ISO 27701 Clause 6.9.7 : Renforcement des audits des systèmes d'information
L'audit implique généralement la collecte de grandes quantités d'informations sur un système donné, notamment les actions des utilisateurs, les données des clients et les événements critiques.
Le processus d'audit lui-même peut représenter un risque pour les informations personnelles et la protection de la vie privée, étant donné que de telles activités peuvent potentiellement avoir un impact sur la disponibilité des données et nécessitent parfois des méthodes spécialisées pour interroger des ensembles de données sensibles.
Ce qui est couvert par la clause 27701 de la norme ISO 6.9.7
La norme ISO 27701 6.9.7 contient un sous-paragraphe relatif à l'audit des TIC et aux risques associés en matière de confidentialité – ISO 6.9.7.1 – qui comprend des lignes directrices de ISO 27002 Contrôle 8.34.
L'ISO ne fournit aucun point d'orientation supplémentaire lié aux PIMS ou aux PII, et il n'existe pas non plus de points d'orientation au Royaume-Uni. GDPR considérations à garder à l’esprit.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.9.7.1 – Contrôles d'audit des systèmes d'information
Références ISO 27002 Contrôle 8.34
Lors de la réalisation d'audits périodiques (et d'autres activités d'assurance du réseau), des plans doivent être élaborés pour garantir que l'intégrité et la disponibilité des informations personnelles et des actifs liés à la confidentialité sont protégées à tout moment.
Pour y parvenir, les organisations doivent :
- Veiller à ce que l'accès aux systèmes soit géré de manière appropriée, à des fins d'audit.
- Décrivez clairement la portée des activités d’audit avant leur mise en œuvre.
- Dans la mesure du possible, limitez l’accès aux données sensibles aux privilèges de lecture seule. Si des autorisations élevées sont requises, les organisations doivent envisager de déléguer les tâches d'audit à un « administrateur expérimenté ».
- Examinez la configuration de sécurité des appareils utilisés pour effectuer l’audit.
- Opérer selon une procédure convenue pour demander des outils d’audit spécialisés.
- Dans la mesure du possible, exécutez toutes les activités d'audit en dehors des heures de bureau, lorsque ces activités sont susceptibles d'avoir un impact sur la disponibilité du système.
- Tenir un journal détaillé de toutes les activités d’audit (y compris les demandes), à des fins de conformité.
- Tenez compte des implications en matière de confidentialité de l’audit des installations et des environnements de test et de développement.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.9.7.1 | Contrôles d'audit des systèmes d'information | 8.34 – Protection des systèmes d'information lors des tests d'audit pour la norme ISO 27002 | Aucun |
Comment ISMS.online vous aide
Notre PIMS est conforme à la norme internationale ISO 27001, mais il peut également s'adapter à un nombre croissant de normes, de cadres et de réglementations en matière de confidentialité au niveau national, régional et sectoriel.
- GDPR
- POPIE
- BS 10012
- Principes de confidentialité australiens
- Cadre de confidentialité du NIST
- Lignes directrices de l'OCDE sur la protection de la vie privée
- Cadre de confidentialité de l'APEC
- Et plus encore
Grâce à notre plateforme intuitive, vous pouvez cartographier votre travail sur plusieurs cadres, éliminant ainsi la duplication et la répétition.
En savoir plus par réserver une démo.
