Modèle d'auditISO-IEC 27701:2019 : Gestion des informations de confidentialité
SécuritéGouvernance
Ce modèle d'audit permet de vérifier l'acquisition des compétences nécessaires à la mise en œuvre d'un système de gestion des informations relatives à la vie privée. en vue de la certification à la norme ISO/IEC 27701:2019.
Attention : le modèle ne reprend pas exactement le modèle de la norme.
1. Description
2. Établissement d'un cadre de traitement des données
2.1. L'entreprise a-t-elle défini ses principes de protection des données ?
2.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.3. L'entreprise a-t-elle développé et mis en œuvre des procédures pour le traitement des données ?
2.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.5. L'entreprise a-t-elle mis en place des contrôles pour s'assurer que les données sont traitées conformément aux principes de protection des données ?
2.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.7. L'entreprise a-t-elle défini des procédures pour gérer les changements apportés aux données ?
2.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.9. L'entreprise a-t-elle mis en place des mécanismes pour surveiller le traitement des données ?
2.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.11. L'entreprise a-t-elle développé des procédures pour s'assurer que les données sont correctement sécurisées ?
2.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.13. L'entreprise a-t-elle mis en place des procédures pour s'assurer que les données ne sont pas partagées avec des tiers non autorisés ?
2.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.15. L'entreprise a-t-elle mis en place des procédures pour répondre aux demandes des clients concernant leurs données personnelles ?
2.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.17. Ajouter une pièce jointe (facultatif)
3. Mise en place d'une politique de confidentialité et de sécurité des données
3.1. La politique de confidentialité et de sécurité des données est-elle documentée et approuvée par le responsable ?
3.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.3. Les risques liés à la sécurité des données sont-ils identifiés et évalués ?
3.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.5. Les mesures de sécurité appropriées sont-elles mises en œuvre pour protéger les données ?
3.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.7. Les personnes autorisées à accéder aux données sont-elles bien identifiées et autorisées ?
3.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.9. Y a-t-il une procédure d'alerte et de notification de sécurité des données en cas de violation ?
3.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.11. Est-ce que les fournisseurs et les prestataires de services sont tenus de respecter les exigences de sécurité des données ?
3.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.13. Y a-t-il un processus pour surveiller et vérifier le respect des exigences de sécurité des données ?
3.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.15. Les informations concernant les données et leurs propriétaires sont-elles correctement documentées ?
3.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.17. Les tiers avec qui les données sont partagées sont-ils tenus de respecter les conditions de confidentialité et de sécurité des données ?
3.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.19. Les données sont-elles sauvegardées et archivées en toute sécurité ?
3.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.21. Ajouter une pièce jointe (facultatif)
4. Développement d'un système de contrôle des données
4.1. Existe-t-il des politiques et des procédures pour le traitement et la gestion des données ?
4.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.3. Les accès aux données sont-ils gérés et contrôlés par un système d'authentification ?
4.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.5. Y a-t-il des procédures en place pour gérer et signaler les incidents de sécurité des données ?
4.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.7. Y a-t-il des procédures de contrôle des données ?
4.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.9. Le système de contrôle des données est-il régulièrement testé et évalué ?
4.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.11. Les lois et réglementations de protection des données sont-elles respectées ?
4.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.13. Les exigences de sécurité des données sont-elles appliquées ?
4.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.15. Y a-t-il des systèmes pour surveiller et vérifier le respect des exigences de sécurité des données ?
4.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.17. Les systèmes de contrôle des données sont-ils mis à jour régulièrement ?
4.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.19. Les systèmes de contrôle des données sont-ils adaptés aux changements en matière de données ?
4.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.21. Ajouter une pièce jointe (facultatif)
5. Surveillance et vérification régulières de la conformité aux règles
5.1. Les processus et systèmes en place sont-ils conformes à la politique et aux règles de protection des données à caractère personnel ?
5.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.3. Les audits de conformité sont-ils menés périodiquement ?
5.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.5. Les résultats des audits sont-ils analysés et les recommandations mises en œuvre ?
5.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.7. Les dispositions de sécurité sont-elles mises en œuvre pour assurer la confidentialité des données à caractère personnel ?
5.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.9. Les systèmes et processus sont-ils vérifiés régulièrement pour détecter et corriger les erreurs et les failles ?
5.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.11. Des mesures supplémentaires sont-elles mises en œuvre pour prévenir la perte, la destruction ou la divulgation non autorisée des données à caractère personnel ?
5.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.13. Les points faibles des systèmes et processus de protection des données sont-ils identifiés et corrigés ?
5.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.15. Les informations relatives à la protection des données à caractère personnel sont-elles mises à jour régulièrement et distribuées aux parties concernées ?
5.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.17. Ajouter une pièce jointe (facultatif)
6. Préparation pour les crises de données et réponse aux incidents
6.1. Des plans de préparation et de réponse aux incidents liés à des violations de données à caractère personnel sont-ils en place ?
6.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.3. Des procédures de gestion des incidents liés à des violations de données à caractère personnel sont-elles mises en œuvre ?
6.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.5. Les responsabilités et les devoirs des différentes parties impliquées dans la gestion des incidents liés à des violations de données sont-ils définis ?
6.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.7. Des mécanismes de communication et de notification sont-ils mis en place pour informer les parties concernées ?
6.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.9. Des procédures pour gérer et documenter les incidents liés à des violations de données sont-elles en place ?
6.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.11. Des plans pour évaluer et corriger les incidents liés à des violations de données sont-ils mis en œuvre ?
6.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.13. Des mesures sont-elles mises en place pour évaluer et corriger les effets des incidents liés à des violations de données ?
6.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.15. Ajouter une pièce jointe (facultatif)
7. Mise en place de mécanismes d'informations sur les données
7.1. Des mécanismes d'information sur les données sont-ils mis en place pour répondre aux demandes des clients et des autorités de contrôle ?
7.2. Si oui, lesquel(s) ?
7.3. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.4. Des procédures sont-elles mises en œuvre pour fournir des informations sur les données à caractère personnel aux clients et aux autorités de contrôle ?
7.5. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.6. Des procédures sont-elles mises en place pour gérer la divulgation des informations relatives aux données à caractère personnel ?
7.7. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.8. Des procédures sont-elles mises en place pour gérer la protection des données ?
7.9. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.10. Des mécanismes sont-ils mis en place pour garantir la confidentialité et l'intégrité des informations relatives aux données à caractère personnel ?
7.11. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.12. Ajouter une pièce jointe (facultatif)
8. Développement d'un plan de gestion des données
8.1. Des plans de gestion des données sont-ils en place pour le traitement des données à travers les entreprises ?
8.2. Si oui, lesquel(s) ?
8.3. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.4. Des procédures sont-elles mises en place pour gérer les données à caractère personnel ?
8.5. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.6. Des procédures sont-elles en place pour gérer les transferts internationaux de données à caractère personnel ?
8.7. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.8. Des processus de traitement et de transfert des données à caractère personnel sont-ils une fois examinés et compris ?
8.9. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.10. Des mécanismes sont-ils en place pour surveiller et contrôler le traitement des données à caractère personnel ?
8.11. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.12. Des mesures sont-elles mises en place pour assurer la sécurité et la confidentialité des données à caractère personnel ?
8.13. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.14. Ajouter une pièce jointe (facultatif)
Créé le:20/02/2023
Mis à jour le :30/07/2024
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :
Nombre d'utilisations :1