Lorsqu'on pense à la sécurité de l'information, on pense souvent au chiffrement, aux coupe-feu ou à la gestion des accès.
Pourtant, un des pièges des petites entreprises est d'ignorer les obligations légales, réglementaires et contractuelles.
Les ignorer peut avoir des conséquences coûteuses comme les amendes, la perte de confiance des clients, l'exclusion des appels d'offres, et la responsabilité civile pour négligence.
Le contrôle de sécurité A.5.31 demande que les exigences légales, réglementaires et contractuelles liées à la sécurité de l'information soient identifiées, documentées et mises à jour.
Devenir conforme
Concrètement pour être conforme:
Étape 1: Modifier la politique ou directive
Ajouter les mentions suivantes dans la politique de sécurité concernant le respect des lois des pays dans lesquels l'organisation est présente.
Étape 2: Identifier et surveillance des lois
Utiliser des outils comme Google Alertes pour suivre l'actualité juridique dans différents pays.
Étape 3: Assurer un suivi des contrats et des exigences clients
Il est essentiel que le responsable de la sécurité de l'information (CISO) ait accès, de façon centralisée et structurée, à toutes les exigences contractuelles spécifiques des clients.
Étape 4: Crée un registre pour documenter les exigences
Pour être conforme, un simple tableau Excel peut suffire, à condition d'y inclure le nom du client, la loi qui s'applique, la description des exigences, les documents de référence, le responsable, et les dates de vérification.
Je vous invite à cliquer sur "Follow" pour continuer d'en apprendre plus sur le domaine de la sécurité de l'information.