Recital 25 Asset classification

La gestion des actifs devrait consister à classer les actifs en fonction de leur type, de leur sensibilité, de leur niveau de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et des exigences en matière de sécurité, et à appliquer des mesures et des contrôles appropriés pour garantir leur disponibilité, leur intégrité, leur confidentialité et leur authenticité. En classant les actifs par niveau de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, les entités concernées devraient pouvoir appliquer des mesures et des contrôles de sécurité appropriés pour protéger les actifs, telles que le chiffrement, le contrôle d’accès, y compris le contrôle du périmètre et de l’accès physique et logique, les sauvegardes, la journalisation et le suivi, la conservation et l’élimination. Lorsqu’elles procèdent à une analyse d’impact sur l’activité, les entités concernées peuvent déterminer le niveau de classification en fonction des conséquences qu’aurait une perturbation des actifs pour les entités. Tous les membres du personnel des entités qui sont amenés à traiter des actifs doivent connaître les politiques et les instructions en la matière.