SC-38 - Sécurité des opérations (PaFF)
Énoncés :
Employer les contrôles de sécurité des opérations suivants pour protéger l’information organisationnelle tout au long du cycle de vie de développement des systèmes : [Affectation : contrôles de sécurité des opérations définis par l’organisation].
Paramètres :La sécurité des opérations (OPSEC pour Operations Security) est un processus systématique par lequel il est possible d’empêcher d’éventuels adversaires d’accéder à l’information concernant les capacités et les intentions des organisations, et ce, par l’identification, le contrôle et la protection d’information généralement non classifiée portant spécifiquement sur la planification et l’exécution des activités organisationnelles de nature sensible. Le processus OPSEC en question comporte cinq étapes : identification de l’information essentielle, analyse des menaces, analyse des vulnérabilités, évaluation des risques et application des mesures de prévention appropriées. Les contrôles OPSEC s’appliquent aux systèmes organisationnels et aux environnements dans lesquels les systèmes sont utilisés. Les contrôles OPSEC protègent la confidentialité de l’information et visent, notamment, à limiter l’échange d’information avec les fournisseurs, les fournisseurs potentiels et d’autres intervenantes et intervenants non organisationnels. Parmi les exemples de fonctions essentielles à la mission ou aux activités de l’organisation, on retrouve les identités des utilisatrices et utilisateurs, l’utilisation de certains éléments, les fournisseurs, les processus relatifs à la chaîne d’approvisionnement, les exigences concernant les fonctions et la sécurité, les spécifications de conception des systèmes, les protocoles de tests et d’évaluation, ainsi que les détails concernant la mise en œuvre de contrôles de sécurité.