PM-11 - Définition des processus liés à la mission et aux activités (PaFF)
Énoncés :
a. Développer des processus liés à la mission et aux activités de l’organisation en tenant compte de la sécurité et de la protection de la vie privée de l’information et du risque qui en résulte sur les activités et les biens organisationnels, les individus, les autres organisations et le gouvernement
b. Déterminer les besoins en matière de protection de l’information et de traitement des renseignements personnels qui découlent des processus liés à la mission et aux activités qui ont été définis
c. Examiner et revoir les processus liés à la mission et aux activités [Affectation : fréquence définie par l’organisation]
Les besoins en matière de protection sont des capacités indépendantes de la technologie qui permettent de contrer les menaces qui ciblent les organisations, les individus, les systèmes et le gouvernement et d’éviter la compromission de l’information (c’est-à-dire, une atteinte à la protection de la vie privée, à l’intégrité, à la disponibilité ou à la vie privée). Les besoins en matière de protection de l’information et de traitement des renseignements personnels sont dérivés des besoins liés à la mission et aux activités qui ont été définis par les parties prenantes de l’organisation, les processus liés à la mission et aux activités mis en place pour répondre à ces besoins et la stratégie de gestion des risques de l’organisation. Les besoins en matière de protection de l’information et de traitement des renseignements personnels déterminent les contrôles nécessaires à l’organisation et aux systèmes. Pour définir les besoins en matière de protection de l’information et de traitement des renseignements personnels, il est essentiel de comprendre les répercussions négatives qui pourraient découler d’une compromission ou d’une fuite d’information. On fait appel à ce processus de catégorisation pour déterminer les répercussions potentielles. Les risques d’atteinte à la vie privée des individus peuvent être le résultat de la compromission de renseignements personnels, mais ils peuvent également survenir comme conséquences imprévues ou indirectes du traitement de renseignements personnels à n’importe quelle phase du cycle de vie de l’information. On utilise les EFVP pour relever les préjudices potentiels que pourrait causer le traitement des renseignements personnels. Ces évaluations des répercussions permettent de sélectionner les contrôles requis. Les définitions des processus liés à la mission et aux activités et les exigences connexes en matière de protection sont documentées conformément aux politiques et aux procédures de l’organisation.