SR-03 - Contrôles et processus de la chaîne d’approvisionnement (PaFF)
Énoncés :
a. Mettre en place un ou plusieurs processus pour relever et corriger les faiblesses ou les lacunes dans les éléments et les processus de la chaîne d’approvisionnement de [Affectation : systèmes ou composants de systèmes désignés par l’organisation] en coordination avec [Affectation : personnel de la chaîne d’approvisionnement désigné par l’organisation]
b. Utiliser les contrôles suivants pour offrir une protection contre les risques liés à la chaîne d’approvisionnement pour les systèmes, les composants de systèmes ou les services qui s’y rapportent ainsi que pour limiter les conséquences ou les dommages potentiels associés aux événements de la chaîne d’approvisionnement : [Affectation : contrôles de la chaîne d’approvisionnement définis par l’organisation]
c. Documenter les processus et les contrôles liés à la chaîne d’approvisionnement qui ont été sélectionnés et mis en œuvre dans [Sélection (un choix) : plans de sécurité et de protection de la vie privée; plan de GRCA; {Affectation : document défini par l’organisation}]
Les éléments de la chaîne d’approvisionnement incluent les organisations, les entités ou les outils qui servent à la recherche, au développement, à la conception, à la fabrication, à l’acquisition, à la livraison, à l’intégration, à l’exploitation, à la maintenance et à l’élimination des systèmes et des composants de systèmes. Les processus de la chaîne d’approvisionnement incluent les processus de développement du matériel, des logiciels et des micrologiciels; les procédures d’expédition et de traitement; les programmes de sécurité du personnel et de sécurité physique; les outils, les techniques et les mesures de gestion des configurations pour le maintien de la provenance; ou les autres programmes, processus ou procédures associés au développement, à l’acquisition, à la maintenance et à l’élimination des systèmes et des composants de système. Les éléments et les processus de la chaîne d’approvisionnement peuvent être fournis par les organisations, les intégratrices et intégrateurs de systèmes ou les fournisseurs externes. Les faiblesses ou les lacunes des éléments ou des processus de la chaîne d’approvisionnement représentent des vulnérabilités potentielles qui peuvent être exploitées par des adversaires afin de nuire à l’organisation et à sa capacité de réaliser sa mission ou ses activités. Le personnel de la chaîne d’approvisionnement se compose de personnes à qui on a attribué des responsabilités ou des rôles au sein de la chaîne d’approvisionnement.