Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

CP-02 - Plan d’urgence   (--F)  (Obligatoire)


Énoncés :


a. Élaborer un plan d’urgence pour le système qui :
1. identifie les fonctions opérationnelles et de mission essentielles et les exigences connexes en matière d’urgence
2. définit les objectifs de reprise, les priorités de restauration et les paramètres
3. identifie les rôles et responsabilités liés aux urgences et les personnes assignées à ces fonctions, y compris leurs coordonnées
4. souligne le besoin de maintenir les fonctions opérationnelles et de mission essentielles en dépit de toute perturbation, compromission ou défaillance du système
5. traite de la restauration complète du système sans détérioration des contrôles initialement prévus et mis en oeuvre
6. traite de l’intégrité des données conservées dans le système, y compris les renseignements personnels
7. traite des répercussions, des préjudices ou des conséquences de la compromission d’un système, y compris en ce qui a trait aux renseignements personnels
8. décrit les modalités d’échange d’information
9. est examiné et approuvé par [Affectation : personnel ou rôles définis par l’organisation]
b. Distribuer des exemplaires du plan d’urgence à [Affectation : liste (par nom ou rôle) définie par l’organisation des principales et principaux responsables des mesures d’urgence et des éléments organisationnels]
c. S’assurer que les personnes qui assument des responsabilités examinent le plan d’urgence et comprennent leurs rôles
d. Coordonner les activités de planification d’urgence avec les activités de traitement des incidents
e. Examiner le plan d’urgence pour le système [Affectation : fréquence définie par l’organisation]
f. Mettre à jour le plan d’urgence pour tenir compte des changements apportés à l’organisation, au système ou à l’environnement d’exploitation et des problèmes survenus lors de la mise en oeuvre, de l’exécution ou des tests du plan
g. Communiquer les changements apportés au plan d’urgence à [Affectation : liste (par nom ou rôle) définie par l’organisation des principales et principaux responsables des mesures d’urgence et des éléments organisationnels]
h. Intégrer les leçons apprises tirées des essais du plan d’urgence, de la formation ou des activités d’urgence concrètes aux essais et à la formation sur les mesures d’urgence a
a. Protéger le plan d’urgence contre les divulgations ou les modifications non autorisées

Paramètres :

a.
9. - examiné : coordonnateur de la continuité des services essentiels, détenteur de l'actif, chef de la sécurité de l'information organisationnelle (CSIO) - approuvé : Dirigeant de l'organisme (DO)
b. à définir par l'organisme
e. en continu
g. à définir par l'organisme

Responsable : OP

Date limite de mise en oeuvre : 2021-06-30

Discussion :

La planification d’urgence pour les systèmes fait partie du programme global sur la continuité des fonctions liées à la mission et aux activités de l’organisation. En cas de compromission ou de violation des systèmes, la planification d’urgence tient compte de la restauration des systèmes, de la mise en oeuvre de processus de secours liés à la mission et aux activités. La planification d’urgence est prise en compte tout au long du cycle de développement des systèmes et est une partie fondamentale de la conception des systèmes. Les systèmes peuvent être conçus aux fins de redondance, pour fournir des capacités de secours, et aux fins de résilience. Les plans d’urgence correspondent à l’effort requis pour la restauration des systèmes organisationnels puisque ceux-ci ne doivent pas tous être nécessairement complètement restaurés pour assurer le niveau de continuité des opérations requis. Les objectifs de récupération des systèmes tiennent compte des lois applicables, des décrets applicables, des directives, des règlements, de la jurisprudence, des politiques, des normes, des lignes directrices, de la tolérance aux risques de l’organisation et du niveau d’incidence sur le système. Les actions prévues dans les plans d’urgence incluent la dégradation progressive, la mise hors tension des systèmes, le passage en mode manuel, l’utilisation de flux d’information de secours et le fonctionnement en modes réservés aux situations d’attaque contre les systèmes. En coordonnant la planification d’urgence et les activités de traitement des incidents, les organisations veillent à ce que les activités nécessaires de planification soient en place et mises en oeuvre en cas d’incident. Les organisations devraient déterminer si la continuité des opérations durant un incident entre en conflit avec la capacité à désactiver automatiquement le système, conformément à l’IR-04(05). La planification d’intervention en cas d’incident fait partie de la planification d’urgence et est traitée dans la famille IR (intervention en cas d’incident).