CAN/DGSI 100-8, Gouvernance des données - Partie 8 : Cadre pour la géo-résidence et la souveraineté
Cette norme spécifie les exigences minimales que doivent respecter les organisations pour protéger les données dont elles ont la garde contre les risques juridictionnels, tout en tirant parti de l'écosystème technologique mondial.
La norme n'a pas pour objet de prescrire la manière dont une organisation doit mettre en œuvre des contrôles de sécurité spécifiques. Au lieu de cela, la norme guidera les organisations en utilisant des approches juridictionnelles et non technologiques qui peuvent être adaptées pour répondre aux exigences spécifiques de l'entreprise.
Des considérations sont données sur :
- L'identification et la catégorisation des données ;
- l'élaboration d'un modèle de menace approprié
- l'identification des risques potentiels, y compris ceux liés aux lois en vigueur dans les juridictions étrangères
- les options permettant d'atténuer les risques associés
- le respect des exigences en matière de diligence raisonnable et de transfert de données dans le cadre des lois et réglementations en vigueur.
La présente norme s'applique à tous les secteurs, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif.
La présente norme part du principe que l'organisation qui met en œuvre les exigences suivantes dispose de politiques et de procédures de gestion des risques.
Note : Pour ceux qui appliquent la norme, la loi prévaut en cas d'incohérence ou d'ambiguïté potentielle entre cette norme et la législation applicable en matière de protection de la vie privée. Lorsque des informations personnelles identifiables (IPI) sont utilisées dans la norme, les définitions juridictionnelles, légales et/ou réglementaires locales s'appliquent.
DATE D'AFFICHAGE : 5 septembre 2024
DATE LIMITE POUR LES COMMENTAIRES : 18 octobre 2024
Lire le projet
Commentaires
Fermer