Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

AT-01 - Politique et procédures de sensibilisation et de formation   (PaFF)


Énoncés :


a. Développer, consigner et diffuser à [Affectation : personnel ou rôles définis par l’organisation] :
1. une politique de sensibilisation et de formation [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui : (a) définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité (b) est conforme aux lois, à la jurisprudence, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
2. Procédures pour faciliter la mise en oeuvre de la politique de sensibilisation et de formation ainsi que des contrôles de sensibilisation et de formation connexes
b. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures de sensibilisation et de formation
c. Passer en revue et mettre à jour, par rapport à la sensibilisation et à la formation :
1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Paramètres :


a. tout le personnel a.
1. organisationnel
b. chef de la sécurité de l'information organisationnelle c.
1. triennale; lors de changements significatifs c.
2. annuelle; lors de changements significatifs

Responsable : OP

Discussion :

La politique et les procédures de sensibilisation et de formation abordent les contrôles de la famille AT qui ont été mis en oeuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement des telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de sensibilisation et de formation. En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin de politiques et de procédures propres à la mission ou au système. L’approche à l’égard de la sensibilisation et de la formation peut être intégrée à la stratégie générale sur la sécurité et la protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations. Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission et aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en oeuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts. Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de sensibilisation et de formation comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.