MA-05 - Personnel de maintenance (PaFF)
Énoncés :
a. Établir un processus d’autorisation du personnel de maintenance et tenir à jour une liste des organisations et du personnel autorisé à effectuer les activités de maintenance
b. Vérifier que le personnel non accompagné réalisant des activités de maintenance sur le système dispose des autorisations d’accès nécessaires
c. Désigner des membres du personnel de l’organisation qui possèdent les autorisations d’accès et les compétences techniques nécessaires pour superviser les activités de maintenance effectuées par le personnel qui ne possède pas les autorisations d’accès appropriées
Le personnel de maintenance fait référence aux personnes qui réalisent les activités de maintenance matérielle ou logicielle sur les systèmes de l’organisation, et le contrôle PE-02 traite de l’accès physique des personnes devant réaliser des activités de maintenance qui les placent dans le périmètre de protection matérielle des systèmes. Les compétences techniques des superviseurs sont liées à la maintenance effectuée sur les systèmes, tandis que la possession des autorisations d’accès appropriées est liée à la maintenance sur et près des systèmes. Les personnes non identifiées au préalable comme étant des membres du personnel autorisés, tels que les fabricants de technologies d’information, les fournisseurs, les intégrateurs de système et les experts-conseils, peuvent demander un accès privilégié aux systèmes organisationnels, comme pour mener des activités de maintenance avec court préavis ou sans préavis. Selon les évaluations organisationnelles des risques, les organisations peuvent octroyer des justificatifs d’identité temporaires à ces personnes. Ces justificatifs peuvent être octroyés pour un accès unique ou pour un délai très limité. L’information sur le personnel de maintenance peut comporter des renseignements personnels et devrait donc être protégée en conséquence.