Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

AC-01 - Politique et procédures de contrôle d’accès   (PaF-)


Énoncés :


a. Développer, consigner et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
1. une politique de contrôle d’accès [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui : (a) définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité (b) est conforme aux lois, aux décrets, à la jurisprudence, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
2. des procédures pour faciliter la mise en oeuvre de la politique de contrôle d’accès et des contrôles d’accès connexes
b. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées au contrôle d’accès
c. Passer en revue et mettre à jour, par rapport au contrôle d’accès :
1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Paramètres :


a. tout le personnel a.
1. organisationnel
b. chef de la sécurité de l'information organisationnelle c.
1. triennale; lors de changements significatifs c.
2. annuelle; lors de changements significatifs

Responsable : OP

Discussion :

Les politiques de contrôle d’accès abordent les contrôles de la famille AC qui ont été mis en oeuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les fonctions de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de contrôle d’accès. En règle générale, les politiques et les cadres liés au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. Les politiques de contrôle d’accès peuvent être intégrées au cadre général de la sécurité et de la protection de la vie privée ou, inversement, être représentées par de multiples politiques tenant compte de la nature complexe de certaines organisations. Les procédures peuvent être établies pour la sécurité et la protection de la vie privée, pour les processus opérationnels ou liés à la mission, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en oeuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts. Les procédures liées à la protection de la vie privée ne devraient pas avoir un caractère ad hoc. Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de contrôle d’accès comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, à la jurisprudence, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.