Vérification interne – Gestion de la continuité de la technologie de l’information
Rapport final
Direction générale de la vérification‚ de l’évaluation et des risques
Janvier 2021
Résumé exécutif
Les applications de la technologie de l’information (TI) sont des éléments essentiels qui permettent la prestation de services critiques et elles sont indispensables à la réussite de l’Agence du revenu du Canada. Il est essentiel que les services fournis par ces applications soient en mesure de fonctionner efficacement avec un minimum d’interruptions. Le programme de gestion de la continuité des activités appuie cette exigence en mettant en place des plans, des procédures et des processus exhaustifs qui peuvent permettre la continuité et le rétablissement des services critiques.
La Direction générale de la vérification, de l’évaluation et des risques a mobilisé les bureaux de première responsabilité (BPR) afin de vérifier que les applications opérationnelles critiques étaient résilientes en 2004 et 2010. Cette vérification visait à vérifier que les applications opérationnelles critiques demeuraient résilientes dans l’environnement qui était en place au cours de la phase d’examen de la vérification.
La gestion de la continuité de la technologie de l’information est une composante de la gestion de la continuité des activités qui est centrée sur la planification et la mise à l’essai proactives des applications opérationnelles critiques et de l’infrastructure de la technologie de l’information qui appuient les services critiques. La gestion et la réalisation des activités liées à la gestion de la continuité de la technologie de l’information impliquent la Direction générale de l’informatique (DGI) et la Direction générale des finances et de l’administration (DGFA). De plus, Services partagés Canada (SPC) est un organisme partenaire qui influe directement sur les efforts de continuité.
La présente vérification a pour objectif de s’assurer que des mesures de continuité pour les applications opérationnelles critiques, qui permettent la prestation de services critiques, sont en place et fonctionnent comme prévu.
L’Agence du revenu du Canada appuie les objectifs de continuité des applications opérationnelles critiques qui permettent la prestation de ces services critiques par l’entremise d’un programme de gestion de la continuité des activités qui comprend la détermination des services critiques, la planification de la continuité et la mise à l’essai des plans.
Cette vérification a permis de déterminer que l’Agence du revenu du Canada mène des activités qui réduisent au minimum les interruptions mais qui nécessitent des rajustements pour en assurer la fiabilité.
L’Agence appuie les objectifs de continuité pour améliorer la résilience opérationnelle et mobilise les partenaires externes aux fins de consultation et de pratiques exemplaires.
La phase d’examen de la vérification avait été conclue avant l’émergence du nouveau coronavirus, COVID-19, que l’Organisation mondiale de la Santé a qualifié de pandémie le 11 mars 2020. L'événement de la COVID-19 a été une occasion pour l'Agence du revenu du Canada de mettre en œuvre ses activités de continuité d'une façon sans précédent. Les discussions avec les bureaux de première responsabilité concernant la vérification ont permis de déterminer que les constatations et les recommandations présentées dans le rapport demeurent pertinentes.
Sommaire des recommandations
La Direction générale des finances et de l’administration (DGFA) et la Direction générale de l’informatique (DGI) devraient renforcer les contrôles afin de s’assurer de ce qui suit :
- les rôles et les responsabilités sont clarifiés;
- les dépendances sont déterminées;
- les employés nécessaires ont accès aux plans de continuité des activités.
Réponse de la direction
La Direction générale des finances et de l’administration (DGFA) souscrit aux recommandations formulées dans le présent rapport et a élaboré des plans d’action connexes. La Direction générale de la vérification, de l’évaluation et des risques a déterminé que ces plans d’action semblent raisonnables pour donner suite aux recommandations.
1. Introduction
L’Agence du revenu du Canada fournit des services qui touchent la vie des Canadiens et qui contribuent à leur mieux-être économique et socialNote de bas de page 1 en recueillant et en distribuant des fonds par divers moyens. En 2019, l’Agence du revenu du Canada a traité plus de 30 millions de déclarations de revenus des particuliers et a distribué plus de 32,5 milliards de dollars en prestations et créditsNote de bas de page 2.
À mesure que les solutions axées sur la technologie sont largement adoptées, les contribuables interagissent de plus en plus avec l’Agence du revenu du Canada par l’intermédiaire des services électroniques. Pour cette raison, les contribuables particuliers, dont 88,6 % produisent leur déclaration en ligne2, sont de plus en plus conscients des interruptions touchant les applications opérationnelles qui fournissent ces services. Par conséquent, la résilience des applications opérationnelles pendant les événements perturbateurs imprévus est essentielle pour que l’Agence fournisse des services. La gestion de la continuité renforce cette résilience en mettant l’accent sur la réduction au minimum des interruptions des services critiques.
Veiller à ce que l’Agence puisse poursuivre ses activités opérationnelles lorsque les applications et les services opérationnels critiques ne sont pas disponibles ou sont défectueux grâce à la planification proactive et de la réalisation d’exercices exige la participation de la Direction générale des finances et de l’administration (DGFA) et de la Direction générale de l’informatique (DGI). Services partagés Canada (SPC) est également un organisme partenaire qui a une incidence directe sur ces efforts.
La Direction générale des finances et de l’administration (DGFA) gère le programme de gestion de la continuité des activités qui fournit des conseils, des outils, de la formation et une coordination aux propriétaires et aux coordonnateurs des services critiques.
La Direction générale de l’informatique (DGI) est un catalyseur des services critiques qui gère la récupération des applications opérationnelles qui appuient les services critiques et fournit des exigences en matière de continuité à SPC.
La gestion de la continuité des activités consiste à cerner les services critiques, à planifier des mesures préventives, à réagir aux événements perturbateurs et à appliquer des stratégies pour maintenir ou rétablir les services critiques. Les principaux extrants du processus de gestion de la continuité des activités sont les suivants :
Plans de continuité des activités : des plans qui décrivent les exigences en matière de configuration minimale acceptable pour la reprise des activités, les stratégies et toutes les coordonnées nécessaires pour maintenir et rétablir les services critiques.
Inventaire des services critiques : une liste de tous les services dont la mise en péril de la disponibilité ou de l’intégrité nuirait de manière significative ou très significative à la santé, à la sécurité, à la sûreté ainsi qu’au bien-être économique des Canadiens ou à l’efficacité des activités du gouvernement du Canada.
Applications et services opérationnels critiques : une liste des applications qui permettent la prestation des services critiques.
Rapports après action : des documents prennent note des expériences, des lacunes et des leçons apprises après les interruptions ou les exercices de mise à l’essai imprévus.
2. Événements subséquents
Le 11 mars 2020, l’Organisation mondiale de la Santé (OMS) a estimé que le nouveau coronavirus, COVID-19, devrait être qualifié de pandémique. En réponse à la pandémie et pour assurer la continuité des activités, l’Agence a mis en place un plan national de continuité des activités relatif à la COVID-19 qui a permis de cerner les fonctions habilitantes des opérations ainsi que les directions générales responsables de la prestation des services critiques aux Canadiens. Le travail de vérification interne n’a pas été défini comme un service critique. Toutefois, le travail effectué par les BPR de cette vérification était considéré comme un service critique. Des restrictions ont été mises en place par lesquelles les employés qui fournissent des services non critiques ne pouvaient pas créer de travail pour d’autres personnes qui effectuaient un service critique.
Une fois que les restrictions ont été assouplies, l’équipe de vérification a mobilisé de nouveau les BPR afin d’achever l’étape de l’établissement de rapports de la vérification. La réponse de la direction à la COVID-19 n’a pas fait l’objet d’une évaluation dans le cadre du travail de vérification.
La portée du travail de vérification comprenait les applications et les services opérationnels critiques, les données, les processus de continuité, l’orientation et les activités en place en date du 31 juillet 2019. La phase d’examen de la vérification s’est déroulée d’août 2019 à janvier 2020, et s’est terminée avant l’événement de la COVID-19. L’étape d’établissement de rapports a commencé en janvier 2020, mais a été interrompue de mars à août 2020.
3. Portée de la vérification
3.1 Importance
Cette vérification est importante, car la technologie de l’information est essentielle à la réussite des programmes de l’Agence. Étant donné que les contribuables interagissent de plus en plus avec l’Agence au moyen de services électroniques, il est essentiel que les services critiques qui sont activés par ces applications soient en mesure de fonctionner efficacement avec un minimum de perturbations.
La Direction générale de la vérification, de l’évaluation et des risques a vérifié que les applications opérationnelles critiques étaient résilientes en 2004 et en 2010. Étant donné que les rôles et les responsabilités dans ce secteur ont considérablement changé, et depuis la création de SPC, cette vérification a cherché à vérifier que les applications opérationnelles critiques demeurent résilientes dans l’environnement qui était en place au cours de la phase d’examen de la vérification.
La présente vérification a d’abord fait partie du Plan de vérification et d’évaluation axé sur les risques de 2018-2021 approuvé par le Conseil de direction. Le 28 août 2019, le Comité de gestion de l’Agence (CGA) a approuvé le cahier de planification.
3.2 Objectif
Cette vérification a pour objectif de s’assurer que des mesures de continuité pour les applications opérationnelles critiques qui permettent la prestation de services critiques sont en place et fonctionnent comme prévu.
3.3 Portée
La portée des travaux de vérification comprenait les applications opérationnelles critiques de l’Agence, les données, les processus de la continuité, les directives et les activités en place en date du 31 juillet 2019. L’infrastructure, comme les ordinateurs centraux, les serveurs et l’infrastructure réseau, ne fait pas partie de la portée de la vérification puisque la gestion de ces biens relève de SPC.
La vérification a cherché à déterminer si :
- les objectifs de continuité sont appuyés pour améliorer la résilience opérationnelle;
- les activités de continuité assurent un minimum d’interruptions pour les applications opérationnelles critiques;
- des améliorations sont apportées aux processus de continuité de façon appropriée;
- les activités de continuité des fournisseurs de services externes sont en place et gérées.
3.4 Critères et méthodologie de la vérification
Consultez l’annexe A pour obtenir les critères et la méthodologie de la vérification.
La phase d’examen de la vérification s’est déroulée d’août 2019 à janvier 2020 au moyen d’une méthode Agile pilote qui a donné lieu à une phase d’examen plus efficace.
La vérification respecte les Normes internationales pour la pratique professionnelle de l’audit interne, tel qu’il est soutenu par les résultats du programme d’assurance et d’amélioration de la qualité.
4. Constatations, recommandations et plans d’action
Les recommandations présentées dans le présent rapport traitent des questions de grande importance ou des exigences obligatoires.
La Direction générale des finances et de l'administration (DGFA) a souscrit aux recommandations et a élaboré des plans d’action correspondants. La Direction générale de la vérification, de l’évaluation et des risques a déterminé que ces plans d’action semblent raisonnables pour donner suite aux recommandations.
4.1 Gouvernance
L’objectif de ce secteur d’intérêt consistait à déterminer si les instruments de politique et les accords qui cadrent avec les objectifs de continuité de l’Agence en vue d’améliorer la résilience opérationnelle sont préparés et définis.
4.1.1 Les instruments de politique d’entreprise appuient les objectifs de continuité. Toutefois, les rôles et les responsabilités pour les activités impliquant des applications opérationnelles critiques ne sont pas clairs.
La Direction générale des finances et de l'administration (DGFA) a examiné et mis à jour la directive sur la gestion de la continuité afin de fournir des renseignements sur la gestion de la prestation et du rétablissement continus des services critiques. Toutefois, les rôles et les responsabilités concernant certaines activités clés des applications opérationnelles critiques sont manquants. Ces activités clés comprennent :
- l’identification des applications
- les exigences en matière de continuité
- la planification de la continuité
- le suivi des interruptions
- les exercices de la continuité
- les normes de services
En ce qui concerne le responsable du programme de gestion de la continuité des activités, les applications opérationnelles critiques sont à l’extérieur et distinctes de la portée du programme. Quoi qu'il en soit, la Direction générale de l’informatique (DGI) est tenue de communiquer des renseignements à la Direction générale des finances et de l'administration (DGFA) lorsque le fonctionnement d’une application opérationnelle critique est interrompue au-delà de la durée précisée.
Les discussions avec la Direction générale des finances et de l'administration (DGFA) et la Direction générale de l’informatique (DGI) ont révélé que l’Agence n’a pas attribué de responsabilités claires en ce qui concerne la continuité des applications opérationnelles critiques, ce qui pourrait perturber les services et retarder le rétablissement après les interruptions.
Recommandation 1
La Direction générale des finances et de l’administration (DGFA) devrait mettre à jour les instruments de politique d’entreprise afin de clarifier les rôles et les responsabilités de la continuité des applications opérationnelles critiques qui permettent la prestation des services critiques.
Plan d’action 1
La Direction générale des finances et de l'administration (DGFA) mettra à jour la directive sur la gestion de la continuité des activités et les guides connexes afin de clarifier les rôles et les responsabilités des intervenants de la gestion de la continuité afin d’inclure les applications opérationnelles critiques qui permettent d’offrir des services critiques. Plus particulièrement, des mises à jour seront apportées aux rôles et responsabilités du dirigeant principal de l’information, des sous-commissaires, des directeurs généraux et des chefs d’équipe. De plus, la Direction générale des finances et de l’administration (DGFA) inclura des références aux documents connexes de la Direction générale de l’informatique (DGI) qui se rapportent aux applications et aux services opérationnels critiques.
La Direction générale des finances et de l’administration (DGFA)consultera la Direction générale de l’informatique (DGI) pour préciser les rôles et les responsabilités du dirigeant principal de l’information dans la directive sur la continuité des activités. Les responsabilités comprennent les protocoles de communication, les mises à l’essai de continuité de la technologie de l’information, le signalement des incidents liés aux technologies de l’information et les processus d’enregistrement et de radiation des applications opérationnelles critiques.
La date cible d’achèvement est avril 2022.
4.2 Processus
L’objectif de ce secteur d’intérêt consistait à déterminer si les plans, les mesures, les procédures et les ententes qui réduisent les effets des interruptions aux applications opérationnelles critiques satisfont aux exigences minimales, sont en place et fonctionnent comme prévu.
4.2.1 Des processus sont en place pour les activités continues.
Le programme de gestion de la continuité des activités a mis en place des lignes directrices et des processus pour déterminer les services critiques et les applications opérationnelles critiques, et pour planifier et gérer les interruptions imprévues. De plus, le programme met à l’essai l’efficacité des plans de continuité.
4.2.2 Le programme de gestion de la continuité des activités ne détermine pas et ne consigne pas toutes les dépendances liées aux applications et aux services critiques.
Les applications opérationnelles critiques ne déterminent pas et ne consignent pas actuellement toutes les dépendances qui ne relèvent pas de l’Agence. Le responsable du programme ne vérifie pas l’exactitude des dépendances externes ou ne fait pas correspondre les renseignements fournis par rapport aux échanges de renseignements existants dans les applications critiques.
Par conséquent, il y a un risque que les applications opérationnelles critiques comptent sur des applications ou des données opérationnelles critiques non identifiées, ce qui pourrait perturber le service. Les mesures de rétablissement pourraient également être inefficaces ou inopportunes.
Une réponse efficace à une interruption imprévue d’une application opérationnelle critique exige que tous les intervenants aient cerné et soient au courant de toutes les dépendances pertinentes à l’application opérationnelle critique touchée. Ces renseignements pourraient avoir une incidence directe sur la réceptivité et la pertinence d’une réponse planifiée et coordonnée.
Recommandation 2
La Direction générale des finances et de l'administration (DGFA) devrait s’assurer que les dépendances pour toutes les applications opérationnelles critiques au sein du gouvernement du Canada sont déterminées et validées régulièrement.
Plan d’action 2
La Direction générale des finances et de l’administration (DGFA) rendra obligatoire l’identification des dépendances. Les chefs d’équipe devront fournir des renseignements sur les dépendances dans l’outil électronique de gestion des urgences et des incidents.
La Direction générale des finances et de l’administration (DGFA) effectuera le processus d’analyse des incidences sur les opérations chaque année pour assurer la validité des services critiques et des applications opérationnelles critiques connexes.
En collaboration avec la Direction générale de l’informatique (DGI), la Direction générale des finances et de l’administration (DGFA) fournira aux intervenants des conseils sur les dépendances et les échanges de données pour l’analyse des incidences sur les opérations et les processus d’enregistrement des applications et services opérationnels critiques.
La date cible d’achèvement est avril 2022.
4.2.3 Le programme de gestion de la continuité des activités n’assure pas la surveillance de l’accès aux plans de continuité des activités.
Le système stockant les plans de continuité des activités, l’outil électronique de gestion des urgences et des incidents, ne signale pas automatiquement les changements ou les examens de l’accès des utilisateurs, ni les changements apportés aux coordonnées de chaque plan, ce qui empêche la surveillance de l’accès aux plans de continuité des activités.
Il y a un risque que le personnel responsable n’ait pas accès aux plans de continuité des activités dans l’outil électronique de gestion des urgences et des incidents lorsqu’ils en ont besoin. Par conséquent, l’exécution des plans de continuité des activités pourrait être inefficace, ce qui pourrait prolonger les interruptions de services.
Dans toute interruption imprévue, il est essentiel que tous les intervenants concernés aient accès aux plans de continuité des activités concernant les applications critiques. Si les plans de continuité des activités ne sont pas disponibles de façon fiable, les efforts de continuité pourraient ne pas être menés comme prévu ou pourraient être menés de façon désorganisée.
Recommandation 3
La Direction générale des finances et de l’administration (DGFA) devrait surveiller l’accès au système des plans de continuité des activités et des coordonnées de chaque plan de continuité des activités.
Plan d’action 3
Accès:
La Direction générale des finances et de l’administration (DGFA) effectuera des exercices annuels avec les chefs d’équipe pour examiner les plans de continuité des activités pour tous les services critiques afin de valider les accès.
La Direction générale des finances et de l’administration (DGFA) fournira des directives et des communications pour informer les intervenants des autres mesures qui devraient être prises pour accéder aux plans de continuité des activités dans l’éventualité où les plans ne seraient pas disponibles par voie électronique.
La Direction générale des finances et de l’administration (DGFA) examinera les solutions techniques existantes, comme l'outil d'examen et d'attestation de l'accès, pour automatiser l’examen de l’accès au système.
La date cible d’achèvement est avril 2022.
Coordonnées :
La Direction générale des finances et de l’administration (DGFA) créera et validera un rapport sur les personnes-ressources après chaque exercice semestriel de mise à jour des coordonnées pour s’assurer que tous les intervenants ont participé et terminé avec succès les mises à jour requises.
La date cible d’achèvement est avril 2022.
4.2.4 La formation sur le processus de continuité des activités est disponible et offerte.
La Direction générale des finances et de l’administration (DGFA) élabore le matériel de cours sur le processus de continuité des activités et offre une formation en ligne à tous les employés sur demande.
La date cible d’achèvement est avril 2022.
4.3 Gestion des services externes
L’objectif de ce secteur d’intérêt consistait à déterminer si les processus de gestion des relations, des contrats, du rendement et de l’observation de SPC sont en place et fonctionnent comme prévu.
Il n’y a plus d’ententes externes documentées signées avec SPC qui comprennent les exigences en matière de continuité et les attentes pour les applications opérationnelles critiques. L’Agence fournit une liste des applications opérationnelles critiques à SPC. SPC fournit un soutien aux applications opérationnelles critiques, dans la mesure du possible.
Lorsque l’Agence a transféré des responsabilités à SPC, des ententes n’étaient pas nécessaires. Néanmoins, des ententes documentées et signées qui comprenaient des exigences des applications et services opérationnels critiques étaient en place jusqu’en 2017. Les processus au sein de SPC ont évolué au cours du temps. De nouvelles conditions de service ont été mises en place, et les organisations partenaires peuvent choisir d’établir des ententes avec SPC.
Les responsabilités officialisées en ce qui concerne la continuité des applications opérationnelles critiques pourraient faciliter le rétablissement rapide des services critiques et prévenir la perte permanente de données.
Les discussions avec la Direction générale des finances et de l’administration (DGFA) et la Direction générale de l’informatique (DGI) ont révélé que, dans un avenir proche, le gouvernement du Canada prévoit mettre sur pied une liste nationale des services critiques dans l’ensemble des ministères et organismes qui peuvent cibler les services critiques dans un contexte national et clarifier la responsabilisation et les responsabilités liées à la continuité de ces services.
5. Conclusion
L’Agence appuie les objectifs de continuité pour améliorer la résilience opérationnelle et mobilise les partenaires externes aux fins de consultation et de pratiques exemplaires. Le programme de gestion de la continuité des activités établi comprend des activités importantes, comme la détermination des services critiques, la planification de la continuité et la mise à l’essai des plans. De plus, avec la collaboration de la Direction générale de l’informatique (DGI), ces activités comprennent les applications opérationnelles critiques qui permettent la prestation de ces services critiques. Des lignes directrices exhaustives sur les plans de mise à l’essai comprennent des directives sur les activités pour les niveaux de rigueur précisés. Les lignes directrices fournissent un calendrier et des procédures sur la façon de signaler les mesures correctives. De même, la relation entre l’Agence et SPC est appuyée par un protocole de gouvernance et de fonctionnement.
Le Programme de gestion de la continuité des activités permettrait de déterminer les dépendances et de fournir l’accès aux plans.
Bien que l’événement de la COVID-19 ait été une occasion pour l'Agence du revenu du Canada de mettre en œuvre ses activités de continuité d'une façon sans précédent, les discussions avec les bureaux de première responsabilité pour la vérification ont révélé que les constatations et les recommandations décrites dans le rapport demeurent pertinentes.
6. Remerciements
En conclusion, la Direction générale de la vérification‚ de l’évaluation et des risques souhaite reconnaître et remercier les fonctionnaires de la Direction générale des finances et de l’administration (DGFA) et la Direction générale de l’informatique (DGI) pour le temps consacré et les renseignements fournis au cours de cette mission, malgré les pressions auxquelles ils ont été soumis en raison de la pandémie.
7. Annexes
Annexe A : Critères et méthodologie de la vérification
| Secteurs d’intérêt | Critères |
|---|---|
| Gouvernance | Les instruments de politique d’entreprise de l’Agence qui définissent les rôles, les responsabilités, la portée et les objectifs des programmes de continuité sont à jour, approuvés, communiqués et harmonisés avec les exigences du gouvernement du Canada. |
| Les accords internes à l’appui du programme de gestion des urgences sont documentés, à jour, approuvés et disponibles. | |
| Processus de continuité | Les processus de détermination des applications et des services opérationnels critiques sont exacts, à jour et approuvés et ils sont uniformes dans toutes les sources de données. |
| Les plans et les accords de prévention d’événements perturbateurs ayant une incidence sur les applications et les services opérationnels critiques sont documentés, approuvés, communiqués et à jour. | |
| Les plans de reprise des activités après des événements perturbateurs ayant une incidence sur les applications et les services opérationnels critiques sont documentés, approuvés, communiqués et à jour. | |
| Les événements perturbateurs ayant une incidence sur les applications et les services opérationnels critiques sont documentés, suivis, conformes aux plans et communiqués. | |
| Les plans de communication en cas d’urgence sont consignés, à jour, approuvés et communiqués. | |
| La formation est offerte et donnée à tous les employés opérationnels. | |
| Processus d’amélioration continue | Les plans de prévention sont mis à l’essai et les résultats sont consignés conformément aux instruments de politique. |
| Les rapports après action et les leçons apprises sont documentés, opportuns et communiqués. | |
| Des mesures correctives et préventives sont prises. | |
| Services externes | Les accords externes à l’appui du programme de gestion des urgences sont documentés, à jour, approuvés et disponibles. |
| Le rendement des services externes est évalué. |
Méthodologie
L’équipe de vérification a mis à l’essai une méthode Agile pour les activités d’examen et d’établissement de rapports afin d’améliorer la rapidité et la réactivité des services. La méthode de gestion de projet Agile utilise des séquences de travail progressives et itératives communément connues sous le nom de « sprints ».
La méthodologie a permis d’accroître la communication avec les bureaux de première responsabilité en fournissant une rétroaction régulière, en communiquant les résultats des tests et les recommandations. De plus, le projet pilote a permis d’accroître l’efficacité du flux de travail, la surveillance des projets et la résolution rapide des problèmes. Le projet pilote a également mené à une supervision de projets plus rigoureuse et à des prévisions cohérentes, ce qui a facilité l’harmonisation continue avec les estimations et les objectifs.
Les méthodes d’examen comprenaient les suivantes :
- la demande de renseignements des principaux intervenants;
- l’inspection des instruments de politique d’entreprise et d’autres documents sélectionnés;
- l’inspection des documents de gestion de la continuité;
- l’inspection et le recalcul des échantillons des systèmes qui appuient les activités de continuité de la technologie de l’information;
- l’inspection des lecteurs partagés à accès restreint et les droits d’accès des utilisateurs;
- l’inspection des ententes de service;
- l’inspection du matériel de formation et des activités;
- l’inspection des documents des fournisseurs de services externes.
Annexe B : Glossaire
| Terme | Définition |
|---|---|
| Gestion de la continuité des activités | Un processus de planification proactive qui permet la prestation continue de services critiques devant l’adversité. |
| Application opérationnelle critique | Une application qui est considérée comme un catalyseur de service pour un service critique; elle est nécessaire pour que le service respecte le niveau de service minimal. L’application et les services opérationnels critiques énumèrent les applications opérationnelles critiques. |
| Applications et services opérationnels critiques | Une liste des applications qui permettent la prestation des services critiques et qui ont une plus grande priorité et une meilleure visibilité pendant les pannes imprévues. |
| Service critique | Un service dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un grave ou très grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada. |