Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Méthodologie 2022 à 2023 du CRG sur la gestion de la sécurité

Renseignements généraux sur la composante de gestion

L’évaluation 2022-2023 de la composante de gestion de la sécurité du cadre de responsabilisation de gestion (CRG) est axée sur la planification stratégique de la sécurité et sur les pratiques de gestion de la sécurité qui contribuent à renforcer la position globale du gouvernement du Canada en matière de sécurité. Ces renseignements demeurent essentiels pour valider et éclairer les décisions de gestion des risques de sécurité, dégager les tendances, ainsi que déterminer les points forts et ceux qui nécessitent une attention particulière. L’approche tient compte de l’évolution continue de l’environnement opérationnel dynamique, tout en cernant les principales pratiques de gestion de la sécurité à l’échelle du gouvernement et en encourageant leur échange continu.

Le rapport du CRG 2022-2023 donnera un aperçu des résultats escomptés décrits dans la Politique sur la sécurité du gouvernement (PSG) en ce qui concerne la planification et l’établissement de rapports efficaces en matière de sécurité, un personnel et des partenaires fiables, une préparation et une intervention efficaces face aux événements, et des systèmes et des processus d’information fiables. Les résultats garantiront le respect des attentes liées à la mise en œuvre de la politique du Conseil du Trésor et des pratiques de gestion connexes en ce qui concerne les mesures de sécurité, y compris les plans de sécurité ministériels, le filtrage de sécurité, la sécurité des marchés et autres ententes, la gestion de la continuité des activités et la sécurité de la technologie de l’information.

Titre du thème stratégique

Planification et établissement de rapports efficaces en matière de sécurité

Aperçu du thème stratégique

Les administrateurs généraux assurent la planification et l’établissement de rapports efficaces en matière de sécurité dans leur ministère afin d’appuyer la prise de décisions éclairées et de permettre l’évaluation des risques de sécurité organisationnels à l’appui d’une exécution de programmes et d’une prestation de services fiables du gouvernement du Canada et de la protection de ses renseignements, de son personnel et de ses biens.

Question 1 Nouvelle

Quel pourcentage des priorités en matière d’atténuation des risques de sécurité énoncées dans le Plan de sécurité ministériel (PSM) et approuvées par l’administrateur général pour l’exercice financier de 2021-2022 a été abordé comme prévu?

Réponse :

  • Le Secrétariat du Conseil du Trésor du Canada (SCT) doit répondre
  • Le ministère ou l’organisme doit répondre
  • Le SCT et le ministère ou l’organisme doivent répondre

Justification

Un PSM détaille les décisions relatives à la gestion des risques de sécurité, ainsi que les échéanciers en vue d’accroître la sécurité ministérielle et d’appuyer la mise en œuvre. La haute direction d’un ministère sera en mesure d’évaluer le succès de ce ministère dans la gestion des activités prévues à l’échelle du ministère pour atténuer l’exposition globale au risque des mesures de sécurité cernés. Le fondement dépendra de la capacité du ministère à mener à bien les activités approuvées par l’administrateur général énumérées dans le plan d’action du PSM. Ce résultat permet de cerner les domaines potentiels d’amélioration et les mesures réactives qui peuvent être nécessaires pour garantir la gestion continue des risques de sécurité pour l’organisation. Un PSM présente également au Secrétariat du Conseil du Trésor du Canada (SCT) les risques déterminés à un niveau global afin d’éclairer la prise de décisions à l’échelle du gouvernement.

Catégorie

  • Conformité à la politique
  • Rendement
  • Base de référence

Remarque : Toutes les questions de base seront comprises dans les produits de rapport du Cadre de responsabilisation de gestion.

Résultats escomptés

L’objectif est de 100 %.

Organisations évaluées

Grands ministères et organismes

Période d’évaluation

Du 1er avril 2021 au 31 mars 2022

Méthode de calcul

Les organisations doivent fournir un numérateur et un dénominateur :

Le nombre de priorités en matière d’atténuation des risques prévues dans le PSM achevées au cours de l’exercice financier de 2021-2022 (numérateur)

divisé par

Le nombre total de priorités en matière d’atténuation des risques prévues dans le PSM dont l’achèvement est prévu au cours de l’exercice financier de 2021-2022 (dénominateur)

x 100

Grille d’évaluation

Initial
De 1 % à 39 %		 En développement
De 40 % à 65 %		 Géré
De 65 % à 94 %		 Optimisé
De 95 % à 100 %

Présente une excellente occasion d’élaborer un programme de planification et d’établissement de rapports efficaces sur la sécurité ministérielle à l’appui de l’évaluation et de la hiérarchisation des exigences en matière de sécurité du ministère qui reflètent les priorités de sécurité à l’échelle du gouvernement et contribuent à leur atteinte.

Le programme de planification et d’établissement de rapports efficaces sur la sécurité ministérielle doit être affinée davantage afin d’appuyer la planification et l’établissement de rapports efficaces sur la réalisation des priorités relatives à la planification de la sécurité dans le Plan de sécurité ministériel (PSM) des organisations.

Le programme de planification et d’établissement de rapports efficaces sur la sécurité ministérielle approche de la maturité, et des améliorations sont nécessaires pour appliquer de manière cohérente le programme à l’échelle de l’organisation et faire progresser les priorités en matière de risques de sécurité qui continuent de refléter les priorités de sécurité à l’échelle du gouvernement et de contribuer à leur atteinte.

Le programme de planification et d’établissement de rapports efficaces sur la sécurité ministérielle a atteint sa pleine maturité en tenant compte d’un environnement de risque en évolution. Il examine également les menaces et les risques de sécurité nouveaux et émergents.

Exigences en matière de données

  • Le ministère fournira des données
  • Le SCT fournira des données
  • Autres données à prendre en considération (veuillez les fournir)

Méthode de collecte des données

Preuve documentaire sous la forme du PSM du ministère ou de l’organisme et d’artéfacts secondaires (p. ex., plan d’action prioritaire, rapport annuel sur le PSM ou autre).

Limite de documents : 2

Comparaison pangouvernementale

  • Oui, les résultats de l’indicateur seront utilisés aux fins de comparaison entre ministères
  • Non (veuillez fournir une explication)

Analyse d’une année sur l’autre

  • Oui
  • Non

Cadre ministériel des résultats (CMR) (à l’usage du SCT uniquement)

Cet indicateur est-il utilisé dans le CMR du SCT?

  • Oui
  • Non

Annexe A

Ligne directrice sur l’élaboration d’un plan de sécurité ministériel- Canada.ca

Annexe B (s’il y a lieu)

Documents de référence :

Section 4.1.5 de la Politique sur la sécurité du gouvernement

Sections 4.1.3 et 4.1.5 de la Directive sur la gestion de la sécurité

Titre du thème stratégique

Un personnel et des partenaires fiables

Aperçu du thème stratégique

On peut faire confiance aux personnes pour s’acquitter de leurs responsabilités en matière de sécurité et ne pas compromettre volontairement ou par inadvertance la sécurité. On peut compter sur les sous-traitants et autres partenaires pour protéger les renseignements et les actifs qui leur sont confiés et remplir leurs obligations avec fiabilité.

Question 2 Nouvelle

Pour toutes les personnes¹ travaillant dans la fonction publique 2 qui se sont jointes à l’organisation entre le 1er novembre 2021 et le 31 octobre 2022, quel est le pourcentage de dossiers de filtrage de sécurité qui contiennent des preuves de la tenue d’une séance d’information initiale sur la sécurité afin d’informer les personnes de leurs responsabilités en matière de sécurité en vertu de la Politique sur la sécurité du gouvernement et des autorisations d’accès liées à leur niveau de sécurité?

1 « toutes les personnes » fait référence à tous les types de statut d’emploi, à l’exclusion des entrepreneurs/consultants (p. ex., étudiants, employés occasionnels, employés, etc.).

2 « fonction publique » s’applique aux ministères définis à l’article 2 et à toute autre organisation visée aux annexes IV et V de la Loi sur la gestion des finances publiques.

Réponse :

  • Le SCT doit répondre
  • Le ministère ou l’organisme doit répondre
  • Le SCT et le ministère ou l’organisme doivent répondre

Justification

La Norme sur le filtrage de sécurité exige qu’une séance d’information sur la sécurité ait lieu avant qu’une personne ne prenne ses fonctions, au besoin, en fonction du cycle de mise à jour et chaque fois qu’un changement se produit dans le niveau de sécurité. La séance d’information sur la sécurité informe les particuliers de la décision de lui accorder une cote ou une autorisation de sécurité, ainsi à l’informer de la décision et de ses responsabilités personnelles en matière de sécurité.

Catégorie

  • Conformité à la politique
  • Rendement
  • Base de référence

Remarque : Toutes les questions de base seront comprises dans les produits de rapport du Cadre de responsabilisation de gestion.

Résultats escomptés

L’objectif est de 100 %.

Organisations évaluées

Grands ministères et organismes

Période d’évaluation

Du 1er novembre 2021 au 31 octobre 2022

Méthode de calcul

Les organisations doivent fournir un numérateur et un dénominateur :

« Nombre total de personnes qui se sont jointes à l’organisation et qui ont reçu une séance d’information sur la sécurité initiale (avant le début de l’emploi, de la nomination ou de l’affectation) dont des preuves se trouvent dans le dossier » (numérateur)

divisé par

« Nombre total de personnes qui se sont jointes à l’organisation (avant le début de l’emploi, du contrat, de la nomination ou de l’affectation) » (dénominateur)

x 100

*Pour être inclus dans le numérateur de cette question, l’organisation doit confirmer (dans le suivi fourni par le SCT, colonne deux (2)) que TOUS les critères suivants ont été remplis :

  1. Une séance d’information initiale sur la sécurité a été donnée ; et
  2. Un certificat d’enquête de sécurité et un profil de sécurité signés figurent dans le dossier

Si l’organisation n’est pas en mesure de confirmer que les critères ci-dessus sont en place, elle doit consigner un « non » pour cette question à la colonne deux (2) de l’outil de suivi fourni par le SCT.

Grille d’évaluation

Initial
De 1 % à 39 %		 En développement
De 40 % à 65 %		 Géré
De 65 % à 94 %		 Optimisé
De 95 % à 100 %

Présente une excellente occasion d’élaborer des pratiques en vue d’atténuer l’exposition au risque du gouvernement du Canada et de veiller à ce que toutes les personnes reçoivent une séance d’information sur la sécurité initiale.

La pratique doit être affinée afin d’atténuer l’exposition au risque du gouvernement du Canada et de veiller à ce que les séances d’information sur la sécurité initiales soient effectuées et que les personnes soient informées de leurs responsabilités en matière de sécurité et des autorisations d’accès liées à leur niveau de sécurité.

La pratique approche de la maturité, et il reste des occasions d’assurer une application cohérente de la pratique à l’échelle de l’organisation.

Pratique à pleine maturité, qui offre l’assurance que les séances d’information sur la sécurité initiales sont systématiquement effectuées et que toutes les personnes sont informées de leurs responsabilités en matière de sécurité et des autorisations d’accès liées à leur niveau de sécurité.

Exigences en matière de données

  • Le ministère fournira des données
  • Le SCT fournira des données
  • Autres données à prendre en considération (veuillez les fournir)

Méthode de collecte des données

Outil de suivi fourni par le SCT : Les organisations sont tenues de signaler, au moyen d’un identifiant unique, toutes les personnes qui se sont jointes dans l’organisation au cours de la période prescrite, en indiquant si une séance d’information initiale sur la sécurité a été effectuée et en précisant si un certificat d’enquête de sécurité et un profil de sécurité signés sont inscrits au dossier, au moyen de l’outil de suivi fourni par le SCT.

Limite de documents : 2

Comparaison pangouvernementale

  • Oui, les résultats de l’indicateur seront utilisés pour la comparaison entre ministères
  • Non (veuillez fournir une explication)

Analyse d’une année sur l’autre

  • Oui
  • Non

Cadre ministériel des résultats (CMR) (à l’usage du SCT uniquement)

Cet indicateur est-il utilisé dans le CMR du SCT?

  • Oui
  • Non

Annexe A

S.O.

Annexe B (s’il y a lieu)

Annexe F – Suivi, Section 2 : Norme sur le filtrage de sécurité

Question 3 Conservée (question 11 en 2021-2022)

Pour toutes les personnes¹ travaillant dans la fonction publique2 qui ont quitté l’organisation du 1er novembre 2021 au 31 octobre 2022, quel est le pourcentage de dossiers de filtrage de sécurité qui contiennent des preuves qu’une séance d’information officielle3 a été fournie pour rappeler aux personnes leurs responsabilités continues de maintenir la confidentialité des renseignements de nature délicate auxquels elles ont eu accès?

1 « toutes les personnes » fait référence à tous les types de statut d’emploi, à l’exclusion des entrepreneurs/consultants (p. ex., étudiants, employés occasionnels, employés, etc.).

2 « fonction publique » s’applique aux ministères définis à l’article 2 et à toute autre organisation visée aux annexes IV et V de la Loi sur la gestion des finances publiques.

3 « séance d’information officielle » désigne un processus de compte rendu ministériel établi qui est administré et documenté pour toutes les personnes dont il est mis fin à l’emploi, à l’embauche ou à l’affectation au sein de ce ministère.

Réponse :

  • Le SCT doit répondre
  • Le ministère ou l’organisme doit répondre
  • Le SCT et le ministère ou l’organisme doivent répondre

Justification

La Norme sur le filtrage de sécurité exige que les particuliers dont il est mis fin à l’emploi, à l’embauche ou à l’affectation se soumettent à une séance d’information dans le cadre de laquelle ils seront informés de leur obligation continue de maintenir le caractère confidentiel des informations délicates auxquelles ils ont eu accès.

Cette dernière étape fournit l’assurance que les renseignements ou les biens de nature délicate du gouvernement du Canada ne feront pas l’objet d’une divulgation, d’une discussion ou d’un échange d’une manière qui pourrait causer un préjudice à une personne, une organisation, un gouvernement ou l’intérêt national du Canada s’ils sont compromis.

Les dirigeants principaux de la sécurité ou les représentants délégués, en consultation avec les conseillers en ressources humaines du ministère, doivent élaborer des procédures et veiller à ce que les séances d’information et la récupération des biens soient planifiées et menées dans le cadre du processus global de séparation.

Catégorie

  • Conformité à la politique
  • Rendement
  • Base de référence

Remarque : Toutes les questions de base seront comprises dans les produits de rapport du Cadre de responsabilisation de gestion.

Résultats escomptés

L’objectif est de 100 %.

Organisations évaluées

Grands ministères et organismes

Période d’évaluation

Du 1er novembre 2021 au 31 octobre 2022

Méthode de calcul

Les organisations doivent fournir un numérateur et un dénominateur :

« Nombre total de personnes qui ont quitté l’organisation et qui ont bénéficié d’une séance d’information officielle dont des preuves se trouvent dans le dossier » (numérateur)

divisé par

« Nombre total de personnes qui ont quitté l’organisation (fin d’emploi) » (dénominateur)

x 100

*Pour être inclus dans le numérateur de cette question, l’organisation doit confirmer (dans le suivi fourni par le SCT, colonne deux (2)) que TOUS les critères suivants ont été remplis :

  1. Une séance d’information officielle a été donnée ; et
  2. Un certificat d’enquête de sécurité et un profil de sécurité signés figurent dans le dossier.

Si l’organisation n’est pas en mesure de confirmer que les critères ci-dessus sont en place, elle doit consigner un « non » pour cette question à la colonne deux (2) de l’outil de suivi fourni par le SCT.

Grille d’évaluation

Initial
De 1 % à 39 %		 En développement
De 40 % à 65 %		 Géré
De 65 % à 94 %		 Optimisé
De 95 % à 100 %

Présente une excellente occasion d’élaborer des pratiques en vue d’atténuer l’exposition au risque du gouvernement du Canada et de veiller à ce que toutes les personnes bénéficient d’une séance d’information.

La pratique doit être affinée davantage pour atténuer l’exposition au risque du gouvernement du Canada et veiller à ce que des séances d’information soient effectuées et que les personnes soient informées de leurs obligations continues après leur départ.

La pratique approche de la maturité, et il reste des occasions d’assurer une application cohérente de la pratique à l’échelle de l’organisation.

Pratique à pleine maturité, appuyant l’assurance que des séances d’information sont systématiquement effectuées et que toutes les personnes se voient rappeler leurs obligations continues après leur départ.

Exigences en matière de données

  • Le ministère fournira des données
  • Le SCT fournira des données
  • Autres données à prendre en considération (veuillez les fournir)

Méthode de collecte des données

Outil de suivi fourni par le SCT : Les organisations sont tenues de signaler, au moyen d’un identifiant unique, toutes les personnes qui ont quitté l’organisation au cours de la période prescrite, en indiquant si une séance d’information officielle sur la sécurité a été effectuée et en précisant si un certificat d’enquête de sécurité et un profil de sécurité signés sont inscrits au dossier, au moyen de l’outil de suivi fourni par le SCT.

Limite de documents : 2

Comparaison pangouvernementale

  • Oui, les résultats de l’indicateur seront utilisés pour la comparaison entre ministères
  • Non (veuillez fournir une explication)

Analyse d’une année sur l’autre

  • Oui
  • Non

Cadre ministériel des résultats (CMR) (à l’usage du SCT uniquement)

Cet indicateur est-il utilisé dans le CMR du SCT?

  • Oui
  • Non

Annexe A

S.O.

Annexe B (s’il y a lieu)

Annexe F – Suivi, Section 12 : Norme sur le filtrage de sécurité

Question 4 Mise à jour (D’après la question 13 en 2021-2022)

Quel pourcentage de marchés pour lesquels des exigences en matière de sécurité sont déterminées¹, dont la conformité a été établie et vérifiée, est surveillé pour assurer la conformité continue tout au long du processus de passation de marchés ou d’arrangements?

1 Les « exigences en matière de sécurité » renvoient à une exigence qui doit être satisfaite pour réduire les risques de sécurité à un niveau acceptable et/ou pour respecter les obligations légales, réglementaires, stratégiques, contractuelles et autres obligations en matière de sécurité.

Réponse :

  • Le SCT doit répondre
  • Le ministère ou l’organisme doit répondre
  • Le SCT et le ministère ou l’organisme doivent répondre

Justification

Les procédures obligatoires définies à l’annexe F de la Directive sur la gestion de la sécurité (DGS) exigent que les exigences en matière de sécurité associées aux contrats soient déterminées et documentées, et que les mesures de sécurité connexes soient mises en œuvre et surveillées à chaque étape du processus d’octroi de contrats, afin de fournir une assurance raisonnable que l’information, les particuliers, les actifs, les sites et les services liés au contrat sont protégés de façon adéquate. Le renforcement de la surveillance et du suivi fait partie intégrante de la réduction et de la résolution des problèmes de non-conformité, d’incidents de sécurité ou d’autres événements de sécurité.

Cette question a pour objet de déterminer si les ministères surveillent et vérifient la conformité continue aux exigences de sécurité après l’adjudication du contrat pour fournir une assurance raisonnable que les mesures de protection et les exigences visant à atténuer les risques pour la sécurité continuent d’être respectées.

Catégorie

  • Conformité à la politique
  • Rendement
  • Base de référence

Remarque : Toutes les questions de base seront comprises dans les produits de rapport du Cadre de responsabilisation de gestion.

Résultats escomptés

L’objectif est de 100 %.

Organisations évaluées

Grands ministères et organismes

Période d’évaluation

Du 1er novembre 2021 au 31 octobre 2022

Méthode de calcul

Les organisations doivent fournir un numérateur et un dénominateur :

« Nombre total de marchés incluant des exigences de sécurité dont la conformité continue tout au long de leur cycle de vie est surveillée » (numérateur)

divisé par

« Nombre total de marchés incluant des exigences de sécurité » (dénominateur)

x 100

Grille d’évaluation

Initial
De 1 % à 39 %		 En développement
De 40 % à 65 %		 Géré
De 65 % à 94 %		 Optimisé
De 95 % à 100 %

Présente une forte possibilité de mettre au point des pratiques afin de veiller à ce que les exigences de sécurité soient surveillées tout au long du cycle de vie du marché.

Les pratiques doivent être clarifiées davantage pour garantir que les exigences minimales de suivi pour tous les marchés sont respectées.

La pratique arrivant à maturité, il reste des possibilités d’assurer une application cohérente des exigences de suivi dans tous les marchés.

Une pratique pleinement mature, appuyant une application cohérente et complète des exigences de suivi dans tous les marchés.

Exigences en matière de données

  • Le ministère fournira des données
  • Le SCT fournira des données
  • Autres données à prendre en considération (veuillez les fournir)

Méthode de collecte des données

Outil de suivi fourni + document probant

  1. Outil de suivi fourni par le SCT : Les ministères sont tenus de faire rapport, au moyen d’un identifiant unique, sur tous les marchés ayant des exigences de sécurité dans la période prescrite en utilisant l’outil de suivi fourni par le SCT.
  2. Exemple ou description du processus interne utilisé pour surveiller la conformité continue (p. ex., les évaluations périodiques, les exigences en matière d’établissement de rapports et de suivi de la conformité, la gestion active des accès utilisateurs, le suivi des incidents et événements de sécurité).

Limite de documents : 3

Comparaison pangouvernementale

  • Oui, les résultats de l’indicateur seront utilisés pour la comparaison entre ministères
  • Non (veuillez fournir une explication)

Analyse d’une année sur l’autre

  • Oui
  • Non

Cadre ministériel des résultats (CMR) (à l’usage du SCT uniquement)

Cet indicateur est-il utilisé dans le CMR du SCT?

  • Oui
  • Non

Annexe A

S.O.

Annexe B (s’il y a lieu)

Directive sur la gestion de la sécurité – Annexe F : Procédures obligatoires relatives aux mesures de sécurité lors de l’octroi de contrats et d’autres ententes – F.2.5.Suivi et mesures correctives

Titre du thème stratégique

Préparation et réaction efficace face aux événements

Aperçu du thème stratégique

Les incidences des événements de sécurité sont réduites au minimum grâce à une préparation et une réponse efficaces, et les activités, les programmes et les services critiques du GC peuvent être maintenus pendant les perturbations.

Question 5 Conservée (question 5 en 2021-2022)

Quel est le pourcentage des services externes et des services intégrés internes du ministère ou de l’organisme qui disposent d’une analyse des incidences sur les activités (AIA) à jour?

Réponse :

  • Le SCT doit répondre
  • Le ministère ou l’organisme doit répondre
  • Le SCT et le ministère ou l’organisme doivent répondre

Justification

Les organisations doivent définir les exigences de gestion de la continuité des activités (GCA) pour tous leurs services et activités connexes appuyant la disponibilité continue des services qui sont essentiels à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens ou au fonctionnement efficace du gouvernement.

Une AIA fournit également aux ministères et aux organismes la capacité de cerner l’environnement de risque et de définir les exigences de la GCA. On s’attend à ce qu’une AIA soit menée pour tous les services intégrés internes et externes du ministère. Les services critiques sont définis par le résultat d’une AIA (comme l’indique la Politique sur la sécurité du gouvernement [PSG]).

Dans le cadre du Répertoire de services du GC, les organismes doivent déterminer les services ministériels critiques dans leur répertoire de services ministériels, après avoir effectué des AIA pour chacun de leurs services ministériels intégrés internes et de leurs services externes pour effectuer cette détermination.

L’information actualisée de l’AIA permettra au SCT d’exploiter des données précises sur les services critiques afin de prendre des décisions stratégiques dans les situations d’urgence actuelles et futures et d’évaluer la capacité du GC à réagir à des événements importants.

Une AIA est considérée à jour lorsqu’elle a été mise à jour dans les trois ans suivant la date d’extraction du Cadre de responsabilisation de gestion, ou tel qu’il est indiqué autrement dans la politique ou les procédures de GCA du ministère. Les menaces et les risques associés aux services doivent également être examinés à la suite d’événements importants susceptibles d’avoir des incidences sur la criticité des services ou sur les stratégies de continuité et les priorités de restauration précédemment indiquées.

Catégorie

  • Conformité à la politique
  • Rendement
  • Base de référence

Remarque : Toutes les questions de base seront comprises dans les produits de rapport du Cadre de responsabilisation de gestion.

Résultats escomptés

L’objectif est de 100 %.

Organisations évaluées

Grands ministères et organismes

Période d’évaluation

Du 1er novembre 2021 au 31 octobre 2022

Méthode de calcul

« Nombre total de services ministériels intégrés internes et de services externes ayant fait l’objet d’une AIA mise à jour » (numérateur)

divisé par

« Nombre total de services intégrés internes et de services externes » (dénominateur)

x 100

Grille d’évaluation

Initial
De 1 % à 39 %		 En développement
De 40 % à 65 %		 Géré
De 65 % à 94 %		 Optimisé
De 95 % à 100 %

Présente une forte occasion d’évaluer, de hiérarchiser et de catégoriser les services en fonction de leur criticité afin d’assurer le soutien et la disponibilité continus des services et de leurs actifs associés.

La pratique doit être clarifiée afin d’appuyer les exigences de GCA et pour limiter les incidences potentielles des perturbations sur les services et les actifs associés.

Pratique proche de la maturité, et des progrès supplémentaires sont nécessaires pour améliorer la préparation aux perturbations potentielles des services et des actifs associés.

Pratique pleinement mûrie compte tenu d’un environnement de risque en évolution.

Exigences en matière de données

  • Le ministère fournira des données
  • Le SCT fournira des données
  • Autres données à prendre en considération (veuillez les fournir)

Méthode de collecte des données

Répertoire de services du GC (par l’intermédiaire de la gestion des portefeuilles organisationnels du GC)

Comparaison pangouvernementale

  • Oui, les résultats de l’indicateur seront utilisés pour la comparaison entre ministères
  • Non (veuillez fournir une explication)

Analyse d’une année sur l’autre

  • Oui
  • Non

Cadre ministériel des résultats (CMR) (à l’usage du SCT uniquement)

Cet indicateur est-il utilisé dans le CMR du SCT?

  • Oui
  • Non

Annexe A

S.O.

Annexe B (s’il y a lieu)

Documents de référence :

Directive sur la gestion de la sécurité – Annexe D : Procédures obligatoires relatives aux mesures de sécurité en matière de gestion de la continuité des activités

Politique sur les services et le numérique

Question 6 Nouvelle

Quel pourcentage des services critiques du ministère ou de l’organisme dotés d’un plan de continuité des activités à jour ont été testés ou mis à l’épreuve* au cours des deux dernières années?

* Les essais ou les mises à l’épreuve peuvent comprendre, mais sans s’y limiter, des scénarios, des simulations, des exercices fonctionnels et des exercices à grande échelle.

Remarque : Pour cette réponse, il est reconnu qu’un service critique peut avoir son propre PCA, être compris dans un PCA plus large ou être appuyé par plusieurs PCA.

Réponse :

  • Le SCT doit répondre
  • Le ministère ou l’organisme doit répondre
  • Le SCT et le ministère ou l’organisme doivent répondre

Justification

Les organisations doivent définir les exigences de gestion de la continuité des activités (GCA) pour tous leurs services et activités connexes appuyant la disponibilité continue des services qui sont essentiels à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens ou au fonctionnement efficace du gouvernement.

La maintenance continue des plans de continuité des activités (PCA) au moyen d’essais réguliers garantit que les stratégies sont efficaces pour assurer la continuité des activités.

Les attentes en matière de rendement des organisations sont évaluées afin de contrôler la capacité de ces dernières à maintenir leurs PCA et à rester à jour par rapport à l’évolution de l’environnement de risques, appuyant ainsi la résilience de leur organisation.

Catégorie

  • Conformité à la politique
  • Rendement
  • Base de référence

Remarque : Toutes les questions de base seront comprises dans les produits de rapport du Cadre de responsabilisation de gestion.

Résultats escomptés

L’objectif est de 100 %.

Organisations évaluées

Grands ministères et organismes

Période d’évaluation

Du 1er novembre 2021 au 31 octobre 2022

Méthode de calcul

Nombre total de services critiques dotés d’un PCA à jour et testé ou mis à l’épreuve au cours des deux dernières années (numérateur)

Divisé par

Nombre total de services critiques (dénominateur)

x 100

Grille d’évaluation

Initial
De 1 % à 39 %		 En développement
De 40 % à 65 %		 Géré
De 65 % à 94 %		 Optimisé
De 95 % à 100 %

Présente une excellente occasion d’améliorer l’évaluation de l’efficacité des stratégies de continuité et des priorités de restauration indiquées dans les PCA.

Les pratiques d’essai nécessitent une clarification supplémentaire en ce qui concerne la portée afin d’appuyer les exigences de GCA et les priorités de restauration indiquées dans les PCA.

La pratique approche de la maturité, et des améliorations sont nécessaires pour appliquer la pratique de manière cohérente dans l’ensemble des PCA et des services critiques de l’organisation.

Représente une approche totalement mature des essais de GCA à l’appui de l’évaluation de l’efficacité des stratégies de continuité et des priorités de restauration indiquées dans les PCA.

Exigences en matière de données

  • Le ministère fournira des données
  • Le SCT fournira des données
  • Autres données à prendre en considération (veuillez les fournir)

Méthode de collecte des données

Répertoire de services du GC (par l’intermédiaire de la gestion des portefeuilles organisationnel du GC)

Les documents probants peuvent comprendre des rapports d’action après coup, des rapports sur les leçons apprises, des notes d’information, des comptes rendus de discussion de la douche chaude ou d’autres documents relatifs à l’efficacité et/ou à l’action corrective résultant du test, de l’exercice et/ou de l’activation des plans, mesures et dispositions de continuité des activités.

Limites de documents : 3

Comparaison pangouvernementale

  • Oui, les résultats de l’indicateur seront utilisés pour la comparaison entre ministères
  • Non (veuillez fournir une explication)

Analyse d’une année sur l’autre

  • Oui
  • Non

Cadre ministériel des résultats (CMR) (à l’usage du SCT uniquement)

Cet indicateur est-il utilisé dans le CMR du SCT?

  • Oui
  • Non

Annexe A

S.O.

Annexe B (s’il y a lieu)

Documents de référence :

Directive sur la gestion de la sécurité – Annexe D : Procédures obligatoires relatives aux mesures de sécurité en matière de gestion de la continuité des activités

Politique sur les services et le numérique

Titre du thème stratégique

Systèmes et processus d’information fiables

Aperçu du thème stratégique

Les systèmes et processus d’information peuvent être utilisés pour protéger les renseignements et afin d’appuyer l’exécution de programmes et la prestation de services fiables.

Question 7 Nouvelle

Quel est le pourcentage des systèmes informatiques de production1 du ministère ou de l’organisme qui disposent d’une autorisation d’exploitation valide2?

1 « Les systèmes informatiques de production » désignent tout équipement ou système utilisé dans l’acquisition, le stockage, la manipulation, la gestion, le mouvement, le contrôle, l’affichage, la commutation, l’échange, la transmission ou la réception d’informations ou de données. Aux fins de l’exercice du Cadre de responsabilisation de gestion, limiter la portée aux systèmes de production (c.-à-d.., pas les systèmes de développement ou de test) dont le ministère ou l’organisme est le propriétaire du système et qui appuient les services essentiels du ministère ou de l’organisme. Par exemple, un système qui est une dépendance pour le service public du ministère, qui a un temps d’arrêt maximal autorisé de 4 heures.

**Remarque : la définition des « applications actives » concerne le domaine de gestion des services et du numérique et offre un champ d’application plus large (par exemple, applicable à l’ensemble du catalogue de gestion du portefeuille d’applications), ce qui diffère du domaine de gestion de la sécurité.

2« autorisation d’exploitation valide » se définit comme un résultat du processus d’évaluation et d’autorisation de la sécurité de la TI établi par le ministère qui est signé par un haut fonctionnaire autorisé approprié du ministère (p. ex., le fonctionnaire désigné pour la cybersécurité, le chef de la sécurité, le président du comité de sécurité, etc.);

Et est soit

  • sans condition, à condition que le système ait été examiné ou réévalué au cours des trois dernières années; ou
  • assorti de conditions, accompagnées d’un plan d’action et d’étapes qui sont révisées mensuellement.

Réponse :

  • Le SCT doit répondre
  • Le ministère ou l’organisme doit répondre
  • Le SCT et le ministère ou l’organisme doivent répondre

Justification

Ces données seront utilisées pour évaluer la mise en œuvre des systèmes informatiques de production du ministère ou de l’organisme, leur fonctionnement prévu et l’atteinte des résultats escomptés en ce qui concerne le respect des exigences de sécurité définies. La PSG (3.2.4) exige que « les pratiques et les mesures de sécurité normalisées et fondées sur les risques soient mises en œuvre, fassent l’objet d’une surveillance et soient tenues à jour ». De plus, la Directive sur la gestion de la sécurité (B.2.6) exige des organisations qu’elles « mettent en œuvre des processus d’évaluation et d’autorisation liées à la sécurité de la TI ».

Cette information permettra aux administrateurs généraux et aux organismes centraux d’avoir et d’échanger les renseignements organisationnels nécessaires pour prendre des décisions éclairées sur les priorités et les ressources du gouvernement en matière de sécurité (PSG 3.2.3) afin de veiller à ce que les systèmes d’information soient fiables et protègent adéquatement l’information.

Il est important d’exercer la mesure de la sécurité de la TI tout au long du cycle de vie du système pour protéger les systèmes d’information, leurs composants et les renseignements qu’ils traitent. Les décideurs ministériels responsables doivent être convaincus que des mesures de sécurité appropriées sont en place et que tous les risques résiduels sont suffisamment compris et acceptés par tous les intervenants.

Catégorie

  • Conformité à la politique
  • Rendement
  • Base de référence

Remarque : Toutes les questions de base seront comprises dans les produits de rapport du Cadre de responsabilisation de gestion.

Résultats escomptés

L’objectif est de 100 %.

Organisations évaluées

Grands ministères et organismes

Période d’évaluation

Du 1er novembre 2021 au 31 octobre 2022

Méthode de calcul

Les organisations doivent fournir un numérateur et un dénominateur :

Le nombre de systèmes informatiques de production internes du ministère dotés d’une autorisation d’exploitation valide (numérateur)

divisé par

Le nombre total de systèmes informatiques de production internes du ministère (dénominateur)

x 100

Grille d’évaluation

Initial
De 1 % à 39 %		 En développement
De 40 % à 65 %		 Géré
De 65 % à 94 %		 Optimisé
De 95 % à 100 %

Présente une solide occasion d’améliorer la portée des pratiques du ministère ou de l’organisme, ou peu de systèmes informatiques sont dotés d’une autorisation d’exploitation valide.

Les pratiques nécessitent une clarification supplémentaire, car la majorité des systèmes informatiques de production du ministère ou de l’organisme ont une autorisation d’exploitation valide avec ou sans condition ou une autorisation provisoire. Il est encore possible de veiller à ce que la majorité des systèmes informatiques de production du ministère ou de l’organisme disposent d’une autorisation d’exploitation valide sans condition ou d’une autorisation provisoire.

Pratique proche de la maturité, la majorité des systèmes informatiques de production du ministère ou de l’organisme ayant une autorisation d’exploitation valide sans condition ou une autorisation provisoire. Il est encore possible de veiller à ce que tous les systèmes informatiques disposent d’une autorisation d’exploitation valide sans condition ou d’une autorisation provisoire.

Représente un programme de sécurité de la TI mature, tous les systèmes informatiques de production du ministère ou de l’organisme ayant une autorisation d’exploitation valide sans condition ou une autorisation provisoire.

Exigences en matière de données

  • Le ministère fournira des données
  • Le SCT fournira des données
  • Autres données à prendre en considération (veuillez les fournir)

Méthode de collecte des données

Les documents probants comprennent :

  • une copie du processus d’évaluation de la sécurité et d’autorisation du ministère ou du mandat du comité d’autorisation (pour démontrer qu’il a la capacité de se conformer à la DGS B.2.6);
  • une copie d’une autorisation d’exploitation valide (pour démontrer que ce qui précède est mis en pratique).

Comparaison pangouvernementale

  • Oui, les résultats de l’indicateur seront utilisés pour la comparaison entre ministères.
  • Non (veuillez fournir une explication)

Analyse d’une année sur l’autre

  • Oui
  • Non

Cadre ministériel des résultats (CMR) (à l’usage du SCT uniquement)

Cet indicateur est-il utilisé dans le CMR du SCT?

  • Oui
  • Non

Annexe A

S.O.

Annexe B (s’il y a lieu)

Documents de référence :

DGS B.2.6.3 (autoriser un système d’information avant de le mettre en service au moyen des processus établis d’évaluation et d’autorisation de la sécurité de la TI)

Détails de la page

Date de modification :