PE-401 - Centre des opérations de sécurité (PaFF)
Énoncés :
Établir et tenir à jour un centre des opérations de sécurité (COS) pour protéger le personnel, la propriété, les biens et l’information de l’organisation par une surveillance et un suivi physiques et techniques.
Paramètres :Un COS regroupe les gens, les processus et la technologie pour fournir des services opérationnels et d’autres services de sécurité aux organisations, notamment la protection des personnes, de la propriété, des biens et de l’information. Le COS fournit habituellement les installations pour soutenir le personnel de sécurité dans le cadre du suivi, de la surveillance, de la présentation, du contrôle et de la gestion d’événement en lien avec la sécurité, y compris les menaces internes. Le COS permet aux exploitants de système de recueillir de l’information en lien à un environnement physique ou à un cyberenvironnement pour l’analyser, pour détecter et évaluer les notifications d’alertes, et pour effectuer la répartition du personnel nécessaire pour intervenir adéquatement face aux événements. Un COS permet d’accroître la connaissance de la situation en ce qui a trait à l’environnement de l’organisation, en favorisant une prise de décisions et une intervention efficaces pendant un événement. Le COS peut aider les équipes multidisciplinaires, notamment celles de la sécurité physique, des TI et de la sécurité des technologies opérationnelles (TO), les analystes, les ingénieures/ingénieurs, les architectes et autres fournisseurs de services. D’ailleurs, la convergence des TI et de la TO instaure de nouvelles exigences visant à évaluer le risque que posent l’information et la sécurité physique. Par exemple, le bon fonctionnement des systèmes de contrôle, comme ceux utilisés pour élaborer l’automatisation qui contrôle la température, les éclairs, les accès, etc., risquerait d’être touché si le logiciel ou l’application venait à être compromis. Le contrôle IR-04(14) fournit de l’information sur un COS censé protéger l’infrastructure technique d’une organisation, qui comporte des systèmes et des réseaux.