Comprendre la clause 27701 de la norme ISO 6.7 : Contrôles cryptographiques pour la protection des informations personnelles identifiables
La cryptographie (chiffrement), ainsi que l'accès basé sur les rôles, constituent la principale méthode de protection des informations personnelles et liées à la confidentialité contre toute utilisation non autorisée.
Les contrôles cryptographiques sont une condition préalable à presque toutes les activités liées aux informations personnelles, où des informations privées sont transférées entre des systèmes, des applications, des utilisateurs et des tiers.
Ce qui est couvert par la clause 27701 de la norme ISO 6.7
L'ISO 27701 6.7 contient deux sous-paragraphes, qui s'appuient tous deux sur le mêmes notes d'orientation de la norme ISO 27002 8.2.4, qui fournit un cadre cryptographique permettant aux organisations d'opérer dans :
- ISO 27002 6.7.1.1 – Politique d'utilisation des contrôles cryptographiques (Références ISO 27002 Contrôle 8.24)
- ISO 27002 6.7.1.2 – Gestion des clés (Références ISO 27002 Contrôle 8.24)
La norme ISO 27002 6.7.1.1 contient des lignes directrices qui relèvent de la législation britannique GDPR. Les articles pertinents ont été fournis pour votre commodité.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.7.1.1 – Politique sur l'utilisation des contrôles cryptographiques
Références ISO 27002 Contrôle 8.24
Les organisations doivent utiliser le cryptage pour protéger les confidentialité, authenticité et intégrité des informations personnelles et des informations liées à la confidentialité, et de respecter leurs diverses obligations contractuelles, légales ou réglementaires.
Le chiffrement est un concept ambitieux : il n'existe pas d'approche universelle. Les organisations doivent évaluer leurs besoins et choisir une solution cryptographique qui répond à leurs objectifs commerciaux et opérationnels uniques.
Orientation générale
Les organisations devraient considérer :
- Mettre en place un spécifique au sujet approche de la cryptographie, qui prend en compte diverses exigences départementales, basées sur les rôles et opérationnelles.
- Le niveau de protection approprié (ainsi que le type d’informations à chiffrer).
- Appareils mobiles et supports de stockage.
- Gestion des clés cryptographiques (stockage, traitement etc).
- Rôles et responsabilités spécialisés pour les fonctions cryptographiques, y compris la mise en œuvre et la gestion des clés (voir ISO 27002 8.24).
- Les normes techniques de chiffrement qui doivent être adoptées, y compris les algorithmes, la force de chiffrement et les lignes directrices des meilleures pratiques.
- Comment le chiffrement fonctionnera parallèlement à d’autres efforts de cybersécurité, tels que la protection contre les logiciels malveillants et la sécurité des passerelles.
- Lois et lignes directrices transfrontalières et interjuridictionnelles (voir ISO 27002 5.31).
- Contrats avec des partenaires de cryptographie tiers couvrant tout ou partie de la responsabilité, de la fiabilité et des délais de réponse.
Gestion des clés
Les procédures de gestion des clés doivent être réparties sur 7 fonctions principales :
- Génération.
- Stockage.
- Archivage.
- Récupération.
- Distribution.
- Sortant.
- Destruction.
Les systèmes de gestion des clés organisationnels doivent :
- Gérez la génération de clés pour toutes les méthodes de chiffrement.
- Implémentez des certificats de clé publique.
- Veiller à ce que toutes les entités humaines et non humaines concernées reçoivent les clés requises.
- Stockez les clés.
- Modifier les clés, si nécessaire.
- Mettez en place des procédures pour gérer les clés potentiellement compromises.
- Désactivez les clés ou révoquez l'accès utilisateur par utilisateur.
- Récupérez les clés perdues ou défectueuses, à partir de sauvegardes et d'archives de clés.
- Détruisez les clés qui ne sont plus nécessaires.
- Gérez le cycle de vie d'activation et de désactivation, de sorte que certaines clés ne soient disponibles que pendant la période pendant laquelle elles sont nécessaires.
- Traiter les demandes d'accès officielles émanant des organismes chargés de l'application de la loi ou, dans certaines circonstances, des organismes de réglementation.
- Contient des contrôles d'accès qui protègent l'accès physique aux clés et aux informations cryptées.
- Considérez l'authenticité des clés publiques, avant leur mise en œuvre (autorités de certification et certificats publics).
Contrôles ISO 27002 pertinents
- ISO 27002 5.31
- ISO 27002 8.24
Articles applicables du RGPD
- Article 32 – (1)(a)
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.7.1.2 – Gestion des clés
Références ISO 27002 Contrôle 8.24
Voir la section ci-dessus sur Gestion des clés (ISO 27701 6.7.1.1).
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.7.1.1 | Politique sur l'utilisation des contrôles cryptographiques | 8.24 – Utilisation de la cryptographie pour ISO 27002 | Article |
| 6.7.1.2 | Gestion des clés | 8.24 – Utilisation de la cryptographie pour ISO 27002 | Aucun |
Comment ISMS.online vous aide
Comment aidons-nous?
La norme ISO 27701 vous montre comment créer un système de gestion des informations confidentielles conforme à la plupart des réglementations en matière de confidentialité, notamment le RGPD de l'UE, la BS 10012 et le POPIA d'Afrique du Sud.
Notre logiciel simplifié, sécurisé et durable vous aide à suivre facilement l'approche décrite par la norme internationalement reconnue.
Toutes les fonctionnalités dont vous avez besoin :
- ROPA en toute simplicité
- Banque de risques intégrée
- Espace sécurisé pour la RRC
Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27002 et 27701 en utilisant ISMS.online en réserver une démo.
