ISO 27701 Clause 6.9.2 : Renforcement des stratégies de défense contre les logiciels malveillants
Même au sein des réseaux les plus robustes et les plus étanches, des pannes et des intrusions peuvent se produire et se produisent effectivement.
Les organisations doivent partir du principe que des scénarios critiques se produiront à tout moment et protéger les informations personnelles contre les intrusions tout en garantissant la continuité des activités grâce à des procédures BUDR polyvalentes et clairement comprises.
Ce qui est couvert par la clause 27701 de la norme ISO 6.9.2
La clause 27701 de la norme ISO 6.9.2 contient deux sous-clauses qui fournissent des conseils sur les techniques anti-programme malveillant et les fonctions BUDR.
Les deux clauses sont liées à informations contenues dans la norme ISO 27002, avec des conseils proposés dans le cadre des informations personnelles et de la protection de la vie privée :
- ISO 27701 6.9.2.1 Contrôles contre les logiciels malveillants (Références ISO 27002 contrôle 8.7)
- ISO 27701 6.9.3.1 Sauvegarde des informations (Références ISO 27002 contrôle 8.13)
La norme ISO 27701 6.9.3.1 présente des points d'orientation pertinents pour plusieurs articles contenus dans la législation britannique RGPD (avec un résumé fourni pour votre commodité) et des conseils supplémentaires détaillés sur la manière dont les organisations doivent aborder la sauvegarde et la restauration des informations personnelles.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.9.2.1 – Contrôles contre les logiciels malveillants
Références ISO 27002 Contrôle 8.7
Pour protéger les informations personnelles et les actifs liés à la confidentialité, les organisations doivent déployer une gamme de techniques et de plates-formes anti-programmes malveillants, notamment :
- Tenir à jour une liste de logiciels et d'applications restreints/interdits (voir ISO 27002 contrôles 8.19 et 8.32).
- Utiliser le filtrage de contenu pour bloquer l’accès aux sites Web suspects.
- Déployer des mesures de « gestion des vulnérabilités techniques » (voir ISO 27002 contrôles 8.8 et 8.19).
- Auditer régulièrement l'utilisation des logiciels et des données, afin de détecter toute application et système non autorisés ou suspects.
- Protection contre les risques liés à l'obtention de données et/ou d'applications provenant de sources externes et tierces.
- Effectuer régulièrement des analyses antimalware couvrant l’ensemble du réseau, y compris la messagerie électronique, les sites Web et les supports amovibles.
- Prendre en compte l'endroit où les outils antimalware sur le réseau doivent être déployés (par exemple, la sécurité des passerelles et la promotion de la « défense en profondeur »).
- Surveillance des incidents et des interventions critiques, pour garantir que des logiciels malveillants ne soient pas introduits accidentellement sur le réseau lorsque les règles TIC standard sont contournées.
- Opérer avec des processus qui permettent une intervention critique contre les intrusions suspectées, comme la désactivation temporaire des processus système critiques, y compris une procédure approfondie de justification et d'examen.
- Des plans BUDR et de continuité d'activité robustes, qui incluent la désactivation et/ou l'isolation des environnements opérationnels (voir ISO 27002 contrôle 8.13).
- Formation de sensibilisation pour tous les utilisateurs (voir ISO 27002 contrôle 6.3).
- Maintenir une présence active dans la communauté antimalware et se tenir au courant des dernières tendances en matière de cybersécurité, y compris les définitions de virus, les vecteurs d'attaque et les actions correctives.
- Garantir que toutes les communications exploitables concernant les logiciels malveillants provenant de sources externes sont vérifiées de manière indépendante et émanent d’une source fiable.
Contrôles ISO 27002 pertinents
- ISO 27002 6.3
- ISO 27002 8.8
- ISO 27002 8.13
- ISO 27002 8.19
- ISO 27002 8.32
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.9.3.1 – Sauvegarde des informations
Références ISO 27002 Contrôle 8.13
Les organisations doivent rédiger des politiques spécifiques à un sujet qui traitent directement de la manière dont l'organisation sauvegarde les zones pertinentes de son réseau afin de protéger les informations personnelles et d'améliorer la résilience contre les incidents liés à la confidentialité.
Les procédures BUDR devraient être rédigées pour atteindre l’objectif principal de garantir que tous les données, logiciels et systèmes critiques pour l'entreprise peuvent être récupérés après La perte de données, intrusion, interruption de travail et échecs critiques.
En priorité, les plans BUDR devraient :
- Décrivez les procédures de restauration qui couvrent tous les systèmes et services critiques.
- Être capable de produire des copies exploitables de tous les systèmes, données ou applications faisant partie d'un travail de sauvegarde.
- Répondre aux besoins commerciaux et opérationnels de l'organisation (voir ISO 27002 contrôle 5.30).
- Stockez les sauvegardes dans un emplacement protégé, physiquement séparé des données sources (voir ISO 27002 contrôle 8.1).
- Testez et évaluez régulièrement les tâches de sauvegarde par rapport aux temps de récupération imposés par l'organisation, afin de garantir la disponibilité des données.
- Chiffrez toutes les données de sauvegarde liées aux PII.
- Vérifiez à nouveau toute perte de données avant d’exécuter une tâche de sauvegarde.
- Adhérez à un système de reporting qui alerte le personnel de l’état des tâches de sauvegarde.
- Cherchez à incorporer des données provenant de plates-formes basées sur le cloud qui ne sont pas directement gérées par l'organisation, dans les tâches de sauvegarde internes.
- Stockez les sauvegardes conformément à une politique de conservation des informations personnelles appropriée (voir ISO 27002 contrôle 8.10).
Conseils supplémentaires spécifiques aux informations personnelles
Les organisations doivent développer des procédures distinctes qui traitent uniquement des informations personnelles (bien que contenues dans leur plan BUDR principal).
Les variations régionales des normes PII BUDR (contractuelles, légales et réglementaires) doivent être prises en compte chaque fois qu'un nouvel emploi est créé, que des emplois sont modifiés ou que de nouvelles données PII sont ajoutées à la routine BUDR.
Chaque fois qu'il est nécessaire de restaurer des informations personnelles à la suite d'un incident BUDR, les organisations doivent prendre grand soin de remettre les informations personnelles à leur état d'origine et revoir les activités de restauration pour résoudre tout problème avec les nouvelles données.
Les organisations doivent conserver un journal des activités de restauration, incluant tout le personnel impliqué dans la restauration, ainsi qu'une description des informations personnelles restaurées.
Les organisations doivent vérifier auprès de toutes les agences législatives ou réglementaires et s'assurer que leurs procédures de restauration de PII sont conformes à ce que l'on attend d'elles en tant que processeur et contrôleur de PII.
Contrôles ISO 27002 pertinents
- ISO 27002 5.30
- ISO 27002 8.1
- ISO 27002 8.10
Articles applicables du RGPD
- Article 5 – (1)(f)
- Article 32 – (1)(c)
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.9.2.1 | Contrôles contre les logiciels malveillants |
8.7 – Protection contre les logiciels malveillants pour ISO 27002 |
Aucun |
| 6.9.3.1 | Sauvegarde des informations |
8.13 – Sauvegarde des informations pour ISO 27002 |
Les articles , |
Comment ISMS.online vous aide
Afin d'atteindre la norme ISO 27701, vous devez créer un système de gestion des informations confidentielles. Avec notre PIMS préconfiguré, vous pouvez organiser et gérer rapidement et facilement les informations sur les clients, les fournisseurs et le personnel pour vous conformer pleinement à la norme ISO 27701.
Vous pouvez également vous adapter au nombre croissant de réglementations mondiales, régionales et sectorielles en matière de confidentialité que nous soutenons sur la plateforme ISMS.online.
Pour obtenir la certification ISO 27701 (confidentialité), vous devez d'abord obtenir la certification ISO 27001 (sécurité de l'information). La bonne nouvelle est que notre plateforme peut vous aider à faire les deux sans effort !
En savoir plus par réserver une démo.
