Créer un package d’autorisation

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Une fois que vous avez défini les limites d’autorisation pour les actifs ou les systèmes que vous souhaitez envoyer par le biais du processus d’autorisation d’exploitation, vous devez créer un package d’autorisation à cette fin. Le colis est ensuite traité selon les sept étapes prescrites par le RMF.

    Avant de commencer

    Rôle requis : sn_irm_cont_auth.system_owner ou sn_irm_cont_auth.admin

    Remarque :
    Ces rôles sont requis pour accéder au package d’autorisation uniquement après que celui-ci a dépassé l’état Préparer.

    Procédure

    1. Accédez à la Tous > Continuous Authorization and Monitoring > Tous les packages d'autorisation.
      Packages d'autorisation
    2. Cliquez sur Nouveau.
      Package d’autorisation : nouveau
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Package d’autorisation
      Champ Description
      Numéro Numéro de package d’autorisation généré automatiquement.
      Nom Nom du package.
      Acronyme Si nécessaire, un acronyme pour identifier le package.
      Missions/processus business Processus de gestion approprié pour ce package d’autorisation. Les processus business sont définis sur le Now Platform; par exemple, à Politique et conformité > Définition du champ d'application > Processus business.
      Actif Activez le package d’autorisation.
      Étape Étape RMF actuellement affectée au package.
      Limite d'autorisation Limite d’autorisation pour ce package.
      Objectif du système L’objectif derrière ce package d’autorisation.
    4. Cliquez sur l’onglet Rôles et responsabilités et définissez les rôles des différentes personnes concernées pendant le processus d’examen et d’approbation.
      Tableau 2. Onglet Rôles et responsabilités
      Champ Description
      Propriétaire du système Personne responsable de l’obtention, du développement, de l’intégration, de la modification, de l’exploitation et de la maintenance d’un système d’information.
      Officiel autorisé (AO) Personne responsable de l’acceptation d’un système d’information dans un environnement opérationnel à un niveau de risque connu. En règle générale, cette personne se situe au niveau du CISO ou du CISO adjoint.
      AODR (mandataires désignés officiels autorisés) Un ou plusieurs AODR.
      Évaluateurs des contrôles de sécurité (SCA) Personnes responsables de la réalisation d’une évaluation approfondie des contrôles d’un système d’information.
      Gestionnaires de la sécurité du système d'information (ISSM) Les personnes chargées de mener les activités de gestion de la sécurité des systèmes d’information telles que désignées par l’ISSO.
      ISSM (officiers de sécurité du système d'information) Personnes chargées de veiller à ce que la posture de sécurité opérationnelle appropriée soit maintenue pour un système d’information.
      Propriétaires d'informations Les personnes responsables de l’autorité législative, de gestion et opérationnelle.
      Utilisateurs système Utilisateurs responsables de l’exécution du travail réel sur le système.
    5. Cliquez sur l’onglet PTA/PIA et effectuez l’analyse du seuil de confidentialité en répondant aux questions.

      La PTA détermine s’il existe différents types d’informations personnelles identifiables (PII) dans les systèmes autorisés.

      Analyse du seuil de confidentialité/Évaluation de l’impact sur la confidentialité
    6. Si vous avez répondu Non à toutes les questions, vous n’êtes pas tenu de faire une analyse des facteurs relatifs à la vie privée et vous pouvez cliquer sur Soumettre.
    7. Si vous avez répondu Oui à l’une ou l’autre des questions, vous devez effectuer une analyse des facteurs relatifs à la vie privée.
      1. Dans le champ Personnes chargées de répondre sur l’évaluation, cliquez sur l’icône de verrouillage et sélectionnez les utilisateurs que vous souhaitez faire passer l’évaluation.
      2. Lorsque vous avez sélectionné les personnes interrogées, cliquez à nouveau sur l’icône de verrou.
      3. Cliquez sur Envoyer.
        La notification de demande d’évaluation est envoyée aux personnes chargées de répondre sélectionnées.
      4. Lorsque l’EFVP est terminée, les réponses à l’évaluation apparaissent dans une liste connexe dans le formulaire Trousse d’autorisation.
    8. Cliquez sur l’onglet Notes et commentaires pour ajouter des notes destinées aux clients au package.
    9. Cliquez sur Catégoriser pour faire passer le package à l’étape suivante