Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

AT-02 - Formation et sensibilisation en matière de sécurité   (PaFF)  (Obligatoire)


Énoncés :


a. Fournir une formation sur la sécurité et la protection de la vie privée aux utilisatrices et utilisateurs du système (y compris les gestionnaires, les cadres supérieures et supérieurs et les entrepreneures et entrepreneurs) :
1. dans le cadre d’une formation de base pour les nouvelles utilisatrices et nouveaux utilisateurs, et tous les [Affectation : fréquence définie par l’organisation] par la suite
2. lors de changements apportés au système ou à la suite de [Affectation : événements définis par l’organisation]
b. Utiliser les techniques suivantes pour accroître la sensibilisation à la sécurité et à la protection de la vie privée des utilisatrices et utilisateurs du système [Affectation : techniques de sensibilisation définies par l’organisation]
c. Mettre à jour le contenu de la formation et sensibilisation en matière de sécurité tous les [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
d. Incorporer les leçons apprises des incidents ou des violations de sécurité internes ou externes dans les techniques de formation et sensibilisation en matière de sécurité

Paramètres :

a.
1. à définir par l'organisme (minimalement aux 2 ans) a.
2. modification du matériel ou du contenu de formation
b. à définir par l'organisme (exemples: présentations, dépliants, affiches, courriels, apprentissage en ligne, capsules)
c. à définir par l'organisme; résultats d'évaluation ou d'audit, événements de sécurité, modifications des lois, décrets, directives, réglementations, politiques, normes et lignes directrices applicables, etc.
aaQC. échanges de données sensibles et confidentielles, bonnes pratiques d'utilisation des appareils mobiles, hameçonnage, virus et rançongiciels, piratage psychologique (ingénierie sociale), sécurité des appareils mobiles et les bonnes pratiques d’utilisation de l’intelligence artificielle générative (IAG).

Responsable : OP

Date limite de mise en oeuvre : 2021-06-30

Discussion :

Les organisations peuvent fournir des niveaux de base et avancés de formation sur la sécurité aux utilisatrices et utilisateurs, y compris des mesures visant à tester leur niveau de connaissance. Selon les besoins, les organisations peuvent apporter un complément au contenu de la formation et de la sensibilisation à la sécurité en fonction de leurs exigences organisationnelles particulières, des systèmes auxquels le personnel a accès et des environnements de travail (par exemple, le télétravail). Le contenu devrait comprendre une présentation des besoins de sécurité et de protection de la vie privée ainsi que les mesures que doivent prendre les utilisatrices et utilisateurs afin de maintenir la sécurité et de protéger les renseignements personnels et d’intervenir en cas d’incident soupçonné. Le contenu devrait inclure les mesures nécessaires en matière de sécurité opérationnelle et de traitement des renseignements personnels. Les techniques de sensibilisation comprennent des affiches, des objets affichant des rappels de sécurité et de protection de la vie privée, des messages au moment de la connexion, des avis envoyés par courriel ou de la part des responsables de l’organisation et des événements de sensibilisation. La formation sur la sécurité suivant la formation initiale décrite dans l’AT-02A.1, est menée à une fréquence conforme aux lois, aux directives, à la réglementation et aux politiques applicables. Une formation ultérieure sur la sécurité peut prendre la forme de courtes séances occasionnelles et comprendre de l’information ponctuelle sur de récents plans d’attaque, des changements apportés aux stratégies en matière de sécurité et de protection de la vie privée de l’organisation, des attentes révisées concernant la sécurité et la protection de la vie privée ou un sous-ensemble de sujets tirés de la formation initiale. La mise à jour périodique du contenu de formation et de sensibilisation aide à s’assurer que le contenu reste pertinent. Les événements qui peuvent précipiter une mise à jour du contenu de la formation comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.