SR-02(01) - Établissement d’une équipe de GRCA (PaFF)
Énoncés :
Mettre en place une équipe de GRCA composée de [Affectation : personnel, rôles et responsabilités définis par l’organisation] pour diriger et soutenir les activités de GRCA suivantes : [Affectation : activités de GRCA définies par l’organisation].
Paramètres :Pour mettre en œuvre les plans de GRCA, les organisations devraient adopter une approche coordonnée axée sur les équipes pour relever et évaluer les risques liés à la chaîne d’approvisionnement et gérer ces risques au moyen de techniques d’atténuation programmatiques et techniques. L’approche axée sur les équipes permet aux organisations de procéder à l’analyse de leur chaîne d’approvisionnement, de communiquer avec des partenaires ou parties prenantes internes et externes, et d’en venir à un consensus quant aux ressources qu’il convient d’utiliser pour la GRCA. L’équipe de GRCA se compose du personnel de l’organisation à qui on a attribué différents rôles et différentes responsabilités pour assurer la direction et le soutien des activités de GRCA, ce qui comprend, entre autres, les fonctions liées à la gestion des risques, aux TI, à la passation de marché, à la sécurité de l’information, au respect de la vie privée, à la mission ou aux activités, à la chaîne d’approvisionnement, à la logistique, à l’approvisionnement et à la continuité des activités, ainsi que d’autres fonctions de nature juridique. Les membres de l’équipe de GRCA prennent part à divers aspects du CDS et ont collectivement une connaissance des processus d’acquisition, des pratiques juridiques, des vulnérabilités, des menaces et des vecteurs d’attaque et une expertise dans ces domaines, en plus de comprendre les aspects techniques et les dépendances des systèmes. L’équipe de GRCA peut être un prolongement des processus de gestion des risques liés à la sécurité et à la protection de la vie privée ou prendre part à une équipe de gestion des risques de l’organisation.