Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.
66 mesures ou améliorations.
Télécharger le référentiel
a. Développer, consigner et diffuser à : 1. une politique de gestion des configurations qui : (a) définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité (b) est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politi...
Lire la suite
a. Élaborer, consigner et tenir à jour, dans le cadre du contrôle des configurations, une configuration de référence du système b. Passer en revue et mettre à jour la configuration de référence du système : 1. 2. le cas échéant, selon 3. lorsque des composants du système sont installés ou modifiés
Lire la suite
Annulé : Intégré au contrôle CM-02.
Lire la suite
Assurer l’actualité, le caractère exhaustif, l’exactitude et la disponibilité de la configuration de références pour le système en se servant de .
Lire la suite
Conserver versions de configurations de référence antérieures du système pour permettre le retour à la version précédente.
Lire la suite
Annulé : Intégré au contrôle CM-07(04).
Lire la suite
Annulé : Intégré au contrôle CM-07(05).
Lire la suite
Conserver pour les environnements de développement et de tests des systèmes une configuration de référence gérée séparément de la configuration de référence opérationnelle.
Lire la suite
a. Remettre dotés de aux personnes qui se rendent dans des endroits que l’organisation juge très risqués b. Appliquer les contrôles suivants aux systèmes ou aux composants de systèmes lorsque les personnes reviennent de voyage :
Lire la suite
a. Déterminer et consigner les types de changements apportés au système qui sont contrôlés par la configuration b. Examiner les changements proposés au système qui sont contrôlés par la configuration et les approuver ou les refuser en tenant compte explicitement des répercussions sur la sécurité et la protection de la vie privée c. Consigner les dé...
Lire la suite
Utiliser des pour : a. consigner les changements proposés au système b. aviser des changements proposés au système et des demandes de changement approuvées c. souligner les changements proposés au système qui n’ont pas été approuvés ou qui ont été jugés défavorables avant d. interdire tout changement au système jusqu’à l’obtention des approbatio...
Lire la suite
Tester, valider et consigner les changements au système avant de les mettre en oeuvre dans le système.
Lire la suite
Apporter des changements au système de référence actuel et les déployer ensuite dans tout le système au moyen de .
Lire la suite
Exiger soit membre de .
Lire la suite
Mettre automatiquement en place les mesures de sécurité suivantes lorsque des configurations de référence sont modifiées sans autorisation : .
Lire la suite
S’assurer que les mécanismes cryptographiques utilisés pour fournir les contrôles suivants soient intégrés à la gestion des configurations : .
Lire la suite
Passer en revue les changements apportés au système et pour déterminer si des changements non autorisés ont été apportés.
Lire la suite
Empêcher ou limiter les changements à la configuration du système dans les situations suivantes : .
Lire la suite
Analyser les changements visant le système pour déterminer les répercussions possibles sur la sécurité et la protection de la vie privée avant leur mise en oeuvre.
Lire la suite
Analyser les changements apportés au système dans un environnement de test distinct avant de les appliquer dans un environnement opérationnel afin de déceler toute lacune, faiblesse, incompatibilité ou intention malveillante susceptible d’influer sur la sécurité et la protection de la vie privée.
Lire la suite
Après les changements apportés au système, s’assurer que les contrôles ont été mis en oeuvre correctement, qu’ils fonctionnent comme prévu et qu’ils produisent les résultats escomptés tout en respectant les exigences relatives à la sécurité et à la protection de la vie privée du système.
Lire la suite
Définir, documenter, approuver et appliquer les restrictions d’accès physiques et logiques associées aux changements apportés au système.
Lire la suite
a. Appliquer les restrictions d'accès à l'aide de b. Générer automatiquement des enregistrements de vérification des mesures appliquées
Lire la suite
Annulé : Intégré au contrôle CM-03(07).
Lire la suite
Annulé : Transféré sous le contrôle CM-14.
Lire la suite
Appliquer le principe d’autorisation double avant d’apporter des changements à .
Lire la suite
a. Limiter les privilèges relatifs à la modification des composantes du système ainsi que de l’information relative au système dans un environnement opérationnel ou de production b. Examiner et réévaluer les privilèges
Lire la suite
Limiter les privilèges permettant de changer les logiciels résidants de la bibliothèque de logiciels.
Lire la suite
Annulé : Intégré au contrôle SI-07.
Lire la suite
a. Établir et documenter les paramètres de configuration des composants employés dans le système qui cadrent avec le mode le plus rigoureux sur le plan des exigences opérationnelles à l’aide de b. Mettre en oeuvre les paramètres de configuration c. Déterminer, documenter et approuver tout écart en ce qui a trait aux paramètres de configuration éta...
Lire la suite
Gérer, appliquer et vérifier les paramètres de configuration pour au moyen de .
Lire la suite
Prendre les mesures suivantes pour intervenir lorsque des changements non autorisés sont apportés aux : .
Lire la suite
Annulé : Intégré au contrôle SI-07.
Lire la suite
Annulé : Intégré au contrôle CM-04.
Lire la suite
a. Configurer le système pour fournir uniquement des b. Interdire ou restreindre l’utilisation des fonctions, des ports, des protocoles, des logiciels et des services suivants :
Lire la suite
a. Examiner le système tous les afin d’établir les fonctions, les ports, les protocoles, les logiciels et les services non nécessaires b. Désactiver ou retirer
Lire la suite
Empêcher l’exécution des programmes conformément à .
Lire la suite
Assurer la conformité avec .
Lire la suite
a. Identifier les b. Recourir à une stratégie tout permettre, interdire par exception pour empêcher l’exécution des programmes informatiques non autorisés sur le système c. Passer en revue et mettre à jour la liste des programmes informatiques autorisés tous les
Lire la suite
a. Identifier les b. Recourir à une stratégie tout interdire, autoriser par exception pour permettre l’exécution des programmes informatiques autorisés sur le système c. Passer en revue et mettre à jour la liste des programmes informatiques autorisés tous les
Lire la suite
Exiger que les logiciels installés par l’utilisatrice ou utilisateur désignés soient exécutés dans un environnement physique clos ou un environnement clos de machine virtuelle dont les privilèges sont restreints : .
Lire la suite
Permettre l’exécution de code binaire ou exécutable sur machine uniquement dans un environnement physique clos ou dans un environnement clos de machine virtuelle avec l’approbation explicite de lorsqu’un tel code : a. provient de sources qui n’offrent pas de garantie ou qui offrent une garantie limitée b. dans les cas où ils n’offrent pas le code ...
Lire la suite
a. Interdire l’utilisation de code binaire ou exécutable sur machine provenant de sources qui n’offrent pas de garantie ou qui offrent une garantie limitée dans les cas où il n’y a pas de code source b. Permettre des exceptions uniquement dans situations urgentes liées à la mission ou aux besoins opérationnels et avec le consentement écrit exprès d...
Lire la suite
a. Identifier b. Empêcher l’utilisation ou la connexion de composants matériels non autorisés c. Passer en revue et mettre à jour la liste des composants matériels autorisés tous les
Lire la suite
a. Élaborer et documenter un inventaire des composants de systèmes qui : 1. illustre exactement le système 2. comprend tous les composants dans le système 3. ne comprend aucune comptabilisation en double des composants ou des composants attribués à un autre système 4. est au niveau de granularité jugé nécessaire aux fins de suivi et de production d...
Lire la suite
Faire de la mise à jour de l’inventaire des composantes du système une étape de l’installation ou du retrait de composantes ainsi que de la mise à jour du système.
Lire la suite
Assurer l’actualité, le caractère exhaustif, l’exactitude et la disponibilité de l’inventaire des composants du système au moyen de .
Lire la suite
a. Détecter la présence de composants matériels, logiciels et micrologiciels non autorisés dans le système au moyen de b. Prendre les mesures suivantes lorsque des composants non autorisés sont détectés :
Lire la suite
L’organisation inclut dans l’information liée à l’inventaire de composants de système d’information une façon d’identifier par les personnes responsables de l’administration de ces composants.
Lire la suite
Annulé : Intégré au contrôle CM-08.
Lire la suite
Inclure dans l’inventaire des composants du système les configurations de composants évaluées et les écarts approuvés en ce qui a trait aux configurations déjà déployées.
Lire la suite
Fournir un référentiel centralisé contenant l’inventaire des composants de système.
Lire la suite
Appuyer le suivi des composants de système par géolocalisation des composants de système au moyen de .
Lire la suite
a. Attribuer des composants à un système b. Recevoir un avis de cette affectation de la part de
Lire la suite
Élaborer, documenter et mettre en oeuvre un plan de gestion des configurations pour le système qui : a. traite les rôles, les responsabilités ainsi que les processus et procédures de gestion des configurations b. établit un processus pour déterminer les éléments de configuration tout au long du cycle de développement des systèmes et pour gérer la c...
Lire la suite
Confier la responsabilité du développement du processus de gestion des configurations à des employées et employés de l’organisation qui ne participent pas directement au développement du système.
Lire la suite
a. Utiliser les logiciels et la documentation connexe conformément aux ententes contractuelles et aux lois sur le droit d’auteur b. Faire le suivi de l’utilisation des logiciels et de la documentation connexe qui sont protégés par des licences limitant la copie et la diffusion du produit c. Contrôler et documenter l’utilisation de la technologie de...
Lire la suite
Établir les restrictions suivantes sur l’utilisation de logiciel à source ouverte : .
Lire la suite
a. Établir qui régissent l’installation de logiciels par des utilisatrices et utilisateurs b. Appliquer des stratégies d’installation de logiciels au moyen des méthodes suivantes : c. Surveiller le respect des stratégies
Lire la suite
Annulé : Intégré au contrôle CM-08(03).
Lire la suite
Autoriser l’installation de logiciel par les utilisatrices et utilisateurs qui ont un accès privilégié explicite.
Lire la suite
Appliquer et surveiller la conformité aux stratégies d’installation de logiciels au moyen de .
Lire la suite
a. Établir et consigner la localisation de et des composants de systèmes particuliers où l’information est traitée et stockée b. Établir et consigner les utilisatrices et utilisateurs qui ont accès au système et à ses composants où l’information est traitée et stockée c. Consigner les changements de la localisation (par exemple, le système ou les ...
Lire la suite
Utiliser des outils automatisés pour identifier sur des pour assurer que des contrôles sont mis en place pour protéger l’information de l’organisation et la vie privée des personnes.
Lire la suite
Élaboration et documentation d’un plan des actions de données du système.
Lire la suite
Empêcher l’installation de sans vérification de leur signature électronique par l’intermédiaire d’un certificat reconnu ou approuvé par l’organisation.
Lire la suite