ISO 27701 Clause 6.8.2 : Équipement de protection pour la conformité à la confidentialité
Outre les contrôles « logiques » – restrictions d'accès basées sur des logiciels et fonctions administratives basées sur les serveurs, l'ISO accorde également une grande importance au rôle que la sécurité des équipements doit jouer dans la protection des informations personnelles et des actifs liés à la confidentialité.
Les organisations doivent prendre en compte un large éventail de facteurs, depuis les protocoles BYOD jusqu'à l'emplacement des actifs de confidentialité, en passant par le comportement des utilisateurs lorsqu'ils y accèdent, la manière dont le kit est retiré et les politiques claires sur le bureau/l'écran.
Ce qui est couvert par la clause 27701 de la norme ISO 6.8.2
La clause 27701 de la norme ISO 6.8.2 est une clause de grande envergure qui couvre de nombreux aspects différents du contrôle et de la sécurité des équipements.
Il y a 9 sous-clauses à considérer, chacune contenant des notes d'orientation d'un clause d'accompagnement dans la norme ISO 27002, appliqué dans le cadre de la protection de la vie privée :
- ISO 27701 6.8.2.1 – Emplacement et protection des équipements (Références ISO 27002 contrôle 7.8)
- ISO 27701 6.8.2.2 – Utilitaires de support (Références ISO 27002 contrôle 7.11)
- ISO 27701 6.8.2.3 – Sécurité du câblage (Références ISO 27002 contrôle 7.12)
- ISO 27701 6.8.2.4 – Maintenance des équipements (Références ISO 27002 contrôle 7.13)
- ISO 27701 6.8.2.5 – Retrait des actifs (Références ISO 27002 contrôle 7.10)
- ISO 27701 6.8.2.6 – Sécurité des équipements et des actifs hors site (Références ISO 27002 contrôle 7.9)
- ISO 27701 6.8.2.7 – Élimination ou réutilisation sécurisée des équipements (Références ISO 27002, contrôle 7.14)
- ISO 27701 6.8.2.8 – Équipement utilisateur sans surveillance (Références ISO 27002 contrôle 8.1)
- ISO 27701 6.8.2.9 – Politique de bureau et d'écran clairs (Références ISO 27002 contrôle 7.7)
L'ISO n'offre aucune autre orientation concernant la mise en œuvre ou la maintenance d'un PIMS, et seuls deux sous-paragraphes (6.8.2.9 et 6.8.2.7) contiennent des informations qui doivent être prises en compte parallèlement à la législation britannique RGPD.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.8.2.1 – Emplacement et protection des équipements
Références ISO 27002 Contrôle 7.8
Afin de minimiser le risque pour les informations personnelles et les actifs liés à la confidentialité, qui peuvent être exposés à une perte ou à un accès non autorisé en raison de dommages, les organisations doivent :
- Placez l'équipement de manière appropriée – y compris les actifs et les installations de traitement de la confidentialité – pour éviter que du personnel non autorisé ait besoin d'accéder aux zones restreintes.
- Minimisez le risque de visualisation accidentelle ou délibérée de matériel restreint (en particulier les informations personnelles).
- Réduire le risque de menaces environnementales ou physiques (par exemple vol, incendie, inondation).
- Établissez nos règles claires concernant le fait de manger, de fumer ou de boire à proximité d'actifs et d'informations liés à la vie privée.
- Assurez-vous que les actifs liés à la confidentialité sont conservés dans des environnements présentant des niveaux de chaleur et d’humidité appropriés.
- Mettre en œuvre des contrôles de protection contre la foudre.
- Mettre en œuvre des mesures ad hoc pour les actifs liés à la vie privée détenus dans les zones de production (pare-poussière, boîtier sécurisé, blindage électromagnétique, etc.).
- Séparez les installations de traitement de la confidentialité organisationnelles et non organisationnelles.
ISO 27701 Clause 6.8.2.2 – Utilitaires de support
Références ISO 27002 Contrôle 7.11
Il est important de protéger les installations de traitement des informations personnelles de toute perturbation ou incident émanant de ce que l'ISO considère comme des « services publics de soutien » (électricité, gaz, eau, eaux usées, etc.).
Pour minimiser le risque pour les informations personnelles, les organisations doivent :
- Respectez toujours les recommandations des fournisseurs de services publics lors de la configuration de l’équipement sur site.
- Effectuer des audits périodiques des services publics pour garantir qu'ils répondent aux besoins opérationnels et financiers de l'organisation et qu'ils prennent en charge la fourniture de tous les autres services publics.
- Testez régulièrement les services publics pour garantir la continuité des activités et faites part de vos préoccupations directement au fournisseur de services publics.
- Assurez-vous que les services publics bénéficient de flux multiples et d'un « routage diversifié ».
- Maintenir un système qui sépare les services publics sur leur propre réseau interne des installations de traitement des informations personnelles, lorsque ces installations nécessitent un accès LAN, et ne leur fournissant un accès WAN que si cela est explicitement requis.
- Fournissez des services publics d'urgence, tels qu'un éclairage de secours, un équipement téléphonique doté d'un circuit dédié redondant par rapport au système de communication principal, des numéros de contact d'urgence et des sorties de secours facilement accessibles.
- Explorez la possibilité de recevoir plusieurs routeurs par fournisseur de services publics.
ISO 27701 Clause 6.8.2.3 – Sécurité du câblage
Références ISO 27002 Contrôle 7.12
Les informations personnelles sont largement transmises via des câbles. C’est pourquoi les organisations doivent mettre en place des contrôles de sécurité des câbles qui protègent les informations liées à la confidentialité contre l’interception et/ou la perte.
La sécurité du câblage est un domaine hautement spécialisé et les organisations doivent demander l'avis d'experts, le cas échéant. Cela étant dit, il y a quelques principes directeurs de base à respecter.
Orientation générale
Les organisations devraient :
- Faites passer les câbles d’alimentation et de communication sous terre.
- Assurez-vous que le câblage aérien est protégé par des mesures telles que des goulottes adéquates, un boîtier au sol et des poteaux électriques.
- Séparez les câbles d’alimentation des câbles réseau et de communication pour éviter les interférences.
- Assurez-vous que les câbles reçoivent des étiquettes à chaque extrémité, pour faciliter les activités de maintenance et de connexion.
Systèmes critiques
En ce qui concerne les informations critiques et commercialement sensibles, les organisations doivent prendre en compte un certain nombre de contrôles supplémentaires :
- Équipement blindé, y compris des alarmes et des salles sécurisées aux points de terminaison des câbles, y compris un accès contrôlé et enregistré.
- Blindage électromagnétique.
- Inspections physiques accrues.
ISO 27701 Clause 6.8.2.4 – Maintenance des équipements
Références ISO 27002 Contrôle 7.13
Pour empêcher tout accès non autorisé aux informations personnelles – ou tout dommage à tout actif lié à la confidentialité – les organisations doivent entretenir tous leurs équipements conformément aux directives du fabricant, notamment :
- Adhérer à un programme de maintenance rigoureux, effectué par du personnel formé et autorisé.
- Enregistrement de tous les défauts, y compris tout dysfonctionnement suspecté.
- Le cas échéant, soumettre le personnel de maintenance externe à un accord de confidentialité.
- Veiller à ce que les sous-traitants de maintenance tiers soient supervisés de manière appropriée lorsqu'ils exécutent leurs tâches sur site.
- Exercer un contrôle étroit sur les fonctions de télémaintenance, notamment celles réalisées par du personnel tiers.
ISO 27701 Clause 6.8.2.5 – Retrait des actifs
Références ISO 27002 Contrôle 7.10
Supports de stockage amovibles
Lors de l’élaboration de politiques régissant la suppression des ressources multimédias qui stockent des informations personnelles, les organisations doivent :
- Surveillez le transfert des informations personnelles sur les supports de stockage, à quelque fin que ce soit.
- Élaborer des politiques spécifiques à un sujet basées sur les exigences spécifiques du rôle.
- Assurez-vous que l'autorisation est demandée et accordée avant que le personnel puisse retirer les supports de stockage du réseau.
- Stockez les supports conformément aux spécifications du fabricant.
- Assurez-vous que les médias sont exempts de tout dommage environnemental.
- Pensez à utiliser des méthodes de cryptage et à mettre en œuvre des mesures de sécurité physique supplémentaires.
- Minimisez le risque de corruption des informations personnelles en transférant les informations entre les supports de stockage selon un ensemble de directives de bonnes pratiques.
- Introduisez la redondance en stockant les informations personnelles sur plusieurs actifs en même temps.
- Utilisez uniquement des supports de stockage sur des entrées approuvées (par exemple, cartes SD et ports USB).
- Tenez compte des risques inhérents lors du transfert de données personnelles entre supports de stockage ou lors du déplacement d'actifs entre du personnel ou des locaux (voir le contrôle ISO 27002 5.14).
Réaffectation et/ou cession d'actifs
Lors de la réutilisation, de la réutilisation ou de la mise au rebut de supports de stockage, les organisations doivent :
- Formatez les supports de stockage et assurez-vous que toutes les informations personnelles sont documentées et supprimées avant leur réutilisation (voir le contrôle ISO 27002 8.10).
- Éliminez en toute sécurité tout support dont l’organisation n’a plus l’utilité et qui a été utilisé pour stocker des informations personnelles.
- (Si l'élimination nécessite l'intervention d'un tiers) veillez à ce qu'il s'agisse d'un partenaire compétent et approprié, conformément à la responsabilité de l'organisation en matière d'informations personnelles et de protection de la vie privée.
- Mettez en œuvre des procédures qui identifient les supports de stockage disponibles pour une réutilisation ou pouvant être éliminés en toute sécurité.
Contrôles ISO 27002 pertinents
- ISO 27002 5.14
- ISO 27002 8.10
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.8.2.6 – Sécurité des équipements et des actifs hors site
Références ISO 27002 Contrôle 7.9
Les organisations devront parfois autoriser l’utilisation d’appareils hors site, qui à leur tour ont le potentiel d’accéder à des informations personnelles et/ou à des informations liées à la confidentialité – y compris les appareils BYOD.
Équipement temporaire hors site
Lors de la gestion d’un appareil qui stocke ou utilise activement des informations personnelles dans un emplacement autre que des sites officiellement désignés, les organisations doivent :
- Demandez à tout le personnel de ne pas laisser ces appareils sans surveillance dans les lieux publics.
- Assurez-vous que les directives des fabricants sont respectées, en particulier celles concernant la sécurité des appareils et la protection de l'environnement.
- Tenez un journal précis et à jour de la façon dont les appareils hors site sont transmis entre le personnel, si le besoin s'en fait sentir.
- (Pour les actifs organisationnels) exiger une autorisation appropriée avant que l'équipement ne soit retiré des locaux et tenir un journal de toutes ces activités (voir ISO 27002, contrôle 5.14).
- Demandez au personnel d'être attentif à la manière dont il utilise les actifs dans les lieux publics, afin d'empêcher la visualisation non autorisée des informations personnelles et des documents liés à la confidentialité.
- Utilisez la technologie GPS et la gestion à distance pour suivre les appareils hors site, tout en conservant la possibilité de les effacer à distance.
Équipement permanent hors site
Il est parfois nécessaire pour une organisation d'installer des immobilisations permanentes, en dehors de ses locaux ou de ses bureaux. Cet équipement comprend :
- Les guichets automatiques.
- Antennes de communication.
- Matériel radio.
Lors de l’installation d’un tel kit, les organisations doivent prendre en compte :
- Surveillance XNUMX heures sur XNUMX (soit en personne, soit via CCTV) (voir contrôle ISO 27002 7.4).
- Contrôles d'accès basés sur des logiciels.
Contrôles ISO 27002 pertinents
- ISO 27002 5.14
- ISO 27002 7.4
ISO 27701 Clause 6.8.2.7 – Élimination ou réutilisation sécurisée de l'équipement
Références ISO 27002 Contrôle 7.14
Les informations personnelles et les informations liées à la confidentialité sont particulièrement menacées lorsqu'il est nécessaire de se débarrasser ou de réutiliser les actifs de stockage et de traitement – soit en interne, soit en partenariat avec un fournisseur tiers spécialisé.
Avant tout, les organisations doivent s'assurer que tout support de stockage destiné à être mis au rebut et contenant des informations personnelles doit être physiquement détruit, essuyé or écrasé (voir ISO 27002 contrôles 7.10 et 8.10).
Pour éviter que les informations personnelles ne soient compromises de quelque manière que ce soit, lors de l'élimination ou de la réutilisation d'actifs, les organisations doivent :
- Assurez-vous que toutes les étiquettes sont supprimées ou modifiées, si nécessaire – en particulier celles qui indiquent la présence de PII.
- Supprimer tous les contrôles de sécurité physiques et logiques, lors du déclassement d'installations ou du déménagement de locaux, en vue de leur réutilisation dans un nouvel emplacement.
Contrôles ISO 27002 pertinents
- ISO 27002 7.10
- ISO 27002 8.10
Articles applicables du RGPD
- Article 5 – (1)(f)
ISO 27701 Clause 6.8.2.8 – Équipement utilisateur sans surveillance
Références ISO 27002 Contrôle 8.1
Les organisations doivent mettre en œuvre des politiques spécifiques à un sujet qui traitent de différentes catégories de terminaux, en mettant l'accent sur l'amélioration de la protection de la vie privée et de la sécurité des informations personnelles.
Les organisations doivent rédiger des politiques et des procédures qui prennent en compte :
- L'existence de PII sur le réseau d'une organisation.
- Comment les appareils sont initialement enregistrés puis identifiés.
- Contrôles de protection physique.
- Restrictions sur l'installation du logiciel.
- Gestion à distance.
- Contrôles d'accès des utilisateurs.
- Cryptographie.
- Plateformes anti-malware.
- Sauvegarde et reprise après sinistre.
- Restrictions de navigation et filtrage de contenu.
- Analyse des utilisateurs (voir contrôle ISO 27002 8.16).
- Stockage amovible et périphériques associés.
- Ségrégation des données basée sur les appareils – c'est-à-dire créer une barrière entre les données organisationnelles et personnelles.
- Plans d'urgence en cas de perte ou de vol d'appareils.
Responsabilités de l'utilisateur
Les utilisateurs d'appareils hors site doivent être continuellement informés de toutes les politiques et procédures qui s'appliquent à eux, en tant qu'utilisateurs hors site.
En tant qu'ensemble de principes généraux, les utilisateurs devraient :
- Fermez les sessions de travail/à distance lorsqu'elles ne sont plus utilisées.
- Respecter les mesures de protection physiques et logiques.
- Soyez attentif à leur environnement physique lorsque vous accédez à des informations personnelles ou à des informations liées à la confidentialité (c'est-à-dire en évitant de « surfer sur l'épaule » dans les espaces publics).
Protocoles Bring Your Own Device (BYOD)
Les organisations qui autorisent leur personnel à utiliser leurs propres appareils personnels doivent également prendre en compte :
- Installation d'un logiciel qui aide à la séparation des données professionnelles et personnelles.
- Appliquer une politique BYOD qui comprend :
- Reconnaissance de la propriété organisationnelle des informations personnelles.
- Mesures de protection physique et numérique (voir ci-dessus).
- Suppression des données à distance.
- Toutes les mesures garantissant l’alignement avec la législation PII et les orientations réglementaires.
- Droits de propriété intellectuelle, concernant la propriété de l'entreprise sur tout ce qui a été produit sur un appareil personnel.
- Accès organisationnel à l'appareil – soit à des fins de protection de la vie privée, soit pour se conformer à une enquête interne ou externe.
- CLUF et licences logicielles pouvant être affectés par l'utilisation de logiciels commerciaux sur un appareil privé.
Directives Wi-Fi
Lorsqu’elles réfléchissent à la manière de gérer la connectivité WiFi pour les appareils hors site, les organisations doivent :
- Réfléchissez attentivement à la manière dont les appareils peuvent se connecter aux réseaux sans fil (c'est-à-dire en évitant tout réseau non sécurisé lors de l'utilisation des informations personnelles).
- Assurez-vous que le WiFi dispose d'une capacité suffisante pour faciliter les sauvegardes, prendre en charge les activités de maintenance et traiter les données sans aucun obstacle majeur aux performances de l'appareil et à la sécurité des données.
Contrôles ISO 27002 pertinents
- ISO 27002 8.9
- ISO 27002 8.16
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.8.2.9 – Politique de bureau et d'écran clairs
Références ISO 27002 Contrôle 7.7
Les informations personnelles et les informations relatives à la confidentialité sont particulièrement menacées lorsque le personnel imprudent et les sous-traitants tiers ne respectent pas les mesures de sécurité sur le lieu de travail qui protègent contre la visualisation accidentelle ou délibérée des informations personnelles par du personnel non autorisé.
Les organisations doivent rédiger des politiques de bureau et d'écran clairs spécifiques à un sujet (espace de travail par espace de travail si nécessaire) qui comprennent :
- Se cacher de la vue occasionnelle, verrouiller ou stocker en toute sécurité les informations personnelles et les informations liées à la confidentialité, lorsque ces données ne sont pas nécessaires.
- Mécanismes de verrouillage physique sur les actifs TIC.
- Contrôles d'accès numériques – tels que les délais d'attente d'affichage, les économiseurs d'écran protégés par mot de passe et les fonctions de déconnexion automatique.
- Impression sécurisée et collecte immédiate des documents.
- Stockage sécurisé et verrouillé des documents sensibles et élimination appropriée de ces documents lorsqu'ils ne sont plus nécessaires (déchiquetage, services d'élimination tiers, etc.).
- Être attentif aux aperçus des messages (e-mails, SMS, rappels d'agenda) pouvant donner accès à des données sensibles ; chaque fois qu'un écran est partagé ou visualisé dans un lieu public.
- Effacement des affichages physiques (par exemple, tableaux blancs et tableaux d'affichage) des informations sensibles, lorsqu'elles ne sont plus nécessaires.
Lorsque des organisations quittent collectivement leurs locaux – par exemple lors d’un déménagement de bureau ou d’un déménagement similaire – des efforts doivent être faits pour garantir qu’aucune documentation ne soit laissée derrière, que ce soit dans les bureaux et les systèmes de classement, ou toute autre documentation susceptible d’être tombée dans des endroits obscurs.
Articles applicables du RGPD
- Article 5 – (1)(f)
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.8.2.1 | Emplacement et protection des équipements |
7.8 – Emplacement et protection des équipements pour la norme ISO 27002 |
Aucun |
| 6.8.2.2 | Utilitaires de support |
7.11 – Utilitaires de prise en charge pour ISO 27002 |
Aucun |
| 6.8.2.3 | Sécurité du câblage |
7.12 – Sécurité du câblage pour ISO 27002 |
Aucun |
| 6.8.2.4 | Entretien de l'équipement |
7.13 – Maintenance des équipements pour ISO 27002 |
Aucun |
| 6.8.2.5 | Suppression des actifs |
7.10 – Supports de stockage pour ISO 27002 |
Aucun |
| 6.8.2.6 | Sécurité des équipements et des actifs hors site |
7.9 – Sécurité des actifs hors site pour ISO 27002 |
Aucun |
| 6.8.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
7.14 – Élimination ou réutilisation sécurisée des équipements pour la norme ISO 27002 |
Article (5) |
| 6.8.2.8 | Équipement utilisateur sans surveillance |
8.1 – Appareils de point de terminaison utilisateur pour ISO 27002 |
Aucun |
| 6.8.2.9 | Politique de bureau et d'écran clairs |
7.7 – Clear Desk et Clear Screen pour ISO 27002 |
Article (5) |
Comment ISMS.online vous aide
Nous rendons ROPA facile
Nous faisons du mappage de données une tâche simple. Il est facile d'enregistrer et de réviser tout cela, en ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.
Des modèles d'évaluation pour vous
Il est facile de configurer et d'exécuter différents types d'évaluation de la confidentialité, depuis les évaluations d'impact sur la protection des données jusqu'aux évaluations de préparation à la réglementation ou à la conformité.
Nous avons une banque de risques intégrée
Nous avons créé une banque de risques intégrée et une gamme d'autres outils pratiques qui vous aideront dans chaque étape du processus d'évaluation et de gestion des risques.
Réservez une démo aujourd'hui et découvrez comment nous pouvons aider votre organisation à atteindre la norme ISO 27701.
