Comprendre la clause 6.9 : Sécurité des opérations dans la norme ISO 27701
La gestion quotidienne d'un réseau TIC comporte de nombreux pièges susceptibles d'avoir un impact sur la capacité d'une organisation à respecter ses obligations législatives, réglementaires et contractuelles.
La sécurité des opérations est un vaste sujet qui traite de diverses questions liées à la disponibilité et à l'intégrité des informations personnelles et des informations liées à la confidentialité, dans l'ensemble des opérations d'une organisation.
Ce qui est couvert par la clause 27701 de la norme ISO 6.9
La clause 27701 de l'ISO 6.9 contient 4 sous-clauses, dont chacune correspond à un sous-paragraphe attenant dans ISO 27002:
- ISO 27701 6.9.1.1 – Documentation des procédures opérationnelles (ISO 27002 Contrôle 5.37)
- ISO 27701 6.9.1.2 – Gestion du changement (ISO 27002 Contrôle 8.32)
- ISO 27701 6.9.1.3 – Gestion des capacités (ISO 27002 Contrôle 8.6)
- ISO 27701 6.9.1.4 – Séparation des environnements de développement, de test et opérationnel (ISO 27002 Contrôle 8.31)
L'ISO ne fournit aucune directive supplémentaire pour les activités liées aux PIMS ou aux PII, et il n'existe pas non plus de lignes directrices au Royaume-Uni. GDPR considérations à prendre en compte.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.9.1.1 – Documentation des procédures opérationnelles
Références ISO 27002 Contrôle 5.37
Les organisations doivent documenter minutieusement les procédures associées à la protection de la vie privée, notamment :
- Activités qui doivent être effectuées plusieurs fois par le même personnel.
- Activités qui ne sont généralement pas effectuées et quand la prochaine instance se produira probablement.
- Nouvelles activités.
- Transférer la responsabilité à d'autres membres du personnel.
Les processus et procédures doivent clairement préciser :
- Personnes responsables de la réalisation de l'activité.
- Comment les systèmes doivent être mis en œuvre.
- Comment les informations personnelles et les informations associées doivent être stockées et traitées.
- Plans de sauvegarde et résilience de l'entreprise (voir ISO 27002 Contrôle 8.13).
- Toutes les exigences de planification.
- Des instructions claires décrivant comment le personnel doit gérer les conditions particulières qui surviennent au cours du processus de protection des informations personnelles et des actifs liés à la confidentialité, y compris les programmes utilitaires (voir ISO 27002 Contrôle 8.18).
- Comment mettre en œuvre et administrer les supports de stockage (voir ISO 27002 Contrôles 7.10 et 7.14).
- Procédures de récupération du système.
- Comment le personnel doit gérer les pistes d'audit, les journaux du système et des événements, ainsi que les autres systèmes de surveillance associés (voir ISO 27002 Contrôles 8.15, 8.17 et 7.4).
- Surveillance de la capacité, des performances et de la sécurité (voir ISO 27002 Contrôles 8.6 et 8.16).
Les organisations doivent veiller à ce que les politiques et procédures soient révisées à intervalles appropriés et mises à jour lorsque les besoins opérationnels changent.
Dans la mesure du possible, l'ISO recommande que les systèmes soient maintenus en utilisant le même ensemble de contrôles et d'applications administratifs.
Contrôles ISO 27002 pertinents
- ISO 27002 7.4
- ISO 27002 7.10
- ISO 27002 7.14
- ISO 27002 8.6
- ISO 27002 8.13
- ISO 27002 8.15
- ISO 27002 8.16
- ISO 27002 8.17
- ISO 27002 8.18
ISO 27701 Clause 6.9.1.2 – Gestion du changement
Références ISO 27002 Contrôle 8.32
Chaque fois qu'un nouveau système est introduit ou que des changements majeurs sont prévus dans les systèmes existants, les organisations doivent adhérer à un système structuré qui couvre :
- Documentation.
- La spécification.
- Essai.
- Contrôle de qualité.
- Mise en œuvre maîtrisée.
Les procédures de changement doivent inclure :
- Une analyse de l’impact de tout changement proposé.
- Procédures d'autorisation.
- Diffusion des modifications à toutes les parties intéressées.
- Tests – y compris des critères d’acceptation rigides.
- Comment les changements sont apportés pendant les phases de mise en œuvre.
- Plans d'urgence qui couvrent tout incident lié au changement pendant la mise en œuvre.
- Comment conserver des enregistrements adéquats de toutes les activités liées au changement.
- Mettre à jour tous les documents d'exploitation et instructions d'utilisation pertinents (voir ISO 27002 Contrôle 5.37).
L'ISO préconise les tests et toute activité liée au changement dans un environnement qui est logiquement (et potentiellement physiquement) séparé de l'environnement opérationnel sur lequel les changements sont censés avoir un impact) (voir ISO 27002 Contrôle 8.31).
Contrôles ISO 27002 pertinents
- ISO 27002 5.37
- ISO 27002 8.31
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.9.1.3 – Gestion des capacités
Références ISO 27002 Contrôle 8.6
Les organisations doivent s'assurer qu'elles disposent d'une capacité opérationnelle suffisante pour mener à bien leurs fonctions commerciales quotidiennes, afin que les informations personnelles ou les éléments liés à la confidentialité ne soient pas compromis.
Les organisations devraient :
- Considérez la continuité des activités et la protection de la vie privée comme une priorité absolue lors de la mise en œuvre de contrôles de gestion des capacités, y compris des contrôles de détection qui mettent en évidence les problèmes potentiels avant qu'ils ne surviennent.
- Basez leur opération de gestion de capacité sur les fonctions proactives de réglage et de surveillance.
- Effectuez régulièrement des tests de résistance qui interrogent la capacité d'un système à répondre aux besoins globaux de l'entreprise et aux réglementations, lois et directives en matière de protection de la vie privée.
- Incluez des plans d’expansion commerciale et technique (à la fois d’un point de vue physique et numérique) de l’opération.
- Envisagez de varier les délais et les coûts, en fonction du système ou de la fonction commerciale en question. Les ressources liées à la confidentialité devraient faire l’objet d’une plus grande attention, compte tenu de leur profil de risque élevé.
- Documentez et observez les points de défaillance uniques liés à une dépendance à l'égard du personnel clé, des ressources individuelles et des informations personnelles.
- Rédiger et mettre en œuvre un plan de gestion des capacités qui traite spécifiquement de la protection de la vie privée.
L'ISO préconise une approche à double front de la gestion des capacités qui soit augmente la capacité, soit réduit la demande sur une ressource ou un ensemble de ressources.
Lorsqu’elles tentent d’augmenter leur capacité, les organisations doivent :
- Envisagez d'embaucher de nouveaux employés pour répondre aux besoins croissants de l'entreprise.
- Développez-vous dans de nouveaux emplacements physiques, y compris des installations de traitement et de stockage de données.
- Envisagez d'utiliser des ressources cloud qui s'étendent automatiquement pour répondre aux besoins croissants de l'organisation.
Lorsqu’elles tentent de réduire la demande, les organisations doivent :
- Supprimez les données obsolètes ou inutilisées.
- Éliminez toutes les copies papier des informations dont l’organisation n’a plus besoin et n’est pas légalement tenue de conserver.
- Mettez hors service toutes les ressources TIC qui ne sont plus nécessaires.
- Mettez en œuvre des tâches TIC planifiées qui optimisent les ressources de mémoire et minimisent l’espace de stockage.
- Assurez-vous que tous les morceaux de code exécutable ou les requêtes de base de données sont optimisés pour réduire la demande en ressources de calcul et de stockage.
- Restreindre l’accès à Internet et interdire le streaming vidéo/audio depuis les appareils professionnels.
ISO 27701 Clause 6.9.1.4 – Séparation des environnements de développement, de test et opérationnel
Références ISO 27002 Contrôle 8.31
L'ISO identifie trois environnements de test distincts qui doivent être séparés les uns des autres :
- Développement
- Tests
- Production
Pour garantir que les informations personnelles sont protégées dans les trois environnements (en particulier dans l'environnement de production), les organisations doivent :
- Exploiter des systèmes de production et de développement dans des domaines distinctement différents (physiques et virtuels).
- Définir de manière rigide la manière dont les logiciels sont implémentés depuis la phase de développement jusqu'à la phase de production.
- Testez minutieusement toutes les modifications apportées aux systèmes de production dans un environnement de test, avant de les appliquer dans un environnement réel (voir ISO 27002 Contrôle 8.29).
- Interdire les tests dans les environnements de production live, sauf cas particuliers ayant fait l’objet d’une autorisation préalable.
- Assurez-vous que les outils de développement ne sont pas accessibles à partir des environnements de production en direct, sauf si cela est explicitement requis.
- Étiquetez les systèmes et les actifs pour indiquer clairement à quel environnement ils appartiennent.
- Empêcher la copie d'informations liées à la confidentialité de l'environnement de production vers tout autre environnement, à moins que ces données ne soient soumises au même ensemble de contrôles de sécurité quel que soit l'endroit où elles sont copiées.
Les environnements de développement et de test doivent être protégés par :
- Mettre à jour et corriger TOUS les outils de développement.
- Configurations basées sur les meilleures pratiques.
- Auditer et surveiller tout changement dans l’environnement.
- Plans BUDR robustes.
L'ISO indique clairement que le personnel de développement et de test présente un risque disproportionné pour les informations personnelles – soit directement en raison d'actions malveillantes, soit par inadvertance en raison d'erreurs dans le processus de développement.
Il est d'une importance vitale qu'aucun employé n'ait la capacité d'apporter des modifications aux et au sein des environnements de développement et de production sans autorisation appropriée, y compris un examen des modifications requises et une approbation en plusieurs étapes (voir ISO 27002 Contrôle 8.33).
Les organisations doivent veiller particulièrement à garantir l'intégrité et la disponibilité des informations personnelles tout au long du processus de développement et de test, y compris dans plusieurs environnements de production en direct, dans les environnements de formation et dans la séparation des tâches.
Contrôles ISO 27002 pertinents
- ISO 27002 8.29
- ISO 27002 8.33
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.9.1.1 | Documenter les procédures opérationnelles |
5.37 – Procédures opérationnelles documentées pour ISO 27002 |
Aucun |
| 6.9.1.2 | La Gestion du changement |
8.32 – Gestion du changement pour ISO 27002 |
Aucun |
| 6.9.1.3 | Gestion de la capacité |
8.6 – Gestion des capacités pour ISO 27002 |
Aucun |
| 6.9.1.4 | Séparation des environnements de développement, de test et opérationnel |
8.31 – Séparation des environnements de développement, de test et de production pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Pour vous conformer à la norme ISO 27701, vous devez créer un système de gestion des informations confidentielles (PIMS). Avec notre PIMS prédéfini, vous pouvez gérer et organiser rapidement et simplement les données des clients, des fournisseurs et des employés pour satisfaire pleinement à la norme.
De plus, ISMS.online peut s'adapter au nombre croissant de réglementations mondiales, régionales et sectorielles en matière de confidentialité.
Avant de devenir certifié ISO 27701 (confidentialité), vous devez d'abord devenir certifié ISO 27001 (sécurité de l'information). Heureusement, notre plateforme peut vous aider à accomplir les deux.
En savoir plus par réserver une démo.
