Logo PG Software
lundi, 05 février 2018 17:22

Comment la norme ISO 27001 vous aide à respecter le RGPD

Évaluer cet élément
(0 Votes)

ISO blog cover image

La norme ISO 27001 est un ensemble des meilleures pratiques en matière de sécurité de l'information conçues pour aider les organisations à s'assurer que toutes les données confidentielles et les ressources critiques de leur réseau sont sécurisées.

Elle réunit trois grandes composantes - les gens, les processus et la technologie - pour cerner et réduire les risques en matière de sécurité.

Cette norme exige également que les entreprises documentent leurs politiques de sécurité de l'information, l'utilisation acceptable des actifs au sein de leur organisation, les rôles et responsabilités de leurs employés en matière de sécurité, ainsi que leurs politiques de contrôle d'accès aux données confidentielles.

ISO 27001 insiste sur le fait que les entreprises qui recueillent et traitent des donnée à caractère personnel  (Personally identifiable information, ou PII) développent, adoptent et révisent continuellement leur système de gestion de la sécurité de l'information (Information security management system, ou ISMS) pour assurer la sécurité des PII.

Cette description vous rappelle quelque chose ? Si tel est le cas, c'est parce que l'ISMS tel que défini par ISO 27001 s'aligne avec la définition du RGPD des mesures techniques et organisationnelles que les entreprises doivent adopter pour sécuriser les données personnelles.

Est-ce que cela signifie qu'une entreprise qui a adopté la norme ISO 27001 est conforme au RGPD ? Pas nécessairement, mais les entreprises qui sont conformes à la norme ISO 27001 peuvent quand même atteindre facilement la conformité RGPD. Voyons comment.

Similitudes entre GDPR et ISO 27001

Il existe de nombreuses similitudes entre les exigences du RGPD et celles de la norme ISO 27001. Si votre entreprise a déjà adopté la norme ISO 27001, vous êtes tous prêts à vous conformer aux exigences RGPD suivantes:

  • Article 32.1 (a) - Pseudonymisation et cryptage des données à caractère personnel.
  •  Article 32.1 (b) - Capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement des données à caractère personnel.
  •  Article 32.1 (c) - Capacité de rétablir la disponibilité et l'accès aux données à caractère personnel en cas d'incident physique ou technique.
  •  Article 32.1 (d) - Tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles adoptées pour assurer la sécurité du traitement des données.

Comment la norme ISO 27001 vous aide à respecter le RGPD

En examinant les similitudes entre le RGPD et la norme ISO 27001, il est clair que la conformité à la norme ISO 27001 peut aider votre entreprise à répondre à bon nombre des exigences du RGPD . Voici comment les normes ISO 27001 de cryptage des données et ISMS peuvent vous aider à vous conformer au RGPD.

Chiffrement des données : La norme ISO 27001 stipule que la transmission de données confidentielles aux réseaux publics doit être chiffrée; dans un effort pour réduire le risque de violation des données, la norme ISO 27001 stipule également que les médias externes qui ne prennent pas en charge le chiffrement ne doivent pas être utilisés pour stocker les IPI. De plus, la section A. 12.3 de la norme ISO 27001 stipule que les entreprises devraient utiliser des mesures cryptographiques pour assurer la confidentialité, l'authenticité et l'intégrité des données. Ces contrôles contribuent à satisfaire à l'exigence énoncée à l'article 32.1 (a) du RGPD.

Un ISMS et des mesures techniques d'audit de la sécurité des PII : ISO 27001 exige l'adoption de politiques et de contrôles ISMS qui garantissent la sécurité des données confidentielles. Certains de ces contrôles ISMS incluent:

  •  Définition des contrôles d'accès aux données confidentielles.
  •  Surveillance des accès aux données confidentielles par les utilisateurs privilégiés.
  •  Audit d'activités utilisateurs privilégiées.
  •  Examen des autorisations accordées pour l'accès aux données confidentielles.
  •  Enregistrement d'informations sur l'accès aux données, leur modification, etc.
  •  Sauvegarde des données confidentielles pour assurer la disponibilité en cas d'incident physique ou technique.

L'utilisation de ces contrôles dans votre société peut garantir la confidentialité, la disponibilité et l'intégrité des données personnelles de vos clients pour vous aider à satisfaire aux exigences de GDPR énoncées à l'article 32.1 (b) et (c).

L'adoption de la norme ISO 27001 ne s'arrête pas au déploiement d'un ISMS. La norme ISO 27001 recommande d'effectuer régulièrement des examens et des audits pour s'assurer que les contrôles du SGSI continuent de servir à réduire les risques de sécurité et à protéger les données confidentielles. Ce cadre de vérification répond à l'exigence relative au RGPD énoncée à l'article 32.1 (d).

Vous voulez en savoir plus sur la façon de respecter le RGPD ? Découvrez notre espace dédié RGPD.

Subhalakshmi - ManageEngine

Lu 3964 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.