Les contrôles et les activités d’assurance

Cette section donne les descriptions des contrôles et des activités de sécurité et de protection de la vie privée.

Les paramètres définis par l’organisation (ODP pour Organization-Defined Parameters) utilisés dans le contrôle ou l’activité de base s’appliquent également aux améliorations associées de ceux-ci. La mise en œuvre du contrôle ou de l’activité est évaluée pour vérifier son efficacité par rapport à l’énoncé de contrôle ou d’activité rempli. Des crochets qui se trouvent dans un énoncé de contrôle ou d’activité indiquent que la lectrice ou le lecteur doit insérer une valeur d’ODP afin de permettre à l’organisation d’adapter le contrôle à son contexte particulier. Par exemple, l’énoncé d’amélioration suivant « Appuyer la gestion des comptes du système au moyen de [Affectation : mécanismes automatisés définis par l’organisation] » indique la valeur d’ODP entre crochets. La lectrice ou le lecteur doit déterminer la variable la plus adaptée à l’énoncé, en fonction de sa réalité et de ses exigences.

Dans cette section

• Contrôle d’accès

  • AC-01 Politique et procédures de contrôle d’accès
  • AC-02 Gestion des comptes
  • AC-03 Application de l’accès
  • AC-04 Application du contrôle de flux d’information
  • AC-05 Séparation des tâches
  • AC-06 Droit d’accès minimal
  • AC-07 Tentatives d’ouverture de session infructueuses
  • AC-08 Avis d’utilisation système
  • AC-09 Avis d’ouverture de session précédente
  • AC-10 Contrôle de sessions simultanées
  • AC-11 Verrouillage d’appareil
  • AC-12 Fin de session
  • AC-13 Surveillance et examen — Contrôle d’accès
  • AC-14 Opérations permises sans identification ni authentification
  • AC-15 Marquage automatique
  • AC-16 Attributs de sécurité et de protection de la vie privée
  • AC-17 Accès à distance
  • AC-18 Accès sans fil
  • AC-19 Contrôle d’accès pour les appareils mobiles
  • AC-20 Utilisation de systèmes externes
  • AC-21 Échange d’information
  • AC-22 Contenu accessible au public
  • AC-23 Protection contre l’exploration de données
  • AC-24 Décisions de contrôle d’accès
  • AC-25 Moniteur de référence
• Sensibilisation et formation

  • AT-01 Politique et procédures de sensibilisation et de formation
  • AT-02 Formation et sensibilisation en matière de sécurité
  • AT-03 Formation selon le rôle
  • AT-04 Dossiers de formation
  • AT-05 Contacts avec les groupes et associations de sécurité
  • AT-06 Rétroaction sur les formations suivies
• Vérification et responsabilisation

  • AU-01 Politique et procédures de vérification et de responsabilisation
  • AU-02 Journalisation d’événements
  • AU-03 Contenu des enregistrements de vérification
  • AU-04 Capacité de stockage des journaux de vérification
  • AU-05 Intervention en cas d’échec du processus de journalisation des données de vérification
  • AU-06 Examen, analyse et production de rapports liés aux enregistrements de vérification
  • AU-07 Réduction des enregistrements de vérification et génération de rapports
  • AU-08 Horodatage du contrôle
  • AU-09 Protection de l’information de vérification
  • AU-10 Non-répudiation
  • AU-11 Conservation des enregistrements de vérification
  • AU-12 Génération d’enregistrements de vérification
  • AU-13 Surveillance de la divulgation d’information
  • AU-14 Vérification des sessions
  • AU-15 Capacité de journalisation des données de vérification secondaire
  • AU-16 Journalisation des données de vérification transorganisationnelle
• Évaluation, autorisation et surveillance

  • CA-01 Politique et procédures d’évaluation, d’autorisation et de surveillance
  • CA-02 Évaluations de contrôle
  • CA-03 Échange d’information
  • CA-04 Certification de sécurité
  • CA-05 Plan d’action et des jalons
  • CA-06 Autorisation
  • CA-07 Surveillance continue
  • CA-08 Tests d’intrusion
  • CA-09 Connexions des systèmes internes
• Gestion des configurations

  • CM-01 Politique et procédures de gestion des configurations
  • CM-02 Configuration de référence
  • CM-03 Contrôle des changements de configuration
  • CM-04 Analyses des répercussions
  • CM-05 Restrictions d’accès associées aux changements
  • CM-06 Paramètres de configuration
  • CM-07 Fonctionnalité minimale
  • CM-08 Inventaire des composants de système
  • CM-09 Plan de gestion des configurations
  • CM-10 Restrictions relatives à l’utilisation des logiciels
  • CM-11 Logiciels installés par les utilisatrices et utilisateurs
  • CM-12 Localisation de l’information
  • CM-13 Mappage des actions de données
  • CM-14 Composants signés
• Planification d’urgence

  • CP-01 Politique et procédures de planification d’urgence
  • CP-02 Plan d’urgence
  • CP-03 Formation en mesure d’urgence
  • CP-04 Mise à la mise du plan d’urgence
  • CP-05 Mise à jour du plan d’urgence
  • CP-06 Site de stockage auxiliaire
  • CP-07 Site de traitement auxiliaire
  • CP-08 Services de télécommunications
  • CP-09 Sauvegarde du système
  • CP-10 Reprise et reconstitution du système
  • CP-11 Protocoles des communications de secours
  • CP-12 Mode sans échec
  • CP-13 Mécanismes de sécurité de secours
• Identification et authentification

  • IA-01 Politique et procédures d’identification et d’authentification
  • IA-02 Identification et authentification (utilisatrices et utilisateurs de l’organisation)
  • IA-03 Identification et authentification des dispositifs
  • IA-04 Gestion des identifiants
  • IA-05 Gestion des authentifiants
  • IA-06 Réinjection d’authentification
  • IA-07 Authentification du module cryptographique
  • IA-08 Identification et authentification (utilisatrices et utilisateurs ne faisant pas partie de l’organisation)
  • IA-09 Identification et authentification des services
  • IA-10 Authentification adaptative
  • IA-11 Réauthentification
  • IA-12 Confirmation de l’identité
  • IA-13 Fournisseurs d’identité et serveurs d’autorisation
• Intervention en cas d’incident

  • IR-01 Politique et procédures d’intervention en cas d’incident
  • IR-02 Formation sur les interventions en cas d’incident
  • IR-03 Tests d’intervention en cas d’incident
  • IR-04 Traitement des incidents
  • IR-05 Surveillance des incidents
  • IR-06 Signalement des incidents
  • IR-07 Assistance en cas d’incident
  • IR-08 Plan d’intervention en cas d’incident
  • IR-09 Intervention en cas de fuite d’information
  • IR-10 Équipe d’analyse de la sécurité de l’information intégrée
• Maintenance

  • MA-01 Politique et procédures de maintenance
  • MA-02 Maintenance contrôlée
  • MA-03 Outils de maintenance
  • MA-04 Maintenance non locale
  • MA-05 Personnel de maintenance
  • MA-06 Maintenance opportune
  • MA-07 Maintenance sur site
• Protection des supports

  • MP-01 Politique et procédures de protection des supports
  • MP-02 Accès aux supports
  • MP-03 Marquage des supports
  • MP-04 Entreposage des supports
  • MP-05 Transport des supports
  • MP-06 Nettoyage des supports
  • MP-07 Utilisation des supports
  • MP-08 Déclassement des supports
• Protection physique et environnementale

  • PE-01 Politique et procédures de protection physique et environnementale
  • PE-02 Autorisations d’accès physique
  • PE-03 Contrôle d’accès physique
  • PE-04 Contrôle d’accès pour la transmission
  • PE-05 Contrôle d’accès aux dispositifs de sortie
  • PE-06 Surveillance de l’accès physique
  • PE-07 Contrôle des visiteuses et visiteurs
  • PE-08 Registre des accès des visiteuses et visiteurs
  • PE-09 Équipement et câblage d’alimentation
  • PE-10 Arrêt d’urgence
  • PE-11 Alimentation d’urgence
  • PE-12 Éclairage de sécurité
  • PE-13 Protection contre les incendies
  • PE-14 Contrôles environnementaux
  • PE-15 Protection contre les dégâts d’eau
  • PE-16 Livraison et retrait
  • PE-17 Autres lieux de travail
  • PE-18 Emplacement des composants du système
  • PE-19 Fuite d’information
  • PE-20 Surveillance et suivi des biens
  • PE-21 Protection contre les impulsions électromagnétiques
  • PE-22 Marquage des composants
  • PE-23 Emplacement de l’installation
  • PE-400 Environnements à distance et de télétravail
  • PE-401 Centre des opérations de sécurité
• Planification

  • PL-01 Politique et procédures de planification
  • PL-02 Plans de sécurité et de protection de la vie privée des systèmes
  • PL-03 Mise à jour du plan de sécurité des systèmes
  • PL-04 Règles de conduite
  • PL-05 Évaluation des facteurs relatifs à la vie privée
  • PL-06 Planification des activités relatives à la sécurité
  • PL-07 Concepts d’opérations
  • PL-08 Architecture de sécurité et de protection de la vie privée
  • PL-09 Gestion centrale
  • PL-10 Sélection de la base de référence
  • PL-11 Adaptation de la base de référence
• Gestion des programmes

  • PM-01 Plan du programme de sécurité de l’information
  • PM-02 Rôle de leadership du programme de sécurité de l’information
  • PM-03 Ressources de sécurité et de protection de la vie privée de l’information
  • PM-04 Processus du plan d’action et des jalons
  • PM-05 Inventaire des systèmes et des programmes
  • PM-06 Mesures du rendement
  • PM-07 Architecture d’entreprise
  • PM-08 Plan des infrastructures essentielles
  • PM-09 Stratégie de gestion des risques
  • PM-10 Processus d’autorisation
  • PM-11 Définition des processus liés à la mission et aux activités
  • PM-12 Programme de protection contre la menace interne
  • PM-13 Personnel affecté à la sécurité et à la protection de la vie privée
  • PM-14 Tests, formation et surveillance
  • PM-15 Groupes et associations de sécurité et de protection de la vie privée
  • PM-16 Programme de sensibilisation aux menaces
  • PM-17 Protection de l’information contrôlée sur les systèmes externalisés
  • PM-18 Plan du programme de protection de la vie privée
  • PM-19 Rôle de leadership du programme de protection de la vie privée
  • PM-20 Communication des principaux services de protection de la vie privée
  • PM-21 Maintien d’un registre des divulgations
  • PM-22 Gestion de la qualité des renseignements personnels
  • PM-23 Comité de gouvernance des données
  • PM-24 Comité de l’intégrité des données
  • PM-25 Réduction des renseignements personnels utilisés aux fins de tests, de formation et de recherche
  • PM-26 Gestion des plaintes
  • PM-27 Génération de rapports concernant la protection de la vie privée
  • PM-28 Cadrage des risques
  • PM-29 Rôles de leadership pour le programme de gestion des risques
  • PM-30 Stratégie de gestion des risques liés à la chaîne d’approvisionnement
  • PM-31 Stratégie de surveillance continue
  • PM-32 Établissement des objectifs
• Sécurité du personnel

  • PS-01 Politique et procédures de sécurité du personnel
  • PS-02 Analyse de sécurité des postes
  • PS-03 Filtrage de sécurité du personnel
  • PS-04 Cessation d’emploi du personnel
  • PS-05 Transfert du personnel
  • PS-06 Ententes d’accès
  • PS-07 Sécurité du personnel externe
  • PS-08 Sanctions imposées au personnel
  • PS-09 Descriptions de poste
• Traitement des renseignements personnels et transparence

  • PT-01 Politique et procédures de traitement des renseignements personnels et de transparence
  • PT-02 Pouvoir en matière de collecte et d’utilisation de renseignements personnels
  • PT-03 Traitement, utilisation et divulgation de renseignements personnels
  • PT-04 Consentement
  • PT-05 Énoncé de confidentialité
  • PT-06 Fichiers de renseignements personnels
  • PT-07 Renseignements personnels particulièrement sensibles
  • PT-08 Exigences de couplage de données
• Évaluation des risques

  • RA-01 Politique et procédures d’évaluation des risques
  • RA-02 Catégorisation de la sécurité
  • RA-03 Évaluation des risques
  • RA-04 Mise à jour de l’évaluation des risques
  • RA-05 Surveillance et analyse des vulnérabilités
  • RA-06 Dépistage des contre-mesures de surveillance technique
  • RA-07 Réponse aux risques
  • RA-08 Évaluations des facteurs relatifs à la vie privée
  • RA-09 Analyse de criticité
  • RA-10 Chasse aux cybermenaces
• Acquisition des systèmes et des services

  • SA-01 Politique et procédures d’acquisition des systèmes et des services
  • SA-02 Affectation des ressources
  • SA-03 Cycle de développement des systèmes
  • SA-04 Processus d’acquisition
  • SA-05 Documentation relative aux systèmes
  • SA-06 Restrictions relatives à l’utilisation des logiciels
  • SA-07 Logiciels installés par les utilisatrices et utilisateurs
  • SA-08 Principes d’ingénierie de la sécurité et de la protection de la vie privée
  • SA-09 Services de systèmes externes
  • SA-10 Gestion des configurations par les développeuses et développeurs
  • SA-11 Évaluations et tests effectués par les développeuses et développeurs
  • SA-12 Protection de la chaîne d’approvisionnement
  • SA-13 Fiabilité
  • SA-14 Analyse de criticité
  • SA-15 Processus, normes et outils de développement
  • SA-16 Formation offerte par la développeuse ou le développeur
  • SA-17 Architecture et conception de la sécurité et de la protection de la vie privée de la développeuse ou du développeur
  • SA-18 Résistance au trafiquage et détection
  • SA-19 Authenticité des composants
  • SA-20 Développement sur mesure des composants essentiels
  • SA-21 Filtrage de sécurité des développeuses et développeurs
  • SA-22 Composants de systèmes non pris en charge
  • SA-23 Spécialisation
  • SA-400 Souveraineté et juridiction
• Protection des systèmes et des communications

  • SC-01 Politique et procédures de protection des systèmes et des communications
  • SC-02 Séparation des fonctionnalités d’utilisateur et du système
  • SC-03 Isolation des fonctions de sécurité
  • SC-04 Information dans les ressources système partagées
  • SC-05 Protection contre les dénis de service
  • SC-06 Disponibilité des ressources
  • SC-07 Protection des frontières
  • SC-08 Confidentialité et intégrité des transmissions
  • SC-09 Confidentialité des transmissions
  • SC-10 Déconnexion du réseau
  • SC-11 Chemin de confiance
  • SC-12 Établissement et gestion des clés cryptographiques
  • SC-13 Protection cryptographique
  • SC-14 Protection de l’accès public
  • SC-15 Applications et dispositifs d’informatique collaborative
  • SC-16 Transmission des attributs de sécurité et de protection de la vie privée
  • SC-17 Certificats d’infrastructure à clé publique
  • SC-18 Code mobile
  • SC-19 Voix sur IP
  • SC-20 Service sécurisé de résolution de nom ou d’adresse (source faisant autorité)
  • SC-21 Service sécurisé de résolution de nom ou d’adresse (résolveur récursif ou cache)
  • SC-22 Architecture et prestation de services de résolution de nom ou d’adresse
  • SC-23 Authenticité des sessions
  • SC-24 Défaillance dans un état connu
  • SC-25 Nœuds légers
  • SC-26 Leurres
  • SC-27 Applications indépendantes des plateformes
  • SC-28 Protection de l’information au repos
  • SC-29 Hétérogénéité
  • SC-30 Dissimulation et détournement
  • SC-31 Analyse des voies clandestines
  • SC-32 Partitionnement des systèmes
  • SC-33 Intégrité de la préparation des transmissions
  • SC-34 Programmes exécutables non modifiables
  • SC-35 Identification des programmes malveillants externes
  • SC-36 Traitement et stockage répartis
  • SC-37 Voies d’acheminement hors bande
  • SC-38 Sécurité des opérations
  • SC-39 Isolation des processus
  • SC-40 Protection des liaisons sans fil
  • SC-41 Accès des ports et des périphériques d’entrée et de sortie
  • SC-42 Capacité des capteurs et données
  • SC-43 Restrictions relatives à l’utilisation
  • SC-44 Chambres de détonation
  • SC-45 Synchronisation temporelle des systèmes
  • SC-46 Application des stratégies interdomaines
  • SC-47 Chemins de communications secondaires
  • SC-48 Relocalisation des capteurs
  • SC-49 Application de la séparation et des stratégies matérielles
  • SC-50 Séparation imposée par logiciel et application de la stratégie
  • SC-51 Protection matérielle
  • SC-400 Authentification de la source de l’entité
  • SC-401 Systèmes de télécommunications non classifiés dans les installations sécurisées
• Intégrité de l’information et des systèmes

  • SI-01 Politique et procédures d’intégrité de l’information et des systèmes
  • SI-02 Correction des défauts
  • SI-03 Protection contre les programmes malveillants
  • SI-04 Surveillance des systèmes
  • SI-05 Alertes, avis et directives de sécurité
  • SI-06 Vérification des fonctions de sécurité et de protection de la vie privée
  • SI-07 Intégrité des logiciels, des micrologiciels et de l’information
  • SI-08 Protection contre les pourriels
  • SI-09 Restrictions relatives à la saisie d’information
  • SI-10 Validation de la saisie d’information
  • SI-11 Traitement des erreurs
  • SI-12 Gestion et conservation de l’information
  • SI-13 Prévention des pannes prévisibles
  • SI-14 Non-persistance
  • SI-15 Filtrage des sorties d’information
  • SI-16 Protection de la mémoire
  • SI-17 Procédures de sécurité intégrée
  • SI-18 Opérations liées à la qualité des renseignements personnels
  • SI-19 Dépersonnalisation
  • SI-20 Contamination
  • SI-21 Actualisation de l’information
  • SI-22 Diversité de l’information
  • SI-23 Fragmentation de l’information
  • SI-400 Station de travail administrative dédiée
• Gestion des risques liés à la chaîne d’approvisionnement

  • SR-01 Politique et procédures de gestion des risques liés à la chaîne d’approvisionnement
  • SR-02 Plan de gestion des risques liés à la chaîne d’approvisionnement
  • SR-03 Contrôles et processus de la chaîne d’approvisionnement
  • SR-04 Provenance
  • SR-05 Stratégies, outils et méthodes d’acquisition
  • SR-06 Évaluations et examens des fournisseurs
  • SR-07 Sécurité opérationnelle de la chaîne d’approvisionnement
  • SR-08 Ententes de notification
  • SR-09 Résistance au trafiquage et détection
  • SR-10 Inspection des systèmes ou des composants
  • SR-11 Authenticité des composants
  • SR-12 Mise hors service des composants