Model | Gouvernance | Politique & Conformité
La pratique de la Politique et Conformité (PC) vise à comprendre et à satisfaire aux exigences juridiques et réglementaires externes tout en respectant les normes de sécurité internes dans le but de garantir que la conformité est en phase avec les objectifs commerciaux de l’organisation.
Un point important pour progresser dans cette pratique est de décrire les normes de l’organisation et les obligations de tierce partie comme des exigences d’application, permettant des audits efficaces et automatisés qui peuvent être exploités au sein du SDLC et qui démontrent continuellement que toutes les attentes sont satisfaites.
De manière élaborée, la mise en œuvre de cette pratique implique une compréhension par l’ensemble de l’organisation à la fois des normes internes et des facteurs de conformité externes, tout en maintenant des points de contrôle à faible latence avec les équipes projet pour s’assurer qu’aucun projet ne se trouve en dehors des attentes de façon invisible.
| Maturity level | Stream APolitique & Normes | Stream BGestion de la Conformité | |
|---|---|---|---|
| 1 | Identifier et documenter les facteurs de gouvernance et de conformité pertinents pour l'organisation. | Déterminer une ligne de base de sécurité représentant les politiques et les normes de l’organisation. | Identifier les facteurs et les exigences de conformité tiers et les faire correspondre aux politiques et aux normes existantes. |
| 2 | Établir des références de sécurité et de conformité minimales propres à l'application. | Développer des exigences de sécurité applicables à toutes les applications. | Publier les exigences propres à la conformité d'une application et les conseils de test. |
| 3 | Mesurer le respect des politiques, des normes et des exigences des tierces parties. | Mesurer et rendre compte du degré d'adhésion d'une application donnée aux politiques et normes. | Mesurer et rendre compte de la conformité d'une application donnée avec les exigences des tierces parties. |