PM-04 - Processus du plan d’action et des jalons (PaFF)
Énoncés :
a. Mettre en œuvre un processus visant à s’assurer que les plans d’action et les jalons associés au programme de sécurité et de protection de la vie privée de l’information, au programme de gestion des risques liés à la chaîne d’approvisionnement et aux systèmes organisationnels connexes :
1. sont élaborés et tenus à jour
2. est approuvé par une ou un cadre supérieur ayant les responsabilités et la reddition de comptes nécessaires pour le risque qui pèse sur les activités organisationnelles (ce qui comprend la mission, les fonctions, l’image et la réputation), les biens organisationnels, les individus, les autres organisations et le gouvernement
3. sont mentionnés conformément aux exigences liées à la production de rapports qui ont été établies
b. Passer en revue les plans d’action et les jalons pour veiller à ce qu’ils soient uniformes avec la stratégie de gestion des risques de l’organisation et les priorités panorganisationnelles en ce qui a trait aux mesures d’intervention liées aux risques
Les organisations élaborent des plans d’action et des jalons avec une perspective panorganisationnelle, priorisant les mesures d’intervention liées aux risques et s’assurant qu’ils sont conformes avec leurs buts et leurs objectifs. Les mises à jour des plans d’action et des jalons sont basées sur les constatations des évaluations de contrôles et des activités de surveillance continue. Plusieurs plans d’action et jalons peuvent être mis en place au niveau du système d’information, au niveau de la mission ou du processus opérationnel et au niveau de l’organisation ou de la gouvernance. Bien que les plans d’action et les jalons soient obligatoires pour les organismes, d’autres types d’organisations peuvent réduire les risques en documentant les mesures d’atténuation prévues et en assurant le suivi. Le contrôle CA-05 fournit des conseils propres aux plans d’action et aux jalons au niveau du système.