AT-03 - Formation selon le rôle (PaFF)
Énoncés :
a. Fournir une formation en sécurité et en protection de la vie privée basée sur les rôles au personnel détenant les rôles et responsabilités suivants : [Affectation : rôles et responsabilités définis par l’organisation]
1. avant d’autoriser l’accès au système ou à de l’information, ou avant la réalisation des tâches attribuées et tous les [Affectation : fréquence définie par l’organisation] par la suite
2. lorsque des changements apportés au système l’exigent
b. Mettre à jour le contenu de la formation offerte selon le rôle tous les [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
c. Incorporer les leçons apprises des incidents ou des violations de sécurité internes ou externes dans la formation axée sur les rôles
Les organisations déterminent le contenu de la formation en tenant compte des rôles et des responsabilités des personnes, ainsi que des exigences de sécurité et de protection de la vie privée de l’organisation et des systèmes auxquels le personnel est autorisé à accéder, ce qui comprend la formation technique spécialement adaptée pour les tâches attribuées. Parmi les rôles pouvant nécessiter une formation selon le rôle, notons les cadres supérieurs ou les dirigeantes principales et dirigeants principaux (par exemple, une ou un chef d’organisme/une ou un chef de la direction, une dirigeante principale ou un dirigeant principal de l’information, une ou un cadre supérieur responsable de la gestion des risques, une ou un cadre supérieur de la gouvernance, une haute ou un haut fonctionnaire ou cadre supérieure ou supérieur approprié en matière de protection de la vie privée), les propriétaires des systèmes, les autorités responsables; les responsables de la sécurité des systèmes; les agentes et agents de la protection des systèmes et de la vie privée; les responsables chargés de l’acquisition et de l’approvisionnement; les architectes d’entreprise; les ingénieures et ingénieurs de système; les développeuses et développeurs de logiciels; les ingénieures et ingénieurs en sécurité des systèmes; les praticiennes et praticiens de la protection de la vie privée; les administratrices et administrateurs de système, de réseau et de bases de données; les vérificatrices et vérificateurs; le personnel responsable des activités de gestion des configurations; le personnel responsable des activités de vérification et de validation; le personnel doté d’un accès logiciel de niveau système; les évaluatrices et évaluateurs des contrôles; le personnel ayant des tâches liées à la planification d’urgence et à l’intervention en cas d’incident; le personnel assumant des responsabilités liées à la gestion de la protection de la vie privée; et le personnel ayant accès aux renseignements personnels. La formation complète axée sur les rôles concerne les rôles et les responsabilités techniques, opérationnels et de gestion qui sont associés aux contrôles physiques, techniques et du personnel. Une formation axée sur les rôles comporte également des stratégies, des procédures, des outils, des méthodes et des artéfacts qui sont adaptés aux rôles de sécurité et de protection de la vie privée définis. Dans le cadre de leur programme de sécurité et de protection de la vie privée, les organisations doivent également fournir la formation nécessaire afin que les personnes puissent s’acquitter de leurs responsabilités en matière de gestion des opérations et de la chaîne d’approvisionnement. La formation selon le rôle s’applique également aux entrepreneures et entrepreneurs qui fournissent des services aux organismes fédéraux. Les types de formation comprennent la formation Web et assistée par ordinateur, la formation en classe ainsi que la formation pratique (incluant une microformation). Mettre à jour la formation selon le rôle sur une base régulière aide à s’assurer que le contenu demeure pertinent et efficace. Les événements qui peuvent précipiter une mise à jour du contenu de la formation comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.