Guideline B-13

Question 1

Quels sont les 3 domaines de la gestion des risques liés à la technologie?

Answer 1

1. La gouvernance du risque.
2. Les activités et la résilience à la technologie.
3. La cybersécurité.

Question 2

Qu’est-ce que le PORAS?

Answer 2

C’est le Programme Organisationnel de Reprise Après Sinistre.

Question 3

Qu’est-ce qui doit être établi dans le PORAS?

Answer 3

• La reddition des comptes et la responsabilité à l’égard de la disponibilité et du rétablissement des services technologiques.
• Un processus de détermination et d’analyse des services technologiques et des principales dépendances nécessaires pour fonctionner dans le respect de la tolérance au risque.
• Les plans, les procédures et capacités de rétablissement des services technologiques à un niveau acceptable et dans un délai acceptable.
• Une politique ou une norme définissant les mesures de contrôle à appliquer aux processus de sauvegarde et de récupération des données, les exigences en matière de stockage des données et les tests à effectuer périodiquement.

Question 4

Vrai ou faux : Tout actif technologique utilisé dans les processus et les fonctions opérationnelles doit être compté dans un inventaire.

Answer 4

Vrai.

Question 5

Que doit faire l’institution financière pour gérer ses vulnérabilités de sécurité?

Answer 5

• Maintenir les capacités pour assurer l’application rapide de correctifs fondés sur le risque aux vulnérabilités des logiciels des fournisseurs et des applications internes.
• Appliquer les correctifs le plus tôt possible.
• Mettre en œuvre des contrôles compensatoires pour atténuer le risque dans la situation où une correction n’est pas possible.
• Surveiller régulièrement l’état des correctifs et la correction des vulnérabilités par rapport aux échéanciers définis.