Étape 2 du RMF : sélectionner des contrôles pour un package d’autorisation

  • Rversion finale: Zurich
  • Mis à jour 29 juil. 2025
  • 4 minutes de lecture

    • Lorsque les niveaux d’impact du package ont été approuvés, il est temps de sélectionner les contrôles de la base de référence.

    Avant de commencer

    Rôle requis : Pour écrire dans la table sn_im_cont_baseline_control_objective : sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.admin

    Pour accéder à Marquer comme non applicable : sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager, sn_irm_cont_auth.admin.

    GRC Autorisation et surveillance en continu

    Les tests de démarrage rapide pour GRC : Autorisation et surveillance en continu nécessitent l'activation du module d'extension Autorisation et surveillance en continu (com.sn_compliance) et le chargement des données de démonstration.

    Tableau 1. GRC : suite de tests de démarrage rapide pour Autorisation et surveillance en continu
    Test Description Version
    GRC : le propriétaire du système crée et valide les responsabilités et rôles d'un AB et d'un AP Le propriétaire du système crée et valide les responsabilités et rôles pour une limite d'autorisation et un package d'autorisation.

    Les propriétaires d'informations et l'utilisateur système sont pré-renseignés lors de la sélection de la limite d'autorisation.

    		 Quebec (compatible avec Paris et Orlando)
    GRC : visibilité des modules d'application pour la validation du propriétaire du système Vérifiez que le profil du propriétaire du système est en mesure d'afficher le menu Autorisation et surveillance en continu et les modules suivants dans ce menu :
    • Toutes les limites d'autorisation
    • Tous les packages d'autorisation
    • Bibliothèque de types d'informations
    • Superpositions de contrôle
    • Objectifs de contrôle
    • Contrôles
    • Tous les engagements
    		 Quebec (compatible avec Paris et Orlando)
    GRC : le propriétaire du système demande le module Première approbation et Mes approbations Le propriétaire du système demande une approbation. Quebec (compatible avec Paris et Orlando)
    SO : créer et valider les responsabilités et rôles d'un AB et d'un AP Vérifiez si un propriétaire du système peut créer une Limite d'autorisation en remplissant les champs du formulaire Limite d'autorisation.

    Vérifiez également si le même SO peut créer un Package d'autorisation à partir de la vue du formulaire.

    		 Quebec (compatible avec Paris et Orlando)

    Pour en savoir plus sur Autorisation et surveillance en continu, consultez la rubrique Autorisation et surveillance en continu.

    Pourquoi et quand exécuter cette tâche

    Lorsque l’approbation a été reçue sur le formulaire Package d’autorisation, un champ Superpositions de contrôle et une série de listes connexes de contrôles sont apparus sur le formulaire.

    Procédure

    1. Sélectionnez la liste connexe Contrôles de la base de référence .
      La liste affiche les contrôles de référence pour le niveau d’impact calculé du package. Le nombre de contrôles à implémenter (tel que défini par le NIST) dépend du niveau d’impact (élevé, modéré et faible).
    2. Vous pouvez effectuer les actions suivantes sur la liste des contrôles.
      Tableau 2. Actions sur les contrôles de la base de référence
      Action Description
      Ajouter des contrôles à la liste Sélectionnez Ajouter, sélectionnez les contrôles que vous souhaitez ajouter, puis sélectionnez Créer des contrôles de base de référence.
      Remarque :
      Lors de l’ajout d’objectifs de contrôle, vous ne pouvez pas sélectionner plusieurs objectifs de contrôle avec le même ID de référence à ajouter aux contrôles de base de référence. Vous ne pouvez pas ajouter un objectif de contrôle si son ID de référence existe déjà dans la liste des contrôles de la base de référence.
      Ajouter des contrôles à l’aide d’une superposition de contrôle Sélectionnez une superposition de contrôle dans le champ Superpositions de contrôle.
      Remarque :
      Les superpositions de confidentialité et d’autres types de superpositions de contrôle peuvent être obligatoires par des agences gouvernementales, mais vous pouvez les créer pour ajouter un nombre spécifié de contrôles à votre liste.
      Identifier certains contrôles comme étant non applicables

      Sélectionnez les contrôles, sélectionnez Sélectionner, saisissez une justification, puis sélectionnez Confirmer.

      Les contrôles que vous avez marqués de cette façon sont supprimés de la liste des contrôles de la base de référence vers la liste connexe Contrôles non applicables .

      Remarque :
      • Vous ne pouvez pas déplacer des objectifs de contrôle avec le même ID de référence de la liste des contrôles de la base de référence vers les contrôles non applicables.
      • Vous ne pouvez pas déplacer les objectifs de contrôle avec le même ID de référence des contrôles de la base de référence vers les contrôles non applicables, ou des contrôles non applicables vers les contrôles de la ligne de base.
      • Lorsque vous sélectionnez deux objectifs de contrôle avec le même ID de référence dans la liste des contrôles non applicables, l’action Revenir aux contrôles de la base de référence est désactivée.
      Hériter des contrôles des contrôles communs

      Vous pouvez créer des contrôles communs auxquels d’autres contrôles subordonnés peuvent être affectés afin qu’ils puissent hériter de conseils sur les risques. Par exemple, si vous avez un contrôle qui gère une installation entière, vous pouvez identifier les contrôles associés qui hériteront de la protection et de la conformité du contrôle commun.

      Pour créer un contrôle commun, sélectionnez le contrôle, sélectionnez Créer un contrôle commun, sélectionnez OK pour confirmer. Pour plus d’informations sur la façon de permettre à un contrôle d’hériter d’un contrôle commun, reportez-vous à la section Hérité d’un contrôle commun.
    3. Sélectionnez Demander l’approbation.

      Une demande d’approbation est envoyée à l’agent autorisé, qui accède à Mes approbations à partir du volet de navigation et examine les informations contenues dans le package. Lorsque l’approbation est reçue, le package passe à l’état Implémenter .