Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Méthodologie 2015 à 2016 du CRG sur la gestion de la sécurité

Table des matières

Aperçu de la méthodologie

Introduction

Le questionnaire sur la Gestion de la sécurité est conçu pour générer des renseignements sur la gestion du rendement qui fournissent un aperçu des pratiques de gestion de la sécurité d’un ministère ou d’un organisme pour le bénéfice de l’organisation, et pour contribuer à l’amélioration globale de la sensibilisation à la sécurité au sein du gouvernement du Canada (GC).

Ces renseignements seront importants pour valider et éclairer les décisions de même que les orientations en matière de gestion de la sécurité, observer les tendances et les changements, cerner les points forts et ceux qui requièrent une attention, mener des analyses comparatives et pour partager les pratiques exemplaires en gestion de sécurité. En outre, à partir des réponses, les administrateurs généraux seront informés de la mesure dans laquelle les pratiques de gestion ministérielles sont harmonisées avec les priorités du GC en matière de sécurité; ils seront également informés des progrès réalisés par le ministère ou l’organisme en vue d’appuyer en toute sécurité l’exécution des programmes et la prestation des services du GC, ainsi que leurs objectifs de modernisation.

Les trois domaines clés de la méthodologie sont axés sur :

  • les pratiques visant à assurer l’efficacité, l’intégration et l’inclusion de tous les secteurs d’activité liés à la sécurité;
  • les principales mesures d’atténuation des risques pour la sécurité qui assurent la protection des actifs du GC, de même que le maintien ininterrompu des programmes et des services;
  • l’harmonisation avec les priorités de la Politique sur la sécurité du GC qui sous-tendent et appuient les buts axés sur la modernisation de l’exécution des programmes et de la prestation des services du GC en toute sécurité.

Le questionnaire permettra d’évaluer les pratiques en matière de gestion de la sécurité, le rendement et les jalons, en utilisant divers moyens pour effectuer une analyse comparative. Ces moyens pourront changer et évoluer annuellement, allant de l’établissement des renseignements de base à la détermination de cibles fondées sur les moyennes du GC.

Approche de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion

L’approche de la composante de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion (CRG) fera en sorte que les questions relevant de la méthodologie de gestion de la sécurité permettent de saisir l’information pertinente sur la transformation et sur le rendement de la sécurité, à mesure que les priorités stratégiques de la sécurité, la politique de sécurité et sa mise en œuvre évolueront et que les initiatives du GC continueront de progresser. Cet objectif sera atteint en se concentrant sur les questions de la première année qui concernaient les politiques et les initiatives liées à la sécurité de l’information et des technologies connexes, à la sécurité matérielle, au contrôle de sécurité du personnel et à l’authentification électronique, en plus de saisir des renseignements supplémentaires sur la cybersécurité, l’architecture de sécurité intégrée et l’identité interne, les justificatifs d’identité et les priorités en matière de gestion de l’accès pour la deuxième et la troisième années.

Le SCT continuera d’examiner les résultats pangouvernementaux découlant des nouvelles questions et des questions permanentes utilisées dans cette méthodologie afin d’assurer la stabilité de l’analyse des tendances sur trois ans, qui sera possible après le CRG de 2016‑2017. Au besoin, le SCT pourra réviser les questions pour continuer de mettre en œuvre les principes du CRG 2.0, notamment en posant des questions susceptibles de fournir aux administrateurs généraux et à lui-même, des renseignements utiles pour améliorer le rendement de gestion.

Méthodologie de la gestion de la sécurité 2015‑2016

Afin que les questions utilisées dans la méthodologie de la gestion de la sécurité saisissent les renseignements voulus sur le rendement et la transformation de la sécurité, la composante de gestion a révisé les résultats du CRG de 2014‑2015, de façon à raffiner la méthodologie et à fournir des renseignements clairs et utiles aux administrateurs généraux sur les pratiques de gestion et sur le rendement à cet égard.

Les changements apportés à la méthodologie de la gestion de la sécurité 2015‑2016 comprennent les suivants :

  • Les questions et les sous‑questions qui recueillaient des renseignements contextuels et statistiques ont été supprimés pour simplifier le questionnaire et alléger le fardeau administratif de la production de preuves pour les ministères et pour les organismes. On a supprimé par exemple les questions contextuelles sur la nature des incidents de sécurité et sur le nombre total d’installations dans le contexte de la sécurité matérielle. 
  • On a intégré les renseignements contextuels à la source de preuves.
  • On a raffiné les définitions et les descriptions des mesures, des critères, de la justification et de la portée de chaque question pour rendre possibles des interprétations et des mesures uniformes par l’ensemble des ministères et des organismes.
  • On a ajouté de nouvelles questions conçues pour évaluer spécifiquement la conformité aux responsabilités liées au Plan ministériel de sécurité et l’efficacité des processus qui soutiennent cet outil de gestion.
  • Les questions sur le filtrage de sécurité des personnes ont évolué pour permettre de déterminer les exigences de mise en œuvre de la nouvelle Norme sur le filtrage de sécurité, entrée en vigueur en .
  • On a introduit de nouvelles questions sur la sécurité des TI et sur la cybersécurité pour refléter les leçons apprises des récents cyberincidents au GC et pour concentrer les efforts sur les mesures de sécurité des TI à haut rendement. Ces questions aideront à créer une base de référence des pratiques en vue de la mise en œuvre du Plan de gestion des incidents de cybersécurité du GC qui entrera en vigueur en 2015‑2016.

Périodes de référence, source de preuves et validation

La méthodologie de la gestion de la sécurité doit refléter l’état actuel du rendement et de la pratique. C’est pourquoi la plupart des questions sont formulées « dans l’immédiat », pour donner une représentation de la situation la plus à jour possible. Dans les autres cas, les questions précisent pour quelle période l’information est demandée.

En plus des types de source de preuves attendus, on précise dans le tableau le nombre maximal de documents pouvant être fournis à l’appui de chaque question. Le SCT peut consulter des évaluations et des audits internes ou externes et d’autres documents pertinents pour appuyer les évaluations de la gestion de la sécurité dans le CRG et les rapports connexes.

Questionnaire

Gestion efficace et intégrée de la sécurité au sein du ministère ou de l’organisme

Énoncé de résultat : Les ministères et organismes mettent en place des processus intégrés de gouvernance, de planification, de surveillance et d’établissement de rapports portant sur tous les secteurs d’activités liées à la sécurité.

Gouvernance et surveillance/Production de rapports

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Mécanismes de gouvernance pour la Gestion de la sécurité des ministères et organismes;

    • 1.1

      Le ministère ou l’organisme a-t-il des mécanismes de gouvernance établis auxquels l’administrateur général participe et dans le cadre desquels la sécurité ministérielle ou la gestion de la sécurité ministérielle font l’objet de discussions ou sont prises en considération au moins une fois par année?

      • Oui
      • Non - passez à la Q2
    • 1.2

      Les mécanismes de gouvernance établis impliquent-ils l’agent de sécurité ministériel nommé?

      • Oui
      • Non

    Justification : 

    La gestion de la sécurité concerne les risques et les menaces pour le ministère ou l’organisme et les opérations à l’échelle du gouvernement du Canada, et est répartie au sein des organisations et entre elles.

    Les mécanismes de gouvernance établis auxquels l’administrateur général participe et dans le cadre desquels la gestion de la sécurité fait l’objet de discussions ou est prise en considération au moins une fois par année, et auxquels l’agent de sécurité ministériel participe, font en sorte que la gestion de la sécurité ministérielle comporte une expertise sur le plan des opérations et de la sécurité afin de contribuer à sa gestion efficace.

    Définitions : 

    Mécanismes de gouvernance
    L’administrateur général participe peuvent être un comité présidé par l’administrateur général ou un processus établi auquel l’administrateur général participe.

    Remarque : 

    La discussion (ou la considération) mentionnée dans la question s’ajoute à l’approbation du plan de sécurité ministériel. Elle devrait appuyer l’élaboration et la mise en œuvre des objectifs et des priorités en matière de sécurité établis dans le plan de sécurité ministériel.

Politique sur la sécurité du gouvernement, 6.1.1, 6.1.2

Directive sur la gestion de la sécurité ministérielle, 6.1.6

Source de preuves : 

Ministère ou de l’organisme

  • Ordres du jour
  • Mandat
  • Protocole d’entente (PE)
  • Notes d’information/dossiers de présentation
  • Rapports (de suivi, d’étape, sur les résultats, RMR, RPP

Nombre de documents : 

4 documents

Pratique

Planification

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Le ministère ou organisme a-t-il un plan de sécurité ministériel portant sur le présent exercice (2015-2016) qui est approuvé par l’administrateur général?

    • Oui
    • Non

    Justification : 

    Un plan de sécurité ministériel définit les risques liés à la sécurité et expose les stratégies, les objectifs, les priorités et les échéanciers établis en vue d’améliorer la sécurité ministérielle. Un plan approuvé et à jour est un outil qui communique les priorités de l’organisation et les moyens à utiliser pour atténuer les risques par rapport auxquels l’atteinte des objectifs est mesurée et communiquée.

Politique sur la sécurité du gouvernement, 6.1.4

Directive sur la gestion de la sécurité ministérielle, 6.1.1

Source de preuves : 

Plan de sécurité ministériel

Nombre de documents : 

1 document

Pratique

  1. Le ministère ou organisme examine-t-il son plan de sécurité ministériel chaque année?

    • Oui
    • Non

    Justification : 

    Dans un environnement de risque pour la sécurité en changement constant, un examen annuel du plan de sécurité ministériel aide l’organisation et l’administrateur général à réagir aux changements sur le plan des risques et à leurs répercussions en donnant l’occasion de réévaluer les activités et d’en rétablir l’ordre de priorité afin de maintenir des programmes et une prestation de services sécurisés et continus.

Politique sur la sécurité du gouvernement, 6.1.4

Directive sur la gestion de la sécurité ministérielle, 6.1.1

Source de preuves : 

Plus récent examen annuel (c.-à-d. rapport d’étape)

Nombre de documents : 

1 document

Pratique

  1. Le processus utilisé par le ministère ou l’organisme pour élaborer et tenir à jour le plan de sécurité ministériel tient-il compte de l’ensemble des programmes et des activités définis dans l’architecture d’alignement des programmes du ministère ou de l’organisme (c.-à-d. une vision commune)? 

    • Oui
    • Non

    Justification : 

    Un plan de sécurité ministériel exhaustif est soutenu par des processus et renvoie à des processus qui font en sorte que toutes les activités de programme décrites dans l’architecture d’alignement des programmes de l’organisation ont été examinées afin de donner une vision commune des risques pour la sécurité et des mesures d’atténuation.

Politique sur la sécurité du gouvernement, 6.1.4

Directive sur la gestion de la sécurité ministérielle, 6.1.1.1

Source de preuves : 

Plan de sécurité ministériel

Nombre de documents : 

1 document

Pratique

Protection des actifs du gouvernement du Canada et exécution des programmes et prestation des services ininterrompues

Énoncé de résultat : Les principales mesures d’atténuation des risques pour la sécurité sont bien établies au sein du ministère ou de l’organisme afin d’assurer la protection des actifs du gouvernement du Canada, de même que l’exécution des programmes et la prestation des services ininterrompues.

Sécurité de la technologie de l’information (TI

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie
Notes du tableau 4
Note 1 du tableau 3

Le SCT fournira la réponse du ministère ou de l’organisme.

Retour à la référence de la note * du tableau 3

  1. En ce qui concerne les applications essentielles à la mission du ministère ou de l’organisme;

    • 5.1

      Quel est le pourcentage d’applications essentielles à la mission actuellement en opération dont le fonctionnement a été autorisé par les gestionnaires de la prestation de programmes et services?

    • 5.2

      Quel est le pourcentage d’applications essentielles (Q5.1) qui fonctionnent en vertu d’une autorisation d’exploitation temporaire (AET) ou d’une mesure équivalente?

    Justification : 

    L’accent mis sur les autorisations des applications jugées « essentielles à la mission » relativement aux opérations est important, puisque cette catégorie d’applications, si elle est compromise ou non disponible, peut causer un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.

    Calcul de la mesure 5.1 : 

    Nombre d’applications essentielles à la mission autorisées

    (divisé par)

    Nombre total d’applications essentielles à la mission

    Calcul de la mesure 5.2 : 

    Nombre d’applications essentielles à la mission visées par une AET

    (divisé par)

    Nombre total d’applications essentielles à la mission autorisées

    Définitions : 

    Application essentielle à la mission
    Une application opérationnelle qui est utilisée comme service essentiel ou qui en appuie un. Un service essentiel est un service dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.

    Remarque : 

    Cette réponse sera alignée sur les applications identifiées par les ministères ou organismes comme étant essentielles à la mission au moment de l’établissement de leur soumission pour la Gestion de portefeuilles d’applications (GPA) du SCT-DDPI.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), 9.6 et 12.3.3

Source de preuves : 

Système de gestion de portefeuilles d’applicationsNote * du tableau 3

Rendement

  1. En ce qui concerne les applications essentielles à la mission qui fonctionnent en vertu d’une autorisation d’exploitation temporaire (AET) ou d’une mesure équivalente;

    • 6.1

      Quel est le pourcentage d’applications qui comportent un plan pour traiter les risques résiduels ayant donné lieu au besoin d’une autorisation d’exploitation temporaire (AET)?

    • 6.2

      Quel est le pourcentage d’applications qui disposent de ressources pour traiter les risques résiduels ayant donné lieu au besoin d’une autorisation d’exploitation temporaire (AET)?

    Justification : 

    L’accent mis sur les autorisations des applications jugées « essentielles à la mission » relativement aux opérations est important, puisque cette catégorie d’applications, si elle est compromise ou non disponible, peut causer un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.

    Il est important de mettre davantage l’accent sur les applications autorisées qui fonctionnent en vertu d’une autorisation d’exploitation temporaire (AET) ou d’une mesure équivalente parce que ces applications comportent des risques non réglés dont le traitement nécessite une gestion et des ressources.

    La mesure du rendement de l’établissement de plans et de ressources pour traiter les risques résiduels donne une indication de la démarche du ministère ou de l’organisme visant à protéger les actifs du gouvernement du Canada (p. ex. information).

    Calcul de la mesure 6.1 : 

    Nombre d’applications visées par une AET qui comportent un plan pour traiter les risques résiduels

    (divisé par)

    ombre d’applications essentielles à la mission visées par une AET

    Calcul de la mesure 6.2 : 

    Nombre d’applications visées par une AET qui disposent de ressources pour traiter les risques résiduels

    (divisé par)

    Nombre d’applications essentielles à la mission visées par une AET

    Définitions : 

    Application essentielle à la mission
    Est une application opérationnelle qui est utilisée comme service essentiel ou qui en appuie un. Un service essentiel est un service dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.
    Ressources
    Signifie que des fonds salariaux et non salariaux sont en place pour le présent exercice (2015-2016).

    Remarque : 

    Cette réponse sera alignée sur les applications identifiées par les ministères ou organismes comme étant essentielles à la mission au moment de l’établissement de leur soumission pour la Gestion de portefeuilles d’applications (GPA) du SCT-DDPI.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), 12.3.3

Source de preuves : 

Système de gestion de portefeuilles d’applicationsNote * du tableau 3

Rendement

  1. Le ministère ou l’organisme dispose-t-il d’un processus ou d’un plan d’évaluation de la vulnérabilité documenté?

    • Oui
    • Non

    Justification : 

    Les évaluations de la vulnérabilité sont reconnues par les gouvernements et l’industrie comme étant une pratique exemplaire pour ce qui est de combler les lacunes en matière de sécurité des systèmes et applications de TI.

    Les ministères et les organismes doivent effectuer et documenter des évaluations de la vulnérabilité régulièrement pour les systèmes très délicats ou assortis de risques importants et, à leur discrétion, pour les autres systèmes.

Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), 12.5.1

Source de preuves : 

Document du ministère ou de l’organisme décrivant le processus ou le plan

Nombre de documents : 

1 document

Pratique

  1. Le ministère ou l’organisme tient-il un registre des vulnérabilités identifiées qui indique notamment si celles-ci ont été traitées?

    • Oui
    • Non

    Justification : 

    Les évaluations de la vulnérabilité sont reconnues par les gouvernements et l’industrie comme étant une pratique exemplaire pour ce qui est de combler les lacunes en matière de sécurité des systèmes et applications de TI.

    Les ministères et les organismes doivent documenter les évaluations de la vulnérabilité, les décisions ultérieures et les mesures correctives.

Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), 12.5.1

Source de preuves : 

Registre ou autre document du ministère ou de l’organisme qui identifie les vulnérabilités et indique si celles-ci ont été traitées

Nombre de documents : 

1 document

Pratique

  1. Processus ou plan de gestion des correctifs d’un ministère ou organisme;

    • 9.1

      Le ministère ou l’organisme dispose-t-il d’un processus ou d’un plan de gestion des correctifs documenté?

      • Oui
      • Non – passez à la Q11
    • 9.2

      Le processus ou le plan du ministère ou de l’organisme comprend-il des cibles ou des échéanciers pour le déploiement des correctifs, selon un ordre de priorité établi en fonction de la gravité et de l’incidence?

      • Oui
      • Non – passez à la Q11

    Justification : 

    Les évaluations de la vulnérabilité sont reconnues par les gouvernements et l’industrie comme étant une pratique exemplaire pour ce qui est de combler les lacunes en matière de sécurité des systèmes et applications de TI.

    Les ministères et les organismes doivent mettre en place un processus systématique et documenté de gestion des correctifs afin de s’assurer qu’ils appliquent les correctifs de sécurité en temps opportun. La mise en œuvre d’une gestion des correctifs opportune permet de réduire l’exposition du ministère aux menaces qui pourraient exploiter des vulnérabilités connues et donne une indication de la démarche du ministère ou de l’organisme visant à protéger les actifs du gouvernement du Canada (p. ex. information).

Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), 12.5.2

Source de preuves : 

Documents du ministère ou de l’organisme décrivant le processus ou le plan et les cibles ou échéanciers de gestion des correctifs

Nombre de documents : 

2 documents

Pratique

  1. En ce qui concerne les ministères ou organismes qui disposent d’un processus ou d’un plan de gestion des correctifs documenté (Q9), quel pourcentage de systèmes ou de services ont été corrigés en respectant les cibles ou échéanciers établis du ministère ou de l’organisme pour l’exercice 2015-2016?

    Justification : 

    La mesure du rendement quant aux systèmes ou aux services qui ont été corrigés en temps opportun donne une indication de la démarche du ministère ou de l’organisme visant à protéger les actifs du gouvernement du Canada (p. ex. information).

    Calcul de la mesure : 

    Nombre de systèmes ou de services qui ont été corrigés en respectant les cibles ou échéanciers établis

    (divisé par)

    Nombre de systèmes ou de services à corriger

Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), 12.5.2

Source de preuves : 

Liste des systèmes ou services du ministère ou de l’organisme qui ont besoin de correctifs et statut des correctifs

Nombre de documents : 

1 document

Rendement

Sécurité matérielle

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Quel est le pourcentage des installations du ministère ou de l’organisme ayant une évaluation des risques pour la sécurité à jour?

    Justification : 

    La modernisation du milieu de travail et l’évolution des menaces nécessitent une évaluation des risques pour la sécurité des installations à jour.

    L’évaluation de la mesure dans laquelle le ministère ou l’organisme évalue les risques pour la sécurité de ses installations est importante parce que ces risques peuvent aussi avoir une incidence sur les renseignements, les personnes et d’autres actifs du gouvernement du Canada.

    Calcul de la mesure : 

    Nombre d’installations ayant une évaluation à jour

    (divisé par)

    Nombre total d’installations

    Définitions : 

    Installation
    Désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d’un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n’est pas un immeuble. Le terme désigne non seulement l’objet à proprement parler, mais aussi son usage (p. ex., champs de tir, terres agricoles). (Norme opérationnelle sur la sécurité matérielle, annexe A)
    À jour
    Est considéré comme respectant l’échéancier ministériel, tel qu’établi dans les politiques ou les procédures, pour renouveler les évaluations des risques pour la sécurité, ou trois ans en l’absence d’un échéancier ministériel établi.
    Évaluation des risques pour la sécurité
    Le processus consistant à définir et à qualifier les menaces liées à la sécurité, les vulnérabilités et les risques, pour appuyer la définition des exigences en matière de sécurité et la détermination des contrôles de sécurité pour ramener les risques à un niveau acceptable.

    Remarque : 

    La portée de la question englobe tant 1) les installations où des activités du ministère ou de l’organisme sont exercées (immeubles, étages dans un immeuble, espace dans une ambassade étrangère, terres agricoles, etc.) et 2) les installations dont le ministère est un gardien et où il peut n’y avoir aucune activité du ministère ou de l’organisme.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme opérationnelle sur la sécurité matérielle

Source de preuves : 

Documentation du ministère ou de l’organisme indiquant le nombre total d’installations

Nombre de documents : 

1 document

Rendement

  1. En ce qui concerne les installations du ministère ou de l’organisme où se trouvent des renseignements et des biens de nature délicate;

    • 12.1

      Le ministère ou l’organisme a-t-il cerné les installations où se trouvent des renseignements et des biens de nature très délicate?

      • Oui
      • Non – passez à la Q13
    • 12.2

      Quel pourcentage des installations cernées à la Q12.1 ont une évaluation des risques pour la sécurité à jour?

    Justification : 

    La modernisation du milieu de travail et l’évolution des menaces nécessitent une évaluation des risques pour la sécurité des installations à jour. L’évaluation des risques pour la sécurité des installations est importante parce que ces risques peuvent aussi avoir une incidence sur les renseignements, les personnes et d’autres actifs du gouvernement du Canada.

    Une évaluation plus poussée des installations cernées où se trouvent les renseignements et les actifs de nature délicate et la réalisation d’évaluations des risques pour la sécurité à jour à l’égard de ces installations donnent une indication de la connaissance qu’a l’organisation des risques susceptibles d’avoir la plus grande incidence sur elle et sur les opérations du gouvernement du Canada.

    Calcul de la mesure 12.2 : 

    Nombre d’installations ayant une évaluation à jour

    (divisé par)

    Nombre total d’installations cernées à la Q12.1

    Installation
    Désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d’un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n’est pas un immeuble. Le terme désigne non seulement l’objet à proprement parler, mais aussi son usage (p. ex., champs de tir, terres agricoles). (Norme opérationnelle sur la sécurité matérielle, annexe A)
    À jour
    Est considéré comme respectant l’échéancier ministériel, tel qu’établi dans les politiques ou les procédures, pour renouveler les évaluations des risques pour la sécurité, ou trois ans en l’absence d’un échéancier ministériel établi.
    Évaluation des risques pour la sécurité
    Le processus consistant à définir et à qualifier les menaces liées à la sécurité, les vulnérabilités et les risques, pour appuyer la définition des exigences en matière de sécurité et la détermination des contrôles de sécurité pour ramener les risques à un niveau acceptable.

    Remarque : 

    La portée de la question englobe tant 1) les installations où des activités du ministère ou de l’organisme sont exercées (immeubles, étages dans un immeuble, espace dans une ambassade étrangère, terres agricoles, etc.) et 2) les installations dont le ministère est un gardien et où il peut n’y avoir aucune activité du ministère ou de l’organisme.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme opérationnelle sur la sécurité matérielle

Source de preuves : 

Liste du ministère ou de l’organisme indiquant les installations où se trouvent les renseignements et les biens de nature délicate

Nombre de documents : 

1 document
  • Pratique
  • Rendement

  1. Actuellement, en ce qui concerne les installations du ministère ou de l’organisme ayant des lacunes résiduelles substantielles sur le plan de la sécurité;

    • 13.1

      Quel pourcentage disposent d’un plan d’atténuation des risques approuvé et financé (s’il y a lieu)?

    • 13.2

      Quel pourcentage ont des lacunes en souffrance depuis plus de 12 mois?

    Justification : 

    La mesure du rendement quant à la capacité d’une organisation de veiller à ce que toutes les lacunes résiduelles substantielles sur le plan de la sécurité soient gérées selon un plan d’atténuation des risques approuvé et financé donne une indication de la démarche du ministère ou de l’organisme visant à protéger des personnes et des biens.

    La détermination de la mesure dans laquelle les lacunes résiduelles substantielles sur le plan de la sécurité sont en suspens après un an donne une indication de la capacité de l’organisation de régler ces lacunes en temps opportun.

    Calcul de la mesure 13.1 : 

    Nombre d’installations ayant des lacunes et disposant d’un plan/financé

    (divisé par)

    Nombre total d’installations ayant des lacunes

    Calcul de la mesure 13.2 : 

    Nombre d’installations ayant des lacunes en souffrance depuis plus de 12 mois

    (divisé par)

    Nombre total d’installations ayant des lacunes

    Définitions : 

    Lacunes résiduelles substantielles sur le plan de la sécurité
    correspondent aux exigences de sécurité de l’immeuble de base ou du ministère ou de l’organisme (établies au moyen d’évaluations des risques) n’ayant pas été entièrement prises en compte.
    Substantielles
    De lacunes ayant causé ou susceptibles raisonnablement de causer des blessures ou des dommages graves (c.-à-d. incidence moyenne ou élevée) à une personne, des dommages à un bien de grande valeur du gouvernement, un préjudice à la prestation d’un service essentiel ou à l’intérêt des personnes ou des entreprises.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme opérationnelle sur la sécurité matérielle

Source de preuves : 

Documentation du ministère ou de l’organisme indiquant le nombre total d’installations ayant d’importantes lacunes résiduelles et des lacunes en suspens depuis plus de 12 mois

Nombre de documents : 

1 document (même document pour Q13 et Q13.1)

Rendement

Filtrage de sécurité du personnel

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Lesquelles des six principales composantes de la nouvelle Norme sur le filtrage de sécurité (NFS), entrée en vigueur en , le ministère ou l’organisme a-t-il commencé à traiter/mettre en œuvre?

    Cochez toutes les réponses qui s’appliquent : 

    Justification : 

    Les renseignements recueillis au moyen des réponses à cette question donnent une indication des progrès (par exigence) réalisés par les ministères et les organismes quant à la mise en œuvre des principales composantes de la nouvelle Norme sur le filtrage de sécurité. Ces renseignements permettront aux organisations de mesurer les progrès sur une base comparative, afin de surveiller les progrès de l’ensemble du gouvernement du Canada et, éventuellement, de relever les domaines où un soutien supplémentaire est requis.

Norme sur le filtrage de sécurité, 6.2.2

Source de preuves : 

Politique ou procédures de sécurité du ministère ou de l’organisme

Nombre de documents : 

1 document

Jalons

Sensibilisation à la sécurité

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Programme de sensibilisation à la sécurité du ministère ou de l’organisme;

    • 15.1

      Le ministère ou l’organisme dispose-t-il d’un programme de sensibilisation à la sécurité établi qui comprend des exigences ou des activités obligatoires pour tous les employés?

      • Oui
      • Non
      • s. o. – le ministère ou l’organisme ne dispose pas d’un programme de sensibilisation à la sécurité établi
    • 15.2

      Le programme de sensibilisation à la sécurité établi du ministère ou de l’organisme définit-il des cibles et des échéanciers pour veiller à ce que les personnes aient été informées (initialement et de façon continue) des questions de sécurité et de leurs responsabilités en matière de sécurité?

      • Oui
      • Non
    • 15.3

      Le ministère ou l’organisme utilise-t-il des indicateurs de rendement pour déterminer si les personnes comprennent et respectent leurs responsabilités en matière de sécurité?

      • Oui, veuillez les préciser
      • Non

    Justification : 

    Les ministères et organismes sont tenus d’établir un programme de sensibilisation à la sécurité. Les réponses des ministères et des organismes donneront un aperçu des mécanismes utilisés par les organisations pour réaliser, surveiller et mesurer leur programme et ses résultats.

    Les preuves fournies à l’appui des réponses peuvent être utilisées pour mettre en lumière et diffuser les pratiques notables.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Source de preuves : 

Ministère ou de l’organisme

  • Copie des principaux éléments du programme de sensibilisation à la sécurité (document d’information, guide, dossier de présentation)
  • Document de politique ou de procédure
  • Horaires, etc.

Nombre de documents : 

3 documents

Pratique

Planification de la continuité des activités

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie
Notes du tableau 7
Note 1 du tableau 7

Le gabarit, accompagné de directives, sera fourni aux ministères et organismes.

Retour à la référence de la note * du tableau 7

Note 2 du tableau 7

Les essais peuvent comprendre des schémas de communication (appel direct, contact/réponse par message texte ou courriel), l’accès au site de remplacement et la capacité des fonctions, la capacité d’accéder à distance aux applications essentielles, la capacité des fournisseurs au titre du PCA et plusieurs autres. Les exercices de discussion peuvent comprendre des activités comme des séminaires, des ateliers ou des simulations. Les exercices opérationnels peuvent comprendre des exercices de simulation de pratique, fonctionnels ou complets.

Retour à la référence de la note ** du tableau 7

  1. Plans de continuité des activités (PCA) pour les services essentiels du ministère ou de l’organisme;

    • 16.1

      16.1 Quel est le pourcentage de services essentiels sans plan de continuité des activités (PCA) en place?

    • 16.2

      16.2 Quel est le pourcentage de services essentiels dont le plan de continuité des activités (PCA) a pour la dernière fois été mis à jour entre le et le ?

    • 16.3

      16.3 Quel est le pourcentage de services essentiels dont le plan de continuité des activités (PCA) a pour la dernière fois été mis à jour entre le et le ?

    • 16.4

      16.4 Quel est le pourcentage de services essentiels dont le plan de continuité des activités (PCA) a pour la dernière fois été mis à jour entre le et le , ou avant?

    Justification : 

    Les renseignements recueillis au moyen des réponses à cette question donnent un aperçu des progrès réalisés pour faire en sorte que des plans de continuité des activités soient instaurés pour tous les services essentiels afin de s’assurer que les exigences au titre de la continuité des activités sont respectées en cas de perturbations.

    Remarque 1 : 

    Le total de 16.1 à 16.4 doit correspondre à 100 %.

    Remarque 2 : 

    Aux fins de la présente question, un service essentiel peut avoir son propre plan de continuité des activités, être visé par un plan de continuité des activités plus vaste ou soutenu par plus d’un plan de continuité des activités

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.3, 3.4

Source de preuves : 

Gabarit rempliNote * du tableau 7 ou l’équivalent

Nombre de documents : 

1 document

Rendement

  1. Exercices et essais des plans de continuité des activités (PCA) pour les services essentiels du ministère ou de l’organisme;

    • 17.1

      Quel est le pourcentage de services essentiels avec des plans de continuité des activités (PCA) pour lesquels des exercices ou des essaisNote ** du tableau 7 n’ont pas été effectués?

    • 17.2

      Quel est le pourcentage de services essentiels avec des plans de continuité des activités (PCA) pour lesquels des exercices ou des essaisNote ** du tableau 7 ont été effectués pour la dernière fois entre le et le ?

    • 17.3

      Quel est le pourcentage de services essentiels avec des plans de continuité des activités (PCA) pour lesquels des exercices ou des essaisNote ** du tableau 7 ont été effectués pour la dernière fois entre le et le ?

    • 17.4

      Quel est le pourcentage de services essentiels avec des plans de continuité des activités (PCA) pour lesquels des exercices ou des essais* ont été effectués pour la dernière fois entre le et le ?

    Justification : 

    Les renseignements recueillis au moyen des réponses à cette question donnent un aperçu des progrès réalisés pour faire en sorte que des plans et des mesures de continuité des activités sont instaurés et prêts pour tous les services essentiels, afin d’assurer que les exigences au titre de la continuité des activités sont respectées en cas de perturbations.

    Remarque 1 :

    Le total de 17.1 à 17.4 doit correspondre à 100 %

    Remarque 2 :

    Aux fins de la présente question, un service essentiel peut avoir son propre plan de continuité des activités, être visé par un plan de continuité des activités plus vaste ou soutenu par plus d’un plan de continuité des activités

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.3, 3.4

Mêmes preuves que pour la Q16

Rendement

  1. Le ministère ou l’organisme a-t-il élaboré un cycle d’audit pour son programme de planification de la continuité des activités?

    • Oui
    • Non

    Justification : 

    Pour la présentation régulière de rapports au Secrétariat du Conseil du Trésor du Canada, les ministères et les organismes sont tenus d’élaborer un cycle d’audit pour leur programme de planification de la continuité des activités (PCA). Ce cycle est important puisqu’il fournit des renseignements sur l’état de préparation du ministère ou de l’organisme relativement à ses services les plus essentiels.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.4d)

Source de preuves : 

Document de politique ou de programme du ministère ou de l’organisme

Nombre de documents : 

1 document

Pratique

Incidents de sécurité

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Après un incident de sécurité, est-ce que les faits, les causes fondamentales et les mesures prises sont consignés de manière uniforme?

    • Oui
    • Non

    Justification : 

    Un objectif de la Politique sur la sécurité du gouvernement est que la gestion des incidents de sécurité soit coordonnée efficacement au sein des ministères et à l’échelle du gouvernement.

    L’utilisation de pratiques normalisées pour consigner les incidents de sécurité indique que l’organisation dispose des bases nécessaires pour produire des renseignements analytiques afin de planifier les améliorations à apporter à la sécurité et pour contribuer à l’analyse à l’échelle du gouvernement du Canada et renforcer la réponse aux incidents de sécurité.

    Définitions : 

    Incident de sécurité
    Tout acte de violence en milieu de travail manifesté à l’endroit d’un employé ou tout acte, événement ou omission pouvant entraîner la compromission d’informations, de biens ou de services.

    Remarque : 

    Lorsque la réponse est positive, la preuve devrait démontrer que des outils sont en place pour assurer l’uniformité au sein du ministère ou de l’organisme en ce qui concerne les renseignements sur les incidents de sécurité qui sont consignés, ce qui facilite leur analyse à des fins de surveillance et d’établissement de rapports.

Politique sur la sécurité du gouvernement, 5.2

Source de preuves : 

Ministère ou de l’organisme

  • Modèles pour les incidents/événements, (feuille de calcul modèle, Courriel modèle, etc.)
  • Formulaires 

Nombre de documents : 

1 document

Pratique

Harmonisation des priorités de la Politique sur la sécurité du gouvernement du Canada

Énoncé de résultat : Les ministères et les organismes se conforment aux priorités de la Politique sur la sécurité du gouvernement du Canada qui sous-tendent et appuient les buts axés sur l’exécution des programmes et la prestation des services du gouvernement du Canada en toute sécurité et sur leur modernisation.

Stratégie de cybersécurité du Canada

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Le ministère ou l’organisme tient-il un registre de tous ses incidents de cybersécurité?

    • Oui
    • Non - passez à la Q22

    Justification : 

    La tenue d’un registre de tous les incidents de cybersécurité est reconnue par les gouvernements et l’industrie comme étant une pratique exemplaire pour ce qui est de faire ressortir les anomalies et les tendances des violations et tentatives de violation. Les renseignements recueillis au moyen des réponses peuvent être utilisés pour mettre en relief et diffuser les pratiques notables.

    Définitions : 

    Incident de cybersécurité
    Désigne tout événement de cybersécurité (ou série d’événements de sécurité) ou omission qui entraîne la compromission d’un système de TI. Une compromission désigne l’accès, la divulgation, la modification, l’utilisation, l’interruption, la suppression ou la destruction non autorisés de renseignements ou de biens, causant une perte de confidentialité, d’intégrité, de disponibilité ou de valeur.

    Remarque : 

    Lorsque la réponse est positive, la preuve devrait démontrer que des modèles sont utilisés, comme le décrit le plan de gestion des incidents de la TI du gouvernement du Canada (Annexe E) ou le plan de gestion des événements de cybersécurité du gouvernement du Canada (modèle d’établissement de rapports sur les incidents liés à la cybersécurité, 5.2.2) et que les renseignements obtenus de ces modèles sont consignés.

Plan de gestion des incidents de la TI du gouvernement du Canada (PGI TI GC) Annexe E

Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), 5.2.2

Source de preuves : 

Extrait ou exemple d’un registre du ministère ou de l’organisme, etc.

Nombre de documents : 

1 document

Pratique

  1. Pour l’exercice 2015-2016, quel pourcentage des incidents de cybersécurité consignés ont été signalés à l’Équipe d’intervention en cas d’incidents informatiques du gouvernement du Canada (EIII-GC)?

    Justification : 

    Conformément aux exigences d’établissement de rapports énoncées à la section 5.2 du plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), les ministères et organismes doivent mener des activités de surveillance et de détection à l’égard de leur infrastructure de TI et informer l’EIII-GC dès la détection d’un événement de cybersécurité.

    Calcul de la mesure : 

    Nombre d’incidents de cybersécurité signalés

    (divisé par)

    Nombre total d’incidents consignés

Plan de gestion des incidents de la TI du gouvernement du Canada (PGI TI GC) Annexe E

Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), 5.2

Aucune preuve requise

Rendement

Fédération de l’identité

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Quel pourcentage des services externes en ligne du ministère ou de l’organisme qui exigent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe (c.-à-d. authentification du client) ont une évaluation du niveau d’assurance terminée?

    Justification : 

    Le gouvernement du Canada est déterminé à fournir des services en ligne qui permettent des opérations sécurisées entre les clients et le gouvernement. Les opérations en ligne posent des défis aux ministères et organismes pour ce qui est d’établir ou de vérifier l’identité du demandeur et aussi d’assurer des opérations sécurisées.

    Avant la prestation de tout service à un client, les ministères et organismes sont tenus d’évaluer les risques que comportent le service ou les opérations en lien avec l’identité et les justificatifs. Les ministères et organismes évaluent ces risques en menant une évaluation du niveau d’assurance.

    L’évaluation est ensuite utilisée par l’organisation pour choisir les processus et technologies appropriées pour veiller à ce que les risques identifiés soient traités afin de permettre la prestation du service en ligne. Ce processus normalisé est aussi le fondement de la fédération de l’identité.

    Calcul de la mesure : 

    Nombre de services externes en ligne qui ont une évaluation

    (divisé par)

    Nombre total de services externes en ligne

    Définitions : 

    Services externes
    Désignent les services offerts aux citoyens et aux entreprises.

Norme sur l’assurance de l’identité et des justificatifs, 6.1.1

Source de preuves : 

Liste des services externes en ligne du ministère ou de l’organisme.

Dans la liste, veuillez inclure des renseignements indiquant si une évaluation du niveau d’assurance a été réalisée, si le service exige l’authentification du client et si le service fait appel au service de gestion des justificatifs externes obligatoire

(CléGC/Service de courtier de justificatifs d’identité)

Nombre de documents : 

1 document

Rendement

  1. Quel pourcentage des services externes en ligne du ministère ou de l’organisme qui exigent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe (c.-à-d. authentification du client) font appel au service de gestion des justificatifs externes obligatoire (CléGC/Service de courtier de justificatifs d’identité)?

    Justification : 

    Le gouvernement du Canada est déterminé à fournir des services en ligne qui réduisent le nombre d’ouvertures de session et de mots de passe en encourageant le recours à ceux que le client a déjà établis ou en utilisant une ouverture de session et un mot de passe communs pour l’ensemble des services et opérations du gouvernement du Canada. Ceci est fourni au moyen du service de gestion des justificatifs externes obligatoire (CléGC/Service de courtier de services commercial).

    Cet indicateur mesure l’adoption du service obligatoire dans l’ensemble des ministères et organismes évalués, en mettant l’accent sur les services en ligne aux citoyens et entreprises, et donne une indication de l’alignement du ministère ou de l’organisme sur les objectifs de modernisation à l’échelle du gouvernement du Canada.

    Calcul de la mesure : 

    Nombre de services externes en ligne faisant appel au SGJE

    (divisé par)

    Nombre total de services externes en ligne

    Définitions : 

    Services externes
    Désignent les services offerts aux citoyens et aux entreprises.

Directive sur la gestion de l’identité, 5.2

Norme sur l’assurance de l’identité et des justificatifs, 5.2

Mêmes preuves que pour la Q22.

Rendement

Sensibilisation à la sécurité à l’échelle du gouvernement du Canada

Indicateurs et méthode de calcul (le cas échéant) Renvoi à la politique Source de preuve et limite de documents Catégorie

  1. Le ministère ou organisme inclut-il le cours de sensibilisation à la sécurité (A230) offert par l’École de la fonction publique du Canada dans son programme ministériel de sensibilisation à la sécurité?

    • Oui
    • Non

    Justification : 

    Un des buts du gouvernement du Canada, à titre d’employeur, est de veiller à ce que tous les employés reçoivent un ensemble commun de renseignements de sensibilisation à la sécurité. Ces compétences fondamentales sont importantes dans un milieu de travail où la mobilité des employés est élevée.

    De plus, le gouvernement du Canada est déterminé à optimiser les investissements, comme le matériel de base fourni par les fournisseurs de services communs.

S.O.

Aucune preuve requise

Pratique

Détails de la page

Date de modification :