Iso 27001 et Gdpr

La norme ISO 27001 est un ensemble complet qui comprend la sécurité de l’information, la confidentialité, la protection des données et la protection des informations personnelles. Elle fournit des orientations sur la manière de protéger les informations et de réduire les cybermenaces et constitue une partie essentielle du Règlement général sur la protection des données (RGPD) de l’UE. Sources : 4,15]

La norme ISO 27001 peut constituer une ressource précieuse pour les groupes et les institutions qui souhaitent améliorer leurs pratiques en matière de sécurité des informations et de protection de la vie privée. Voici quelques exemples de cas où la conformité à la norme ISO 27002 peut aider votre organisation à respecter les normes du GDPR et où elle se recoupe avec le règlement général sur la protection des données de l’UE et la directive sur la protection des données de l’Union européenne. Et ici, vous pouvez voir comment vous pouvez aider votre entreprise à se conformer au GDPR en utilisant la norme de gestion de la sécurité de l’information (ISM) et la norme ISO 26001. [Sources : 5,10,9]

Les organisations qui ont adopté la norme ISO 27001 peuvent utiliser la norme ISO 27701 pour étendre leur SGSI à la gestion de la protection des données, y compris le traitement des données. Pour en savoir plus sur la mise en œuvre d’un PIMS (Privacy Information Management System), consultez le Guide de la protection de la vie privée dans le cloud pour plus d’informations. [Sources : 14,0,0]

Les normes ISO 27001 et ISO 27701 ne peuvent pas être mises en œuvre en tant que normes autonomes, mais elles peuvent être mises en œuvre conjointement dans le cadre d’un projet de mise en œuvre unique. Les organisations qui n’ont pas encore mis en œuvre un SMSI peuvent mettre en œuvre à la fois ISO 2701 et ISO 277010 dans le cadre de projets de mise en œuvre individuels. Si vous avez mis en œuvre la norme ISO 27701, vous pouvez également la mettre en œuvre en tant que norme autonome avec un PIMS (Privacy Information Management System) ou un système de traitement des données. Sources : 7,12]

Étant donné que la norme ISO 27701 est une extension de la norme ISO 27001, elle ne fera l’objet d’aucune certification indépendante. Comme la norme n’est pas limitée aux données personnelles, il n’est pas possible de réaliser des certifications indépendantes pour la norme ISO27701. La certification 27002 est reconnue, mais le GDPR comporte de nombreuses exigences supplémentaires qui doivent être satisfaites. Sources : 6,13]

La norme ISO 27001 contient également un ensemble de normes visant à garantir que les incidents dans le domaine de la sécurité des informations sont traités de manière cohérente. En outre, le GDPR demande aux entreprises d’examiner les recommandations existantes en matière de bonnes pratiques afin de minimiser le risque de violation des données. Sources : 2,10]

Ces normes peuvent en effet être comparées à la norme ISO 27799, qui prévoit des mesures de contrôle spécifiques pour le secteur de la santé. Les normes ISO peuvent être utilisées pour gérer la gouvernance, le risque et la conformité dans de nombreuses disciplines, et dans certains cas, la norme ISO 27001, si elle est correctement structurée, peut utiliser le GDPR. Outre la mise en œuvre de la norme ISO27001, les organisations peuvent également utiliser la norme ISO 27701 pour étendre leurs efforts de sécurité afin de répondre aux exigences de protection des données. Combinée à la norme ISO 26001 et au Règlement général sur la protection des données de l’UE, elle peut aider les organisations à démontrer comment leurs dispositions de gestion fournissent des preuves de pratiques saines en matière de protection des données lorsque les superviseurs cherchent des preuves d’une violation. Sources : 7,7,8,13]

La mise en place d’un SMSI est un moyen parfait pour gérer les documents à risque, y compris les données personnelles, et peut prouver qu’une organisation prend au sérieux la conformité à la norme ISO 27001 et au GDPR. Sources : 1]

En effet, l’article 24 du GDPR stipule que le respect d’un code de conduite et d’une certification reconnue peut être utilisé comme élément pour démontrer la conformité. La norme ISO 27001 est une norme pour les systèmes de gestion de la sécurité de l’information (SGSI) et repose sur les mêmes principes que les organisations certifiées doivent adopter. La mise en œuvre de la conformité à la norme ISO 27001 et d’un SMSI est non seulement une bonne pratique en termes de sécurité de l’information, mais aussi un élément essentiel pour démontrer la conformité en matière de protection des données, et les mesures ci-dessus sont couvertes par une gamme d’outils et de services qui soutiennent les organisations dans leur mise en œuvre. [Sources : 18,15,3,11]

En plus de se conformer à la norme ISO 27001, les organisations doivent également répondre à certaines exigences supplémentaires du GDPR, qui sont couvertes par des réglementations de protection des données telles que la norme ISO 27701, afin d’avoir droit au même niveau de protection que celui requis par la norme ISO 27001. Si une organisation a déjà commencé à mettre en œuvre la conformité à la norme ISO 26001, elle est également soumise au cadre de protection des données ISO 27701 et se base donc sur ce cadre, qui comprend également un code de conduite et un SMSI, ainsi qu’une norme de système de gestion de la sécurité de l’information. Sources : 8,0]

La mise en œuvre de la norme ISO 27001 identifie les données personnelles comme un actif pour la sécurité de l’information, et la plupart des exigences du GDPR sont couvertes, sauf pour le stockage et le traitement dans le cloud, qui suit les recommandations de la norme ISO 27018. La conformité à la norme ISO 26001 et au cadre de protection des données ISO 27701 est l’exigence du GDPR de l’UE, mais sa mise en œuvre est requise par le règlement général sur la protection des données (GDPR) de l’Union européenne et est couverte par la plupart des exigences du GDPR en plus des exigences de la norme ISO 2801. ISO 2901 et les normes ISMS. Les contrôles ISO27001 permettent aux organisations de comprendre qui est impliqué dans la collecte, le traitement, le stockage et l’utilisation des informations personnelles telles que les noms, les dates de naissance, les adresses, les numéros de téléphone, les adresses e-mail et les numéros de sécurité sociale. Il faut comprendre qui collecte et stocke les données personnelles, où elles sont stockées et qui y a accès, ce qui est également requis par le règlement 1 de la DG. Les contrôles aideront une organisation à comprendre qui traite les données personnelles, de quoi il s’agit, à qui elles sont destinées et à quoi elles ont accès, etc. [Sources : 16,17,19,17].

Sources: 

• [0] : https://www.itgovernance.co.uk/gdpr-and-iso-27001
• 1] : https://www.differentia.consulting/article/iso-27001-and-gdpr/
• 2] : https://www.dpocentre.com/is-iso-27001-a-silver-bullet-for-gdpr-compliance/
• [3] : https://safety4sea.com/cm-importance-iso-27001-complying-eu-gdpr/
• [4] : https://www.ndcmanagement.co.uk/blog/gdpr-and-iso-27001/
• [5] : https://www.varonis.com/blog/iso-27001-compliance/
• [7] : https://www.bobsguide.com/guide/news/2019/Nov/12/iso-27701-the-new-international-privacy-standard/
• [8] : https://brandcompliance.com/en/news/what-is-iso-27701/
• [9] : https://blogs.manageengine.com/it-security/2018/01/15/how-iso-27001-helps-you-comply-with-the-gdpr.html
• [10] : https://reciprocitylabs.com/difference-between-gdpr-and-iso-27001/
• [11] : https://bhconsulting.ie/iso-27001-extends-privacy-controls-what-this-means-in-practice/
• [12] : https://www.urmconsulting.com/consultancy/iso-27701-gdpr/
• [13] : https://www.assentriskmanagement.co.uk/iso-27001-gdpr/
• [14] : https://advisera.com/27001academy/blog/2016/10/17/does-iso-27001-implementation-satisfy-eu-gdpr-requirements/
• [16] : https://secureprivacy.ai/blog/iso-27001-and-gdpr-website-compliance
• [17] : https://www.yash.com/blog/differences-between-gdpr-and-other-data-protection/
• [18] : https://www.itgovernance.eu/blog/en/how-an-iso-27001-compliant-isms-helps-you-comply-with-the-gdpr
• [19] : https://27001securitycertification.wordpress.com/2020/05/09/does-the-use-of-iso-27001-satisfy-eu-gdpr-requirements/

---

• LinkedIn
• Twitter