ISO 27701 Clause 6.8 : Renforcement de la sécurité physique et environnementale
Outre les mesures de sécurité numérique (RBAC, contrôles de cryptage et d'authentification), les organisations doivent construire et gérer des emplacements physiques (sites, bureaux, installations) qui offrent une protection renforcée aux informations personnelles partout où elles sont traitées ou stockées.
L'ISO identifie de nombreuses menaces humaines, environnementales et urbaines qui doivent être combattues grâce à la planification des bâtiments, à la gestion des risques et à des contrôles physiques robustes.
Ce qui est couvert par la clause 27701 de la norme ISO 6.8
Les lignes directrices de l'ISO 27701 6.8 sont réparties en six sous-articles, dont chacun contient conseils issus de divers contrôles au sein de la norme ISO 27002, appliqué dans le contexte des informations personnelles et de la protection de la vie privée :
- ISO 27701 6.8.1.1 – Périmètre de sécurité physique (Références ISO 27002 Contrôle 7.1)
- ISO 27701 6.8.1.2 – Contrôles physiques d'entrée (Références ISO 27002 Contrôle 7.2)
- ISO 27701 6.8.1.3 – Sécurisation des bureaux, des salles et des installations (Références ISO 27002 Contrôle 7.3)
- ISO 27701 6.8.1.4 – Protection contre les menaces externes et environnementales (Références ISO 27002 Contrôle 7.5)
- ISO 27701 6.8.1.5 – Travailler dans des zones sécurisées (Références ISO 27002 Contrôle 7.6)
- ISO 27701 6.8.1.6 – Zones de livraison et de chargement (Références ISO 27002 Contrôle 7.2)
La clause 27701 de la norme ISO 6.8 ne contient aucune directive supplémentaire pour la mise en œuvre et la gestion d'un PIMS, et il n'existe pas non plus d'articles du RGPD britannique à prendre en compte.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.8.1.1 – Périmètre de sécurité physique
Références ISO 27002 Contrôle 7.1
La protection périmétrique fonctionne sur le principe de la création de barrières physiques internes continues, qui empêchent l'accès non autorisé aux informations privées.
Pour maintenir une opération de protection périmétrique de bout en bout, les organisations doivent empêcher l’accès physique aux informations personnelles en :
- Définir et mettre en œuvre des périmètres de sécurité prenant en compte le stockage des données sensibles (PII).
- Maintenir des périmètres « physiquement sains » qui offrent un accès sécurisé 24h/7 et XNUMXj/XNUMX.
- Verrouiller tous les points d'entrée et de sortie extérieurs lorsqu'aucun personnel n'est présent (et sécuriser les points de ventilation, le cas échéant).
- Protéger les portes avec des alarmes et des mesures d'accès sécurisées (codes clés, mécanismes de verrouillage automatique, etc.).
- Maintenir un ensemble robuste de portes coupe-feu avec alarme, qui tiennent compte de la législation en vigueur sur la construction de points d'accès extérieurs et intérieurs.
- Préparer des plans d'urgence permettant d'accroître la sécurité lors de situations critiques ou d'incidents de sécurité.
ISO 27701 Clause 6.8.1.2 – Contrôles physiques d'entrée
Références ISO 27002 Contrôle 7.2
Alors que la norme ISO 27701 6.8.1.1 se concentre sur les périmètres de sécurité, la clause 6.8.1.2 décrit les principes généraux pour garantir que seul le personnel autorisé peut accéder aux zones contenant des informations personnelles et des actifs liés à la confidentialité.
Orientation générale
Les organisations devraient :
- Restreindre uniformément l’accès à des sites, bâtiments et bureaux entiers au personnel autorisé uniquement (y compris les points de sortie de secours).
- Effectuer des examens périodiques des niveaux d'accès, qui devraient inclure une mise à jour générale de tous les niveaux d'accès, au besoin (voir ISO 27002 contrôle 5.18).
- Tenir un journal de bord ou créer une piste d'audit numérique des accès au site et aux salles (voir ISO 27002 contrôle 5.33).
- Développer et installer des mesures techniques d'accès (cartes d'accès, porte-clés, systèmes d'entrée biométriques, alarmes codées, etc.).
- Maintenir une zone de réception surveillée.
- Examinez les effets personnels du personnel interne et externe avant d'entrer (les lois régionales du Nouveau-Brunswick sur l'inspection des biens personnels peuvent empêcher les organisations de le faire).
- Appliquer les réglementations sur les pièces d’identité avec photo à l’échelle du site.
- Fournir aux visiteurs un accès restreint à toute zone qui stocke ou traite des informations personnelles ou liées à la confidentialité.
- Créez des plans d’urgence pour les incidents et les scénarios critiques.
- Maintenir un système de gestion des clés qui enregistre, audite, maintient, accorde et révoque l'accès aux méthodes d'authentification telles que les systèmes d'interphone et les serrures à combinaison (voir ISO 27002 contrôle 5.17).
Visiteurs
Lorsqu’elles autorisent les visiteurs à accéder à des zones restreintes, les organisations doivent :
- Vérifiez l’identité du visiteur avant de donner accès.
- Enregistrez la date et l'heure d'une visite.
- Assurez-vous que la nature de la visite est comprise et enregistrée et qu'elle est appropriée dans le contexte de la zone physique à laquelle vous accédez.
- Assurez-vous que le visiteur est surveillé, le cas échéant.
Zones de livraison et de chargement
Lors de la conception et de l’exploitation d’une zone de chargement, les organisations doivent :
- Restreindre l’accès aux zones de chargement aux entreprises et aux particuliers vérifiés.
- Construire la zone de chargement de manière à ce qu'aucune autre partie des locaux ne soit accessible sans autorisation appropriée.
- Vérifiez les livraisons reçues pour détecter les matières dangereuses, illégales et explosives, ainsi que toute altération, avant de déplacer leur contenu dans les locaux.
- Consigner les livraisons entrantes conformément aux contrôles de gestion des actifs de l'organisation (voir ISO 27002 contrôles 5.9 et 7.10).
- Offrez un espace au personnel pour séparer physiquement le matériel entrant et sortant.
Contrôles ISO 27002 pertinents
- ISO 27002 5.9
- ISO 27002 5.17
- ISO 27002 5.18
- ISO 27002 5.33
- ISO 27002 7.10
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.8.1.3 – Sécurisation des bureaux, des salles et des installations
Références ISO 27002 Contrôle 7.3
La protection physique des informations personnelles et des actifs liés à la confidentialité s'étend également aux pièces situées à l'intérieur d'un périmètre de sécurité établi. Pour sécuriser les bureaux, les salles et les installations, les organisations doivent :
Pour protéger les installations internes, les organisations doivent :
- Évitez de construire des bureaux qui permettent au public d'y accéder librement, sans autorisation appropriée.
- En ce qui concerne les installations de traitement des informations personnelles, évitez toute signalisation indiquant la finalité de l'installation (en interne ou en externe).
- Construire des installations qui empêchent le personnel d'être visible du public, avec un blindage électromagnétique approprié installé si nécessaire.
- Masquez la présence d’installations de traitement d’informations personnelles sur les plateformes de cartes en ligne et les répertoires de communication.
ISO 27701 Clause 6.8.1.4 – Protection contre les menaces externes et environnementales
Références ISO 27002 Contrôle 7.5
Une « menace » peut être interprétée comme tout événement majeur susceptible d'avoir un impact sur les informations personnelles ou les actifs liés à la confidentialité.
Les organisations doivent se lancer dans une évaluation des menaces et des risques avant d'effectuer des « opérations critiques », qui prennent en compte les changements dans l'environnement des menaces, y compris les menaces physiques (par exemple, activité criminelle) et environnementales (inondations, incendies, etc.).
Lors de la construction de locaux physiques, les organisations doivent prendre en considération :
- Facteurs géographiques et topologiques locaux, y compris les caractéristiques du terrain, l'eau à proximité et le potentiel d'un tremblement de terre.
- Toute menace émanant de sources humaines dans les zones urbaines, telle qu'une activité terroriste ou criminelle et des violences/troubles politiques.
Une fois l’évaluation des risques terminée, les organisations doivent développer une série de contrôles visant à prévenir et à minimiser le risque qu’une menace se produise ou se reproduise.
Mention ISO Feu Vert, inondation, surtensions électriques et explosifs/armes comme étant d'une importance particulière. Si les ressources sont limitées, les organisations doivent se concentrer en priorité sur ces quatre domaines.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.8.1.5 – Travailler dans des zones sécurisées
Références ISO 27002 Contrôle 7.6
Les organisations doivent protéger les informations personnelles et les actifs liés à la confidentialité en mettant en œuvre une politique de travail sécurisée pour tout le personnel, qui prend en compte les rôles professionnels et les mesures de protection physique.
Lors de la formulation de politiques de travail dans des zones sécurisées, les organisations doivent :
- Assurez-vous que le personnel fonctionne selon le principe du « besoin de savoir ».
- Évitez de laisser le personnel sans surveillance pendant de longues périodes.
- Assurez-vous que toutes les portes concernées sont verrouillées et que les zones à faible fréquentation ou les zones définitivement vacantes sont soumises à des inspections périodiques.
- Surveillez et contrôlez l’utilisation des terminaux personnels et organisationnels, à un niveau proportionné aux données détenues.
- Affichez clairement les plans d'urgence et les procédures d'urgence, afin que le personnel comprenne comment réagir aux scénarios critiques.
ISO 27701 Clause 6.8.1.6 – Zones de livraison et de chargement
Références ISO 27002 Contrôle 7.2
Voir la clause 27701 de la norme ISO 6.8.1.2 (ci-dessus).
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.8.1.1 | Périmètre de sécurité physique |
7.1 – Périmètres de sécurité physique pour ISO 27002 |
Aucun |
| 6.8.1.2 | Contrôles d'entrée physiques |
7.2 – Entrée physique pour ISO 27002 |
Aucun |
| 6.8.1.3 | Sécuriser les bureaux, les chambres et les installations |
7.3 – Sécurisation des bureaux, des salles et des installations pour la norme ISO 27002 |
Aucun |
| 6.8.1.4 | Se protéger contre les menaces externes et environnementales |
7.5 – Protection contre les menaces physiques et environnementales pour la norme ISO 27002 |
Aucun |
| 6.8.1.5 | Travailler dans des zones sécurisées |
7.6 – Travailler dans des zones sécurisées pour ISO 27002 |
Aucun |
| 6.8.1.6 | Zones de livraison et de chargement |
7.2 – Entrée physique pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Comment aidons-nous?
Afin d'atteindre la norme ISO 27701, vous devez créer un système de gestion des informations confidentielles (PIMS). Avec notre PIMS préconfiguré, vous pouvez organiser et gérer rapidement et facilement les informations sur les clients, les fournisseurs et le personnel pour vous conformer pleinement à la norme ISO 27701.
Vous pouvez également vous adapter au nombre croissant de réglementations mondiales, régionales et sectorielles en matière de confidentialité que nous soutenons sur la plateforme ISMS.online.
Pour obtenir la certification ISO 27701, vous devez d'abord obtenir la certification ISO 27001. La bonne nouvelle est que notre plateforme peut vous aider à faire les deux.
En savoir plus par réserver une démo pratique.
