Une approche intégrative de la gestion de la confidentialité des données

Rédigé par Douglas Stewart, directeur principal, Solutions Consulting à OpenText

Il y a quelques mois, alors que je faisais des recherches sur la confidentialité des données, j'étais ravi d'apprendre la récente ISO 27701 norme pour la gestion des informations de confidentialité. Il s'agit d'une extension de ISO 27001—la norme de référence pour la sécurité de l'information. Et, pour moi, les dernières nouvelles m'ont rappelé des souvenirs de mi-2008, lorsque je me suis familiarisé avec la norme de sécurité de l'information.

À l'époque, j'étais directeur de la technologie pour un fournisseur de logiciels et de services d'eDiscovery en pleine croissance, et j'avais été chargé d'obtenir la certification ISO 27001 pour l'entreprise. Bien que cette norme soit nouvelle pour moi, j'avais une base solide en sécurité de l'information, une équipe informatique bien familiarisée avec les meilleures pratiques de sécurité et une expérience des systèmes d'amélioration continue remontant à l'époque de la TQM, ou de la gestion de la qualité totale.[19659004]J'ai pensé que l'obtention de la certification améliorerait nos pratiques de sécurité de l'information, démontrerait aux clients notre engagement envers la sécurité de l'information et permettrait de mieux équiper notre équipe informatique pour protéger nos informations. Mais je n'avais aucune idée à quel point la certification ISO 27001 serait transformatrice pour l'ensemble de notre entreprise.

Laissez-moi vous expliquer.

Les avantages de la certification ISO 27001

Les contrôles ISO 27001, par conception, ont fini par avoir un impact positif sur tous aspects de nos opérations (fonctions front-office et back-office) et de chaque employé. Au moment de notre audit de certification initial, l'ensemble de notre organisation travaillait en équipe coordonnée pour assurer la sécurité des actifs informationnels qui nous étaient confiés.

Le développement des politiques, des processus et du personnel représentait la majeure partie de l'effort de certification, mais nous avons également fait des investissements technologiques largement motivés par les exigences des politiques et des processus. Cela a fourni une bonne leçon sur la puissance de l'application intentionnelle de la triade personnes-processus-technologie. sur la nouvelle extension ISO 27701. En un mot, ISO 27701 fournit un cadre pour le traitement des informations personnelles au sein d'une organisation. Pour ce faire, il étend le système de gestion de la sécurité de l'information (SMSI) requis par la norme ISO 27001 par le développement d'un système de gestion de l'information sur la confidentialité (PIMS). Le PIMS superpose les contrôles et les exigences spécifiques en matière de confidentialité des données au cadre de sécurité de l'information mandaté par ISO 27001. En d'autres termes, il s'appuie sur votre cadre de politiques et de procédures de sécurité de l'information existant.

Compte tenu du chevauchement important entre la sécurité de l'information et la confidentialité des données, l'extension ISO 27701 d'ISO 27001 semble être une approche intelligente de la gestion et de la conformité de la confidentialité des données. La nouvelle norme soutient également l'idée que les organisations ne devraient pas faire cavalier seul ou recourir à des méthodes ad hoc lors de l'élaboration de leurs politiques et procédures de confidentialité des données.

Regardez les experts—et les réglementations et lois existantes

d'excellents conseils sur la confidentialité des données, et une grande partie est gratuite. Les réglementations et les lois telles que le règlement général européen sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA) ne sont pas nées de rien. Ils sont plutôt basés sur les meilleures pratiques, normes et contrôles existants. Par conséquent, plus vous pourrez aligner les politiques de votre organisation sur ces normes et meilleures pratiques publiques, mieux vous serez positionné lorsque de nouvelles lois, réglementations et règles sur la confidentialité des données seront promulguées.

Je considère depuis longtemps que le moyen le plus efficace de gérer les risques liés à la confidentialité des données est de s'appuyer sur l'expérience de ceux qui l'ont précédé. Utilisez donc les meilleures et les meilleures pratiques approuvées par des groupes tels que l'Association internationale des professionnels de la protection de la vie privée, le National Institute of Standards and Technology, ARMA International et l'Association for Intelligent Information Management. Renseignez-vous sur les normes ISO pertinentes telles que ISO 27001 et ISO 27701. Trouvez des experts qui ont l'expérience que vous n'avez pas encore. Et appliquez la technologie la plus appropriée pour relever vos défis en matière de confidentialité des données.

Découvrez comment OpenText™ Intelligent Viewing peut vous aider à relever vos défis en matière de confidentialité des données. OpenText Intelligent Viewing est une première solution de visualisation de fichiers universelle dans le cloud qui offre une visualisation, une collaboration et une rédaction sécurisées. La visualisation intelligente fournit aux employés internes et distants un accès cohérent et fiable au contenu tout en garantissant qu'il ne quitte jamais le référentiel.