PM-28 - Cadrage des risques (PaFF)
Énoncés :
a. Établir et documenter :
1. les hypothèses relatives à l’évaluation des risques, aux mesures d’atténuation des risques et à la surveillance des risques
2. les contraintes relatives à l’évaluation des risques, aux mesures d’atténuation des risques et à la surveillance des risques
3. les priorités et les compromis envisagés par l’organisation pour gérer le risque
4. la tolérance au risque de l’organisation
b. Distribuer les résultats des activités de cadrage des risques à [Affectation : personnel désigné par l’organisation]
c. Passer en revue et mettre à jour les facteurs à considérer sur le plan du cadrage des risques [Affectation : fréquence définie par l’organisation]
Le cadrage des risques est plus efficace lorsqu’on l’exécute au niveau de l’organisation et en consultation avec des parties prenantes de toute l’organisation, y compris les propriétaires de la mission, des activités et des systèmes. Les hypothèses, les contraintes, la tolérance au risque, les priorités et les compromis relevés dans le cadre du processus de cadrage des risques éclairent la stratégie de gestion des risques, qui éclaire ensuite l’évaluation des risques, les mesures d’atténuation des risques et les activités de surveillance des risques. Les résultats du cadrage des risques sont communiqués au personnel de l’organisation, y compris les propriétaires de la mission et des activités, les propriétaires, gardiennes et gardiens d’information, les propriétaires de système, les cadres supérieures et supérieurs désignés responsables de l’autorisation, les agentes ou agents supérieurs de la sécurité de l’information de l’organisme, la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée, et la ou le cadre supérieur responsable de la gestion des risques.