DOAD 6003-1, Programme de sécurité des technologies de l’information
Table des matières
1. Introduction
Date de publication : 2012-04-18
Date de la dernière modification : 2015-09-30
Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci-après nommés « militaires ».
Autorité approbatrice : Sous-ministre adjoint (Gestion de l'information) (SMA[GI]) / Dirigeant principal de l’information (DPI)
Demandes de renseignements : Directeur – Sécurité (Gestion de l'information) (Dir Sécur GI)
2. Définitions
autorité de sécurité (security authority)
Personne qui a l’autorité d’identifier des risques, de fournir des conseils et des normes de sécurité en vue d’une approbation par les autorités opérationnelle et technique, et de veiller à la conformité de ces normes dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43436)
personnel opérationnel des technologies de l'information (information technology operational personnel)
Personnes travaillant à titre d’administrateurs ou de gestionnaires de réseau ou de système, de gestionnaires de compte ou comme membre du personnel du centre d’assistance, ou fournissant un autre appui aux technologies de l’information. (Banque de terminologie de la défense, fiche numéro 47901)
praticien de la sécurité des technologies de l'information (information security practitioner)
Personne qui exerce une fonction d’ingénierie, de mise en œuvre ou de maintenance, ou toute autre fonction relative à la sécurité des technologies de l’information, dans le but de protéger la confidentialité, l’intégrité et la disponibilité des systèmes et des biens de technologie de l’information. (Banque de terminologie de la défense, fiche numéro 47902)
sécurité des technologies de l'information (information technology security)
Mesures de protection visant à préserver la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique. (Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information [GSTI], Conseil du Trésor)
technologies de l'information (information technology)
Concernent à la fois l’infrastructure technologique et les applications de TI. L’infrastructure technologique comprend tout matériel ou système utilisé pour l’acquisition, le stockage, la manipulation, la gestion, le déplacement, le contrôle, l’affichage, la commutation, les échanges, la transmission ou la réception automatique de données ou de renseignements. Les applications de TI comprennent la conception, le développement, l’installation et la mise en œuvre de systèmes et d’applications informatiques visant à satisfaire à des exigences opérationnelles. (Directive sur la gestion des technologies de l’information, Conseil du Trésor)
Contexte
3.1 La sécurité des technologies de l’information (TI) est un outil clé pour réaliser la saine gestion de l’information à l’appui des programmes, des priorités organisationnelles et des opérations. Le fait d’assurer la confidentialité, l’intégrité et la disponibilité de l’information est essentiel au processus décisionnel du gouvernement et à la prestation de services. Une sécurité des TI efficace exige une approche systématique qui identifie et catégorise l’information et les biens connexes, qui évalue les risques, qui met en œuvre des mesures de protection appropriées et qui établit des responsabilités claires en matière de sécurité des TI.
3.2 Le Programme de sécurité des TI au sein du MDN et des FAC a été établi pour gérer la sécurité de l’information, des biens connexes de TI et des services pour éviter toute compromission. Le Programme de sécurité des TI gère de façon continue les risques à la sécurité pour appuyer la prestation efficace et efficiente de services et de processus de TI et est conforme aux politiques, aux directives et aux normes du gouvernement du Canada (GC).
3.3 Le Programme de sécurité des TI exige que les employés du MDN et les militaires travaillent de concert, en utilisant les processus et les technologies nécessaires, afin d’atteindre un niveau élevé de sécurité des TI au sein du MDN et des FAC.
3.4 En tant que coordonnateur de la sécurité des TI, le Dir Sécur GI est l’autorité de sécurité des TI pour le MDN et les FAC, et a un rapport hiérarchique fonctionnel à la fois avec le SMA(GI), à titre de dirigeant principal de l’information, et avec l’agent de sécurité du ministère, conformément à la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du Conseil du Trésor (CT).
3.5 La présente DOAD devrait être lue conjointement avec le Cadre stratégique de la GI et de la TI du MDN et des FC et les autres politiques, instructions, directives, normes et lignes directrices pertinentes du SMA(GI).
Objectif
3.6 La présente DOAD a pour objectif d’établir les rôles et les responsabilités des employés du MDN et des militaires en matière de sécurité des TI.
Résultats prévus
3.7 Les résultats prévus de la présente DOAD sont :
- une sensibilisation accrue des employés du MDN et des militaires en matière de sécurité des TI;
- une responsabilité démontrée en ce qui concerne les capacités en matière de sécurité des TI qui sont livrées, en appui au MDN et aux FAC, au pays et à l’étranger;
- l’intégration, par les gestionnaires de programmes et de la prestation de services, des exigences en matière de sécurité des TI aux plans, aux programmes, aux activités et aux services;
- une gestion des risques innovante et améliorée pour appuyer et rendre possibles les programmes et les services de TI.
Conséquences d’une non-conformité
4.1 La non-conformité à la présente DOAD peut entraîner des conséquences tant pour le MDN et les FAC, en tant qu’institutions, que pour les employés du MDN et les militaires, en tant qu’individus. Tout cas de non-conformité soupçonnée pourrait faire l’objet d’une enquête. La nature et la gravité des conséquences découlant d’une non-conformité seront proportionnelles aux circonstances entourant celle-ci.
Nota – En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du CT pour de plus amples informations.
Tableau des responsabilités
5.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :
Le ou les... | est chargé ou sont chargés de ou d'... |
---|---|
conseillers de niveau un et les commandants de commandements |
|
Dir Sécur GI |
|
praticiens de la sécurité des TI |
|
personnel opérationnel des TI |
|
gestionnaires de projets de TI |
|
coordonnateurs de la planification de la continuité des activités |
|
gestionnaires de programmes et de la prestation de services |
|
gardiens de la SECOM |
|
employés du MDN et les militaires |
|
Lois, règlements, politiques des organismes centraux et DOAD - politique
- Cadre de responsabilisation de gestion, Conseil du Trésor
- Cadre stratégique sur la gestion de la conformité, Conseil du Trésor
- Politique sur la gestion de l’information, Conseil du Trésor
- Politique sur la gestion des technologies de l’information, Conseil du Trésor
- Politique sur la sécurité du gouvernement, Conseil du Trésor
- Directive sur la gestion de la sécurité ministérielle, Conseil du Trésor
- Directive sur la gestion des technologies de l’information, Conseil du Trésor
- Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA), Conseil du Trésor
- Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), Conseil du Trésor
- Liste de vérification des exigences relatives à la sécurité (LVERS)
- DOAD 6003-0, Sécurité des technologies de l’information
Autres références
- DOAD 6000-0, Gestion de l'information et technologies de l'information
- DOAD 6001-0, Gestion de l'information
- DOAD 6002-0, Technologies de l'information
- DOAD 6002-2, Utilisation légitime d'Internet, de l'intranet de la défense, d'ordinateurs et d'autres systèmes d’information
- Cadre stratégique de la GI et de la TI du MDN et des FC
- Ordonnances et directives de sécurité de la Défense nationale
- ITSG-33, La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie, Centre de la sécurité des télécommunications
Détails de la page
- Date de modification :