PM-30 - Stratégie de gestion des risques liés à la chaîne d’approvisionnement (PaFF)
Énoncés :
a. Élaborer une stratégie panorganisationnelle pour gérer les risques liés à la chaîne d’approvisionnement associés au développement, à l’acquisition, à la maintenance et à la disposition des systèmes, des composants de systèmes et des services qui s’y rapportent
b. Mettre en place la stratégie de gestion des risques liés à la chaîne d’approvisionnement uniformément dans l’ensemble de l’organisation
c. Passer en revue et mettre à jour la stratégie de gestion des risques liés à la chaîne d’approvisionnement [Affectation : fréquence définie par l’organisation] ou au besoin pour tenir compte des changements organisationnels
La stratégie panorganisationnelle de gestion des risques liés à la chaîne d’approvisionnement comprend une expression claire de la propension et de la tolérance aux risques liés à la chaîne d’approvisionnement de l’organisation, des stratégies ou contrôles d’atténuation des risques acceptables liés à la chaîne d’approvisionnement, un processus visant à évaluer et à surveiller continuellement les risques liés à la chaîne d’approvisionnement, des approches à adopter pour la mise en œuvre et la communication de la stratégie de gestion des risques liés à la chaîne d’approvisionnement, et les rôles et responsabilités connexes. La gestion des risques liés à la chaîne d’approvisionnement comprend les facteurs à considérer concernant les risques liés à la sécurité et à la protection de la vie privée associés au développement, à l’acquisition, à la maintenance et à la disposition des systèmes, des composants de systèmes et des services qui s’y rapportent. La stratégie de gestion des risques liés à la chaîne d’approvisionnement peut être intégrée à la stratégie globale de gestion des risques de l’organisation et peut guider et orienter les stratégies liées à la chaîne d’approvisionnement et les plans de gestion des risques liés à la chaîne d’approvisionnement au niveau des systèmes. De plus, le recours à une fonction de gestion des risques peut faciliter une application uniforme de la stratégie de gestion des risques liés à la chaîne d’approvisionnement dans toute l’organisation. La stratégie de gestion des risques liés à la chaîne d’approvisionnement est mise en place au niveau de l’organisation, de la mission et des activités, tandis que le plan de gestion des risques liés à la chaîne d’approvisionnement (voir le contrôle SR-02) est mis en œuvre au niveau du système.