Pour ceux qui ont mis en place ISO27001:2022 doivent créer un fichier qui se nomme "déclaration d'applicabilité" basée sur les contrôles de l'annexe A. Il y en a 93. Également il faut expliquer, pourquoi certains contrôles sont applicable pour notre organisation.

La méthode facile est s'il y a une exigence légale, exigence contractuelle, ou le résultat de notre analyse de risque. Ici j'aimerais explorer l'exigence légale de la loi 25.

Rappel important que je ne suis pas avocat.

Cette analyse se concentre sur les exigences explicites ou très directes de la Loi 25 (principalement la Loi sur la protection des renseignements personnels dans le secteur privé, LQ c P-39.1).

A.5 Contrôles organisationnels

  • A.5.1 Politiques pour la sécurité de l'information: Oui. L'Art. 3.3 exige que toute entreprise établisse des politiques encadrant sa gouvernance à l'égard des renseignements personnels.
  • A.5.2 Rôles et responsabilités en matière de sécurité de l'information: Oui. L'Art. 3.1 désigne d'office la personne ayant la plus haute autorité comme responsable de la protection des renseignements personnels.
  • A.5.3 Séparation des tâches: Non. La Loi 25 n'exige pas explicitement ce contrôle interne spécifique.
  • A.5.5 Contact avec les autorités: Oui. L'Art. 21.0.1 exige la notification rapide à la Commission d'accès à l'information de tout incident de confidentialité.
  • A.5.8 Sécurité de l'information dans la gestion de projet: Oui (via les EFVP). L'Art. 3.2 exige la réalisation d'une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) pour tout projet d'acquisition, de développement et de refonte de système d'information.
  • A.5.14 Transfert d'informations: Oui. L'Art. 17 encadre spécifiquement la communication de renseignements personnels à l'extérieur du Québec.
  • A.5.15 Contrôle d'accès: Oui (implicitement fondamental). L'Art. 10 exige les mesures de sécurité propres à assurer la protection des renseignements personnels.
  • A.5.19 Sécurité de l'information dans les relations avec les fournisseurs: Oui. L'Art. 17 et Art. 10 exigent une diligence raisonnable lorsque des fournisseurs traitent des renseignements personnels.
  • A.5.24 Planification et préparation de la gestion des incidents: Oui. Soutient directement les exigences de gestion des incidents de confidentialité des Art. 21.0.1 et 21.0.2.
  • A.5.25 Évaluation et décision concernant les événements: Oui. Étape nécessaire pour déterminer s'il y a un incident de confidentialité présentant un risque de préjudice sérieux.
  • A.5.26 Réponse aux incidents de sécurité: Oui. L'action principale requise suite à un incident, incluant la tenue du registre (Art. 21.0.2).
  • A.5.31 Exigences légales, statutaires, réglementaires et contractuelles: Oui. La Loi 25 est une exigence légale et réglementaire qui doit être identifiée et respectée.
  • A.5.33 Protection des enregistrements: Oui. Les renseignements personnels constituent des enregistrements qui doivent être protégés (Art. 10) et gérés pour leur conservation et destruction (Art. 11).
  • A.5.34 Confidentialité et protection des informations personnelles identifiables (PII): Oui. C'est l'objet même de la Loi 25.

A.6 Contrôles relatifs aux personnes

  • A.6.3 Sensibilisation, éducation et formation à la sécurité de l'information: Oui. L'Art. 3.3 exige que les politiques de gouvernance prévoient les mesures de formation et de sensibilisation.
  • A.6.8 Signalement des événements de sécurité de l'information: Oui. Mécanisme nécessaire pour que le personnel puisse signaler les incidents, permettant ainsi de respecter les obligations sous Art. 21.0.1 et 21.0.2.

A.7 Contrôles physiques

  • A.7.1 Périmètres de sécurité physique: Oui (implicitement). L'Art. 10 exige des mesures appropriées incluant la protection physique.
  • A.7.10 Supports de stockage: Oui. L'Art. 10 exige un stockage sécurisé. L'Art. 11 exige la destruction/anonymisation sécurisée.
  • A.7.14 Mise au rebut ou réutilisation sécurisée des équipements: Oui. Directement lié à l'Art. 11 (destruction/anonymisation) lorsque l'équipement contient des renseignements personnels.

A.8 Contrôles technologiques

  • A.8.5 Authentification sécurisée: Oui (implicitement essentiel). Partie essentielle de la gestion des identités/accès requis par l'Art. 10.
  • A.8.7 Protection contre les logiciels malveillants: Oui (implicitement fondamental). Mesure de sécurité de base requise sous l'Art. 10.
  • A.8.10 Suppression d'informations: Oui. Directement requis par l'Art. 11 (destruction lorsque la finalité est accomplie).
  • A.8.11 Masquage des données: Oui. L'anonymisation est une option à la destruction sous Art. 11.
  • A.8.12 Prévention des fuites de données: Oui (implicitement). Des mesures pour prévenir la communication ou l'accès non autorisé sont requises sous Art. 10.
  • A.8.13 Sauvegarde des informations: Oui (implicitement). Nécessaire pour assurer l'intégrité et la disponibilité, considérées comme faisant partie des "mesures appropriées" sous Art. 10.
  • A.8.24 Utilisation de la cryptographie: Oui. L'Art. 10 exige des mesures appropriées tenant compte de la sensibilité. Le chiffrement est souvent une mesure clé pour les renseignements personnels sensibles.
  • A.8.25 Cycle de vie du développement sécurisé: Oui (partiellement/via EFVP). L'Art. 3.2 (EFVP) exige l'évaluation des impacts. L'Art. 3.4 (Confidentialité par conception/défaut) implique des pratiques de développement sécurisé.

Comme prévu, la liste des "Oui" basés sur des exigences explicites est limitée, mais elle touche des domaines importants: gouvernance (politiques, rôles), gestion des incidents, gestion des fournisseurs/transferts, formation, destruction/anonymisation, EFVP et confidentialité par conception.