- Alban Caouren
Comment la norme ISO 27001 peut vous aider sur le RGPD
Une des questions que l’on nous pose souvent sur la RGPD : Comment se mettre en conformité, nous pouvons suivre un référentiel ?
On trouve plusieurs approches sur la question, mais il n’existe pas de référentiel très précis pour se mettre en conformité.
Pour rappel [Article Inotyko http://bit.ly/2oYkdL8], La GDPR (General Data Protection Regulation), c’est le nouveau règlement européen qui s’appliquera en 2018 à tous les acteurs économiques de l’Union européenne en matière de protection des données à caractère personnel. Ce règlement entrera en application le 25 mai 2018.
Une des approches que nous utilisons pour assurer la sécurité et la traçabilité se base sur la norme ISO 27001 [Site de l’iso http://bit.ly/2udeaos].
Pour rappel, la norme ISO 27001 est un ensemble d’exigences pour la mise en œuvre d’un SMSI (Système Management Sécurité de l’Information). L’ISO 27001 propose une démarche par les processus et l’amélioration continue de la sécurité de l’information.
Les entreprises qui ont mis en œuvre un SMSI (certifié ou non) ont déjà un socle solide pour aborder la conformité RGPD.
On retrouve dans les exigences de la norme ISO 27001 des points communs avec la directive GDPR notamment avec les points de l’annexe ISO/CEI 27001 :2013. C’est aussi une excellente base pour le DPO qui peut s’appuyer sur cette norme pour assurer l’amélioration continue de la conformité.
L’annexe A.9 traite du contrôle d’accès.
A.9.1 : Exigence en matière de contrôle d’accès
A.9.2 : Gestion de l’accès utilisateur
A.9.3 : Responsabilités des utilisateurs
A.9.4 : Contrôle de l’accès au système et aux applications
L’annexe A.13 traite de la sécurité des communications
A.13.2.1 : Politiques et procédures de transfert de l’information
A.13.2.2 : Accords en matière de transfert d’information
A.13.2.3 : Messagerie électronique
A.13.2.4 : Engagements de confidentialité ou de non-divulgation
L’annexe A.15 traite de la relation avec les fournisseurs.
A.15.1.1 : Politique de sécurité de l’information dans les relations avec les fournisseurs
A.15.1.2 : Sécurité dans les accords conclus avec les fournisseurs
A.15.1.3 : Produits et services informatiques
L’annexe A.16 traite des incidents liés à la sécurité de l’information
A.16.1.1 : Responsabilités et procédures
A.16.1.2 : Signalement des évènements liés à la sécurité de l’information
A.16.1.3 : Signalement des failles liées à la sécurité de l’information
A.16.1.4 : Appréciation des évènements liés à la sécurité de l’information
A.16.1.5 : Réponse aux incidents liés à la sécurité de l’information
A.16.1.6 : Tirer les enseignements des incidents liés à la sécurité de l’information
A.16.1.7 : Collecte de preuves
L’annexe A.18 traite de la Conformité aux obligations légales et réglementaires
A.18.1.1 : Identification de la législation
A.18.1.3 : Protection des enregistrements
A.18.1.4 : Protection de la vie privée et protection des données à caractère personnel
L’exigence de la norme ISO 27001 est un excellent référentiel qui répondra à une partie de l’équation pour engager votre plan d’action pour assurer votre conformité pour le RGPD.
