ISO 27701 Clause 6.9.5 : Renforcement des contrôles de sécurité des logiciels
Les implémentations logicielles, les correctifs, les mises à jour et les nouvelles installations peuvent potentiellement avoir un impact sur les informations personnelles et les actifs liés à la confidentialité de multiples façons.
Les organisations doivent faire très attention lors de l’installation d’applications, de programmes utilitaires et de code exécutable sur les systèmes opérationnels.
Ce qui est couvert par la clause 27701 de la norme ISO 6.9.5
La clause 27701 de l'ISO 6.9.5 ne contient qu'un seul sous-paragraphe (ISO 27701 6.9.5.1) qui traite uniquement de l'installation de logiciels sur les systèmes opérationnels.
Il n'existe pas de points d'orientation supplémentaires liés aux PIMS ou aux PII, ni de liens vers le Royaume-Uni. GDPR articles à considérer.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.9.5.1 – Installation de logiciels sur les systèmes opérationnels
Références ISO 27002 Contrôle 8.19
Afin de protéger la disponibilité et l’intégrité des informations personnelles et d’administrer les changements, les organisations doivent :
- Assurez-vous que les mises à jour du logiciel sont effectuées par du personnel compétent (voir ISO 27002 Contrôle 8.5).
- Assurez-vous que le code a quitté la phase de développement en toute sécurité et qu'il est exempt de tout bogue.
- Testez tous les logiciels avant la mise à jour ou l'installation, pour vous assurer qu'aucun conflit ou erreur ne se produira.
- Maintenir un système de bibliothèque de logiciels à jour.
- Maintenir un « système de contrôle de configuration » pour administrer les logiciels opérationnels.
- Rédigez une « stratégie de restauration » qui restaure les systèmes à un état de fonctionnement antérieur, afin d'assurer la continuité des activités.
- Tenir un journal complet de toutes les mises à jour effectuées.
- Assurez-vous que les applications logicielles inutilisées – et tout le matériel associé – sont stockées en toute sécurité pour une utilisation et une analyse ultérieures.
- Opérer avec une politique de restriction logicielle, qui s'exécute conformément aux différents rôles et responsabilités de l'organisation.
Lors de l'utilisation de logiciels fournis par le fournisseur, les applications doivent être maintenues en bon état de fonctionnement et conformément aux directives des émetteurs.
L'ISO indique explicitement que les organisations doivent éviter d'utiliser des logiciels non pris en charge sauf si absolument nécessaire. Les organisations devraient chercher à mettre à niveau les systèmes existants, plutôt que d'utiliser des applications héritées obsolètes ou non prises en charge.
Un fournisseur peut avoir besoin d'accéder au réseau d'une organisation afin d'effectuer une installation ou une mise à jour. De telles activités doivent être autorisées et surveillées à tout moment (voir ISO 27002 Contrôle 5.22).
Conseils supplémentaires
- Les organisations doivent mettre à niveau, corriger et installer les logiciels conformément à leurs procédures publiées de gestion des modifications.
- Les correctifs qui éliminent les vulnérabilités de sécurité ou améliorent la protection de la vie privée de l'organisation doivent toujours être considérés comme un changement prioritaire.
- Les organisations doivent faire très attention lorsqu'elles utilisent des logiciels open source et doivent identifier la dernière version publiquement disponible pour garantir que les exigences de sécurité sont pleinement respectées.
Contrôles pris en charge
- ISO 27002 5.22
- ISO 27002 8.5
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.9.5.1 | Installation de logiciels sur les systèmes opérationnels | 8.19 – Installation de logiciels sur les systèmes opérationnels pour ISO 27002 | Aucun |
Comment ISMS.online vous aide
Vous devez créer un système de gestion des informations confidentielles (PIMS) pour répondre aux normes ISO 27701. Grâce à notre PIMS préconfiguré, vous pouvez organiser et gérer rapidement et facilement les informations sur les clients, les fournisseurs et les employés afin de répondre pleinement aux normes ISO 27701.
ISMS.online peut également s'adapter au nombre croissant de réglementations mondiales, régionales et sectorielles en matière de confidentialité.
Vous devez d'abord devenir certifié ISO 27001 (sécurité de l'information) pour obtenir la certification ISO 27701 (confidentialité). Heureusement, notre plateforme peut vous aider avec ces deux certifications.
