Programme de surveillance continue

Le programme de surveillance continue permet à NICE de suivre la sécurité du système CXone Mpower. Il est basé sur le processus suivant : NIST SP 800-137, Information Security Continuous Monitoring for Federal Information Systems and Organizations. L’objectif de ce programme est de fournir les éléments suivants :

  • Visibilité opérationnelle.

  • Rapports annuels sur la mise en œuvre des contrôles de sécurité.

  • Contrôle du changement.

  • Participation aux tâches de réponse aux incidents.

Dans le cadre de ce programme, NICE recueille des informations relatives à la sécurité afin de protéger le système. Le programme comprend les étapes suivantes :

  1. NICE définira une stratégie de surveillance continue basée sur la tolérance au risque. Cette stratégie maintient que NICE :

    1. Aura une visibilité sur la façon dont les actifs sont gérés.

    2. Sera conscient des faiblesses du système.

    3. Disposera d’informations actualisées sur les menaces.

  2. NICE établira les éléments suivants :

    1. Mesures.

    2. Metrics.

    3. Surveillance de l’état.

    4. Des évaluations qui :

      • Montrent l’état et l’efficacité de la sécurité de l’organisation.

      • Détectent les changements apportés à l’infrastructure du système et aux environnements d’exploitation.

  3. NICE mettra en œuvre un programme visant à :

    1. Collecter les données nécessaires aux mesures définies.

    2. Rendre compte des conclusions.

    3. Automatiser la collecte, l’analyse et la communication des données dans la mesure du possible.

  4. NICE analysera les données recueillies lors des étapes précédentes du programme.

  5. NICE rendra compte de ses conclusions et formulera des recommandations en vue d’améliorer le programme. Si nécessaire, ils collecteront des informations supplémentaires pour clarifier ou compléter les données existantes.

  6. NICE répondra aux conclusions de l’évaluation en :

    • Atténuant les vulnérabilités techniques, de gestion et opérationnelles.

    • Acceptant le risque.

    • Transférant l’évaluation à une autre autorité.

  7. Enfin, NICE examinera et mettra à jour le programme de surveillance en :

    1. Révisant la stratégie.

    2. Améliorant les capacités de mesure.

    3. Accroissant la visibilité des actifs, la connaissance des vulnérabilités et la flexibilité de l’organisation.

    4. Améliorant le contrôle de l’infrastructure CXone Mpower axé sur les données.

Les évaluations périodiques confirment que les contrôles de sécurité :

  • Sont mis en œuvre correctement.

  • Fonctionnent comme prévu.

  • Respectent les bases de référence.

Les rapports fournissent aux fonctionnaires fédéraux les informations nécessaires. Cela leur permet de :

  • Prendre des décisions fondées sur les risques.

  • Vous donner l’assurance de la sécurité du système.

La norme de gestion de la sécurité ISO 27001 exige des audits fréquents.