PM-31 - Stratégie de surveillance continue (PaFF)
Énoncés :
Élaborer une stratégie de surveillance continue panorganisationnelle et mettre en place des programmes de surveillance continue qui tiennent compte de :
a. l’établissement des mesures panorganisationnelles suivantes qu’il convient de surveiller [Affectation : mesures définies par l’organisation]
b. la mise en place de [Affectation : fréquences de surveillance définies par l’organisation] et de [Affectation : fréquences d’évaluation définies par l’organisation] pour l’efficacité des contrôles
c. la surveillance en permanence des mesures définies par l’organisation, conformément à la stratégie de surveillance continue définie par l’organisation
d. la corrélation et l’analyse de l’information générée par les évaluations de contrôle et la surveillance
e. les mesures d’intervention concernant les résultats qui découlent de l’analyse de l’information
f. le signalement de l’état de la sécurité et de la protection de la vie privée du système à [Affectation : personnel ou rôles définis par l’organisation] [Affectation : fréquence définie par l’organisation]
La surveillance continue au niveau de l’organisation facilite une sensibilisation permanente de la posture de sécurité et de protection de la vie privée dans l’ensemble de l’organisation afin d’appuyer les décisions relatives à la gestion des risques organisationnels. Les termes « continu » et « permanent » signifient que les organisations évaluent et surveillent leurs contrôles et leurs risques à une fréquence suffisante pour appuyer les décisions en fonction des risques. Différents types de contrôles peuvent nécessiter différentes fréquences de surveillance. Les résultats associés à une surveillance continue orientent et éclairent les mesures d’intervention liées aux risques que mettent en œuvre les organisations. Grâce aux programmes de surveillance continue, les organisations peuvent maintenir en permanence les autorisations des systèmes de même que les contrôles communs dans un environnement d’exploitation très dynamique où les menaces, les vulnérabilités, les technologies et les besoins liés à la mission et aux activités sont en constante évolution. L’accès constant à l’information sur la sécurité et la protection de la vie privée dans les rapports ou les tableaux de bord permet aux responsables des organisations de prendre des décisions éclairées sur la gestion des risques de façon efficace et opportune, comme des décisions sur les autorisations permanentes. Pour faciliter la gestion des risques liés à la sécurité et à la protection de la vie privée, l’organisation considère d’aligner les mesures de la surveillance définies par l’organisation sur sa tolérance au risque, comme il est indiqué dans la stratégie sur la gestion des risques. Les exigences en matière de surveillance du système, y compris la nécessité d’avoir recours à la surveillance, peuvent se trouver dans d’autres exigences, comme AC-02G, AC-02(07), AC-02(12)a, AC-02(07)b, AC-02(07)c, AC-17(01), AT-04A, AU-13, AU-13(01), AU-13(02), CA-07, CM-03F, CM-06D, CM-11C, IR-05, MA-02B, MA-03A, MA-04A, PE-03D, PE-06, PE-14B, PE-16, PE-20, PM-06, PM-23, PS-07E, SA-09C, SC-05(03)b, SC-07A, SC-07(24)b, SC-18B, SC-43B et SI-04.