RA-02 - Catégorisation de la sécurité (PaFF)
Énoncés :
a. Catégoriser le système et l’information qu’il traite, stocke et transmet
b. Documenter les résultats de la catégorisation de la sécurité, y compris les justifications, dans le plan de sécurité du système
c. S’assurer que l’autorité responsable ou sa représentante ou son représentant désigné examine et approuve la décision relative à la catégorisation de la sécurité
-
Les catégories de sécurité décrivent les incidences négatives ou les conséquences négatives potentielles sur les activités et les biens organisationnels, de même que sur les individus dans les cas où l’information organisationnelle ou les systèmes sont compromis à la suite d’une entorse à la confidentialité, à l’intégrité ou à la disponibilité. La catégorisation de la sécurité est aussi un type de caractérisation associé à la perte de biens dans les processus d’ingénierie de la sécurité des systèmes mis en oeuvre tout au long du cycle de développement des systèmes. Les organisations peuvent avoir recours à des évaluations des risques d’atteinte à la vie privée ou à des EFVP pour mieux comprendre les effets néfastes possibles sur les individus. Les processus de catégorisation de la sécurité permettent de réaliser les inventaires des ressources informationnelles et, de concert avec le contrôle CM-08, facilitent le mappage à certains composants des systèmes où l’information est traitée, stockée ou transmise. Le processus de catégorisation de la sécurité est revu tout au long du cycle de développement des systèmes pour s’assurer que les catégories de sécurité demeurent précises et pertinentes.