SR-05(02) - Évaluation préalable à la sélection, à l’acceptation, à la modification ou à la mise à jour (PbMM)
Énoncés :
Procéder à l’évaluation d’un système, d’un composant du système ou d’un service qui s’y rapporte préalablement à la sélection, à l’acceptation, à la modification ou à la mise à jour.
Paramètres :Des membres du personnel de l’organisation ou des parties prenantes externes indépendantes devraient procéder à l’évaluation des systèmes, des composants, des outils et des services pour relever les signes de trafiquage, les vulnérabilités accidentelles et intentionnelles ou les preuves de non-conformité avec les contrôles de la chaîne d’approvisionnement. Cela comprend le code malveillant, les processus malveillants, les logiciels défectueux, les portes dérobées et la contrefaçon. Les évaluations peuvent comprendre les examens des propositions de conceptions, les inspections visuelles ou physiques et les analyses dynamiques, les inspections visuelles, par rayon X ou des particules magnétiques, les simulations, les tests de la boîte blanche, grise ou noire, les tests à données aléatoires, les essais marginaux et les tests d’intrusion (voir le contrôle SR-06(01)). Les preuves cumulées pendant les évaluations devraient être documentées de façon à ce que les organisations puissent procéder aux mesures consécutives. Les preuves générées au cours des évaluations organisationnelles et indépendantes des éléments de la chaîne d’approvisionnement peuvent être utilisées pour améliorer les processus de la chaîne d’approvisionnement et guider le processus de GRCA. Les preuves peuvent être obtenues lors d’évaluations de suivi. Les preuves et les autres documents peuvent être communiqués conformément aux ententes organisationnelles.