Les avantages pour votre entreprise de la norme ISO27001
Nous savons que la législation sur la protection de la vie privée telle que le Règlement Général sur la Protection des Données (RGPD de l’UE) est au cœur de votre programme d’activités. Mais que peut faire votre organisation pour s’y préparer ?
La norme ISO/ IEC 27001 vous oblige à effectuer une évaluation du risque sur vos actifs d’information qui devrait tenir compte du risque accru pour les informations personnelles et des implications financières potentielles.
Conformité
La nouvelle loi entrera en vigueur le 25 mai 2018, vous devez donc revoir vos obligations. La norme ISO/IEC 27001 impose d’avoir une liste et de respecter des exigences législatives, réglementaires et contractuelles.
Classification des données
Les données à caractère personnel doivent être traitées d’une manière qui assure une sécurité appropriée. La norme ISO/IEC 27001 demande aux entreprises de veiller à ce que les informations bénéficient d’un niveau suffisant de protection en fonction de leur importance.
Évaluation du risque
Les amendes élevées qui seront appliquées par la nouvelle réglementation (jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial annuel de la société mère) pourraient avoir un impact financier important sur votre entreprise. La norme ISO/ IEC 27001 vous oblige à effectuer une évaluation du risque sur vos actifs d’information qui devrait tenir compte du risque accru pour les informations personnelles et des implications financières potentielles.
Déclaration de notification de violation
Les entreprises devront alerter les autorités gérant les données dans les 72 heures suivant la découverte d’une violation de données personnelles. La norme ISO/IEC 27001 exige qu’un processus de gestion des incidents soit mis en place avec des événements de sécurité de l’information signalés par les canaux de gestion appropriés le plus rapidement possible.
Coopération avec les autorités
Dans le cadre du RGPD de l’UE et de l’autorité de contrôle, les organisations doivent coopérer avec les autorités, par exemple les régulateurs de la protection de la vie privée ou de la protection des données. La norme ISO/IEC 27001 exige que « les contacts appropriés avec les autorités compétentes soient maintenus ».
Protection intégrée de la vie privée
L’adoption “Protection intégrée de la vie privée” est une autre exigence du RGPD de l’UE. La norme ISO/IEC 27001 garantit que la sécurité de l’information est conçue et mise en place comme une partie intégrante de l’ensemble du développement et du cycle de vie des systèmes d’informations.
Relations avec les fournisseurs
Le RGPD de l’UE s’applique aux fournisseurs qui traitent des données personnelles pour le compte d’autrui ; il faut que des contrôles et des restrictions soient inclus dans les accords formels. Cela s’applique aux fournisseurs d’accès à internet et aux centres de données externalisés. La norme ISO/IEC 27001 exige la protection des biens de l’entreprise qui sont accessibles par les fournisseurs et pour les organisations, pour surveiller la prestation de services des fournisseurs à l’égard des exigences de sécurité de l’information.
Documentation
En vertu du RGPD de l’UE, les contrôleurs doivent conserver la documentation concernant la vie privée, par exemple les besoins pour lesquels les informations personnelles sont recueillies et traitées, les « catégories » de sujets et les données personnelles. La norme ISO/IEC 27001 exige que la documentation soit conservée en fonction de la complexité des processus et de leurs interactions.
Y-a-t-il autre chose que je dois considérer au-delà de la norme ISO/IEC 27001 ?
La norme ISO/IEC 27001 est un excellent cadre pour démontrer que vous êtes engagé en faveur de la sécurité des informations et de la confidentialité. Elle prend en charge bon nombre des exigences du RGPD, mais vous devriez également considérer :
Améliorez votre système
Si vous traitez ou stockez des informations dans le cloud public, la norme ISO/IEC 27018 peut également vous aider. Elle s’appuie sur un système de l’ISO/IEC 27001 et s’assure que vous mettez des exigences spécifiques en place pour protéger les renseignements personnels identifiables.
Pourquoi EURGPD ? Nous avons l’experience des normes de sécurité protégeant les informations depuis 2003. Et nous ne nous sommes pas arrêtés là, abordant des problèmes émergents tels que la sécurité des données hébergée dans les datacenter. C’est pourquoi nous sommes le mieux placés pour vous aider à gérer la confidentialité et à vous conformer à la réglementation.
