Définition et objectif

Le but du NIST 800-137 est d'aider les agences et organisations fédérales à définir une stratégie de surveillance continue et à établir et mettre en œuvre un programme de surveillance continue qui offre une visibilité sur les actifs organisationnels, une sensibilisation aux menaces et aux vulnérabilités et une assurance continue de l'efficacité des contrôles de sécurité déployés.

En s'appuyant sur les concepts de surveillance introduits dans le NIST SP 800-37, cette publication se concentre sur l'évaluation et l'analyse de l'efficacité des contrôles de sécurité et de l'état de sécurité organisationnelle conformément à la tolérance au risque organisationnel afin de mieux soutenir les décisions de gestion des risques organisationnels.

Organe directeur

L'Institut national des normes et de la technologie (NIST) est l'organe directeur responsable de la série de publications 800, y compris le NIST 800-137.

Dernière mise à jour

Le NIST 800-137 a été publié en 2011 et n'a pas eu de mises à jour majeures. 

S'applique à

Le NIST 800-137 s'applique principalement aux organisations qui gèrent et exploitent des systèmes d'information fédéraux. Cependant, bien qu'il soit conçu pour le secteur fédéral, ses principes et concepts peuvent être adaptés pour une utilisation dans d'autres industries ou organisations.

Contrôles et exigences

Le NIST 800-137 ne présente pas un ensemble de contrôles ou d'exigences de la même manière qu'une norme de conformité. Au lieu de cela, il couvre les bases et le processus d'élaboration d'une stratégie de surveillance continue de la sécurité de l'information (ISCM) et de mise en œuvre d'un

programme ISCM. Ce processus comprend des étapes clés, notamment :

• Définir la stratégie ISCM
• Établir un programme ISCM
• Mettre en œuvre le programme ISCM
• Analyser et rapporter les résultats
• Répondre aux résultats
• Réviser et mettre à jour la stratégie et le programme ISCM

Veuillez vous référer à la publication officielle NIST SP 800-137 pour plus de détails.

Type, fréquence et durée de l'audit

Puisque le NIST 800-137 est un guide pour développer et mettre en œuvre une stratégie et un programme de surveillance continue, et non une norme de conformité, il ne dicte pas de types, fréquences ou durées d'audit spécifiques.

Les organisations doivent revoir régulièrement la stratégie et le programme de surveillance pour s'assurer que l'organisation fonctionne dans des niveaux de tolérance au risque acceptables, que les métriques restent pertinentes et que les données soient actuelles et complètes. Chaque organisation peut établir sa propre procédure pour revoir et mettre à jour cette stratégie en fonction de ses besoins et de la maturité de la sécurité de l'information.