Exigences

Le terme exigences peut être utilisé dans divers contextes. Dans le contexte de la conformité aux politiques de sécurité de l'information et de protection de la vie privée, il se réfère généralement aux obligations imposées aux organisations en matière de sécurité de l'information et de protection de la vie privée.

Outre l'utilisation du terme exigences dans le contexte de la conformité, ce guide utilise le terme exigences dans un sens plus large, se référant à l'ensemble des besoins de protection des parties prenantes pour un système ou une organisation particulière.

Les besoins de protection des parties prenantes, ainsi que les exigences correspondantes en matière de sécurité et de vie privée, peuvent provenir de diverses sources, notamment des lois, des ordres exécutifs, des directives, des règlements, des politiques, des normes, des besoins de mission et d'affaires, et des évaluations des risques.

Dans ce guide, le terme exigences englobe à la fois les exigences légales et politiques, ainsi que l'ensemble plus large des besoins de protection des parties prenantes dérivés de ces autres sources. Lorsqu'elles sont appliquées à un système, ces exigences aident à définir les caractéristiques nécessaires du système, couvrant la sécurité, la protection de la vie privée et la garantie.

Les organisations peuvent choisir de diviser les exigences en matière de sécurité et de protection de la vie privée en catégories plus granulaires selon l'endroit où les exigences sont appliquées dans le cycle de vie du développement du système (SDLC) et à quelles fins. Par exemple, les organisations peuvent utiliser le terme exigence de capacité pour décrire une capacité que le système ou l'organisation doit fournir afin de satisfaire un besoin de protection des parties prenantes.

(Sources : NIST SP 800-37, NIST SP 800-39)