La série ISO 27000 est l'un des ensembles de normes de sécurité les plus connus et les plus respectés. Mais elle est également très complète, avec 46 normes individuelles dans la famille ISO 27000. Dans cet article, nous allons présenter l'une des certifications les plus populaires, ISO 27001, ainsi que sa norme complémentaire ISO 27701. Vous apprendrez :

• Les bases de l'ISO 27001 et de l'ISO 27701
• Les principales similitudes et différences entre les deux normes
• Comment l'ISO 27701 se rapporte aux lois sur la confidentialité des données telles que le RGPD

Qu'est-ce que l'ISO/IEC 27001 ?

La norme de sécurité ISO 27001, créée par l'Organisation Internationale de Normalisation, fournit des conseils sur la création, le maintien et l'amélioration continue d'un Système de Management de la Sécurité de l'Information (SMSI).

Un SMSI aide les entreprises à donner la priorité à la sécurité de l'information dans toute l'organisation. Et parce que l'ISO 27001 met fortement l'accent sur l'amélioration continue, la norme garantit que les parties prenantes de l'entreprise consacrent des ressources à la maintenance et à l'amélioration du SMSI au fil du temps. Des normes de soutien comme l'ISO/IEC 27002 fournissent des conseils spécifiques sur les contrôles et les objectifs de contrôle.

La certification ISO 27001 peut offrir aux clients, aux prospects et aux partenaires une assurance absolue que votre organisation dispose de mesures de cybersécurité efficaces pour protéger les données sensibles.

Exigences de l'ISO 27001 : Clauses 4-10

L'ISO 27001 comprend six clauses qui détaillent les exigences pour établir et maintenir un SMSI efficace.

Clause 4 : Contexte de l'organisation

Cette clause expose le contexte du SMSI, y compris les actifs d'information qui doivent être protégés et les objectifs du SMSI.

Clause 5 : Leadership

La direction doit s'engager à la réussite du SMSI pour qu'il soit efficace. Des processus doivent être en place pour surveiller, tester et améliorer les processus de sécurité au fil du temps et pour s'assurer que des ressources adéquates sont consacrées à la maintenance du SMSI.

Clause 6 : Planification

Cette clause traite de la façon dont les organisations abordent à la fois les risques et les opportunités. Une documentation doit être établie qui décrit comment l'organisation identifie et traite les risques relatifs à la sécurité de l'information, ainsi que les objectifs définis pour le SMSI.

Clause 7 : Support

Cette clause garantit que des ressources adéquates seront toujours disponibles pour soutenir le SMSI. En particulier, des experts en la matière qui comprennent comment l'organisation gère les données des clients et comment fonctionne le SMSI.

Clause 8 : Opérations

Une stratégie de gestion des risques doit être définie et documentée, y compris la façon dont les évaluations des risques doivent être effectuées.

Clauses 9-10 : Évaluations des performances et amélioration continue

Ces deux clauses travaillent ensemble pour documenter un plan de surveillance et d'amélioration des performances du SMSI au fil du temps. Les tests de pénétration périodiques et les audits internes sont inclus ici, ainsi que les plans pour traiter toute non-conformité découverte.

Qu'est-ce que l'ISO/IEC 27701 ?

Conçue pour les contrôleurs de données et les sous-traitants de données, ISO 27701 est une extension de la certification ISO 27001 qui aide les prestataires de services à construire un système de gestion des informations de confidentialité (PIMS) pour protéger les données personnelles et se conformer aux cadres mondiaux de protection de la vie privée. ISO 27701 répond aux exigences du Règlement général sur la protection des données (RGPD) de l'UE tout en permettant aux organisations d'incorporer et de satisfaire d'autres lois et exigences réglementaires en matière de confidentialité des données.

ISO 27701 offre des conseils aux organisations pour la construction de programmes de conformité alignés sur une gamme de législations sur la confidentialité des données, y compris le RGPD, la CCPA et le HIPAA. Des normes de support comme ISO 27018 et ISO 29151 aident les organisations à protéger les informations personnellement identifiables (PII), en fournissant des conseils spécifiques sur les contrôles de sécurité et les objectifs de contrôle.

Exigences de l'ISO 27701 : Clauses 5-8

ISO 27701 comprend quatre clauses qui détaillent les exigences pour établir un PIMS efficace.

Clause 5 : Protection des données

Cette clause passe en revue les Clauses 4-10 de l'ISO 27001 et définit où des contrôles supplémentaires de confidentialité peuvent être nécessaires. Par exemple, le contexte de l'organisation devrait inclure la protection des données. De plus, l'évaluation des risques doit tenir compte du rôle de l'organisation en ce qui concerne les PII. Plus précisément, si l'organisation est un contrôleur de données et/ou un sous-traitant de données et comment cela pourrait affecter les risques liés à la confidentialité posés aux PII.

Clause 6 : Orientation PIMS

Cette clause développe les lignes directrices de contrôle de l'ISO 27002 pour s'assurer que toutes les mesures de sécurité de l'information incluent également la confidentialité des données.

Clause 7 : Orientation du contrôleur de PII

Cette clause est une extension des contrôles de l'annexe A d'ISO 27001 spécifiques aux contrôleurs de PII. Ces contrôles sont conçus pour combler les lacunes en matière de confidentialité des données non couvertes par ISO 27001.

Clause 8 : Orientation du sous-traitant de PII

Les contrôles de l'Annexe B sont spécifiques aux contrôleurs de PII et traitent des mesures de confidentialité des données non couvertes par ISO 27001.

Les principales différences entre ISO 27001 et ISO 27701

Les normes ISO 27001 et ISO 27701 sont toutes deux des normes ISO certifiables, et les deux apporteront à votre organisation une crédibilité précieuse auprès des clients, des prospects et des partenaires.

La principale différence entre ISO/IEC 27001:2013 et ISO/IEC 27701 est l'accent mis sur la confidentialité. Alors qu'ISO 27001 concerne la construction d'un système de gestion de la sécurité de l'information (SGSI) pour protéger les données sensibles, la norme ISO 27701 est axée sur le développement et la gestion d'un système de gestion des informations de confidentialité (PIMS).

Une autre différence clé est que l'ISO 27701 n'est pas une certification autonome. Vous pouvez considérer l'ISO 27701 comme un complément de confidentialité pour l'ISO 27001. Tandis que l'ISO 27001 aborde la confidentialité des données, des législations telles que le RGPD et le CCPA obligent les organisations à protéger les droits des sujets des données. Ces droits ne sont pas garantis par les mesures de sécurité de l'information décrites dans la norme ISO 27001. L'ISO 27701 prend les mesures de sécurité de l'information de base établies dans le SMSSI ISO 27001 et ajoute un ensemble plus détaillé d'exigences sur la confidentialité et le traitement des données.

Comme pour l'ISO 27001, le processus de certification ISO 27701 nécessite un audit externe par un tiers accrédité. Les organisations intéressées par la certification ISO 27701 peuvent soit ajouter l'ISO 27701 à une certification ISO 27001 existante, soit réaliser les deux audits en même temps. Si vous avez déjà la certification ISO 27001, vous pouvez incorporer l'ISO 27701 dans votre calendrier d'audit ISO 27001 existant.

La conformité ISO 27701 satisfait-elle aux exigences du RGPD ?

La plupart des organisations veulent connaître la réponse à une question importante : la conformité à l'ISO 27701 répond-elle aux exigences définies dans le RGPD, le CCPA et d'autres législations sur la confidentialité des données ?

À strictement parler, la certification ISO 27701 ne satisfait pas aux exigences du RGPD. Bien que la conformité à l'ISO 27701 vous aide à démontrer la conformité au RGPD, les deux ne sont pas interchangeables. L'ISO 27701 est une norme de sécurité ; le RGPD est un cadre juridique — et il est important de noter que l'ISO 27701 ne couvre pas tous les aspects du RGPD.

Cependant, la conformité à l'ISO 27001 et à l'ISO 27701 offre aux organisations une base solide pour répondre aux exigences du RGPD. En combinant les deux normes, les organisations peuvent instaurer la confiance, démontrer leurs efforts pour se conformer à la législation actuelle sur la confidentialité des données et mieux se préparer aux futures réglementations sur la confidentialité.

Construisez un programme de sécurité et de confidentialité de classe mondiale avec Secureframe

Atteindre et maintenir la conformité avec des normes rigoureuses comme l'ISO 27001 et l'ISO 27701 peut être stressant et chronophage, surtout si vous naviguez seul dans la conformité. La plateforme d'automatisation de conformité en matière de sécurité et de confidentialité tout-en-un de Secureframe simplifie et rationalise la préparation à l'audit.

Avec la collecte automatisée de preuves, des formations intégrées sur la sensibilisation à la sécurité et la confidentialité des données, et une surveillance continue, vous pouvez être prêt pour l'audit en quelques semaines — et non en quelques mois. Notre équipe d'experts en conformité est toujours disponible pour répondre aux questions, vous aider à comprendre les exigences de contrôle et les demandes des auditeurs, et vous tenir informé de toute mise à jour des législations ou des exigences des normes.

En savoir plus sur Secureframe en programmant une démonstration personnalisée aujourd'hui.