenir un contrôle d'accès correct est l'une des fonctions principales d'une opération de protection de la vie privée bien huilée, en particulier dans le contexte de la protection des informations personnelles.
Ce qui est couvert par la clause 27701 de la norme ISO 6.6
L'ISO 27701 6.6 contient deux sous-paragraphes qui contextualisent les informations fournies dans ISO 27002 5.15 (Contrôle d'accès) dans le domaine des informations personnelles et de la protection de la vie privée, avec de nombreuses clauses de soutien prévues qui traitent de divers autres aspects de la sécurité des informations (voir ci-dessus) :
- ISO 27701 6.6.1.1 – Politique de contrôle d'accès (Références ISO 27002 Contrôle 5.15)
- ISO 27701 6.6.1.2 – Accès aux réseaux et services réseau (Références ISO 27002 Contrôle 5.15)
Aucune de ces clauses ne contient de directives spécifiques au PIMS et n’a aucun rapport avec la législation britannique GDPR.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.6.1.1 – Politique de contrôle d'accès
Références ISO 27002 Contrôle 5.15
Les propriétaires d'actifs contenant des informations personnelles et des données elles-mêmes doivent élaborer des exigences d'accès basées sur la confidentialité, à la fois sur une base générale et spécifique à un sujet, et communiquer clairement les politiques de contrôle d'accès à tout le personnel concerné.
Politiques de contrôle d'accès
Les exigences générales et les politiques spécifiques à un sujet doivent :
- Déterminez qui a besoin d’accéder à des actifs et à des données spécifiques, et gérez ces droits en conséquence (voir ISO 27002 5.18).
- Tenez compte des exigences de sécurité uniques des applications qui utilisent des informations personnelles (voir ISO 27002 5.16, 5.18 et 8.26).
- Contrôler l'accès physique aux données PII (voir ISO 27002 7.2, 7.3 et 7.4).
- Diffusez les informations personnelles et autorisez les demandes d'accès documentées en fonction du « besoin de connaître » (voir ISO 27002 5.10, 5.12 et 5.13).
- Placer des limitations sur l'accès « privilégié » aux informations personnelles (voir ISO 27701 8.2).
- Séparer les tâches, pour limiter la possibilité que des individus et des groupes soient la seule autorité sur les éléments (voir ISO 27002 5.3).
- Tenir compte des obligations de l'organisation envers toute législation sur la protection de la vie privée, directives réglementaires ou exigences contractuelles (voir ISO 27002 5.31, 5.32, 5.33, 5.34 et 8.3).
- Assurez-vous que des journaux précis et à jour sont conservés, qui détaillent l'accès aux informations personnelles dans toute l'organisation (voir ISO 27002 8.15).
Définition des entités de contrôle d'accès et des règles associées
L'ISO classe une « entité » comme un élément physique, humain et/ou logique ayant la capacité d'accéder aux données.
Les entités doivent se voir attribuer des rôles spécifiques, liés à leur fonction et aux données auxquelles elles doivent accéder.
Lors de la mise en œuvre des règles de contrôle d'accès pour les différentes entités qu'elles ont définies, les organisations doivent :
- Veiller à ce que les entités aient accès aux informations personnelles de manière cohérente, conformément à leur rôle et/ou fonction spécifique.
- Gardez à l’esprit les besoins en matière de sécurité physique lorsque vous administrez l’accès aux informations personnelles.
- Dans le cas d'environnements cloud et/ou distribués à multiples facettes, les entités n'ont accès qu'aux catégories de données PII qu'elles sont autorisées à utiliser (plutôt que de fournir un accès général).
Conseils supplémentaires
Le contrôle d'accès peut souvent être un élément complexe et difficile à gérer des opérations TIC d'une organisation.
Voici quelques principes généraux à respecter :
- Opérer dans un cadre de « besoin de savoir » et de « besoin d'utiliser » – c'est-à-dire ne fournir l'accès aux informations personnelles que si l'entité en a besoin pour remplir son rôle professionnel, et rien de moins.
- Les organisations doivent adhérer au concept du « moindre privilège ». L'ISO définit cela comme « tout est généralement interdit, sauf autorisation expresse ». En d’autres termes, le contrôle d’accès doit être étroitement administré, plutôt que de confier aux employés de larges niveaux d’accès à plusieurs applications, périphériques de stockage et serveurs de fichiers.
- Les modifications des autorisations d'accès doivent être considérées de deux manières : les modifications initiées par les administrateurs système et celles initiées par les systèmes et applications TIC eux-mêmes – y compris le moment de réviser les approbations.
- Aux fins de l'accès aux informations personnelles, l'ISO décrit quatre principaux types de contrôle d'accès que les organisations devraient prendre en compte, en fonction de leurs exigences uniques :
- Contrôle d'accès obligatoire (MAC) – L'accès est géré de manière centralisée par une seule autorité de sécurité.
- Contrôle d'accès discrétionnaire (DAC) – La méthode opposée au MAC, où les propriétaires d'objets peuvent transmettre des privilèges à d'autres utilisateurs.
- Contrôle d'accès basé sur les rôles (RBAC) – Le type de contrôle d'accès commercial le plus courant, basé sur des fonctions professionnelles et des privilèges prédéfinis.
- Contrôle d'accès basé sur les attributs (ABAC) – Les droits d'accès sont accordés aux utilisateurs grâce à l'utilisation de politiques qui combinent des attributs.
Contrôles ISO 27002 pertinents
- ISO 27002 5.3
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.16
- ISO 27002 5.18
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
- ISO 27002 7.2
- ISO 27002 7.3
- ISO 27002 7.4
- ISO 27002 8.2
- ISO 27002 8.3
- ISO 27002 8.26
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.6.1.2 – Accès aux réseaux et services réseau
Références ISO 27002 Contrôle 5.15
Voir la norme ISO 27701, article 6.6.1.1.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.6.1.1 | Politique de contrôle d'accès |
5.15 – Contrôle d'accès pour ISO 27002 |
Aucun |
| 6.6.1.2 | Accès aux réseaux et services réseau |
5.15 – Contrôle d'accès pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Comment aidons-nous?
La norme ISO 27701 vous montre comment créer un système de gestion des informations confidentielles conforme à la plupart des réglementations en matière de confidentialité, notamment le RGPD de l'UE, la BS 10012 et le POPIA d'Afrique du Sud.
Notre logiciel simplifié, sécurisé et durable vous aide à suivre facilement l'approche décrite par la norme internationalement reconnue.
Notre plateforme tout-en-un garantit que votre travail en matière de confidentialité s'aligne et répond aux besoins de chaque section de la norme ISO 27701.
Et comme il est indépendant de la réglementation, vous pouvez le mapper sur n’importe quelle réglementation dont vous avez besoin.
En savoir plus par réserver une démo pratique.
