Méthodologie 2015 à 2016 du CRG sur la gestion de la sécurité
Table des matières
- Aperçu de la méthodologie
- Questionnaire
Aperçu de la méthodologie
Introduction
Le questionnaire sur la Gestion de la sécurité est conçu pour générer des renseignements sur la gestion du rendement qui fournissent un aperçu des pratiques de gestion de la sécurité d’un ministère ou d’un organisme pour le bénéfice de l’organisation, et pour contribuer à l’amélioration globale de la sensibilisation à la sécurité au sein du gouvernement du Canada (GC).
Ces renseignements seront importants pour valider et éclairer les décisions de même que les orientations en matière de gestion de la sécurité, observer les tendances et les changements, cerner les points forts et ceux qui requièrent une attention, mener des analyses comparatives et pour partager les pratiques exemplaires en gestion de sécurité. En outre, à partir des réponses, les administrateurs généraux seront informés de la mesure dans laquelle les pratiques de gestion ministérielles sont harmonisées avec les priorités du GC en matière de sécurité; ils seront également informés des progrès réalisés par le ministère ou l’organisme en vue d’appuyer en toute sécurité l’exécution des programmes et la prestation des services du GC, ainsi que leurs objectifs de modernisation.
Les trois domaines clés de la méthodologie sont axés sur :
- les pratiques visant à assurer l’efficacité, l’intégration et l’inclusion de tous les secteurs d’activité liés à la sécurité;
- les principales mesures d’atténuation des risques pour la sécurité qui assurent la protection des actifs du GC, de même que le maintien ininterrompu des programmes et des services;
- l’harmonisation avec les priorités de la Politique sur la sécurité du GC qui sous-tendent et appuient les buts axés sur la modernisation de l’exécution des programmes et de la prestation des services du GC en toute sécurité.
Le questionnaire permettra d’évaluer les pratiques en matière de gestion de la sécurité, le rendement et les jalons, en utilisant divers moyens pour effectuer une analyse comparative. Ces moyens pourront changer et évoluer annuellement, allant de l’établissement des renseignements de base à la détermination de cibles fondées sur les moyennes du GC.
Approche de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion
L’approche de la composante de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion (CRG) fera en sorte que les questions relevant de la méthodologie de gestion de la sécurité permettent de saisir l’information pertinente sur la transformation et sur le rendement de la sécurité, à mesure que les priorités stratégiques de la sécurité, la politique de sécurité et sa mise en œuvre évolueront et que les initiatives du GC continueront de progresser. Cet objectif sera atteint en se concentrant sur les questions de la première année qui concernaient les politiques et les initiatives liées à la sécurité de l’information et des technologies connexes, à la sécurité matérielle, au contrôle de sécurité du personnel et à l’authentification électronique, en plus de saisir des renseignements supplémentaires sur la cybersécurité, l’architecture de sécurité intégrée et l’identité interne, les justificatifs d’identité et les priorités en matière de gestion de l’accès pour la deuxième et la troisième années.
Le SCT continuera d’examiner les résultats pangouvernementaux découlant des nouvelles questions et des questions permanentes utilisées dans cette méthodologie afin d’assurer la stabilité de l’analyse des tendances sur trois ans, qui sera possible après le CRG de 2016‑2017. Au besoin, le SCT pourra réviser les questions pour continuer de mettre en œuvre les principes du CRG 2.0, notamment en posant des questions susceptibles de fournir aux administrateurs généraux et à lui-même, des renseignements utiles pour améliorer le rendement de gestion.
Méthodologie de la gestion de la sécurité 2015‑2016
Afin que les questions utilisées dans la méthodologie de la gestion de la sécurité saisissent les renseignements voulus sur le rendement et la transformation de la sécurité, la composante de gestion a révisé les résultats du CRG de 2014‑2015, de façon à raffiner la méthodologie et à fournir des renseignements clairs et utiles aux administrateurs généraux sur les pratiques de gestion et sur le rendement à cet égard.
Les changements apportés à la méthodologie de la gestion de la sécurité 2015‑2016 comprennent les suivants :
- Les questions et les sous‑questions qui recueillaient des renseignements contextuels et statistiques ont été supprimés pour simplifier le questionnaire et alléger le fardeau administratif de la production de preuves pour les ministères et pour les organismes. On a supprimé par exemple les questions contextuelles sur la nature des incidents de sécurité et sur le nombre total d’installations dans le contexte de la sécurité matérielle.
- On a intégré les renseignements contextuels à la source de preuves.
- On a raffiné les définitions et les descriptions des mesures, des critères, de la justification et de la portée de chaque question pour rendre possibles des interprétations et des mesures uniformes par l’ensemble des ministères et des organismes.
- On a ajouté de nouvelles questions conçues pour évaluer spécifiquement la conformité aux responsabilités liées au Plan ministériel de sécurité et l’efficacité des processus qui soutiennent cet outil de gestion.
- Les questions sur le filtrage de sécurité des personnes ont évolué pour permettre de déterminer les exigences de mise en œuvre de la nouvelle Norme sur le filtrage de sécurité, entrée en vigueur en .
- On a introduit de nouvelles questions sur la sécurité des TI et sur la cybersécurité pour refléter les leçons apprises des récents cyberincidents au GC et pour concentrer les efforts sur les mesures de sécurité des TI à haut rendement. Ces questions aideront à créer une base de référence des pratiques en vue de la mise en œuvre du Plan de gestion des incidents de cybersécurité du GC qui entrera en vigueur en 2015‑2016.
Périodes de référence, source de preuves et validation
La méthodologie de la gestion de la sécurité doit refléter l’état actuel du rendement et de la pratique. C’est pourquoi la plupart des questions sont formulées « dans l’immédiat », pour donner une représentation de la situation la plus à jour possible. Dans les autres cas, les questions précisent pour quelle période l’information est demandée.
En plus des types de source de preuves attendus, on précise dans le tableau le nombre maximal de documents pouvant être fournis à l’appui de chaque question. Le SCT peut consulter des évaluations et des audits internes ou externes et d’autres documents pertinents pour appuyer les évaluations de la gestion de la sécurité dans le CRG et les rapports connexes.
Questionnaire
Gestion efficace et intégrée de la sécurité au sein du ministère ou de l’organisme
Énoncé de résultat : Les ministères et organismes mettent en place des processus intégrés de gouvernance, de planification, de surveillance et d’établissement de rapports portant sur tous les secteurs d’activités liées à la sécurité.
Gouvernance et surveillance/Production de rapports
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
Politique sur la sécurité du gouvernement, 6.1.1, 6.1.2 Directive sur la gestion de la sécurité ministérielle, 6.1.6 |
Source de preuves : Ministère ou de l’organisme
Nombre de documents : 4 documents |
Pratique |
Planification
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1 |
Source de preuves : Plan de sécurité ministériel Nombre de documents : 1 document |
Pratique |
|
Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1 |
Source de preuves : Plus récent examen annuel (c.-à-d. rapport d’étape) Nombre de documents : 1 document |
Pratique |
|
Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1.1 |
Source de preuves : Plan de sécurité ministériel Nombre de documents : 1 document |
Pratique |
Protection des actifs du gouvernement du Canada et exécution des programmes et prestation des services ininterrompues
Énoncé de résultat : Les principales mesures d’atténuation des risques pour la sécurité sont bien établies au sein du ministère ou de l’organisme afin d’assurer la protection des actifs du gouvernement du Canada, de même que l’exécution des programmes et la prestation des services ininterrompues.
Sécurité de la technologie de l’information (TI)
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
Notes du tableau 4
|
|||
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Système de gestion de portefeuilles d’applicationsNote * du tableau 3 |
Rendement |
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Système de gestion de portefeuilles d’applicationsNote * du tableau 3 |
Rendement |
|
Source de preuves : Document du ministère ou de l’organisme décrivant le processus ou le plan Nombre de documents : 1 document |
Pratique |
|
|
Source de preuves : Registre ou autre document du ministère ou de l’organisme qui identifie les vulnérabilités et indique si celles-ci ont été traitées Nombre de documents : 1 document |
Pratique |
|
|
Source de preuves : Documents du ministère ou de l’organisme décrivant le processus ou le plan et les cibles ou échéanciers de gestion des correctifs Nombre de documents : 2 documents |
Pratique |
|
|
Source de preuves : Liste des systèmes ou services du ministère ou de l’organisme qui ont besoin de correctifs et statut des correctifs Nombre de documents : 1 document |
Rendement |
Sécurité matérielle
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Documentation du ministère ou de l’organisme indiquant le nombre total d’installations Nombre de documents : 1 document |
Rendement |
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Liste du ministère ou de l’organisme indiquant les installations où se trouvent les renseignements et les biens de nature délicate Nombre de documents : 1 document |
|
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Documentation du ministère ou de l’organisme indiquant le nombre total d’installations ayant d’importantes lacunes résiduelles et des lacunes en suspens depuis plus de 12 mois Nombre de documents : |
Rendement |
Filtrage de sécurité du personnel
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
Source de preuves : Politique ou procédures de sécurité du ministère ou de l’organisme Nombre de documents : 1 document |
Jalons |
Sensibilisation à la sécurité
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Ministère ou de l’organisme
Nombre de documents : 3 documents |
Pratique |
Planification de la continuité des activités
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
Notes du tableau 7
|
|||
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Gabarit rempliNote * du tableau 7 ou l’équivalent Nombre de documents : 1 document |
Rendement |
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Mêmes preuves que pour la Q16 |
Rendement |
|
Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.4d) |
Source de preuves : Document de politique ou de programme du ministère ou de l’organisme Nombre de documents : 1 document |
Pratique |
Incidents de sécurité
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
Source de preuves : Ministère ou de l’organisme
Nombre de documents : 1 document |
Pratique |
Harmonisation des priorités de la Politique sur la sécurité du gouvernement du Canada
Énoncé de résultat : Les ministères et les organismes se conforment aux priorités de la Politique sur la sécurité du gouvernement du Canada qui sous-tendent et appuient les buts axés sur l’exécution des programmes et la prestation des services du gouvernement du Canada en toute sécurité et sur leur modernisation.
Stratégie de cybersécurité du Canada
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
Plan de gestion des incidents de la TI du gouvernement du Canada (PGI TI GC) Annexe E Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), 5.2.2 |
Source de preuves : Extrait ou exemple d’un registre du ministère ou de l’organisme, etc. Nombre de documents : 1 document |
Pratique |
|
Plan de gestion des incidents de la TI du gouvernement du Canada (PGI TI GC) Annexe E Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), 5.2 |
Aucune preuve requise |
Rendement |
Fédération de l’identité
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
Norme sur l’assurance de l’identité et des justificatifs, 6.1.1 |
Source de preuves : Liste des services externes en ligne du ministère ou de l’organisme. Dans la liste, veuillez inclure des renseignements indiquant si une évaluation du niveau d’assurance a été réalisée, si le service exige l’authentification du client et si le service fait appel au service de gestion des justificatifs externes obligatoire (CléGC/Service de courtier de justificatifs d’identité) Nombre de documents : 1 document |
Rendement |
|
Directive sur la gestion de l’identité, 5.2 Norme sur l’assurance de l’identité et des justificatifs, 5.2 |
Mêmes preuves que pour la Q22. |
Rendement |
Sensibilisation à la sécurité à l’échelle du gouvernement du Canada
Indicateurs et méthode de calcul (le cas échéant) | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|
|
S.O. |
Aucune preuve requise |
Pratique |
Détails de la page
- Date de modification :