INFOSEC

Gestion de la vie privée – le cas d’une approche mondiale tirant parti de la norme ISO/CEI 27701

READ MORE

Définition de la norme ISO/CEI 27701

La certification ISO/CEI 27701 fait partie intégrante d’un système de gestion de l’information sur la confidentialité (PIMS). La norme est une extension de la norme ISO/CEI 27001 (gestion de la sécurité de l’information) et ISO/CEI 27002 (contrôles de sécurité).

En prenant en compte les deux normes, la norme ISO/CEI 27701 spécifie les exigences et les directives pour la mise en place, la mise en œuvre, la maintenance et l’amélioration continue d’un PIMS spécifique à votre organisation.

Elle décrit les exigences et directives liées au PIMS pour les contrôleurs et les transformateurs d’informations personnellement identifiables (IIP) garants et responsables du traitement des IIP. La norme ISO/CEI 27701 s’applique à toutes les organisations qui sont des contrôleurs iIP et/ou des transformateurs qui utilisent les informations pertinentes au sein d’un système de gestion de la sécurité de l’information (ISMS).

Correspondances avec d’autres normes et règlements

La norme comprend des mappages avec le Règlement général de l’UE  sur la protection des données (RGPD), ISO/IEC 29100 (protection des informations personnellement identifiables (PII) dans les systèmes de technologies de l’information et de la communication (TIC). ISO/IEC 27018 (code de pratique pour la protection des informations personnellement identifiables (PII) dans les nuages publics agissant comme processeurs PII.) et ISO/IEC 29151 (Code de bonne pratique pour la protection des données à caractère personnel (mesures de sécurité et des lignes directrices pour la mise en œuvre des mesures de sécurité, afin de satisfaire aux exigences identifiées par une appréciation du risque et de l’impact liée à la protection des données à caractère personnel.

Les principaux avantages de la norme ISO/CEI 27701

La norme peut conduire à :

  • Une plus grande confiance dans la gestion des informations personnelles
  • Plus de transparence entre les personnes clés
  • Des accords commerciaux efficaces
  • Des rôles et responsabilités définis
  • La conformité aux réglementations en matière de confidentialité
  • Une complexité réduite grâce à l’intégration à la norme ISO/CEI 27001

 

La conformité aux exigences iso/CEI 27001 est une condition préalable à la conformité à la norme ISO/CEI 27701. Ces normes sont conçues pour se compléter les unes les autres.

Le respect des exigences de la norme ISO/CEI 27701 démontrera comment une organisation traite les IIP. Cela peut être utilisé pour faciliter les accords avec les partenaires commerciaux lorsque le traitement des IIP est pertinent. Il clarifie également le traitement de l’IIP par l’organisation aux autres parties prenantes.

Domaines d’exigence clés

Portée

Vous devez comprendre les exigences de votre système de gestion et l’application prévue.

Références normatives

Vous devez vous familiariser avec ces documents, qui sont mentionnés tout au long de la norme, y compris :

  • ISO/CEI 27000 et ISO/CEI 27001 (gestion de la sécurité de l’information)
  • ISO/CEI 27002 (code de pratique pour les contrôles de sécurité de l’information)
  • ISO/CEI 29100 (cadre de confidentialité)

 

Conditions générales et définitions

Cette section fournit quelques autres définitions utilisées dans la norme qui ne sont pas incluses dans la norme ISO/CEI 27000 et ISO/CEI 29100.

Générales

Vous devez en savoir plus sur la structure du document et l’emplacement des exigences spécifiques au PIMS concernant les normes ISO/CEI 27001 et ISO/CEI 27002.

Clauses spécifiques au PIMS

Pour votre PIMS, vous devez connaître les exigences spécifiques liées à la norme ISO/CEI 27001 et les directives sur la norme ISO/CEI 27002.

Contrôleurs et processeurs PII

Il existe deux clauses avec des directives supplémentaires sur les contrôleurs et les transformateurs d’IIP.

L’intention de conception de la norme ISO/CEI 27701

Il existe un ensemble universel de contrôles d’exploitation pour saisir les réglementations en matière de confidentialité dans la pratique.

Par exemple, le RNB serait cartographié selon les normes ISO et les contrôles de conformité, conduisant à la mise en place de biens et services et/ou au développement de produits et à la gestion des fournisseurs. Un audit tiers des contrôles de conformité conduirait à une certification pour une démonstration suffisante de conformité.

Pourquoi une cartographie réglementaire open-source ?

Les cartographies doivent être :

  • Complètes
  • Réactives aux changements
  • De haute qualité
  • Une réalité partagée

 

La solution naturelle est :

  • L’Open source (GitHub) avec contrôle qualité

 

Cela vous aidera ensuite concernant :

  • Les outils de conformité interne
  • Les outils commerciaux
Le processus de certification

La norme ISO/CEI 27701 dispose d’un processus de certification clairement établi.

Demande et devis

Obtenez un devis pour votre projet de certification.

Compétence

Identifiez les lacunes en compétences et certifications que votre personnel peut avoir.

Évaluation des écarts

Identification de tout point faible.

Étape 1

Confirmation que la mise en œuvre du système de gestion est sur la bonne voie.

Étape 2

Confirmation que le système de gestion est entièrement mis en œuvre.

Certification

Partagez votre succès avec le monde entier.

Amélioration continue

Des visites régulières de surveillance assurent votre gestion.

Vos prochaines étapes

Armé de ce qui précède, vous devez revoir la norme ISO/CEI 27001 (à nouveau), ainsi que le contenu de la norme ISO/CEI 27701. Vous pouvez également essayer l’outil de cartographie réglementaire à https://www.dpmap.org.

Comment pouvons-nous vous aider ?

Grâce à notre expertise dans toutes les principales industries, nous comprenons les préoccupations de chaque secteur et avons les compétences techniques et les capacités logistiques nécessaires pour garantir des résultats réalistes.

Un audit iso/CEI 27701 de notre part aidera votre entreprise à se démarquer de la concurrence en vous soutenant pour développer et améliorer les processus et augmenter les talents habiles et les relations durables avec les clients.

En outre, nous proposons une gamme de services complémentaires à travers :

  • La sécurité de l’information
  • Le Cloud
  • La confidentialité des données
  • La disponibilité

 

SGS Academy vient également de lancer ces formations :

  • Exigences ISO/IEC 27701
  • Mise en œuvre de l’ISO/IEC 27701
  • ISO/IEC 27701 Lead Implementer

 

Grâce à notre présence mondiale, nous avons une expérience réussie en exécution de projets internationaux complexes à grande échelle. Nous parlons la langue, comprenons les marchés locaux et opérons constamment, de manière fiable et efficace à l’échelle mondiale.

Gérez votre vie privée, protégez votre entreprise et vos clients. Pour en savoir plus Ici.

POUR PLUS D’INFORMATIONS, VEUILLEZ NOUS CONTACTER.

Video
Share

Your name

Your e-mail

Name receiver

E-mail address receiver

Your message

Send

Contact

Privacy Policy

Send

Sign up