SR-04 - Provenance (PaFF)
Énoncés :
Documenter, surveiller et maintenir une provenance valide des systèmes et des composants de systèmes suivants, ainsi que de leurs données connexes : [Affectation : systèmes et composants de systèmes désignés par l’organisation et données connexes].
Paramètres :Tous les systèmes et composants de systèmes ont un point d’origine et peuvent être modifiés au cours de leur existence. La provenance est la chronologie de l’origine, du développement, de la propriété, de l’emplacement et des changements apportés à un système ou à un composant de système, ainsi qu’aux données connexes. Elle peut également comprendre le personnel et les processus utilisés pour interagir avec les systèmes, les composants ou les données connexes, ou pour y apporter des modifications. Les organisations devraient envisager d’élaborer des procédures (voir le contrôle SR-01) pour affecter les responsabilités liées à la création, au maintien et à la surveillance de la provenance des systèmes et des composants de systèmes, pour transférer la documentation et la responsabilité de la provenance d’une organisation à l’autre et pour prévenir et surveiller les changements non autorisés qui sont apportés aux enregistrements de provenance. Les organisations devraient employer des méthodes pour documenter, surveiller et maintenir des bases de provenance valides pour les systèmes, les composants de systèmes et les données connexes. Ces mesures aident à suivre, à évaluer et à documenter les changements apportés à la provenance, notamment ceux apportés à la configuration ou aux éléments de la chaîne d’approvisionnement, et permettent de garantir la non-répudiation de l’information relative à la provenance et des enregistrements des changements apportés à la provenance. Les facteurs à considérer relativement à la provenance sont abordés tout au long du cycle de développement des systèmes et intégrés aux contrats et aux autres ententes, le cas échéant.