top of page

Attestation ISO 27701

Un système de gestion de la vie privée est différent d'un SMSI, mais il est étroitement lié. L'approche d'ISO 27701 reconnaît que la sécurité de l'information (la préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information) est un aspect clé d'une gestion efficace de la vie privée et que les exigences du SMSI documentées avec la norme ISO 27001 représentent la base nécessaire et qu’il n’est pas nécessaire de refaire le processus de conformité au complet. 

ISO 27701 définit les exigences supplémentaires pour un SMSI pour couvrir la vie privée et

le traitement de l'information personnelle identifiable (PII). Ceux-ci sont soutenus par des

contrôles supplémentaires qui se rapportent spécifiquement à la protection des données et

à la vie privée. Dans l'ensemble, cela crée ce que la Norme appelle un système de gestion de l'information sur la vie privée (PIMS).

Cette nouvelle norme est une étape cruciale pour la gestion continue des risques liés à la protection de la vie privée et est une référence normative qui favorise la nécessité de

processus matures à mesure que le contexte de l'organisation évolue. Les organismes

d'évaluation de la conformité seront probablement mis à profit pour les vérifications et les évaluations immédiates de cette nouvelle en fonction de l’article 43 du Règlement Général

sur la Protection des Données (RGPD)

 

Structure de la norme ISO 27701

Tout comme d'autres normes ISO, ISO 27701 divise son contenu par clause, dont Les articles

5 à 8 indiquent les exigences et les modifications supplémentaires à appliquer à la norme

ISO 27001.

 

Clause 5 : Exigences spécifiques au PIMS

Cette clause traite de chaque clause de l'ISO 27001 et identifie les mesures additionnelles à mettre en place. La majorité des clauses ISO 27001 restent inchangées, par contre, la norme ISO 27701 exige de l'organisation qu'elle reconnaisse son besoin à l’égard de la protection des données et qu’elle implémente les mesures nécessaires pour respecter la norme.

Un autre ajout notable affecte l'évaluation des risques. L’organisation devra définir son rôle et ses responsabilités à l’égard des données personnelles identifiables (PII), c'est-à-dire qu'il s'agisse d'un contrôleur ou d'un un processeur, et comment cela pourrait affecter les risques à l'égard du PII. Une autre volet reconnaît l'existence de nouveaux ensembles de contrôles et permet à l'organisation de mettre en place une plus grande variété de contrôles afin de respecter autant la norme ISO 27001 et 27701.

Yucca Conseils TI peut vous assister

Nous pouvons vous assister dans l'ensemble de votre démarche de préparation au programme de conformité ISO 27701. De l'analyse des écarts à l'obtention d'un certificat ISO 27701. Avec l'aide de votre pilote interne, un échéancier réaliste sera élaboré et accepté par votre équipe de gestion.

ISO 27701-RGPD
ISO27701-GDPR
bottom of page