Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

AC-03(09) - Diffusion contrôlée   (Pa--)


Énoncés :

Diffuser de l’information hors du système uniquement si :
a. le [Affectation : système ou composant du système désigné par l’organisation] destinataire fournit les [Affectation : contrôles définis par l’organisation]
b. les [Affectation : contrôles définis par l’organisation] sont utilisés pour valider la pertinence de l’information désignée à des fins de diffusion

Paramètres :

Responsable : Aucun

Discussion :

Les organisations peuvent uniquement protéger l’information directement lorsqu’elle réside dans le système. Des contrôles additionnels pourraient être nécessaires pour veiller à ce que l’information organisationnelle soit protégée de façon adéquate une fois qu’elle a été transmise hors du système. Dans les cas où le système est incapable de déterminer la convenance des mesures de protection fournies par des entités externes, à titre de contrôle d’atténuation, les organisations établissent, en fonction des procédures, si les systèmes externes fournissent des contrôles adéquats. Les moyens servant à déterminer la convenance des contrôles assurée par les systèmes externes comprennent la conduite d’évaluations périodiques (inspections ou tests), l’établissement d’ententes entre l’organisation et les organisations homologues ou d’autres processus. Les mécanismes qu’utilisent les entités externes pour protéger l’information reçue peuvent être différents de ceux qu’emploie l’organisation, mais ils doivent être suffisants afin de statuer sur la stratégie sur la sécurité et la protection de la vie privée pour protéger l’information et la vie privée des individus. La diffusion contrôlée de l’information exige que les systèmes mettent en oeuvre des mécanismes techniques ou procéduraux pour valider l’information avant de la diffuser à des systèmes externes. Par exemple, si le système transmet l’information à un autre système contrôlé par une autre organisation, les mécanismes techniques servent à confirmer que les attributs de sécurité et de protection de la vie privée associés à l’information exportée sont appropriés pour le système destinataire. Autrement, si le système transmet de l’information à une imprimante dans un espace contrôlé par l’organisation, des mécanismes procéduraux peuvent être mis en oeuvre pour s’assurer que seules les personnes autorisées peuvent accéder à l’imprimante.