Méthodologie 2016 à 2017 du CRG sur la gestion de la sécurité
Table des matières
- Aperçu de la méthodologie
- Questionnaire
- Lexique
Aperçu de la méthodologie
Introduction
Le questionnaire sur la Gestion de la sécurité est conçu pour générer des renseignements sur la gestion du rendement qui fournissent un aperçu des pratiques de gestion de la sécurité d’un ministère ou d’un organisme au bénéfice de l’organisation, et pour contribuer à l’amélioration globale de la sensibilisation à la sécurité au sein du gouvernement du Canada (GC).
Ces renseignements seront importants pour valider et éclairer les décisions de même que les orientations en matière de gestion de la sécurité, observer les tendances et les changements, cerner les points forts et ceux qui requièrent une attention, mener des analyses comparatives et pour partager les pratiques exemplaires en gestion de sécurité. En outre, à partir des réponses, les administrateurs généraux seront informés de la mesure dans laquelle les pratiques de gestion ministérielles sont harmonisées avec les priorités du GC en matière de sécurité; ils seront également informés des progrès réalisés par le ministère ou l’organisme en vue d’appuyer en toute sécurité l’exécution des programmes et la prestation des services du GC, ainsi que leurs objectifs de modernisation.
Les trois domaines clés de la méthodologie sont axés sur:
- les pratiques visant à assurer l’efficacité, l’intégration et l’inclusion de tous les secteurs d’activité liés à la sécurité;
- les principales mesures d’atténuation des risques pour la sécurité qui assurent la protection des actifs du GC, de même que le maintien ininterrompu des programmes et des services;
- l’harmonisation avec les priorités de la Politique sur la sécurité du GC qui sous-tendent et appuient les buts axés sur la modernisation de l’exécution des programmes et de la prestation des services du GC en toute sécurité.
Le questionnaire permettra d’évaluer les pratiques en matière de gestion de la sécurité, le rendement et les jalons, en utilisant divers moyens pour effectuer une analyse comparative. Ces moyens pourront changer et évoluer annuellement, allant de l’établissement des renseignements de base à la détermination de cibles fondées sur les moyennes du GC.
Approche de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion
L’approche de la composante de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion (CRG) fera en sorte que les questions relevant de la méthodologie de gestion de la sécurité permettent de saisir l’information pertinente sur la transformation et sur le rendement de la sécurité, à mesure que les priorités stratégiques de la sécurité, la politique de sécurité et sa mise en œuvre évolueront et que les initiatives du GC continueront de progresser. En prenant appui sur les indicateurs du premier et du deuxième exercice, le SCT continuera d’examiner les résultats pangouvernementaux des questions permanentes et des nouvelles questions utilisées dans cette méthodologie pour assurer la stabilité aux fins de l’analyse des tendances portant sur trois exercices qui sera menée à la suite de la ronde 2016-2017 du CRG.
Méthodologie de la gestion de la sécurité 2016‑2017
Afin que les questions utilisées dans la méthodologie de la gestion de la sécurité saisissent les renseignements voulus sur le rendement et la transformation de la sécurité, la composante de gestion a révisé les résultats du CRG de 2015‑2016, de façon à raffiner la méthodologie et à fournir des renseignements clairs et utiles aux administrateurs généraux sur les pratiques de gestion et sur le rendement à cet égard.
Dans l’ensemble, le questionnaire de 2016-2017 est semblable à celui de l’année dernière. Des mises à jour ont été apportées pour en améliorer la clarté,refléter les priorités actuelles et l’harmonisation avec l’orientation de la réinitalisation de la politique sur la sécurité.
-
L’élimination de questions :
- Q1 se rapportant à la gouvernance en matière de gestion de la sécurité et de la nomination d’un agent de sécurité ministériel;
- Q12 sur les installations contenant des renseignements et des biens de nature délicate, ainsi que les mises à jour des évaluations des risques pour la sécurité;
- Q19 sur les pratiques normalisées entourant les incidents de sécurité; et
- Q21 sur la présentation de rapports des incidents sur la cybersécurité à GC-EIII.
-
La modification de questions :
- Q3 sur l’examen annuel du plan de sécurité ministériel à la nouvelle Q2 sur l’établissement de rapports des progrès réalisés relativement au plan de sécurité ministériel, auprès de l’administrateur général;
- Q4 sur la prise en considération de l’ensemble des programmes et des activités définis dans l’architecture d’alignement des programmes à la nouvelle Q3 sur le pourcentage des activités complétées, telles que planifiées dans le plan de sécurité ministériel;
- Q9 et 10 sur le processus ou plan de gestion des rustines seront incorporés dans la nouvelle Q8;
- Q14 incorpore Q15 sur la sensibilisation à la sécurité et Q24 sur le cours de sensibilisation à la sécurité (A230) offert par l’École de la fonction publique du Canada;
- Q18 sur les plans de continuité des activités.
-
L’ajout de questions :
- Q12 sur la mise en œuvre des vérifications obligatoires de la solvabilité dans le processus de filtrage de sécurité;
- Q20 sur l’harmonisation du plan de gestion des événements avec le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC).
Périodes de référence, source de preuves et validation
La méthodologie de la gestion de la sécurité doit évaluer l’état actuel du rendement et de la pratique. C’est pourquoi la plupart des questions sont formulées «dans l’immédiat», pour donner une représentation de la situation la plus à jour possible. Dans les autres cas, les questions précisent pour quelle période l’information est demandée.
En plus des types de sources de preuves attendus, on précise dans le tableau le nombre maximal de documents pouvant être fournis à l’appui de chaque question. Le SCT peut consulter des évaluations et des audits internes ou externes et d’autres documents pertinents pour appuyer les évaluations de la gestion de la sécurité dans le CRG et les rapports connexes.
Questionnaire
Gestion efficace et intégrée de la sécurité au sein du ministère ou de l’organisme
Planification
Indicateurs et méthode de calcul (le cas échéant) | Résultat attendu | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|---|
|
Un plan de sécurité ministériel approuvé est en place et les priorités de l’exercice en cours sont établies. |
Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1 |
Source de preuves : Un PSM approuvé par l’administrateur général et si le PSM approuvé ne couvre pas l’exercice actuel, un rapport d’étape ou un addenda joint au PSM qui établit les priorités de l’exercice en cours, avec des preuves que ces priorités ont été approuvées par l’administrateur général. Nombre de documents : 2 documents |
|
|
L’administrateur général a reçu les renseignements à propos des progrès de la mise en œuvre du PSM et de son efficacité. |
Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1 |
Source de preuves : Un PSM approuvé par l’administrateur général ET un rapport d’étape lié au PSM et couvrant tous les domaines d’activité prioritaires relatifs à la sécurité ministérielle avec des preuves que ce rapport a été présenté à l’administrateur général pendant l’exercice 2015‑2016. Nombre de documents : 2 documents |
|
|
Toutes les activités identifiées pour achèvement en 2015‑2016 dans le PSM, être achevées comme prévu. |
Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1.1 |
La source de preuve doit clairement permettre d’identifier les priorités approuvées et prévues pour le dernier exercice et indiquer les priorités qui ont été atteintes au cours de cet exercice. Source de preuves : Preuve d’activités prioritaires prévues pour le dernier exercice, comme indiqué dans:
Preuve d’activités prioritaires achevées au cours du dernier exercice, comme indiqué dans:
Nombre de documents : 2 documents |
|
Protection des actifs du gouvernement du Canada et exécution des programmes et prestation des services ininterrompues
Sécurité de la technologie de l’information
Indicateurs et méthode de calcul (le cas échéant) | Résultat attendu | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|---|
|
À titre de pratique exemplaire, 100 p. 100 des applications essentielles à la mission de l’organisation ont été autorisées et un plan a été mis en place pour traiter les risques résiduels qui s’y rattachent. |
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Système de gestion de portefeuilles d’applications (GPA). Le SCT fournira remplira la réponse du ministère ou de l’organisme a partir des données contenu dans le GPA. |
|
|
À titre de pratique exemplaire, il est attendu que les organisations effectuent le suivi des progrès dans 100 p.100 des cas d’applications essentielles à la mission pourvues d’activités de remédiation des risques. |
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Un document sommaire du ministère ou de l’organisme qui relève les applications essentielles à la mission et l’état des mesures d’atténuation des risques (c’est‑à‑dire, l’établissement de rapports à l’aide d’un tableau de bord) Nombre de documents : 1 document |
|
|
Il est attendu que toutes les organisations disposent d’un processus ou d’un plan d’évaluation de la vulnérabilité documenté. |
Source de preuves : Document du ministère ou de l’organisme décrivant le processus ou le plan Nombre de documents : 1 document |
|
|
|
Il est attendu que toutes les organisations tiennent un registre des vulnérabilités identifiées qui indique si elles ont été traitées. |
Source de preuves : Registre ou autre document du ministère ou de l’organisme qui identifie les vulnérabilités et indique si celles-ci ont été traitées Nombre de documents : 1 document |
|
|
|
Les organisations doivent disposer d’un processus ou d’un plan de gestion des correctifs documenté ou d’un plan qui comprend des objectifs et un calendrier pour le déploiement des correctifs, et ces organisations devraient s’efforcer de déployer 100 p.100 des correctifs visant les priorités élevées et de les implanter dans leurs systèmes ou leurs services en respectant les objectifs ou les calendriers établis pour l’exercice 2016‑2017. |
Source de preuves : Un registre ou autre document du ministère ou de l’organisme qui identifie les vulnérabilités et indique si celles-ci ont été traitées. Nombre de documents : 1 document |
|
Sécurité matérielle
Indicateurs et méthode de calcul (le cas échéant) | Résultat attendu | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|---|
|
Il est attendu que toutes les installations disposent d’une évaluation des risques pour la sécurité à jour. |
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Un outil de suivi du ministère ou de l’organisme, notamment:
Nombre de documents : 1 document |
|
|
Il est attendu que 100 p. 100 des installations qui présentent des lacunes substantielles d’un ministère ou d’un organisme disposent d’un plan d’atténuation des risques approuvé et financé. |
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Documentation du ministère ou de l’organisme indiquant le nombre total d’installations ayant d’importantes lacunes résiduelles et des lacunes en suspens depuis plus de 12 mois Nombre de documents : 1 document |
|
|
Il est attendu qu’un faible pourcentage des installations d’un ministère ou d’un organisme présentent des lacunes en suspens depuis plus de 12 mois. |
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Documentation du ministère ou de l’organisme indiquant le nombre total d’installations ayant d’importantes lacunes résiduelles et des lacunes en suspens depuis plus de 12 mois Nombre de documents : 1 document |
|
Filtrage de sécurité du personnel
Indicateurs et méthode de calcul (le cas échéant) | Résultat attendu | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|---|
|
Il est attendu que les organisations avancent dans la mise en œuvre des six principales composantes de la nouvelle NFS. |
Source de preuves : Politique ou procédures de sécurité du ministère ou de l’organisme Nombre de documents : 3 documents |
Jalons de gestion |
|
|
Il est attendu que tous les nouveaux employés, les renouvellements et les mises à niveau fassent l’objet d’une vérification de crédit dans le cadre du processus de filtrage de sécurité des organisations. |
Source de preuves :
Nombre de documents : 3 Documents |
|
Sensibilisation à la sécurité
Indicateurs et méthode de calcul (le cas échéant) | Résultat attendu | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|---|
|
Les nouveaux employés reçoivent des renseignements complets en ce qui concerne leurs responsabilités en matière de sécurité. |
Directive sur la gestion de la sécurité ministérielle (annexe C)) |
Source de preuves : Documents d’information sur les politiques et les procédures de sécurité du ministère ou de l’organisme Nombre de documents : 2 documents |
Statistique descriptive |
|
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Aucune preuve requise |
|
|
|
Indicateurs de base |
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Ministère ou organisme :
Nombre de documents : 3 documents |
|
Plan de continuité des activités
Indicateurs et méthode de calcul (le cas échéant) | Résultat attendu | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|---|
Notes du tableau 6
|
||||
|
Il est attendu que 100 p.100 des services essentiels de l’organisation soient encadrés par un PCA. |
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Les zones qui portent sur la planification de la continuité des activités du système de GPA. Le SCT fournira la réponse du ministère ou de l’organisme |
|
|
Il s’agit d’indicateurs de rendement supplémentaires qui permettent de comprendre le cycle d’examen et de révision des plans. |
Directive sur la gestion de la sécurité ministérielle (annexe C) |
Source de preuves : Les zones qui portent sur la planification de la continuité des activités du système de GPA. Le SCT fournira la réponse du ministère ou de l’organisme |
Statistique descriptive |
|
Il est attendu que 100 p.100 des services essentiels de l’organisation qui sont encadrés par un PCA aient fait l’objet d’exercices ou d’essais. |
Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.4d) |
Source de preuves : Les zones qui portent sur la planification de la continuité des activités du système de GPA. Le SCT fournira la réponse du ministère ou de l’organisme |
|
|
Il s’agit d’indicateurs de rendement supplémentaires qui permettent au SCT de recueillir et de comprendre l’interprétation de la notion des «mises à l’essai et une validation régulières de tous les plans» des ministères et des organismes. |
Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.4d) |
Source de preuves : Les zones qui portent sur la planification de la continuité des activités du système de GPA. Le SCT fournira la réponse du ministère ou de l’organisme |
Statistique descriptive |
|
Il est attendu que toutes les organisations aient élaboré un cycle d’audit des programmes de planification de la continuité des activités. |
Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.4d) |
Source de preuves : Document de politique ou de programme du ministère ou de l’organisme Nombre de documents : 1 Document |
|
Harmonisation des priorités de la Politique sur la sécurité du gouvernement du Canada
Stratégie de cybersécurité du Canada
Indicateurs et méthode de calcul (le cas échéant) | Résultat attendu | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|---|
|
Il est attendu que toutes les organisations tiennent un registre de l’ensemble de ses incidents de cybersécurité. L’exigence de rapport dont il est question est en vigueur depuis mai 2010 (Plan de gestion des incidents de la TI du GC) |
Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), 5.2.2 |
Source de preuves : Extrait ou exemple d’un registre du ministère ou de l’organisme, etc. Nombre de documents : 1 Document |
|
|
Il est attendu que toutes les organisations disposent d’un plan de gestion des événements documenté qui s’harmonise au PGEC GC. |
Norme opérationnelle de sécurité: Gestion de la sécurité des technologies de l’information (GSTI) Plan de gestion des événements de cybersécurité du gouvernement |
Source de preuves : Un document sur les processus ou les plans de gestion des événements d’un ministère ou d’un organisme. Nombre de documents : 1 Document |
|
Fédération de l’identité
Indicateurs et méthode de calcul (le cas échéant) | Résultat attendu | Renvoi à la politique | Source de preuve et limite de documents | Catégorie |
---|---|---|---|---|
|
Il est attendu que tous les services externes en ligne qui nécessitent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe aient fait l’objet d’une évaluation du niveau d’assurance. |
Directive sur la gestion de l’identité, 6.1.2, 6.1.3 Norme sur l’assurance de l’identité et des justificatifs, 6.1.1, 6.1.2 |
Source de preuves : Une liste de tous les services externes en ligne du ministère ou de l’organisme qui nécessitent une authentification du client et qui indique, d’une part, la date de réalisation de l’évaluation du niveau d’assurance, et d’autre part, si un service donné fait appel au service de gestion des justificatifs externes (SGJE) obligatoire (CléGC/Service de courtier de justificatifs d’identité). Nombre de documents : 1 document |
|
|
Il est attendu que tous les services externes en ligne qui nécessitent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe fassent appel au SGJE obligatoire (CléGC/Service de courtier de justificatifs d’identité). |
Mêmes preuves que pour la Q 21. |
|
Lexique
- À jour
- Considéré comme respectant l’échéancier ministériel, tel qu’établi dans les politiques ou les procédures, pour renouveler les évaluations des risques pour la sécurité, ou trois ans en l’absence d’un échéancier ministériel établi.
- Application essentielle à la mission
- Une application opérationnelle qui est utilisée comme service essentiel ou qui en appuie un.
- Évaluation de la sécurité
- Le processus consistant à définir et à qualifier les menaces liées à la sécurité, les vulnérabilités et les risques, pour appuyer la définition des exigences en matière de sécurité et la détermination des contrôles de sécurité pour ramener les risques à un niveau acceptable.
- Incident de cybersécurité
- Désigne tout événement de cybersécurité (ou série d’événements de sécurité) ou omission qui entraîne la compromission d’un système de TI. Une compromission désigne l’accès, la divulgation, la modification, l’utilisation, l’interruption, la suppression ou la destruction non autorisés de renseignements ou de biens, causant une perte de confidentialité, d’intégrité, de disponibilité ou de valeur.
- Installation
- Désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d’un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n’est pas un immeuble. Le terme désigne non seulement l’objet à proprement parler, mais aussi son usage (p. ex., champs de tir, terres agricoles). (Norme opérationnelle sur la sécurité matérielle, annexe A)
- Lacunes résiduelles substantielles sur le plan de la sécurité
- Correspondent aux exigences de sécurité de l’immeuble de base ou du ministère ou de l’organisme (établies au moyen d’évaluations des risques) n’ayant pas été entièrement prises en compte.
- Services externes
- Désignent ceux qui sont fournis aux citoyens et aux entreprises.
- Service essentiel
- Un service dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.
Détails de la page
- Date de modification :