Comment la norme ISO 27001 peut vous aider à protéger vos informations

La norme ISO/IEC 27001 vous fournit un très bon point de départ afin d’obtenir les exigences techniques et opérationnelles nécessaires à la prévention d’une violation de données selon le Règlement Général Européen sur la Protection des Données (RGPD).

Une entreprise ayant mis en place la norme ISO 27001 a déjà réalisé la moitié du travail de mise en conformité avec le RGPD en minimisant les risques de violations de donnée.

Le RGPD indique que les organisations doivent adopter les politiques, procédures et processus appropriés afin de protéger les données personnelles qu’elles détiennent.

Comment mettre en œuvre la norme ISO 27001:2013

Le manuel « Neuf étapes vers le succès : Un aperçu de la mise en œuvre de la norme ISO 27001:2013 » est le guide idéal pour toute personne confrontée à la norme ISO 27001 pour la première fois.

Acheter le guide


Le RGPD donne-t-il des indications afin d'éviter toute violation de données.

L’Article 32 du RGPD exige de la part des organisations qu’elles :
  • Prennent les mesures nécessaires pour pseudonymiser et chiffrer les données personnelles ;
  • Garantissent la confidentialité, l’intégrité, la disponibilité et la résilience continue des systèmes et des services de traitement ;
  • Rétablissent la disponibilité et l’accès aux données personnelles dans un délai convenable en cas d’incident physique ou technique ; et/ou
  • Mettent en place un process de test, d’analyse et d’évaluation de l’efficacité des mesures techniques et organisationnelles réguliers afin d’assurer la sécurité du traitement.

L’Article 32 requière également l’identification et la limitation des risques liés à « la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises ».

Un système de gestion de la sécurité de l’information (ISMS) efficace et conforme à la norme ISO 27001 répond aux exigences ci-dessus.

L’Article 32 du RGPD est la première disposition demandant la mise en place de mesures techniques afin de protéger les données. Bien qu’il donne des exemples de mesures de sécurité et de contrôles, cet article ne fournit pas de conseils précis concernant ce que vous devriez accomplir.

Le RGPD contraint les entreprises à se renseigner sur les bonnes pratiques existantes et recommandations, telles que la norme ISO 27001.

Bien que de nombreuses entreprises comprennent l’importance de la mise en place de procédures afin de détecter, signaler et enquêter sur les violations de données, peu d’entre elles savent comment s’y prendre.


 

  Sept étapes à suivre pouvant vous aider à empêcher une violation de données :

  1. Savoir où vos données personnelles sont sauvegardées.
  2. Identifier les risques liés à une violation de données personnelles.
  3. Mettre en place les mesures (contrôles) les plus appropriées afin de limiter ces risques.
  4. Mettre en place les politiques et procédures nécessaires afin de supporter les contrôles.
  5. Mener des tests réguliers et audits afin de vous assurer que les contrôles fonctionnent correctement.
  6. Réviser, créer des comptes rendus et mettre à jours vos plans régulièrement.
  7. Mettre en place un ISMS complet et solide.

  La norme ISO 27001 sur la sécurité de l'information, peut vous aider à répondre aux exigences ci-dessus et à protéger toutes les autres données confidentielles de votre entreprise.


Comment la norme ISO 27001 peut-elle vous aider à vous conformer avec le RGPD

  • La norme ISO 27001 est une norme de gestion internationale fournissant un cadre éprouvé de gestion de la sécurité de l’information, en utilisant un ensemble intégré de politiques, procédures, documents et technologies recommandés sous la forme d’un ISMS (Système de Gestion de la Sécurité de l’Information).
  • Un ISMS est un système ayant pour but de vous aider à gérer, contrôler, auditer et améliorer les pratiques de sécurité de l’information de votre entreprise en un lieu unique et de manière efficace et économique.
  • Via son approche globale, un ISMS conforme à la norme ISO 27001 peut aider les entreprises à protéger toutes leurs informations et leur propriété intellectuelle, et non pas seulement les données personnelles qu’elles détiennent.
  • La conformité avec la norme ISO 27001 signifie qu’une entreprise a suivi les étapes nécessaires afin d’identifier et de gérer les risques liés à la sécurité des données. En suivant ce processus, l’entreprise se donne également les moyens de suivre l’évolution des menaces liées à la sécurité des données.
  • La norme ISO 27001 fournit également les conseils nécessaires pour la mise en place des mesures nécessaires à la limitation des risques via la recommandation de mesures techniques en ligne avec les exigences du RGPD.
  • Un ISMS conforme à la norme ISO 27001 ne fournit pas seulement un ensemble de contrôles, politiques et procédures techniques appropriés permettant de contrôler et d’effectuer des améliorations continues mais promeut également une culture et une sensibilisation à la sécurité de l’information permettant d’assurer que la notion de sécurité des données est ancrée à travers toute l’entreprise.
  • Obtenir la certification ISO 27001 vous fournit une garantie indépendante que votre ISMS a été testé et audité en accord avec les normes internationales et les bonnes pratiques de sécurité de l’information.
  • Obtenir la certification ISO 27001 vous permet également de prouver que vous avez suivi les mesures nécessaires de mise en conformité avec les exigences de sécurité des données du RGPD.

Pourquoi les mesures techniques ne suffisent pas à vous conformer au RGPD

Les entreprises pensent souvent à tords qu’ajouter de multiples couches de technologies de pointe les aidera à éviter toute violation de données. Rien n’est plus faux. Pourquoi ?  

  • Sans un programme complet de sécurité de l’information prenant en compte les personnes et les processus, vos technologies ne fourniront pas la protection nécessaire. Les processus inefficaces et les problèmes liés au personnel sont parmi les faiblesses les plus communes de sécurité des données.
  • La conformité à la norme ISO 27001 requiert un engagement en matière de sécurité de l’information au sein de l’organisation. Sans cet engagement, même les plans de sécurité des informations les mieux formulés ont tendance à échouer.
  • La conformité à la norme ISO 27001 signifie que l’entreprise revoit et met à jour régulièrement son ISMS en ligne avec les nouvelles menaces et le développement de son activité. Sans un système de gestion efficace, les contrôles sont souvent abandonnés, devant alors redondants et inefficaces.
  • Obtenir la certification ISO 27001 aide les entreprises à obtenir une analyse externe d’expert concernant l’efficacité de son programme de sécurité de l’information. Cela leur permettra alors de s’assurer que les mesures qu’elles ont mis en place fonctionnent.

Que devriez-vous faire d’autre ?

En plus d’obtenir la conformité avec la norme ISO 27001, l’organisation doit répondre à certaines exigences du RGPD couvertes par un cadre de protection de la vie privée tel que le BS 10012 :2017 – Spécification d’un Système de gestion des informations personnelles (PIMS). IT Governance conseil aux entreprises d’adopter ces deux normes essentielles dans un cadre de la mise en place d’un régime de conformité complet.


Nous sommes là pour vous aider

Veuillez nous contacter pour en savoir plus ou afin de discuter avec un expert.

 

haut