L’ISO (Organisation internationale de normalisation) a adopté une nouvelle norme, ISO 27701, “Techniques de sécurité – Extension à ISO/IEC 27001 et ISO/IEC 27002 pour la gestion des informations relatives à la vie privée – Exigences et lignes directrices”. La nouvelle norme complète la norme ISO 27001/27002 bien connue qui ISMS c’est-à-dire les systèmes de gestion de la sécurité de l’information.
En termes de contenu, la norme contient principalement des références aux normes ISO 27001 et 27002, en partie directement, en partie avec certaines dérogations. Peu de prescriptions sont nouvelles. Le ch. 6.5.3.2 en est une illustration :
6.5.3.2 Disposal of media
Le contrôle, les conseils de mise en œuvre et les autres informations mentionnés dans la norme ISO/IEC 27002:2013, 8.3.2 et les conseils supplémentaires suivants s’appliquent.
Des conseils supplémentaires pour la mise en œuvre du point 8.3.2, Disposal of media, de la norme ISO/CEI 27002:2013 sont fournis :
Lorsque des supports amovibles sur lesquels des IIP sont stockées sont éliminés, des procédures d’élimination sécurisées doivent être incluses dans les informations documentées et mises en œuvre pour garantir que les IIP précédemment stockées ne seront pas accessibles.
La norme ISO 27701 est structurée comme suit :
- Avant-propos
- Introduction
- 1 Portée
- 2 Références normatives
- 3 Termes, définitions et abréviations
- 4 Général
- 4.1 Structure du présent document
- 4.2 Application des exigences de la norme ISO/1EC 27001:2013
- 4.3 Application des lignes directrices ISO/1EC 27002:2013
- 4.4 Client
- 5 Exigences spécifiques au PIMS relatives à l’ISO/IEC 27001
- 5.1 Généralités
- 5.2 Contexte de l’organisation
- 5.3 Leadership
- 5.4 Planification
- 5.5 Support
- 5.6 Opération
- 5.7 Évaluation des performances
- 5.8 Amélioration
- 6 Guide spécifique PIMS relatif à l’ISO/IEC 27002
- 6.1 Généralités
- 6.2 Politiques de sécurité de l’information l±l 6.3 Organisation de la sécurité de l’information
- 6.4 Sécurité des ressources humaines
- 6.5 Gestion des actifs
- 6.6 Contrôle d’accès
- 6.7 Cryptographie
- 6.8 Sécurité physique et environnementale
- 6.9 Sécurité des opérations
- 6.10 Sécurité des communications
- 6.11 Acquisition, développement et maintenance de systèmes
- 6.12 Relations avec les fournisseurs
- 6.13 Gestion des incidents liés à la sécurité de l’information
- 6.14 Aspects de la sécurité de l’information de la gestion de la continuité des activités
- 6.15 Conformité
- 7 Guidance supplémentaire ISO/IEC 27002 pour les contrôleurs PII
- 7.1 Généralités
- 7.2 Conditions de collecte et de traitement
- 7.3 Obligations envers les principaux PII
- 7.4 Privacy by design et privacy by default
- 7.5 Partage, transfert et divulgation des IIP
- 8 Guidance supplémentaire ISO/IEC 27002 pour les processeurs PII
- 8.1 Généralités
- 8.2 Conditions de collecte et de traitement
- 8.3 Obligations envers les principaux PII
- 8.4 Respect de la vie privée dès la conception et respect de la vie privée par défaut
- 8.5 Partage, transfert et divulgation des IIP
- Annexe A Objectifs et contrôles de référence spécifiques à l’IPMS (contrôleurs PII)
- Annexe B Objectifs et contrôles de contrôle de référence spécifiques au PIMS (Processeurs PII)
- Annexe C Mapping to ISO/IEC 29100
- Annexe D Mapping to the General Data Protection Regulation (cartographie du règlement général sur la protection des données)
- Annexe E Mapping to ISO/IEC 27018 and ISO/IEC 29151
- Annexe F Comment appliquer la norme ISO/IEC 27701 à la norme ISO/IEC 27001 et ISO/IEC 27002
- F.1 Comment appliquer ce document
- F.2 Exemple de perfectionnement des normes de sécurité
- Bibliographie