lignes_directrices_securite_de_l_information_0.pdf

7/27/2019 lignes_directrices_securite_de_l_information_0.pdf

1/25

Lignes directrices pour la scurit de l'information de donnes caractre personnelVersion 1.0 Juin 2012Page 1 de 25

LIGNES DIRECTRICES POUR LA SCURIT DE L'INFORMATION DE DONNES CARACTRE PERSONNEL

JUIN 2012Version : 1.0

Rpartition des normes en deux parties :

partie A normes et mesures globales lies la politique de gestion partie Bnormes de mise en uvre spcifiques/techniques


2/25


1 Champ d'application

Le document "Lignes directrices pour la scurit de l'information de donnes caractre personnel" dfinit les finalits de scurit respecter pour chaque institution

personne morale, entreprise ou administration qui conserve, utilise, traite ou communique des donnes caractre personnel et dont le traitement ncessite une

autorisation pralable. Il promeut la culture de la scurit telle que prconise par lOCDE dans son document Lignes directrices rgissant la scurit des systmes etrseaux dinformation (adopt le 25 juillet 2002) et il s'inspire de la norme ISO 27002 . Il constitue un dveloppement des mesures de rfrence de la Commission de la

protection de la vie prive pour tous les traitements de donnes caractre personnel soumis une autorisation pralable. Les "Mesures de rfrence en matire de

scurit applicables tout traitement de donnes caractre personnel" sont disponibles sur le site Internet de la Commission vie prive et sappliquent sur tous les

traitements de donnes caractre personnel .

La mise en uvre et la vrification des lignes directrices pour la scurit auprs de tiers qui traitent des donnes caractre personnel pour le compte d'une institution

relvent en premier lieu de la responsabilit de l'institution qui confie des tches ce tiers.

La loi du 8 dcembre 1992 relative la protection de la vie prive l'gard des traitements de donnes caractre personnel (ci-aprs la Loi vie prive ou LVP) dfinit

trs prcisment les conditions et les circonstances d'un traitement ou d'une transmission de donnes caractre personnel. L'excution de certains traitements, vu le

caractre sensible des donnes, n'est toutefois pas possible sans autorisation pralable du comit sectoriel comptent de la Commission de protection de la vie prive.

Chaque institution qui introduit une demande d'autorisation doit disposer d'une politique de scurit qui repose sur ces lignes directrices pour la scurit de l'information

de donnes caractre personnel et doit, le cas chant, dsigner un conseiller en scurit de l'information.


3/25


2 Quelques dfinitions

Qu'est-ce que la scurit de l'information ?

La scurit de l'information est l'ensemble de mesures de gestion qui veillent ce que la confidentialit , l'intgrit et la disponibilit de toutes les formes

d'information tant sous la forme lectronique (numrique) que papier soient conserves, dans le but d'assurer la continuit des informations et de

l'information et de limiter un niveau acceptable prdfini les ventuelles consquences d'incidents en matire de scurit de l'information.

Il y a lieu d'entendre par "mesure de gestion" toutes les mesures relatives la politique, aux procdures, aux directives, aux mthodes et aux structures

organisationnelles. Ces mesures peuvent tre de nature aussi bien administrative, technique ou au niveau de la gestion, que juridique.

Conseiller en scurit de l'information

Des comits sectoriels sont instaurs au sein de la Commission de la protection de la vie prive. Ils sont composs de membres de la Commission et

d'experts qui connaissent spcifiquement bien le secteur pour lequel le Comit est comptent. Actuellement, il existe six comits sectoriels. Pour pouvoirtraiter certaines donnes caractre personnel, une autorisation d'un ou de plusieurs de ces comits sectoriels est requise. Dans le cadre de ces

procdures d'autorisation, la dsignation d'un conseiller en scurit de l'information doit parfois tre communique au comit sectoriel comptent et/ou

valide par lui.

Le conseiller en scurit de l'information est l'instigateur et le moteur de la politique de scurit de l'information. C'est lui qui fait des propositions, qui fixe

les objectifs atteindre, qui suit et conseille les diffrentes personnes qui interviennent lors de la mise en place du systme de scurisation , . Il analyse

et tudie les incidents de scurit et propose des mesures de gestion. Il rapporte directement la direction ou l'organe ultime de dcision.


4/25


Sur le site Internet de la Commission de la protection de la protection de la vie prive, davantage de termes sont expliqus dans le lexique

(voir http://www.privacycommission.be/fr/lexicon).

3 Interprtation des lignes directrices

3.1 Contrle du respect des lignes directrices pour la scurit de l'information

La Commission de la protection de la vie prive, la Commission de contrle flamande et/ou chaque comit sectoriel comptent en la matire peuvent effectuer des

contrles ou faire effectuer par une instance externe des contrles portant sur le respect d'aspects spcifiques des LIGNES DIRECTRICES POUR LA SCURIT DEL'INFORMATION DE DONNES CARACTRE PERSONNEL. Elles doivent tre appliques dans le cadre d'autorisations octroyes par chacun des comits sectoriels

institus au sein de la Commission de la protection de la vie prive.

3.2 Interprtation et rvision des lignes directrices pour la scurit

Les lignes directrices pour la scurit sont divises en une partie A qui reprend les normes et mesures globales lies la politique et en une partie B qui se compose des

normes de mise en uvre spcifiques et techniques.

Les institutions assument la responsabilit de mettre en uvre les moyens de scurit les plus indiqus en fonction de leur situation spcifique et selon l'importance des

moyens de fonctionnement scuriser.

Enfin, il faut signaler que ces lignes directrices les sont sujettes rvision. Elles seront donc adaptes en fonction de l'volution qui survient sur le plan lgal, technique,

en particulier en ce qui concerne les risques en matire de scurit, ou sur d'autres plans, en particulier les normes ISO.


5/25


4 Finalits poursuivies

Les lignes directrices pour la scurit des donnes caractre personnel constituent un fil conducteur qui permet de dfinir et de grer un Information Security

Management System (ci-aprs ISMS) document, c'est--dire constater, excuter, contrler, valuer, tenir jour et amliorer dans le cadre des activits et des risques

d'exploitation lis au traitement de donnes caractre personnel de l'institution. L'ISMS doit se baser sur le cercle de qualit de Deming qui consiste en quatre activitscycliques : PLAN (= regarder le fonctionnement actuel et projeter un plan d'amlioration du fonctionnement, toujours dfinir des finalits), DO (= excuter l'amlioration

envisage), CHECK (= mesurer le rsultat de l'amlioration et le confronter aux finalits prvues), ACT (= rectifier l'aide des rsultats trouvs dans Check). Dans ce

contexte, la direction ou l'organe ultime de dcision doit pouvoir fournir la preuve de son implication concernant la constatation, la mise en uvre, l'excution, le contrle,

l'valuation, la mise jour et l'amlioration de l'ISMS. L'efficacit de l'ISMS doit tre continuellement amliore en utilisant la politique de scurit de l'information, les

objectifs de la scurit de l'information, les rsultats d'audit, l'analyse d'vnements contrls, des mesures de correction et de prvention et l'valuation de la direction

ou celle de l'organe ultime de dcision.

Ces lignes directrices pour la scurit veulent tre pour tous les traitements caractre personnel soumis une autorisation pralable, une prcision des mesuresgnrales de rfrence que la Commission de la protection de la vie prive a dictes l'gard de toutes les instances qui traitent des donnes caractre personne.

5 Lignes directrices structure ISO 27002

Les lignes directrices pour la scurit des donnes caractre personnel sinscrivent tant dans les buts que les principesdes lignes directrices de lOCDE rgissant la

scurit des systmes et rseaux dinformation.


6/25


La structure de ces lignes directrices sinspire de la norme ISO 270002 (voir notammenthttp://www.iso27001security.com/html/27002.html ). Elle est subdivise en 11

chapitres. Chaque chapitre traite dun aspect dtermin de la scurit de linformation et chaque point vise spcifiquement la scurit de linformation lors de lutilisation et

du traitement de donnes caractre personnel.

Une distinction est tablie entre dune part les normes globales et dautre part le contenu technique de ces normes globales. Les concepts de base ou les normes etmesures globales lies la politique sont repris dans la partie A, le mode de mise en uvre technique de la scurit de lin formation est repris dans la partie B.
http://www.iso27001security.com/html/27002.htmlhttp://www.iso27001security.com/html/27002.htmlhttp://www.iso27001security.com/html/27002.htmlhttp://www.iso27001security.com/html/27002.html


7/25


PARTIE A NORMES ET MESURES GLOBALES LIES LA POLITIQUE

1 RISQUE

(voir ISO 270024 Apprciation et traitement du risque)

1.1 APPR CIATION DU RISQUE LI LA S CURIT(voir ISO 270024.1 Apprciation du risque li la scurit)

A-1.1.1 Il convient de raliser rgulirement une apprciation du risque et des besoins lis la scurit relative aux informations qui sont propres votreorganisation et qui concernent l'utilisation et le traitement de donnes caractre personnel et de prsenter cette apprciation l'organe ultime dedcision au sein de votre organisation en vue d'actions ultrieures.

1.2 TRAITEMENT DU RISQUE LI LA SCURIT(voir ISO 270024.2 Traitement du risque li la scurit)

A-1.2.1 Pour chaque risque pertinent relatif lutilisation et au traitement de donnes caractre personnel constat l'issue de la phase d'apprciation durisque li l'information, les mesures de gestion ncessaires doivent tre prises et un suivi doit tre assur.

2 POLITIQUE(voir ISO 270025 Politique de scurit)

2.1 POLITIQUE DE S CURIT DE L'INFORMATION(voir ISO 270025.1 Politique de scurit de l'information)

A-2.1.1 Votre organisation doit disposer d'une politique de scurit de l'information (information security policy) formelle, actualise et approuve parl'organe ultime de dcision de votre organisation qui doit rgulirement tre communique toutes les parties concernes.


8/25


3 ORGANISATION(voir ISO 270026 Organisation de la scurit de l'information)

3.1 ORGANISATION INTERNE CONCERNANT LA SCURIT DE L'INFORMATION(voir ISO 270026.1 Organisation interne)

A-3.1.1 Il faut un soutien clair de l'organe ultime de dcision de votre organisation pour initialiser, contrler, entretenir et, au besoin, adapter la mise en uvre

de la scurit de l'information au sein de votre organisation.

Exemples de documents concernant la scurit de l'information :- un rapport annuel en matire de scurit de l'information ;- un plan pluriannuel en matire de scurit de l'information.

A-3.1.2 Votre organisation doit mettre disposition les crdits et moyens de fonctionnement ncessaires afin de pouvoir assurer la coordination et l'excutioncorrectes de la politique de scurit de l'information.

Le suivi de l'excution de la politique de scurit doit tre assur par la cellule de scurit de l'information, dirige par un conseiller en scurit del'information. Ces tches peuvent galement tre confies un service externe spcialis et agr.

La cellule de scurit de l'information a une mission de conseil, de stimulation, de documentation et de contrle au sein de votre organisation. ceteffet, le conseiller en scurit de l'information doit se charger :- de fournir des avis experts la personne charge de la gestion journalire et responsable du traitement des donnes ;- d'excuter des missions qui lui sont confies par la personne charge de la gestion journalire et responsable du traitement des donnes.

A-3.1.3 Le conseiller en scurit de l'information doit toujours disposer de toutes les informations ncessaires pour excuter sa mission correctement et entemps opportun.

A-3.1.4 Votre organisation doit disposer d'une plate-forme de dcision active qui se runit rgulirement pour la validation et l'approbation des mesures degestion pour la scurit de l'information, proposes par la cellule de scurit de l' information.


9/25


4 BIENS(voir ISO 270027 Gestion des biens)

4.2 CLASSIFICATION DES INFORMATIONS(voir ISO 270027.2 Classification des informations)

A-4.2.1 Lors des traitements de donnes caractre personnel, votre organisation doit tablir une distinction claire entre les types de donnes suivants :- donnes anonymes : ce sont les donnes qui ne peuvent tre mises en relation avec une personne identifie ou identifiable et qui ne sont donc

pas des donnes caractre personnel ;- donnes caractre personnel : une donne caractre personnel est toute information concernant une personne physique identifie ou

identifiable;- donnes caractre personnel sensibles : il sagit de donnes relatives la race, aux opinions politiques, aux convi ctions religieuses ou

philosophiques, lappartenance syndicale, la sant, la vie sexuelle, des suspicions, des poursuites ou des condamnati ons pnales ouadministratives. Il est en principe interdit de traiter de telles donnes ;- donnes caractre personnel codes, sensibles ou non : ce sont des donnes caractre personnel qui ne peuvent tre relies une

personne identifie ou identifiable quau moyen dun code.

A-4.2.2 Tous les utilisateurs qui utilisent/traitent des donnes caractre personnel doivent connatre cette distinction.

5 RESSOURCES HUMAINES(voir ISO 270028 Scurit lie aux ressources humaines)

5.1 SCURIT DE L'INFORMATION AVANT LE RECRUTEMENT

(voir ISO 270028.1 Avant le recrutement)A-5.1.1 Lors du processus de recrutement, votre organisation doit clairement signaler aux candidats potentiels l'importance de la scurit de l'information.

3.2 TIERS ET SCURIT DE L'INFORMATION(voir ISO 270026.2 Tiers)

A-3.2.1 Il convient d'identifier clairement les risques lis la scurit de l'information concernant des tiers et de mettre en uvr e les mesures de gestionappropries avant d'accorder ces tiers (organisations ou citoyens) un accs des donnes caractre personnel.


10/25


A-5.1.2 Tous les candidats doivent signer leur contrat de travail dans lequel figurent galement des clauses relatives leurs responsabilits en matire descurit de l'information des donnes caractre personnel.

5.2 SCURIT DE L'INFORMATION PENDANT LA DURE DU CONTRAT(voir ISO 270028.2 Pendant la dure du contrat)

A-5.2.1 Votre organisation doit informer tous les collaborateurs internes impliqus dans l'utilisation et le traitement des donnes caractre personnel quantaux obligations de confidentialit et de scurit sous la forme :

- d'un code de bonne conduite ;- et/ou de la mention de ce code de bonne conduite dans le rglement de travail ;- et/ou d'une description de fonction avec mention des obligations de confidentialit et de scurit ;- et/ou de clauses contractuelles ;- et en outre, sous la forme d'une formation approprie et d'un recyclage rgulier.

A-5.2.2 Votre organisation doit informer tous les collaborateurs externes (contractants et utilisateurs tiers) chargs de l'utilisation et/ou du traitement desdonnes caractre personnel de leurs obligations de confidentialit et de scurit, en leur demandant de signer un document contractuel reprenantdes clauses contractuelles claires.

5.3 SCURIT DE L'INFORMATION EN CAS DE FIN OU DE MODIFICATION DE CONTRAT(voir ISO 270028.3 Fin ou modification de contrat)

A-5.3.1 Il faut laborer des procdures claires et appropries et veiller lapplication de celles -ci concernant la restitution du matriel et la suppression de tousles droits d'accs lors du dpart d'un salari, d'un contractant ou d'un utilisateur tiers.


11/25


6 ENVIRONNEMENT PHYSIQUE(voir ISO 270029 Scurit physique et environnementale)

6.1 SCURIT ENVIRONNEMENTALE(voir ISO 270029.1 Zones scurises)

A-6.1.1 Votre organisation doit raliser une analyse des risques. Sur la base des rsultats, les zones scurises doivent tre dfinies et les scurisations daccs

appropries doivent tre apportes pour scuriser toutes les zones o se trouvent des informations et du matriel IT avec des donnes caractrepersonnel.

A-6.1.2 Votre organisation doit dfinir les mesures ncessaires pour viter toute forme de dommage pouvant compromettre les donnes caractre personnel.

6.2 MAT RIEL S CURIS(voir ISO 270029.2 Scurit du matriel)

A-6.2.1 Sur la base dune analyse des risques, votre organisation doit dfinir les mesures de gestion adquates concernant le matriel, le cblage et lesquipements de support afin d'empcher la perte, les dommages, le vol et la modification non souhaite de donnes caractre personnel (mmelorsque ce matriel est utilis/plac hors site).

A-6.2.2 Votre organisation doit laborer une procdure spcifique pour la mise au rebut ou le recyclage de tout le matriel quip de supports de stockage surlesquels sont utilises/traites des donnes caractre personnel.

7 PROC DURES OP RATIONNELLES ET DE COMMUNICATION(voir ISO 2700210 Gestion de l'exploitation et des tlcommunications)

7.1 PROCCURES OPRATIONNELLES ET RESPONSABILITS CONCERNANT LA SCURIT DE L'INFORMATION(voir ISO 2700210.1 Procdures et responsabilits lies l'exploitation)

A-7.1.1 Votre organisation doit prvoir une sparation des tches afin d'viter qu'une seule personne n'ait le contrle exclusif d'un traitement de donnes caractre personnel.

7.2 PROTECTION CONTRE LES CODES MALVEILLANTS ET MOBILES(voir ISO 2700210.4 Protection contre les codes malveillants et mobiles

A-7.2.1 Votre organisation doit disposer de procdures et de directives appropries de protection contre les codes malveillants et de contrle des codes mobiles

pour augmenter la sensibilisation des utilisateurs du systme et des utilisateurs finaux.


12/25


Exemples de directives et de procdures possibles : interdire lutilisation de programmes non-autoriss ; dfinir une politique en matire de rception de fichiers et de programmes provenant de rseaux externes ou reus via ces rseaux ou via tout

autre support ; tablir les responsabilits en matire de protection contre les codes malveillants.

7.3 SAUVEGARDE(voir ISO 2700210.5 Sauvegarde)

A-7.3.1 Votre organisation doit rdiger une politique de sauvegarde adquate et en assurer le suivi afin dempcher la perte, les dommages, le vol et lamodification non souhaite de donnes caractre personnel.

7.4 SCURIT DES RSEAUX(voir ISO 2700210.6 Gestion de la scurit des rseaux)

A-7.4.1 La scurit des rseaux doit constituer un lment de votre plan global de scurit de linformation qui doit consacrer une a ttention particulire aux fluxdinformations au cours desquels des donnes caractre personnel peuvent sortir de votre organisation.

7.5 MANIPULATION DES SUPPORTS IT PHYSIQUES(voir ISO 2700210.7 Manipulation des supports)

A-7.5.1 Votre organisation doit disposer de procdures pour la gestion de supports amovibles sur lesquels sont stockes des donnes caractre personnel etqui peuvent quitter le primtre de scurit de votre organisation. Pensez ici aussi aux supports amovibles dans le matriel comme les imprimantes etles photocopieuses multifonction.

Exemples de supports IT amovibles :- disques optiques (CD, DVD, Blu-ray, etc.) ;- cartes mmoire (cl USB, stick mmoire, carte digitale, carte SD, mini-carte SD, carte CompactFlash, smart card, etc.) ;- floppy disk et zip disk ;- bandes magntiques/tapes.

7.6 CHANGE D'INFORMATIONS(voir ISO 2700210.8 change des informations)

A-7.6.1 Votre organisation doit disposer d'une politique de messagerie lectronique et dune politique Internet ("e-mail policy et Internetpolicy") formelles,actualises et approuves par l'organe ultime de dcision de votre organisation qui doivent rgulirement tre communiques toutes les parties


13/25


concernes et qui consacrent une attention l'utilisation de donnes caractre personnel dans un courrier lectronique.

8 ACCS DES DONNES CARACTRE PERSONNEL(voir ISO 2700211 Contrle d'accs)

8.1 EXIGENCES RELATIVES AU CONTRLE D'ACCS(voir ISO 2700211.1 Exigences mtier relatives au contrle d'accs)

A-8.1.1 Votre organisation doit disposer d'une politique de contrle des accs approuve et actualise concernant l'octroi, la modification et la suppression dedroits d'accs des systmes qui utilisent/traitent des donnes caractre personnel.

Cette politique doit tre tablie, documente et examine sur la base de la classification des donnes caractre personnel.

8.2 RESPONSABLE DES DROITS D'ACCS DES UTILISATEURS(voir ISO 2700211.2 Gestion de l'accs utilisateur)

A-8.2.1 Votre organisation doit dsigner un responsable charg de la gestion de toutes les demandes relatives l'accs des donnes caractre personnel.Ce responsable doit tre diffrent de la personne qui octroie, adapte ou supprime les droits d'accs au niveau technique dans les systmes.

8.3 RESPONSABILIT S UTILISATEURS(voir ISO 2700211.3 Responsabilits utilisateurs)

A-8.3.1 Les utilisateurs doivent tre informs de leur responsabilit dans le cadre d'une scurisation des accs efficace, notamment concernant l'utilisation demots de passe et la scurit du matriel sur lequel des donnes caractre personnel sont utilises/traites.

8.4 CONTR LE D'ACC S AUX R SEAUX(voir ISO 2700211.4 Contrle d'accs aux rseaux)

A-8.4.1 Votre organisation doit dfinir des mesures de protection appropries si un accs en ligne est accord (par exemple via Internet ou un rseau sans fil) des donnes caractre personnel.

8.5 CONTRLE D'ACCS AUX APPLICATIONS ET L'INFORMATION(voir ISO 2700211.6 Contrle d'accs aux applications et l'information)

A-8.5.1 Les mesures de scurit ncessaires doivent tre dfinies afin de limiter l'accs aux donnes caractre personnel.


14/25


A-8.5.2 Votre organisation doit limiter l'accs des gestionnaires d'informations (gestionnaires de systmes, galement appels "superusers") aux systmesinformatiques sur lesquels les donnes caractre personnel sont utilises/traites.

8.6 TRAVAILLER DISTANCE(voir ISO 2700211.7 Informatique mobile et tltravail)

A-8.6.1 Votre organisation doit disposer dune politique formelle en matire dutilisation de matriel informatique mobile qui doit tenir compte des risques que

comporte le travail dans des environnements non protgs. En matire de tltravail, il faut conclure des accords et dfinir des mesures de scurit quisoient conformes la politique de scurit de votre organisation.

Le personnel qui utilise du matriel informatique portable ou qui fait du tltravail doit recevoir des instructions pour le conscientiser aux risquessupplmentaires de cette manire de travailler et aux mesures de gestion qui sont prises.

9 ACQUISITION, D VELOPPEMENT ET MAINTENANCE DES SYST MES D'INFORMATION(voir ISO 2700212 Acquisition, dveloppement et maintenance des systmes d'information)

9.1 EXIGENCES DE SCURIT APPLICABLES AUX SYSTMES D'INFORMATION(voir ISO 2700212.1 Exigences de scurit applicables aux systmes d'information)

A-9.1.1 Votre organisation doit disposer d'une approche structure pour garantir intgralement les exigences de scurit des donnes caractre personnel lorsdu dveloppement de systmes d'information (lors de l'input, du traitement et de l'output).

9.2 SCURIT EN MATIRE DE DVELOPPEMENT ET D'ASSISTANCE TECHNIQUE(voir ISO 2700212.5 Scurit en matire de dveloppement et d'assistance technique)

A-9.2.1 Votre organisation doit appliquer des procdures de modification formelles et claires afin de limiter au minimum le risque de modifications errones oula perte de donnes caractre personnel.

A-9.2.2 Votre organisation doit disposer de procdures pour le dveloppement de nouveaux systmes ou dimportantes volutions de systmes existants demanire ce que le responsable du projet tienne compte des exigences de scurit ncessaires.


15/25


10 INCIDENTS LI S LA S CURIT DE L'INFORMATION(voir ISO 2700213 Gestion des incidents lis la scurit de l'information)

10.1 SIGNALEMENT DES VNEMENTS ET DES FAILLES LIS LA SCURIT DE L'INFORMATION(voir ISO 2700213.1 Signalement des vnements et des failles lis la scurit de l'information)

A-10.1.1 Votre organisation doit veiller ce que la cellule de scurit de l'information/le responsable du traitement soit toujours directement informed'vnements et d'incidents pouvant compromettre ou ayant compromis la scurit de l'information de donnes caractre personnel.

A-10.1.2 Votre organisation doit veiller ce que la cellule de scurit de l'information/le responsable du traitement soit toujours directement informe des faillesdtectes dans la scurit des systmes ou des services concerns par le traitement de donnes caractre personnel.

A-10.1.3 Votre organisation doit disposer dune procdure formelle et actualise pour le signalement dvnements lis la scurit de l information, combine une procdure de raction et de remonte dinformation et de rponse pour les incidents impliquant des donnes caractre personnel.

10.2 GESTION DES AMLIORATIONS ET INCIDENTS LIS LA SCURIT DE L'INFORMATION(voir ISO 2700213.2 Gestion des amliorations et incidents lis la scurit de l'information)

A-10.2.1 Les responsabilits et les procdures doivent tre dfinies concernant la dtection et le traitement d'incidents lis la scurit de l'information et de

failles impliquant des donnes caractre personnel qui sont rapports.

A-10.2.2 La cellule de scurit de l'information/le responsable du traitement doit tre systmatiquement informe de toutes les mesures qui sont prises pourfaire face aux incidents lis la scurit de l'information et aux failles impliquant des donnes caractre personnel.

11 CONTINUIT DE L'ACTIVIT(voir ISO 2700214 Gestion du plan de continuit de l'activit)

11.1 ASPECTS DE LA SCURIT DE L'INFORMATION EN MATIRE DE GESTION DE LA CONTINUIT DE L'ACTIVIT(voir ISO 2700213 Aspects de la scurit de l'information en matire de gestion de la continuit de l'activit)

A-11.1.1 Votre organisation doit prendre toutes les mesures possibles pour garantir la continuit de la disponibilit des donnes ca ractre personnel (sur labase d'une analyse des risques).


16/25


12 CONFORMIT(voir ISO 2700215 Conformit)

12.1 CONFORMIT AVEC LES EXIGENCES LGALES(voir ISO 2700215.1 Conformit avec les exigences lgales)

A-12.1.1 Votre organisation doit toujours respecter toutes les lois et les rgles en vigueur concernant le traitement et la protection des donnes caractrepersonnel. Il faut au moins respecter les dispositions reprises dans la loi du 8 dcembre 1992 relative la protection de la vie prive l'gard destraitements de donnes caractre personnel (Loi vie prive) et son arrt d'excution (AR du 13 fvrier 2001). En fonction du traitement de donnes,ce cadre lgal est complt par une lgislation spcifique :

Arrt royal du 17 dcembre 2003 fixant les modalits relatives la composition et au fonctionnement de certains comits sectoriels institus ausein de la Commission de la protection de la vie prive ;

Loi du 8 aot 1983 organisant un registre national des personnes physiques; Loi du 15 janvier 1990 relative linstitution et lorganisation dune Banque-carrefour de la scurit sociale; Loi du 16 janvier 2003 portant cration d'une Banque-Carrefour des Entreprises, modernisation du registre de commerce, cration de guichets-

entreprises agrs et portant diverses dispositions; Loi du 10 aot 2005 instituant le systme d'information Phenix; Loi du 4 juillet 1962 relative la statistique publique; Arrt royal du 7 juin 2007 fixant les modalits relatives la composition et au fonctionnement du Comit de surveillance statistique institu au

sein de la Commission de la protection de la vie prive; Circulaire du 9 janvier 2002 relative laccs aux informations enregistres dans le Registre national des personnes physiques et aux mesures en

vue de garantir la scurit des donnes; Circulaire du 24 septembre 2007 : Obligations incombant aux responsables de traitement; Circulaire du 12 mars 2008 : Protection de la vie prive l'gard des traitements de donnes caractre personnel - Accs aux informations du

Registre national - Mesures de scurit visant garantir la confidentialit et l'intgrit des donnes, l'authentification des utilisateurs et laconservation de la trace des activits excutes sur les systmes d'information ;

Circulaire du 10 juillet 2008 : Protection de la vie prive l'gard des traitements de donnes caractre personnel - Accs aux informations duRegistre national Respect des finalits pour lesquelles l'autorisation d'accder aux informations du Registre national ou d'en obtenircommunication a t accorde.
http://www.privacycommission.be/nl/legislation/national/#N100CEhttp://www.privacycommission.be/nl/legislation/national/#N100D9http://www.privacycommission.be/nl/legislation/national/#N10119http://www.privacycommission.be/nl/legislation/national/#N10124http://www.privacycommission.be/nl/legislation/national/#N10144http://www.privacycommission.be/nl/legislation/national/#N10144http://www.privacycommission.be/nl/legislation/national/#N10124http://www.privacycommission.be/nl/legislation/national/#N10119http://www.privacycommission.be/nl/legislation/national/#N100D9http://www.privacycommission.be/nl/legislation/national/#N100CE


17/25


A-12.1.2 Avant d'acqurir ou de dvelopper un systme qui utilise/traite des donnes caractre personnel, votre organisation doit systmatiquement vrifier siune autorisation (sous la forme ou non d'une adhsion) est requise. Si tel est le cas, elle doit prendre des mesures pour satisfaire toutes les obligations,en particulier la mention de l'identit du conseiller en scurit de l'information et la description de la politique de scurit l'gard du comit sectoriel enquestion et au moyen des formulaires prescrits par ce mme comit.

A-12.1.3 Votre organisation doit disposer de procdures actualises pour l'laboration et l'entretien de la documentation qui concerne la (les) autorisation(s)

accorde(s).

A-12.1.4 Votre organisation doit disposer d'une approche approuve pour vrifier que l'autorisation reste respecte lors de toute modi fication de l'application quiutilise/traite des donnes caractre personnel pour laquelle cette autorisation a t accorde.

12.2 CONFORMIT AVEC LES POLITIQUES ET NORMES DE SCURIT ET CONFORMIT TECHNIQUE(voir ISO 2700215.2 Conformit avec les politiques et normes de scurit et conformit technique)

A-12.2.1 Votre organisation doit rgulirement organiser un audit de qualit concernant la scurit de l'information des donnes caractre personnel. Cet auditdoit porter sur les domaines suivants :

- politique lie la scurit de l'information ;- organisation de la scurit de l'information ;- gestion des biens ;- exigences de scurit concernant le personnel ;- scurit physique ;- gestion oprationnelle ;- scurit logique des accs ;- entretien et dveloppement des systmes d'information ;- gestion des incidents lis la scurit de l'information ;- processus de gestion de la continuit de l'activit ;- conformit.


18/25


PARTIE B NORMES DE MISE EN OEUVRE SPCIFIQUES/TECHNIQUES

4 BIENS(voir ISO 270027 Gestion des biens)

4.1 RESPONSABILITS RELATIVES AUX BIENS(voir ISO 270027.1 Responsabilits relatives aux biens)B-4.1.1 Un inventaire actualis des moyens pertinents relatifs aux traitements de donnes caractre personnel doit tre tabli en collaboration avec les

services oprationnels concerns. Les moyens pertinents sont notamment :- linformation ;- les logiciels ;- les moyens physiques ;- les services ;- tous les utilisateurs (y compris les droits daccs).

B-4.1.2 Dans cet inventaire, chaque moyen pertinent relatif un traitement de donnes caractre personnel doit tre coupl une fonction/personnedtermine au sein de votre organisation (responsabilit).

4.2 CLASSIFICATION DES INFORMATIONS(voir ISO 270027.2 Classification des informations)B-4.2.1 Lors de lutilisation et du traitement de donnes caractre personnel, il faut clairement tenir compte de la distinction entre les types de donnes

suivants : donnes anonymes ; donnes caractre personnel ; donnes caractre personnel sensibles ; donnes caractre personnel codes, sensibles ou non.


19/25


5 RESSOURCES HUMAINES(voir ISO 270028 Scurit lie aux ressources humaines)

5.2 SCURIT DE L'INFORMATION PENDANT LA DURE DU CONTRAT(voir ISO 270028.2 Pendant la dure du contrat)B-5.2.1 Votre organisation doit prendre toutes les mesures adquates afin d'empcher que des donnes caractre personnel ne quittent votre organisation

sans contrle et ne tombent entre des mains non autorises.Notamment en :- protgeant les biens contre un accs, une diffusion, une modification, une destruction ou une intrusion non autoriss ;- excutant des activits ou des processus de scurit particuliers ;- garantissant que la responsabilit des actes poss soit toujours clairement attribue une personne ;- signalant des vnements de scurit ou des vnements potentiels ou d'autres risques lis la scurit de l'organisation.

5.3 S CURIT DE L'INFORMATION EN CAS DE FIN OU DE MODIFICATION DE CONTRAT(voir ISO 270028.3 Fin ou modification de contrat)B-5.3.1 Lors de la fin dun contrat avec un travailleur, un contractant ou un utilisateur externe, une procdure formelle doit tre applique pour la restitution

notamment de tous les programmes fournis, les documents appartenant la socit, le matriel et les cartes daccs. Dans le cas de lutilisation dematriel personnel, des mesures appropries doivent tre appliques pour le transfert de toutes les informations pertinentes lorganisation et la

suppression correcte des informations figurant sur le matriel.

B-5.3.2 Les droits daccs des travailleurs, contractants et utilisateurs externes aux informations et au matriel doivent tre bloqus lors de la fin du contrat.

B-5.3.3 Lors d'une modification des responsabilits dans le cadre de la participation au traitement de donnes caractre personnel, il faut effectuer lesadaptations ncessaires aux mesures de scurit de l'information, telles que reprises aux points 5.3.1 et 5.3.2.


20/25


6 ENVIRONNEMENT PHYSIQUE(voir ISO 270029 Scurit physique et environnementale)

6.1 SCURIT ENVIRONNEMENTALE(voir ISO 270029.1 Zones scurises)

B-6.1.1 Laccs aux locaux (o des donnes caractre personnel se trouvent ou sont utilises/traites) doit tre strictement limit aux personnes habilitesdsignes par votre organisation.

Cet aspect doit faire l'objet d'un contrle rgulier, aussi bien pendant qu'en dehors des heures de travail normales (journal de bord ou dossier dejournalisation).

B-6.1.2 Les mesures appropries doivent tre prises pour viter les dgts causs par le feu, les inondations, lexplosion, bref, toute forme de calamitsnaturelles ou occasionnes par lhomme. Voici quelques exemples de mesures :

faire correspondre le compartimentage coupe-feu avec la dtection de zones scurises ; prvoir la dtection incendie et les extincteurs adapts et en contrler rgulirement le fonctionnement ; sparer lentreposage des supports pour les sauvegardes et du matriel de rserve de la zone scurise.

6.2 MAT RIEL S CURIS(voir ISO 270029.2 Scurit du matriel)B-6.2.1 Le matriel doit tre protg contre des menaces physiques et des dangers de l'extrieur (mme si ce matriel est utilis/plac hors site). Une attention

doit tre accorde : au placement et la protection du matriel de manire ce qu'il soit protg contre les risques de dommages et de pannes provenant de

l'extrieur et ce que l'accs par des personnes non habilites soit vit ; la protection contre une panne de courant et d'autres pannes rsultant d'une interruption des quipements d'utilit publ ique ; la scurisation des cbles d'alimentation et de tlcommunication contre une interception ou une dgradation ; l'entretien du matriel.

B-6.2.2 Tout matriel quip de supports de stockage doit tre contrl en cas de la mise au rebut ou de recyclage afin que toutes les donnes caractrepersonnel soient transfres et supprimes de manire scurise. Si ce matriel contient des donnes caractre personnel sensibles, des mesures

spcifiques doivent tre prises pour dtruire physiquement ce matriel ou supprimer les informations au moyen de techniques qui rendent impossibletoute rcupration.


21/25


7 PROC DURES OP RATIONNELLES ET DE COMMUNICATION(voir ISO 2700210 Gestion de l'exploitation et des tlcommunications)

7.2 PROTECTION CONTRE LES CODES MALVEILLANTS ET MOBILES(voir ISO 2700210.4 Protection contre les codes malveillants et mobiles

B-7.2.1 Votre service informatique doit utiliser des systmes actualiss de protection (prvention, dtection et suppression) contre les codes malveillants et decontrle des codes mobiles au niveau de :

- tous les utilisateurs finaux, par exemple sur l'ordinateur, et gnrer des rapports priodiques, et- tous les composants du rseau, par exemple via Internet, et gnrer des rapports priodiques.

7.3 SAUVEGARDE(voir ISO 2700210.5 Sauvegarde)B-7.3.1 Vos responsables de la gestion des sauvegardes doivent effectuer rgulirement des sauvegardes compltes et contrles des donnes caractre

personnel et doivent contrler rgulirement s'ils sont en mesure de pouvoir rutiliser ces sauvegardes (restore).

B-7.3.2 Vos responsables de la gestion des sauvegardes doivent prendre les mesures ncessaires pour garantir la confidentialit, l'intgrit et l'accessibilitrelatives aux donnes de sauvegarde.

7.4 SCURIT DES RSEAUX(voir ISO 2700210.6 Gestion de la scurit des rseaux)B-7.4.1 Vos gestionnaires de rseaux doivent prendre des mesures de scurit pour protger les diffrents rseaux auxquels le matriel (qui traite les donnes

caractre personnel) est connect.

B-7.4.2 Vos gestionnaires de rseaux doivent prendre les mesures de gestion ncessaires au niveau des rseaux de l'information pour :- garantir la confidentialit et l'intgrit concernant les donnes caractre personnel, et- prvenir un accs non autoris ;- Rpondre aux exigences de disponibilit et de capacit.


22/25


7.5 MANIPULATION DES SUPPORTS IT PHYSIQUES(voir ISO 2700210.7 Manipulation des supports)B-7.5.1 Lors de l'utilisation de supports amovibles sur lesquels sont stockes des donnes caractre personnel, il faut prendre les mesures de gestion

adquates. En voici quelques exemples : si le support amovible quitte le primtre de scurit :

o les donnes caractre personnel stockes doivent tre supprimes si elles ne sont plus ncessaires ;o avec des donnes caractre personnel, il faut obtenir au pralable un accord et tenir un registre ;

n'autoriser l'accs des postes munis de supports amovibles que si cela est ncessaire pour des raisons de service ; la conservation de donnes caractre personnel sur des supports amovibles doit tre conforme la dure de vie du support. Si la dure de

conservation dpasse la dure de vie, les donnes doivent galement tre stockes ailleurs.

7.7 MONITORING(voir ISO 2700210.10 Surveillance)B-7.7.1 Pour l'utilisation et le traitement de donnes caractre personnel, votre organisation doit constituer des rapports d'audit clairement protgs

(activits, exceptions, vnements), conformment aux mesures de rfrence de la Commission de la protection de la vie prive.

B-7.7.2 Votre organisation doit disposer d'une liste actualise de toutes les personnes et de leurs niveaux d'accs respectifs aux donnes caractre personnel.

8 ACC S DES DONN ES CARACT RE PERSONNEL(voir ISO 2700211 Contrle d'accs)

8.4 CONTRLE D'ACCS AUX RSEAUX(voir ISO 2700211.4 Contrle d'accs aux rseaux)B-8.4.1 Vos gestionnaires de rseaux doivent prendre des mesures de protection appropries si un accs en ligne est accord (par exemple via Internet ou via

un rseau sans fil) des donnes caractre personnel8.5 CONTR LE D'ACC S AUX APPLICATIONS ET L'INFORMATION(voir ISO 2700211.6 Contrle d'accs aux applications et l'information)B-8.5.1 Par application de la socit sur la base des exigences de scurit, votre service informatique doit prendre les mesures de protection ncessaires pour

limiter l'accs aux donnes caractre personnel.


23/25


Cela doit se faire au moyen d'un systme :- d'identification (qui tes-vous ?) ;- d'authentification (de quelle manire prouvez-vous qui vous tes ?) ;- et d'autorisation (que pouvez-vous faire ?).

B-8.5.2 L'accs de vos gestionnaires d'informations (gestionnaires de systmes, galement appels "superusers") aux systmes informatiques sur lesquels les

donnes caractre personnel sont utilises/traites doit tre limit au moyen d'une :- identification (qui tes-vous ?) ;- authentification (de quelle manire prouvez-vous qui vous tes ?) ;- et autorisation (que pouvez-vous faire en tant que superuser ?).

8.6 TRAVAILLER DISTANCE(voir ISO 2700211.7 Informatique mobile et tltravail)

B-8.6.1 Votre organisation doit instaurer les mesures de gestion ncessaires pour permettre l'utilisation de matriel informatique mobile (y compris d'autressupports mobiles) et le tltravail de manire scurise. Il peut notamment sagir :

de techniques cryptographiques ; de sauvegardes ; dun anti-virus; dune scurisation des accs dans le cas de laccs externe des donnes caractre personnel ; dune scurit physique du matriel informatique portable (y compris des supports mobiles) et du lieu de tltravail contre le vol.

9 ACQUISITION, DVELOPPEMENT ET MAINTENANCE DES SYSTMES D'INFORMATION(voir ISO 2700212 Acquisition, dveloppement et maintenance des systmes d'information)

9.1 EXIGENCES DE S CURIT APPLICABLES AUX SYST MES D'INFORMATION(voir ISO 2700212.1 Exigences de scurit applicables aux systmes d'information)B-9.1.1 Vos exigences de scurit doivent tre clairement et formellement tablies, convenues et documentes avant l'acquisition et/ou le dveloppement et/ou

l'amlioration du systme d'information.

Cette documentation doit toujours tre actualise dans le cadre du lancement d'une nouvelle version ou d'une version amliore du systme


24/25


d'information.

9.2 SCURIT LORS DES PROCESSUS DE DVELOPPEMENT ET DE MAINTENANCE(voir ISO 2700212.5 Scurit en matire de dveloppement et d'assistance technique)B-9.2.1 Avant la mise en production de nouvelles ou d'importantes volutions de systmes existants, le responsable du projet doit vrifier si les exigences de

scurit dfinies au dbut de la phase de dveloppement sont remplies.

10 INCIDENTS LIS LA SCURIT DE L'INFORMATION(voir ISO 2700213 Gestion des incidents lis la scurit de l'information)

10.1 SIGNALEMENT DES VNEMENTS ET DES FAILLES LIS LA SCURIT DE L'INFORMATION(voir ISO 2700213.1 Signalement des vnements et des failles lis la scurit de l'information)B-10.1.1 Votre organisation doit installer un systme qui permet de :

- dtecter ;- assurer le suivi ;- et rparer des failles de scurit relatives aux donnes caractre personnel utilises/traites.

Dans ce contexte, il faut accorder une attention aux processus appropris de feed-back, aux formulaires pour le signalement de failles lies la scuritde l'information.

11 CONTINUIT DE L'ACTIVIT(voir ISO 2700214 Gestion du plan de continuit de l'activit)

11.1 ASPECTS DE LA SCURIT DE L'INFORMATION EN MATIRE DE GESTION DE LA CONTINUIT DE L'ACTIVIT(voir ISO 2700214.1 Aspects de la scurit de l'information en matire de gestion de la continuit de l'activit)B-11.1.1 Les procdures ncessaires doivent tre mises en uvre pour la rcupration de vos processus d'exploitation et la remise di sposition des donnes

caractre personnel dans un dlai dfini au pralable. Les procdures peuvent comprendre des procdures d'urgence, de repli et de repri se,

Ces procdures doivent tre documentes, testes et adaptes rgulirement et les personnes concernes doivent tre formes. Les procdures


25/25


concernant la continuit de l'activit doivent galement tre protges contre les fuites et la dgradation, vu les informations sensibles qui y figurent(notamment de quelle manire l'organisation ragira en cas d'incident grave ou de catastrophe).

B-11.1.2 Vos mesures pour la continuit de la disponibilit des donnes caractre personnel doivent tre rgulirement testes et adaptes.

12 CONFORMIT(voir ISO 2700215 Conformit)

12.3 PRISES EN COMPTE DE L'AUDIT DU SYSTME D'INFORMATION(voir ISO 2700215.3 Prises en compte de l'audit du systme d'information)B-12.3.1 Votre organisation doit prendre les mesures de gestion et de scurit appropries pour viter des fuites de donnes, une perte de donnes caractre

personnel, une dgradation des donnes et des perturbations des processus d'exploitation lors d'audits des systmes d'information.

lignes_directrices_securite_de_l_information_0.pdf

Documents