Exigences en matière de sécurité pour la protection des renseignements de nature délicate

Table des matières

A. Conditions générales
B. Procédures
C. Loi de l'impôt sur le revenu - articles 239 et 241
D. Loi sur la taxe d'accise - articles 295 et 328
E. Exigences en matière de sécurité
F. Tableau - Résumé des exigences

A. Conditions générales

1. Tous les renseignements fournis et/ou produits sous ce contrat doivent être considérés comme étant « Protégé A » et/ou « Protégé B » (de nature particulièrement délicate.)

2. L'Agence du revenu du Canada (ARC) et l'entrepreneur s'assureront qu'une piste de vérification de tous les accès aux renseignements fournis et/ou produits sous ce contrat soit tenue et fournie sur demande.

3. Dans les cas où l'entrepreneur distribue l'information fournie sous ce contrat à d'autres endroits sous sa responsabilité, l'entrepreneur est responsable de s'assurer de l'application des exigences de sécurité énoncées dans ce document. Avant que l'information puisse être distribuée, une attestation écrite de conformité aux exigences de sécurité énoncées dans ce document devra être fournie à l'agent de sécurité de l'ARC pour révision et approbation.

B. Procédures

4. L'accès aux renseignements fournis et/ou produits sous ce contrat doit être contrôlé et doit être restreint aux individus qui :

4.1 ont besoin de connaître les renseignements pour exercer leurs fonctions;
4.2 ont une cote de fiabilité;

4.2.1 une cote de fiabilité comporte :

une vérification des données personnelles, des études et des qualités professionnelles, des données sur l'emploi et des références;
une déclaration facultative indiquant si la personne a été jugée coupable d'un acte criminel qui n'a pas été suivi d'un pardon;
une vérification du casier judiciaire;
une vérification du crédit, lorsque les devoirs ou les tâches à accomplir la rendent nécessaire, ou s'il existe un casier judiciaire faisant état du type de délit; et
les vérifications de fiabilité doivent être répétées (pour fins de mises à jour) à tous les 10 ans pour déterminer si la cote est toujours valable.

4.3 ont été sensibilisées aux lois pertinentes et aux exigences en matière de sécurité qui sont décrites dans le présent document :

articles 239 et 241 de la Loi de l'impôt sur le revenu
articles 295 et 328 de la Loi sur la taxe d'accise

5. Tous les renseignements fournis par l'ARC à l'entrepreneur doivent être protégés conformément aux exigences en matière de sécurité qui sont décrites dans le présent document et résumées dans le tableau ci-joint.

6. L'entrepreneur doit s'assurer que tous les renseignements fournis par l'ARC et/ou produits sous ce contrat soient assujettis à un calendrier de conservation et de disposition conformément au calendrier de l'ARC approuvé par l'Archiviste national du Canada et doit fournir à l'ARC :

6.1 un registre des renseignements détruits (y incluant les certificats de destruction);
6.2 un registre des renseignements transférés aux Archives nationales du Canada, Direction des archives, dont l'Archiviste national a déterminé ayant une importance historique ou archiviste; et
6.3 un registre déterminant les renseignements retournés à l'ARC qui consistaient d'information n'étant plus requise ou qui avait été reçue par erreur.

7. L'entrepreneur doit s'assurer que tous les renseignements fournis par l'ARC et/ou produits sous ce contrat soient détruits conformément aux exigences en matière de sécurité qui sont décrites dans le présent document et résumées dans le tableau ci-joint.

8. Toute perte constatée ou présumée ou toute divulgation non autorisée de renseignements fournis et/ou produits sous ce contrat doit immédiatement être signalée au responsable de la sécurité de l'ARC avec les précisions suivantes :

8.1 une description des renseignements dont il s'agit;
8.2 la date et le lieu de l'incident;
8.3 les circonstances de l'incident;
8.4 l'étendue du compromis (certaine ou probable) et l'identité des individus qui ont eu ou sont soupçonnées d'avoir eu accès aux renseignements;
8.5 les mesures prises ou envisagées pour répondre à la situation; et
8.6 toutes autres précisions qui peuvent aider à évaluer la perte ou le compromis.

9. Si les renseignements manquants sont trouvés après que leur perte a été signalée, les circonstances dans lesquelles ils ont été trouvés peuvent être communiquées par téléphone au responsable de la sécurité de l'ARC.

10. Un rapport écrit décrivant l'incident, tel qu'indiqué au paragraphe 8, doit être envoyé au responsable de la sécurité de l'ARC par l'entrepreneur responsable.

11. L'ARC peut demander à l'entrepreneur de procéder à une vérification afin de s'assurer que les mesures de sécurité énoncées soient mises en place pour la protection des renseignements fournis à l'entrepreneur.

Législations applicables

C. Loi de l'impôt sur le revenu - articles 239 et 241

239 (2.2)

Commet une infraction et encourt, sur déclaration de culpabilité par procédure sommaire, une amende maximale de 5 000 $ et un emprisonnement maximal de 12 mois, ou l'une de ces peines, toute personne :
a) soit qui contrevient au paragraphe 241(1);
b) soit qui, sciemment, contrevient à une ordonnance rendue en application du paragraphe 241(4.1).

239 (2.21)

Commet une infraction et encourt, sur déclaration de culpabilité par procédure sommaire, une amende maximale de 5 000 $ et un emprisonnement maximal de 12 mois, ou l'une de ces peines :
a) toute personne à qui un renseignement confidentiel est fourni à une fin précise en conformité avec les alinéas 241(4)b), c), e), h), k), n), o) ou p);
b) tout fonctionnaire à qui un renseignement confidentiel a été fourni à une fin précise en conformité avec les alinéas 241(4)a), d), f), f.1), i), ou j.1) et qui, sciemment, utilise ce renseignement, le fournit ou en permet la prestation ou l'accès à une autre fin.

241(1)

Sauf autorisation prévue au présent article, il est interdit à un fonctionnaire :
a) de fournir sciemment à quiconque un renseignement confidentiel ou d'en permettre sciemment la prestation;
b) de permettre sciemment à quiconque d'avoir accès à un renseignement confidentiel;
c)d'utiliser sciemment un renseignement confidentiel autrement que dans le cadre de l'application ou de l'exécution de la présente loi, du Régime de pensions du Canada ou de la Loi sur l'assurance-chômage ou de la Loi sur l'assurance-emploi, ou à une autre fin que celle pour laquelle il a été fourni en application du présent article.

241(10)

La définition qui suit s'applique au présent article.
«Fonctionnaire» personne qui est ou a été employée par la personne ou l'administration suivante, qui occupe ou a occupé une fonction de responsabilité au service d'une telle personne ou administration ou qui est ou a été engagée par une telle personne ou administration ou en son nom :
a) Sa Majesté du chef du Canada ou d'une province;
b) une administration chargée de l'application d'une loi provinciale semblable à la Loi de 1985 sur les normes de prestation de pension.

D. Loi sur la taxe d'accise - articles 295 et 328

295(1)

«fonctionnaire» Personne qui est ou a été employée par Sa Majesté du chef du canada ou d'une province, qui occupe ou a occupé une fonction de responsabilité à son service ou qui est ou a été engagée par elle ou en son nom.

295(2)

328(1)

Commet une infraction et encourt, sur déclaration de culpabilité par procédure sommaire, une amende maximale de 5 000 $ et un emprisonnement maximal de 12 mois, ou l'une de ces peines, quiconque, selon le cas :
a) contrevient au paragraphe 295(2);
b) contrevient sciemment à une ordonnance rendue en application du paragraphe 295(5.1).

382(2)

Commet une infraction et encourt, sur déclaration de culpabilité par procédure sommaire, une amende maximale de 5 000 $ et un emprisonnement maximal de 12 mois, ou l'une de ces peines :
a) toute personne à qui un renseignement confidentiel est fourni à une fin précise en conformité avec les alinéas 295(5)b), c), g) k), ou l);
b) tout fonctionnaire à qui un renseignement confidentiel a été fourni à une fin précise en conformité avec les alinéas 295(5)a), d), e) ou h), et qui, sciemment, utilise ce renseignement, le fournit ou en permet la fourniture ou l'accès à une autre fin.

E. Exigences en matière de sécurité

Les exigences en matière de sécurité ont été développées en vue d'être appliquées lors du traitement, du stockage et de la transmission de renseignements de nature délicate fournis et/ou produits sous ce contrat.

L'entrepreneur doit s'assurer

1. Sécurité administrative

1.1 Une vérification à rebours de tous les accès (création, affichage, mise à jour et suppression) aux renseignements doit être effectuée et produite sur demande. Les renseignements à indiquer dans le rapport de vérification à rebours sont le nom de la personne, l'heure et la date de l'accès ainsi que les types de transaction effectuées.
1.2 Tout individu doit être formellement identifié par un code d'identification d'utilisateur (CI-usager) unique vérifié au moyen d'un mot de passe avant que lui soit accordé l'accès aux renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) qui sont traités, stockés et transmis sur les systèmes informatiques.
1.3 La quantité et le type de renseignements auxquels peut avoir accès un individu doivent être limités aux renseignements requis pour accomplir les fonctions qui lui sont assignées dans le cadre de son travail (selon le principe du «besoin de savoir»).
1.4 Les privilèges d'accès ne sont pas accordés à des fins de curiosité ou d'avantage personnel.
1.5 Aucun individu ne doit accorder de privilèges d'accès permettant à des utilisateurs d'effectuer la totalité des fonctions d'un processus critique (répartition des tâches).
1.6 Les privilèges d'accès qui sont accordés aux individus doivent être tenus à jour et immédiatement supprimés ou suspendus lorsque l'accès n'est plus requis pour accomplir les fonctions qui leurs sont assignées dans le cadre de leur travail.
1.7 Les comptes de systèmes informatiques ne doivent être gérés, tenus, suspendus ou fermés que par une personne autorisée (administrateur).
1.8 Les comptes ayant accès à des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) ne peuvent être partagés car chaque personne est responsable de tous les activités informatiques exécutées au moyen de son CI-usager unique.
1.9 L'accès aux systèmes informatiques de l'entrepreneur doit être contrôlé par des techniques logiques de contrôle d'accès telles qu'un ci-usager et un mot de passe.
1.10 Lorsque l'accès aux systèmes informatiques de l'ARC est requis :

1.10.1 Toute personne doit remplir et signer le formulaire TF 469 d'autorisation d'accès aux systèmes informatiques. Ce formulaire indique que l'accès aux systèmes informatiques de l'ARC et aux renseignements est accordé à des fins professionnelles seulement, et que tout accès est surveillé et examiné.

1.10.2 Les mots de passe doivent compter au moins 8 caractères alphanumériques difficiles à deviner. Ils doivent être changés au moins à tous les trois mois ou dès qu'une compromission est soupçonnée, et ne doivent jamais être révélés ni partagés.

1.10.3 Un registre de tous les privilèges d'accès informatiques (p. ex. Internet, profils, applications, ressources, systèmes externes, etc.) doit être créé et tenu à jour pour chaque personne.

1.10.4 Toute personne doit s'assurer que leurs privilèges d'accès aux systèmes sont protégés de tout accès non autorisé lorsqu'elles s'absentent d'une session en cours qui n'est pas surveillée, et elles doivent fermer toute session active en quittant les lieux.

2. Sécurité du personnel

2.1 Tout individu ayant accès à des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doit avoir obtenu une cote valable de fiabilité et avoir signé la formule «Certificat d'enquête de sécurité et profil de sécurité» (SCT 330-47).
2.2 Tout individu ayant accès à des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doit être au courant des exigences de confidentialité contenues dans les lois pertinentes ci-incluses dans ce document et doit assister à une séance d'information en matière de sécurité.

2.3 Tout individu n'ayant pas obtenu une cote de fiabilité , mais qui doit avoir accès «temporairement» à du matériel, des logiciels ou des endroits où sont stockés des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) peut obtenir l'autorisation d'accès à la condition qu'elle soit escortée et surveillée pendant qu'elle se trouve dans les bureaux ou les installations de l'entrepreneur.

2.4 La réparation et la maintenance des ordinateurs, des serveurs et des systèmes qui traitent ou stockent des renseignements doivent être effectués seulement par des employés qualifiés qui on fait l'objet d'un contrôle de sécurité ou qui sont supervisés.

3. Sécurité matérielle

3.1 L'accès physique aux renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doit être contrôlé en tout temps. Le degré de protection physique peut varier en fonction des cas suivants :

3.1.1 Les serveurs ou les systèmes (bases de données) qui traitent et stockent des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doivent être gardés dans des pièces fermées à clé ou des classeurs sécuritaires verrouillés dont l'accès est limité aux personnes autorisées qui ont un besoin légitime d'y avoir accéder.
3.1.2 Les renseignements «Protégés A» et /ou «Protégés B» ( de nature particulièrement délicate) doivent être stockés sur les serveurs et non sur le système informatique de l'utilisateur. Lorsque ceci n'est pas possible, le système informatique doit être protégé par des techniques de contrôle d'accès approuvés et les données doivent être chiffrées au moyen d'algorithmes approuvés par l'ARC.
3.1.3 Afin de prévenir le vol, les systèmes informatiques qui traitent, stockent ou transmettent des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doivent être gardés dans des bureaux dont l'accès est protégé par des serrures Unican ou à codes, systèmes de cartes d'accès ou réceptionnistes durant les heures d'affaires; en dehors de ces heures, les portes donnant accès à ces endroits doivent être verrouillées a l'aide d'un pêne dormant .
3.1.4 Les ordinateurs portatifs ou blocs-notes qui traitent et stockent des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doivent être protégés par des contrôles d'accès approuvés et les données doivent être chiffrées au moyen d'un algorithme approuvé par l'ARC. Lorsque ces ordinateurs sont à l'extérieur des bureaux ou les installations de l'entrepreneur, ils devraient être protégés par des câbles ou des serrures pour empêcher le vol.
3.1.5 Les supports amovibles tels que disquettes, disques dur, cassettes ou CD contenant des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doivent être gardés dans des classeurs verrouillés lorsqu'ils ne sont pas utilisés. Si disponible, les renseignements peuvent être chiffrés au moyen d'algorithmes approuvés par l'ARC.
3.1.6 Les documents sur support papier contenant des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doivent être gardés dans des contenants verrouillés.

3.2 Le transport des documents sur papier et sur support magnétique doit se faire conformément aux exigences en matière de sécurité qui sont résumées dans le tableau ci-joint.
3.3 Tous les renseignements «Protégé A» et/ou «Protégé B » (y compris toutes les copies) doivent être détruits conformément aux exigences en matière de sécurité qui sont résumées dans le tableau ci-joint.

4. Sécurité des communications

4.1 Les réseaux locaux et les câbles de communications doivent être protégés contre l'accès par des personnes non autorisées.
4.2 Les renseignements «Protégé A» et/ou «Protégé B » qui sont transmis à l'extérieur des bureaux ou les installations de l'entrepreneur doivent être chiffrés au moyen d'un algorithme approuvé par l'ARC.
4.3 Pendant le traitement ou l'entreposage des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) aucun système de communication externe (modem, internet) doit être actif.

5. Sécurité du logiciel

5.1 Seuls les logiciels approuvés et certifiés pour lesquels l'ARC détient une licence en règle peuvent être installés sur les systèmes informatiques de l'ARC, et toutes les licences de logiciel doivent être respectées.
5.2 Tous les fichiers de données et logiciels doivent être vérifiés pour la détection des virus/ maliciel avant d'être ouverts, copiés ou installés sur les systèmes informatiques de l'ARC.

6. Sécurité des opérations

6.1 Les supports utilisés pour le stockage des renseignements «Protégé A» et/ou «Protégé B » (de nature particulièrement délicate) doivent être effacés adéquatement avant d'être utilisés de nouveau à d'autres fins, ou ils doivent être éliminés conformément aux exigences en matière de sécurité qui sont résumées dans le tableau ci-joint.

Les techniques d'effacement acceptées sont les suivantes :
6.1.1 Superposition d'écriture, trois fois, à l'aide d'un logiciel approuvé.
6.1.2 Effacement en bloc des enregistrements sur supports magnétiques à l'aide d'un démagnétiseur suffisamment puissant (dont l'intensité de champ est le double de celui du support) afin d'effacer toutes les données enregistrées.

6.2 Lorsque le support utilisé pour stocker des renseignements «Protégé A» et/ou «Protégé B » ne peut être effacé, il doit être détruit conformément aux exigences en matière de sécurité qui sont résumées dans le tableau ci-joint (il ne peut être renvoyé au fournisseur pour fins d'échange ou de réparation).

Les techniques de destruction acceptées sont les suivantes :
6.2.1 Couper ou briser les disques en quartiers.
6.2.2 Meuler la surface des disques (disques rigides ou DC) pour les rendre inutilisables.
6.2.3 Détruire les disques rigides avec un marteau ou autre outil du genre, ou les déchiqueter.

F. Tableau - Résumé des exigences

Les normes de sécurité décrites dans ce tableau correspondent aux exigences de manutention pour les différents types de supports qui pourraient être utilisés. Quoiqu'il ne soit pas courant qu'un organisme utilise tout les différents types de supports notés ci-dessous; les méthodes en place utilisées par l'ARC sont incluses pour leur aider. L'organisme devra seulement tenir compte des normes de sécurité pour les types de supports qu'ils utilisent. Par exemple, si seulement des documents et des sorties sur imprimante sont utilisés le reste du tableau qui traite des supports électroniques ne s'applique pas. Pour les différentes procédures de manutention, il n'est pas requis de suivre chacune des options pour chaque cas - l'option la plus appropriée devrait être choisie selon les particularités de l'organisme. Par exemple, sous la destruction des supports amovibles, l'organisme aurait avantage à choisir la méthode qui lui convient le mieux telle que couper les disquettes en bande. Il n'est pas nécessaire de meuler la surface du disque et de le détruire avec un marteau – une de ces options est suffisante pour s'assurer qu'aucun renseignement conservé sur le disque dur ne peut être récupéré.

Support	Traitement	Marquage	Stockage	Destruction	Effacement	Communication
Documents et sorties sur imprimante	traiter ^{Note de bas de page 1}	inscrire la cote de sécurité ^{Note de bas de page 2} dans le coin supérieur droit sur le dessus de la page couverture	conserver dans un contenant verrouillé	utiliser une déchiqueteuse qui coupe en bandelette de 10 mm ^{Note de bas de page 3}	ne s'applique pas	Transmission électronique : ne s'applique pas Télécopieur : utiliser des dispositifs de sûreté pour télécopieur ^{Note de bas de page 5} Courrier : ^{Note de bas de page 6} utiliser deux enveloppes cachetées ^{Note de bas de page 7}
Disques durs non Amovibles (incluant les ordinateurs de bureau, ordinateurs portatifs et bloc-notes	traiter ^{Note de bas de page 1}, ^{Note de bas de page 4}	inscrire la cote de sécurité ^{Note de bas de page 2} sur le boîtier ou l'extérieur du contenant, après l'avoir retiré de l'ordinateur	contrôles d'accès logiques (CI-usager et mot de passe) chiffrer ^{Note de bas de page 4} utiliser des contrôles d'accès physique	effacer le contenu couper ou fractionner le disque en quatre meuler la surface du disque détruire avec un marteau démagnétiseur approuvé	superposition d'écriture 3 fois (– logiciel approuvés)	Transmission électronique : chiffrer ^{Note de bas de page 4} les données Télécopieur : ne s'applique pas Courrier : ^{Note de bas de page 6} emballer dans un contenant rigide conçu à cette fin ^{Note de bas de page 7}
Supports amovibles telles que : disquettes; disques durs; lecteurs USB lecteurs du type «zip» ou «jazz»; bandes et cartouches magnétiques; CD.s/DVDs; etc.	traiter ^{Note de bas de page 1}, ^{Note de bas de page 4}	inscrire la cote de sécurité ^{Note de bas de page 2} sur le boîtier ou l'extérieur du contenant bandes et cartouches magnétiques inscrire la cote de sécurité ^{Note de bas de page 2} sur la cartouche ou la cassette disquettes inscrire la cote de sécurité ^{Note de bas de page 2} sur la surface de la disquette	chiffrer ^{Note de bas de page 4} conserver dans un contenant verrouillé	effacer le contenu fractionner ou couper en quatre disquettes couper en bande de ½ pouce bandes ou cartouches magnétiques couper la bande en deux meuler la surface du disque détruire avec un marteau ou percer des trous démagnétiseur approuvé Déchiqueter	superposition d'écriture 3 fois (logiciel approuvés)	Transmission électronique : chiffrer ^{Note de bas de page 4} les données Télécopieur : ne s'applique pas Courrier : ^{Note de bas de page 6} emballer dans un contenant rigide conçu à cette fin ^{Note de bas de page 7} Disquettes/DVDs/CDs ^{Note de bas de page 6} utiliser deux enveloppes cachetées ^{Note de bas de page 7} (utiliser un Envoi postal d'information comme enveloppe intérieure)
Microfilms	traiter ^{Note de bas de page 1} surveillance permanente de l'aire d'utilisation	inscrire la cote de sécurité ^{Note de bas de page 2} sur la cartouche, la bande ou la cassette - au début (entête) et à la fin (queue) du film - au centre du haut et du bas de chaque cadre	conserver dans un contenant verrouillé	utiliser une déchiqueteuse pour la destruction de documents micrographiques ^{Note de bas de page 8}	ne s'applique pas	Transmission électronique : ne s'applique pas Télécopieur : ne s'applique pas Courrier : ^{Note de bas de page 6} emballer dans un contenant rigide conçu à cette fin ^{Note de bas de page 7}
Microfiches	traiter ^{Note de bas de page 1} surveillance permanente de l'aire d'utilisation	inscrire la cote de sécurité ^{Note de bas de page 2} sur chaque fiche ou cadre - le nombre de fiches et le nombre total de fiches sur chaque fiche ou cadre - à la ligne d'en-tête, au centre du haut et du bas de chaque fiche ou cadre	conserver dans un contenant verrouillé	utiliser une déchiqueteuse pour la destruction de documents micrographiques ^{Note de bas de page 8}	ne s'applique pas	Transmission électronique : ne s'applique pas Télécopieur : ne s'applique pas Courrier : ^{Note de bas de page 6} utiliser deux enveloppes cachetées ^{Note de bas de page 7}
Cartes à puce et autres systèmes de cartes de pointe	traiter ^{Note de bas de page 1}	inscrire la cote de sécurité ^{Note de bas de page 2} sur la partie extérieure de la carte	chiffrer ^{Note de bas de page 4} conserver dans un contenant fermé verrouillé	détruire le micro-processeur, les bandes magnétiques, les zones optiques, etc. en brisant ou en découpant la carte, en meulant l'aire de stockage des données ou par déchiquetage démagnétiseur approuvé	superposition d'écriture 3 fois (logiciels approuvés)	Transmission électronique : chiffrer ^{Note de bas de page 4} les données Télécopieur : ne s'applique pas Courrier : ^{Note de bas de page 6} emballer dans un contenant rigide conçu à cette fin ^{Note de bas de page 7}
Serveurs de réseaux locaux (RL) (Incluant les réseaux RAID)	traiter ^{Note de bas de page 1} surveillance permanente de l'aire d'utilisation	inscrire la cote de sécurité ^{Note de bas de page 2} sur le boîtier ou l'extérieur du contenant, après l'avoir retiré de l'ordinateur	contrôles d'accès logiques (CI-usager et mot de passe), et chiffrer ^{Note de bas de page 4} contrôles d'accès physique approuvés pour les salles ou installations de RL	effacer le contenu détruire avec un marteau démagnétiseur approuvé Déchiqueter	superposition d'écriture 3 fois (logiciels approuvés)	Transmission électronique : chiffrer ^{Note de bas de page 4} les données Télécopieur : ne s'applique pas Courrier : ^{Note de bas de page 6} emballer dans un contenant rigide conçu à cette fin ^{Note de bas de page 7}

Notes de bas de page

Notes de bas de page 1

Les renseignements doivent être traités dans une aire dont l'accès est limité aux personnes autorisées et aux visiteurs accompagnés. Ces aires doivent être surveillées sur une base régulière. Un fichier de pistes de vérification de tous les accès aux renseignements fournis en application du présent protocole d'entente doit être tenu (éléments de données : l'identité de la personne, l'heure et la date de l'accès et le type de transaction effectuée).

Retour à la référence de la note de bas de page1

Notes de bas de page 2

La cote de sécurité «PROTÉGÉ A» et « PROTÉGÉ B » doit toujours être inscrite sur les documents et les supports magnétiques contenant les données en “texte clair”.

Retour à la référence de la note de bas de page2

Notes de bas de page 3

La déchiqueteuse doit déchirer le papier de façon à ce qu'on ne puisse pas le rassembler à partir des fragments

Retour à la référence de la note de bas de page3

Notes de bas de page 4

Les données chiffrées au moyen d'algorithmes approuvés par L'ARC peuvent être traitées comme des renseignements de nature non délicate; pour assurer l'accessibilité et l'intégrité de ces renseignements, il convient de conserver des copies de sauvegarde sur les lieux et à l'extérieur, et d'appliquer des mesures de protection de la sécurité matérielle.

Retour à la référence de la note de bas de page4

Notes de bas de page 5

Les dispositifs FAX Secrets que L'ARC prête à une organisation doivent être installés dans une aire dont l'accès est restreint aux personnes autorisées et doivent être surveillés en tout temps; le mode par défaut du dispositif doit être réglé de manière à répondre à un numéro de groupe protégé (défini par L'ARC); L'ARC assure le soutien et l'entretien de ces dispositifs. Tout incident présumé ou réel en matière de sécurité doit être immédiatement rapporté au responsable de la sécurité de L'ARC.

Retour à la référence de la note de bas de page5

Notes de bas de page 6

Envoyer par messageries prioritaires, par courrier recommandé, par un service de messageries privé, ou par courrier diplomatique. Le transporteur doit fournir une preuve d'envoi, de transport et de livraison.

Retour à la référence de la note de bas de page6

Notes de bas de page 7

L'adresse doit figurer sur les deux enveloppes, la cote de sécurité doit figurer sur l'enveloppe intérieure seulement et porter la mention «Doit être ouvert par le destinataire seulement»; lorsque des contenants rigides sont utilisés, les verrouiller avec des attaches en plastique ou en métal de manière à ce qu'ils ne puissent être ouverts qu'en brisant ces attaches, ou utiliser un cadenas.

Retour à la référence de la note de bas de page7

Notes de bas de page 8

GRC Guide d'équipement de sécurité : Déchiqueteuses à microfilms et microfiches : Modèle : Infostroyer 201 ou SEM Modèle Micro DoD

Retour à la référence de la note de bas de page8

Détails de la page

Date de modification :: 2013-07-24

Sélection de la langue

Recherche

Se connecter