Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.
32 mesures ou améliorations.
Télécharger le référentiel
a. Développer, consigner et diffuser à : 1. une politique d’évaluation, d’autorisation et de surveillance qui : (a) définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité (b) est conforme aux lois, aux décrets, aux directives, à la réglemen...
Lire la suite
a. Sélectionner l’évaluatrice ou évaluateur ou l’équipe d’évaluation qui convient pour le type d’évaluation à effectuer b. Élaborer un plan d’évaluations de contrôle qui décrit la portée de l’évaluation, y compris : 1. les contrôles et les améliorations de contrôle faisant l’objet d’une évaluation 2. les procédures d’évaluation à utiliser pour déte...
Lire la suite
Utiliser des évaluatrices et évaluateurs ou des équipes d’évaluatrices et évaluateurs indépendants pour mener des évaluations de contrôle.
Lire la suite
Elles comprennent dans le cadre des évaluations de contrôle, , , .
Lire la suite
Tirer parti des résultats des évaluations de contrôle menées par sur le lorsque l’évaluation respecte .
Lire la suite
a. Approuver et gérer l’échange d’information entre le système et d’autres systèmes au moyen de b. Consigner, dans le cadre des ententes d’échange, les caractéristiques d’interface, les exigences de sécurité et de protection de la vie privée ainsi que les responsabilités liées à chacun des systèmes, et le niveau d’incidence de l’information commun...
Lire la suite
Annulé : Transféré sous le contrôle SC-07(25).
Lire la suite
Annulé : Transféré sous le contrôle SC-07(26).
Lire la suite
Annulé : Transféré sous le contrôle SC-07(27).
Lire la suite
Annulé : Transféré sous le contrôle SC-07(28).
Lire la suite
Annulé : Transféré sous le contrôle SC-07(05).
Lire la suite
Vérifier que les personnes ou les systèmes qui transfèrent des données entre des systèmes interconnectés ont les autorisations nécessaires (c’est-à-dire des autorisations écrites ou privilégiées) avant d’accepter de telles données.
Lire la suite
a. Identifier les échanges d’information éphémères (en aval) avec d’autres systèmes par le biais des systèmes identifiés au contrôle CA-03A b. Prendre les mesures nécessaires pour assurer que les échanges d’information éphémères (en aval) cessent lorsqu’il devient impossible de vérifier ou de valider les contrôles sur des systèmes (en aval) éphémèr...
Lire la suite
Annulé : Intégré au contrôle CA-02.
Lire la suite
a. Développer un plan d’action et des jalons pour le système afin de consigner les mesures correctives de l’organisation pour corriger les faiblesses ou les lacunes relevées durant l’évaluation des contrôles et pour réduire et éliminer les vulnérabilités connues du système b. Mettre à jour le plan d’action et les jalons existants en tenant compte ...
Lire la suite
Assurer l’exactitude, l’actualité et la disponibilité du plan d’action et des jalons pour le système se servant de .
Lire la suite
a. Attribuer à une cadre supérieure ou un cadre supérieur le rôle d’autorité responsable ou de gardienne ou gardien du système b. Attribuer à une cadre supérieure ou un cadre supérieur le rôle d’autorité responsable ou de gardienne ou gardien des contrôles courants pouvant être hérités par les systèmes organisationnels c. S’assurer que l’autorité r...
Lire la suite
Faire appel à un processus d’autorisation conjointe pour le système qui comprend plusieurs autorités responsables de la même organisation menant le processus d’autorisation.
Lire la suite
Faire appel à un processus d’autorisation conjointe pour le système qui comprend plusieurs autorités responsables avec au moins une ou un responsable de l’autorisation provenant d’une organisation à l’extérieur de l’organisation menant le processus d’autorisation.
Lire la suite
Élaborer et mettre en oeuvre une stratégie de surveillance continue des systèmes conformément à la stratégie de surveillance continue de l’organisation qui comprend : a. Établir les mesures au niveau du système à surveiller pour : b. la mise en place d’activités de surveillance et pour l’évaluation de l’efficacité des contrôles c. les évaluation...
Lire la suite
Faire appel à des évaluatrices et évaluateurs indépendants ou à des équipes d’évaluation pour surveiller en permanence les contrôles du système.
Lire la suite
Annulé : Intégré au contrôle CA-02.
Lire la suite
Utiliser des analyses de tendances pour déterminer s’il faut modifier les mises en oeuvre de contrôles, la fréquence des activités de surveillance continue ou tout autre type d’activités utilisées dans le cadre du processus de surveillance continue, en se basant sur des données empiriques.
Lire la suite
S’assurer que la surveillance des risques fait partie intégrante de la stratégie de surveillance continue qui comprend ce qui suit : a. la surveillance de l’efficacité b. la surveillance de la conformité c. la surveillance des changements
Lire la suite
Utiliser les mesures suivantes pour valider que les stratégies sont établies et que les contrôles mis en oeuvre sont fonctionnels de façon uniforme : .
Lire la suite
Assurer l’exactitude, l’actualité et la disponibilité des résultats de surveillance pour le système en se servant de .
Lire la suite
Effectuer des tests d’intrusion sur .
Lire la suite
Faire appel à une équipe, agente ou agent indépendant chargé des tests d’intrusion pour effectuer des tests d’intrusion sur le système ou les composants du système.
Lire la suite
Avoir recours à des exercices effectués par l’équipe de testeuses et testeurs pour simuler des tentatives de compromission des systèmes organisationnels lancées par des adversaires conformément aux règles d’engagement : .
Lire la suite
Utiliser un processus de tests d’intrusion qui comprend tentatives de contournement des contrôles associés aux points d’accès physique de l’installation.
Lire la suite
a. Autoriser les connexions internes de au système b. Consigner, pour chaque connexion interne, les caractéristiques d’interface, les exigences de sécurité et de protection de la vie privée, et la nature de l’information communiquée c. Interrompre les connexions des systèmes internes après d. Examiner la nécessité de chaque connexion interne
Lire la suite
Vérifier la conformité des composants aux exigences de sécurité avant d’établir une connexion interne.
Lire la suite