Méthodologie 2016 à 2017 du CRG sur la gestion de la sécurité

Table des matières

Aperçu de la méthodologie
Questionnaire
Lexique

Aperçu de la méthodologie

Introduction

Le questionnaire sur la Gestion de la sécurité est conçu pour générer des renseignements sur la gestion du rendement qui fournissent un aperçu des pratiques de gestion de la sécurité d’un ministère ou d’un organisme au bénéfice de l’organisation, et pour contribuer à l’amélioration globale de la sensibilisation à la sécurité au sein du gouvernement du Canada (GC).

Ces renseignements seront importants pour valider et éclairer les décisions de même que les orientations en matière de gestion de la sécurité, observer les tendances et les changements, cerner les points forts et ceux qui requièrent une attention, mener des analyses comparatives et pour partager les pratiques exemplaires en gestion de sécurité. En outre, à partir des réponses, les administrateurs généraux seront informés de la mesure dans laquelle les pratiques de gestion ministérielles sont harmonisées avec les priorités du GC en matière de sécurité; ils seront également informés des progrès réalisés par le ministère ou l’organisme en vue d’appuyer en toute sécurité l’exécution des programmes et la prestation des services du GC, ainsi que leurs objectifs de modernisation.

Les trois domaines clés de la méthodologie sont axés sur:

les pratiques visant à assurer l’efficacité, l’intégration et l’inclusion de tous les secteurs d’activité liés à la sécurité;
les principales mesures d’atténuation des risques pour la sécurité qui assurent la protection des actifs du GC, de même que le maintien ininterrompu des programmes et des services;
l’harmonisation avec les priorités de la Politique sur la sécurité du GC qui sous-tendent et appuient les buts axés sur la modernisation de l’exécution des programmes et de la prestation des services du GC en toute sécurité.

Le questionnaire permettra d’évaluer les pratiques en matière de gestion de la sécurité, le rendement et les jalons, en utilisant divers moyens pour effectuer une analyse comparative. Ces moyens pourront changer et évoluer annuellement, allant de l’établissement des renseignements de base à la détermination de cibles fondées sur les moyennes du GC.

Approche de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion

L’approche de la composante de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion (CRG) fera en sorte que les questions relevant de la méthodologie de gestion de la sécurité permettent de saisir l’information pertinente sur la transformation et sur le rendement de la sécurité, à mesure que les priorités stratégiques de la sécurité, la politique de sécurité et sa mise en œuvre évolueront et que les initiatives du GC continueront de progresser. En prenant appui sur les indicateurs du premier et du deuxième exercice, le SCT continuera d’examiner les résultats pangouvernementaux des questions permanentes et des nouvelles questions utilisées dans cette méthodologie pour assurer la stabilité aux fins de l’analyse des tendances portant sur trois exercices qui sera menée à la suite de la ronde 2016-2017 du CRG.

Méthodologie de la gestion de la sécurité 2016‑2017

Afin que les questions utilisées dans la méthodologie de la gestion de la sécurité saisissent les renseignements voulus sur le rendement et la transformation de la sécurité, la composante de gestion a révisé les résultats du CRG de 2015‑2016, de façon à raffiner la méthodologie et à fournir des renseignements clairs et utiles aux administrateurs généraux sur les pratiques de gestion et sur le rendement à cet égard.

Dans l’ensemble, le questionnaire de 2016-2017 est semblable à celui de l’année dernière. Des mises à jour ont été apportées pour en améliorer la clarté,refléter les priorités actuelles et l’harmonisation avec l’orientation de la réinitalisation de la politique sur la sécurité.

L’élimination de questions :
- Q1 se rapportant à la gouvernance en matière de gestion de la sécurité et de la nomination d’un agent de sécurité ministériel;
- Q12 sur les installations contenant des renseignements et des biens de nature délicate, ainsi que les mises à jour des évaluations des risques pour la sécurité;
- Q19 sur les pratiques normalisées entourant les incidents de sécurité; et
- Q21 sur la présentation de rapports des incidents sur la cybersécurité à GC-EIII.
La modification de questions :
- Q3 sur l’examen annuel du plan de sécurité ministériel à la nouvelle Q2 sur l’établissement de rapports des progrès réalisés relativement au plan de sécurité ministériel, auprès de l’administrateur général;
- Q4 sur la prise en considération de l’ensemble des programmes et des activités définis dans l’architecture d’alignement des programmes à la nouvelle Q3 sur le pourcentage des activités complétées, telles que planifiées dans le plan de sécurité ministériel;
- Q9 et 10 sur le processus ou plan de gestion des rustines seront incorporés dans la nouvelle Q8;
- Q14 incorpore Q15 sur la sensibilisation à la sécurité et Q24 sur le cours de sensibilisation à la sécurité (A230) offert par l’École de la fonction publique du Canada;
- Q18 sur les plans de continuité des activités.
L’ajout de questions :
- Q12 sur la mise en œuvre des vérifications obligatoires de la solvabilité dans le processus de filtrage de sécurité;
- Q20 sur l’harmonisation du plan de gestion des événements avec le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC).

Périodes de référence, source de preuves et validation

La méthodologie de la gestion de la sécurité doit évaluer l’état actuel du rendement et de la pratique. C’est pourquoi la plupart des questions sont formulées «dans l’immédiat», pour donner une représentation de la situation la plus à jour possible. Dans les autres cas, les questions précisent pour quelle période l’information est demandée.

En plus des types de sources de preuves attendus, on précise dans le tableau le nombre maximal de documents pouvant être fournis à l’appui de chaque question. Le SCT peut consulter des évaluations et des audits internes ou externes et d’autres documents pertinents pour appuyer les évaluations de la gestion de la sécurité dans le CRG et les rapports connexes.

Questionnaire

Gestion efficace et intégrée de la sécurité au sein du ministère ou de l’organisme

Planification

Indicateurs et méthode de calcul (le cas échéant)	Résultat attendu	Renvoi à la politique	Source de preuve et limite de documents	Catégorie
Le ministère ou organisme a-t-il un plan de sécurité ministériel portant sur le présent exercice (2016-2017) qui est approuvé par l’administrateur général Oui Non Justification : Un plan de sécurité ministériel (PSM) offre une vision commune des risques et des exigences liés à la sécurité et expose les stratégies, les objectifs, les priorités et les délais établis en vue de renforcer et de surveiller les pratiques et les mesures de contrôle de sécurité ministérielle. Un plan approuvé et tenu à jour est un outil qui communique les priorités de l’organisation et les moyens à utiliser pour atténuer les risques par rapport auxquels l’atteinte des objectifs est mesurée et communiquée. Un plan de sécurité ministériel approuvé est en place et les priorités de l’exercice en cours sont établies.	Un plan de sécurité ministériel approuvé est en place et les priorités de l’exercice en cours sont établies.	Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1	Source de preuves : Un PSM approuvé par l’administrateur général et si le PSM approuvé ne couvre pas l’exercice actuel, un rapport d’étape ou un addenda joint au PSM qui établit les priorités de l’exercice en cours, avec des preuves que ces priorités ont été approuvées par l’administrateur général. Nombre de documents : 2 documents	Pratique de gestion Conformité avec les politiques
Au cours de l’exercice 2015‑2016, le ministère ou l’organisme a-t-il présenté un rapport à l’administrateur général au sujet des progrès accomplis par rapport à la mise en œuvre du PSM et à son efficacité? Oui Non Justification : L’établissement de rapport annuel au sujet de la mise en œuvre et de l’efficacité d’un PSM aide l’organisation et l’administrateur général à réagir aux défis liés à la mise en œuvre ainsi qu’aux changements sur le plan des risques et des exigences en donnant l’occasion de réévaluer les activités et d’en rétablir l’ordre de priorité afin de maintenir des programmes et une prestation de services sécurisés et continus.	L’administrateur général a reçu les renseignements à propos des progrès de la mise en œuvre du PSM et de son efficacité.	Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1	Source de preuves : Un PSM approuvé par l’administrateur général ET un rapport d’étape lié au PSM et couvrant tous les domaines d’activité prioritaires relatifs à la sécurité ministérielle avec des preuves que ce rapport a été présenté à l’administrateur général pendant l’exercice 2015‑2016. Nombre de documents : 2 documents	Pratique de gestion Conformité avec les politiques
Quel pourcentage des activités identifiées dans le PSM et dont l’achèvement était prévu pour l’exercice précédent (2015‑2016) ont été terminées comme prévu? Justification : Le degré d’achèvement des activités identifiées dans le PSM indique l’efficacité du plan à donner lieu aux améliorations voulues en matière de sécurité. Calcul de la mesure : Nombre d’activités prévues achevées pour l’exercice (2015‑2016) divisé par Nombre total d’activités dont l’achèvement était prévu pour l’exercice (2015‑2016)	Toutes les activités identifiées pour achèvement en 2015‑2016 dans le PSM, être achevées comme prévu.	Politique sur la sécurité du gouvernement, 6.1.4 Directive sur la gestion de la sécurité ministérielle, 6.1.1.1	La source de preuve doit clairement permettre d’identifier les priorités approuvées et prévues pour le dernier exercice et indiquer les priorités qui ont été atteintes au cours de cet exercice. Source de preuves : Preuve d’activités prioritaires prévues pour le dernier exercice, comme indiqué dans: la section de la stratégie de mise en œuvre du PSM approuvé, ou un rapport d’étape ou un addenda lié au PSM qui établissent les priorités du dernier exercice avec des preuves que ces priorités ont été approuvées par l’administrateur général. Preuve d’activités prioritaires achevées au cours du dernier exercice, comme indiqué dans: une annexe du PSM approuvé décrivant les progrès accomplis depuis la dernière approbation du PSM, ou un rapport d’étape ou un addenda lié au PSM avec des preuves que ce rapport ou cet addenda a été présenté à l’administrateur général et/ou qu’il a reçu son approbation. Nombre de documents : 2 documents	Rendement de gestion Indicateur de rendement

Indicateurs et méthode de calcul (le cas échéant)

Résultat attendu

Renvoi à la politique

Source de preuve et limite de documents

Catégorie

Le ministère ou organisme a-t-il un plan de sécurité ministériel portant sur le présent exercice (2016-2017) qui est approuvé par l’administrateur général
- Oui
- Non
Justification :

Un plan de sécurité ministériel (PSM) offre une vision commune des risques et des exigences liés à la sécurité et expose les stratégies, les objectifs, les priorités et les délais établis en vue de renforcer et de surveiller les pratiques et les mesures de contrôle de sécurité ministérielle. Un plan approuvé et tenu à jour est un outil qui communique les priorités de l’organisation et les moyens à utiliser pour atténuer les risques par rapport auxquels l’atteinte des objectifs est mesurée et communiquée. Un plan de sécurité ministériel approuvé est en place et les priorités de l’exercice en cours sont établies.

Un plan de sécurité ministériel approuvé est en place et les priorités de l’exercice en cours sont établies.

Politique sur la sécurité du gouvernement, 6.1.4

Directive sur la gestion de la sécurité ministérielle, 6.1.1

Source de preuves :

Un PSM approuvé par l’administrateur général et si le PSM approuvé ne couvre pas l’exercice actuel, un rapport d’étape ou un addenda joint au PSM qui établit les priorités de l’exercice en cours, avec des preuves que ces priorités ont été approuvées par l’administrateur général.

Nombre de documents :

2 documents

Pratique de gestion
- Conformité avec les politiques

Au cours de l’exercice 2015‑2016, le ministère ou l’organisme a-t-il présenté un rapport à l’administrateur général au sujet des progrès accomplis par rapport à la mise en œuvre du PSM et à son efficacité?
- Oui
- Non
Justification :

L’établissement de rapport annuel au sujet de la mise en œuvre et de l’efficacité d’un PSM aide l’organisation et l’administrateur général à réagir aux défis liés à la mise en œuvre ainsi qu’aux changements sur le plan des risques et des exigences en donnant l’occasion de réévaluer les activités et d’en rétablir l’ordre de priorité afin de maintenir des programmes et une prestation de services sécurisés et continus.

L’administrateur général a reçu les renseignements à propos des progrès de la mise en œuvre du PSM et de son efficacité.

Politique sur la sécurité du gouvernement, 6.1.4

Directive sur la gestion de la sécurité ministérielle, 6.1.1

Source de preuves :

Un PSM approuvé par l’administrateur général ET un rapport d’étape lié au PSM et couvrant tous les domaines d’activité prioritaires relatifs à la sécurité ministérielle avec des preuves que ce rapport a été présenté à l’administrateur général pendant l’exercice 2015‑2016.

Nombre de documents :

2 documents

Pratique de gestion
- Conformité avec les politiques

Quel pourcentage des activités identifiées dans le PSM et dont l’achèvement était prévu pour l’exercice précédent (2015‑2016) ont été terminées comme prévu?

Justification :

Le degré d’achèvement des activités identifiées dans le PSM indique l’efficacité du plan à donner lieu aux améliorations voulues en matière de sécurité.

Calcul de la mesure :

Nombre d’activités prévues achevées pour l’exercice (2015‑2016)

divisé par

Nombre total d’activités dont l’achèvement était prévu pour l’exercice (2015‑2016)

Toutes les activités identifiées pour achèvement en 2015‑2016 dans le PSM, être achevées comme prévu.

Politique sur la sécurité du gouvernement, 6.1.4

Directive sur la gestion de la sécurité ministérielle, 6.1.1.1

La source de preuve doit clairement permettre d’identifier les priorités approuvées et prévues pour le dernier exercice et indiquer les priorités qui ont été atteintes au cours de cet exercice.

Source de preuves :

Preuve d’activités prioritaires prévues pour le dernier exercice, comme indiqué dans:

la section de la stratégie de mise en œuvre du PSM approuvé, ou
un rapport d’étape ou un addenda lié au PSM qui établissent les priorités du dernier exercice avec des preuves que ces priorités ont été approuvées par l’administrateur général.

Preuve d’activités prioritaires achevées au cours du dernier exercice, comme indiqué dans:

une annexe du PSM approuvé décrivant les progrès accomplis depuis la dernière approbation du PSM, ou
un rapport d’étape ou un addenda lié au PSM avec des preuves que ce rapport ou cet addenda a été présenté à l’administrateur général et/ou qu’il a reçu son approbation.

Nombre de documents :

2 documents

Rendement de gestion
- Indicateur de rendement

Protection des actifs du gouvernement du Canada et exécution des programmes et prestation des services ininterrompues

Sécurité de la technologie de l’information

Indicateurs et méthode de calcul (le cas échéant)	Résultat attendu	Renvoi à la politique	Source de preuve et limite de documents	Catégorie
En ce qui concerne les applications essentielles à la mission du ministère ou de l’organisme; 4.1 Quel est le pourcentage d’applications essentielles à la mission actuellement en opération dont le fonctionnement a été autorisé par les gestionnaires de la prestation de programmes et services? 4.2 Quel est le pourcentage d’applications essentielles à la mission actuellement en opération ayant obtenu une autorisation conditionnelle (anciennement connue sous le nom d’autorisation temporaire d’exploitation)? 4.3 Quel est le pourcentage d’applications essentielles à la mission actuellement en opération ayant obtenu une autorisation conditionnelle qui font l’objet d’un plan de remédiation pour remplir les conditions d’autorisation? Justification : L’accent mis sur les autorisations des applications jugées «essentielles à la mission» relativement aux opérations est important, puisque cette catégorie d’applications, si elle est compromise ou non disponible, peut causer un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada. Calcul de la mesure 4.1 : Nombre d’applications essentielles à la mission actuellement en opération dont le fonctionnement est autorisé divisé par Nombre total d’applications essentielles à la mission actuellement en opération Calcul de la mesure 4.2 : Nombre d’applications essentielles à la mission actuellement en opération ayant obtenu une autorisation conditionnelle divisé par Nombre d’application essentielles à la mission actuellement en opération Calcul de la mesure 4.3 : Nombre d’applications essentielles à la mission actuellement en opération ayant obtenu une autorisation conditionnelle qui font l’objet d’un plan de remédiation divisé par Nombre d’applications essentielles à la mission actuellement en opération ayant obtenu une autorisation conditionnelle Application essentielle à la mission Une application opérationnelle qui est utilisée comme service essentiel ou qui en appuie un. Service essentiel Un service dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.	À titre de pratique exemplaire, 100 p. 100 des applications essentielles à la mission de l’organisation ont été autorisées et un plan a été mis en place pour traiter les risques résiduels qui s’y rattachent.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme opérationnelle de sécurité: Gestion de la sécurité des technologies de l’information (GSTI), 12.3.3	Source de preuves : Système de gestion de portefeuilles d’applications (GPA). Le SCT fournira remplira la réponse du ministère ou de l’organisme a partir des données contenu dans le GPA.	Rendement de gestion Indicateur de rendement
En ce qui concerne les applications essentielles à la mission d’un ministère ou d’un organisme muni d’un plan de remédiation du risque ou d’une mesure équivalente, quel pourcentage des conditions de remédiation ont-elles été respectées pour les applications essentielles à la mission? Justification : Montre des progrès par rapport aux activités de remédiation prévues (c’est-à-dire, une amélioration année après année) pour les applications essentielles à la mission. Calcul de la mesure : Nombre d’activités de remédiation respectées divisé par Nombre d’activités de remédiation	À titre de pratique exemplaire, il est attendu que les organisations effectuent le suivi des progrès dans 100 p.100 des cas d’applications essentielles à la mission pourvues d’activités de remédiation des risques.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme opérationnelle de sécurité: Gestion de la sécurité des technologies de l’information (GSTI), 12.3.3	Source de preuves : Un document sommaire du ministère ou de l’organisme qui relève les applications essentielles à la mission et l’état des mesures d’atténuation des risques (c’est‑à‑dire, l’établissement de rapports à l’aide d’un tableau de bord) Nombre de documents : 1 document	Rendement de gestion Indicateur de rendement
Le ministère ou l’organisme dispose-t-il d’un processus ou d’un plan d’évaluation de la vulnérabilité TI documenté qui comprend au minimum les éléments suivants: La planification et la fréquence des analyses Les objectifs, les postes de travail et les applications L’évaluation de l’impact (vulnérabilités élevées, moyennes ou faibles) Le classement par ordre de priorité des vulnérabilités détectées pour la remédiation Oui Non Justification : Les évaluations de la vulnérabilité sont reconnues par les gouvernements et l’industrie comme étant une pratique exemplaire pour ce qui est de combler les lacunes en matière de sécurité des systèmes et applications de TI. Les ministères et les organismes doivent effectuer et documenter des évaluations de la vulnérabilité régulièrement pour les systèmes très sensibles ou ceux accessibles de l’internet et, à leur discrétion, pour les autres systèmes.	Il est attendu que toutes les organisations disposent d’un processus ou d’un plan d’évaluation de la vulnérabilité documenté.	Norme opérationnelle de sécurité: Gestion de la sécurité des technologies de l’information (GSTI), 12.5.1	Source de preuves : Document du ministère ou de l’organisme décrivant le processus ou le plan Nombre de documents : 1 document	Pratique de gestion Conformité avec les politiques
Le ministère ou l’organisme tient-il un registre des vulnérabilités TI identifiées qui comprend les éléments suivants: Les systèmes vulnérables La priorité (élevée, moyenne ou faible) La situation (vulnérabilité ouverte, fermée ou en cours) Oui Non Justification : Les évaluations de la vulnérabilité sont reconnues par les gouvernements et l’industrie comme étant une pratique exemplaire pour ce qui est de combler les lacunes en matière de sécurité des systèmes et applications de TI. Les ministères et les organismes doivent documenter les évaluations de la vulnérabilité, les décisions ultérieures et les mesures correctives.	Il est attendu que toutes les organisations tiennent un registre des vulnérabilités identifiées qui indique si elles ont été traitées.	Norme opérationnelle de sécurité: Gestion de la sécurité des technologies de l’information (GSTI), 12.5.1	Source de preuves : Registre ou autre document du ministère ou de l’organisme qui identifie les vulnérabilités et indique si celles-ci ont été traitées Nombre de documents : 1 document	Pratique de gestion Conformité avec les politiques
Quel pourcentage des correctifs visant les priorités élevées ont été déployés en respectant les cibles ou les échéanciers établis du ministère ou de l’organisme pour l’exercice 2016-2017? Justification : La mesure du rendement quant aux systèmes ou aux services qui ont été corrigés en temps opportun donne une indication de la diligence raisonnable du ministère ou de l’organisme en vue de protéger les actifs du gouvernement du Canada (p. ex., information). Calcul de la mesure : Nombre de correctifs visant les risques élevés implantés en respectant les cibles ou les échéanciers établis d’un ministère ou d’un organisme divisé par Nombre total de correctifs visant les risques élevés désignés pour être déployés	Les organisations doivent disposer d’un processus ou d’un plan de gestion des correctifs documenté ou d’un plan qui comprend des objectifs et un calendrier pour le déploiement des correctifs, et ces organisations devraient s’efforcer de déployer 100 p.100 des correctifs visant les priorités élevées et de les implanter dans leurs systèmes ou leurs services en respectant les objectifs ou les calendriers établis pour l’exercice 2016‑2017.	Norme opérationnelle de sécurité: Gestion de la sécurité des technologies de l’information (GSTI), 12.5.2	Source de preuves : Un registre ou autre document du ministère ou de l’organisme qui identifie les vulnérabilités et indique si celles-ci ont été traitées. Nombre de documents : 1 document	Rendement de gestion Indicateur de rendement

Sécurité matérielle

Indicateurs et méthode de calcul (le cas échéant)	Résultat attendu	Renvoi à la politique	Source de preuve et limite de documents	Catégorie
Quel pourcentage des installations du minitère ou de l’ornanisme ont une évaluation de la sécurité à jour? Justification : La modernisation du milieu de travail et l’évolution des risques et des menaces nécessitent une évaluation des risques pour la sécurité des installations à jour. L’évaluation des risques pour la sécurité des installations est importante parce que ces risques peuvent aussi avoir une incidence sur les renseignements, les personnes et d’autres actifs du gouvernement du Canada. Calcul de la mesure : Nombre d’installations ayant une évaluation de la sécurité à jour divisé par Nombre total d’installations Définitions : Installation Désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d’un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n’est pas un immeuble. Le terme désigne non seulement l’objet à proprement parler, mais aussi son usage (p. ex., champs de tir, terres agricoles). (Norme opérationnelle sur la sécurité matérielle, annexe A) À jour Considéré comme respectant l’échéancier ministériel, tel qu’établi dans les politiques ou les procédures, pour renouveler les évaluations des risques pour la sécurité, ou trois ans en l’absence d’un échéancier ministériel établi. Évaluation de la sécurité Le processus consistant à définir et à qualifier les menaces liées à la sécurité, les vulnérabilités et les risques, pour appuyer la définition des exigences en matière de sécurité et la détermination des contrôles de sécurité pour ramener les risques à un niveau acceptable. Remarque : La portée de la question englobe tant 1) les installations où des activités du ministère ou de l’organisme sont exercées (immeubles, étages dans un immeuble, espace dans une ambassade étrangère, terres agricoles, etc.) et 2) les installations dont le ministère est un gardien et où il peut n’y avoir aucune activité du ministère ou de l’organisme.	Il est attendu que toutes les installations disposent d’une évaluation des risques pour la sécurité à jour.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme opérationnelle sur la sécurité matérielle	Source de preuves : Un outil de suivi du ministère ou de l’organisme, notamment: Une liste des installations Le type d’évaluation La date de la dernière évaluation des risques pour la sécurité La fréquence du cycle d’évaluation Nombre de documents : 1 document	Rendement de gestion Indicateur de rendement
Actuellement, en ce qui concerne les installations du ministère ou de l’organisme ayant des lacunes résiduelles substantielles sur le plan de la sécurité; 10.1 Quel pourcentage disposent d’un plan d’atténuation des risques approuvé et finance (s’il y a lieu)? Justification : La mesure du rendement quant à la capacité d’une organisation de veiller à ce que toutes les lacunes résiduelles substantielles sur le plan de la sécurité soient gérées selon un plan d’atténuation des risques approuvé et financé donne une indication de la diligence raisonnable du ministère ou de l’organisme en vue de protéger des personnes et des biens. La détermination de la mesure dans laquelle les lacunes résiduelles substantielles sur le plan de la sécurité sont en suspens après un an donne une indication de la capacité de l’organisation de régler ces lacunes en temps opportun. Calcul de la mesure : Nombre d’installations ayant des lacunes résiduelles substantielles et disposant d’un plan financé divisé par Nombre total d’installations ayant des lacunes résiduelles substantielles Définitions : Lacunes résiduelles substantielles sur le plan de la sécurité Correspondent aux exigences de sécurité de l’immeuble de base ou du ministère ou de l’organisme (établies au moyen d’évaluations des risques) n’ayant pas été entièrement prises en compte. Où De lacunes ayant causé ou susceptibles raisonnablement de causer des blessures ou des dommages graves (c.-à-d. incidence moyenne ou élevée) à une personne, des dommages à un bien de grande valeur du gouvernement, un préjudice à la prestation d’un service essentiel ou à l’intérêt des personnes ou des entreprises.	Il est attendu que 100 p. 100 des installations qui présentent des lacunes substantielles d’un ministère ou d’un organisme disposent d’un plan d’atténuation des risques approuvé et financé.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme opérationnelle sur la sécurité matérielle	Source de preuves : Documentation du ministère ou de l’organisme indiquant le nombre total d’installations ayant d’importantes lacunes résiduelles et des lacunes en suspens depuis plus de 12 mois Nombre de documents : 1 document	Rendement de gestion Indicateur de rendement
Actuellement, en ce qui concerne les installations du ministère ou de l’organisme ayant des lacunes résiduelles substantielles sur le plan de la sécurité; 10.2 Quel pourcentage ont des lacunes en souffrance depuis plus de 12 mois? Justification : La mesure du rendement quant à la capacité d’une organisation de veiller à ce que toutes les lacunes résiduelles substantielles sur le plan de la sécurité soient gérées selon un plan d’atténuation des risques approuvé et financé donne une indication de la diligence raisonnable du ministère ou de l’organisme en vue de protéger des personnes et des biens. La détermination de la mesure dans laquelle les lacunes résiduelles substantielles sur le plan de la sécurité sont en suspens après un an donne une indication de la capacité de l’organisation de régler ces lacunes en temps opportun. Calcul de la mesure : Nombre d’installations ayant des lacunes en souffrance depuis plus de 12 mois divisé par Nombre total d’installations ayant des lacunes Définitions : Lacunes résiduelles substantielles sur le plan de la sécurité Correspondent aux exigences de sécurité de l’immeuble de base ou du ministère ou de l’organisme (établies au moyen d’évaluations des risques) n’ayant pas été entièrement prises en compte. Où De lacunes ayant causé ou susceptibles raisonnablement de causer des blessures ou des dommages graves (c.-à-d. incidence moyenne ou élevée) à une personne, des dommages à un bien de grande valeur du gouvernement, un préjudice à la prestation d’un service essentiel ou à l’intérêt des personnes ou des entreprises.	Il est attendu qu’un faible pourcentage des installations d’un ministère ou d’un organisme présentent des lacunes en suspens depuis plus de 12 mois.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme opérationnelle sur la sécurité matérielle	Source de preuves : Documentation du ministère ou de l’organisme indiquant le nombre total d’installations ayant d’importantes lacunes résiduelles et des lacunes en suspens depuis plus de 12 mois Nombre de documents : 1 document	Rendement de gestion Indicateur de rendement

Indicateurs et méthode de calcul (le cas échéant)

Résultat attendu

Renvoi à la politique

Source de preuve et limite de documents

Catégorie

Quel pourcentage des installations du minitère ou de l’ornanisme ont une évaluation de la sécurité à jour?

Justification :

La modernisation du milieu de travail et l’évolution des risques et des menaces nécessitent une évaluation des risques pour la sécurité des installations à jour.

L’évaluation des risques pour la sécurité des installations est importante parce que ces risques peuvent aussi avoir une incidence sur les renseignements, les personnes et d’autres actifs du gouvernement du Canada.

Calcul de la mesure :

Nombre d’installations ayant une évaluation de la sécurité à jour

divisé par

Nombre total d’installations

Définitions :

Installation

Désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d’un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n’est pas un immeuble. Le terme désigne non seulement l’objet à proprement parler, mais aussi son usage (p. ex., champs de tir, terres agricoles). (Norme opérationnelle sur la sécurité matérielle, annexe A)

À jour

Considéré comme respectant l’échéancier ministériel, tel qu’établi dans les politiques ou les procédures, pour renouveler les évaluations des risques pour la sécurité, ou trois ans en l’absence d’un échéancier ministériel établi.

Évaluation de la sécurité

Le processus consistant à définir et à qualifier les menaces liées à la sécurité, les vulnérabilités et les risques, pour appuyer la définition des exigences en matière de sécurité et la détermination des contrôles de sécurité pour ramener les risques à un niveau acceptable.

Remarque :

La portée de la question englobe tant 1) les installations où des activités du ministère ou de l’organisme sont exercées (immeubles, étages dans un immeuble, espace dans une ambassade étrangère, terres agricoles, etc.) et 2) les installations dont le ministère est un gardien et où il peut n’y avoir aucune activité du ministère ou de l’organisme.

Il est attendu que toutes les installations disposent d’une évaluation des risques pour la sécurité à jour.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme opérationnelle sur la sécurité matérielle

Source de preuves :

Un outil de suivi du ministère ou de l’organisme, notamment:

Une liste des installations
Le type d’évaluation
La date de la dernière évaluation des risques pour la sécurité
La fréquence du cycle d’évaluation

Nombre de documents :

1 document

Rendement de gestion
- Indicateur de rendement

Actuellement, en ce qui concerne les installations du ministère ou de l’organisme ayant des lacunes résiduelles substantielles sur le plan de la sécurité;
- 10.1
  
  Quel pourcentage disposent d’un plan d’atténuation des risques approuvé et finance (s’il y a lieu)?
Justification :

La mesure du rendement quant à la capacité d’une organisation de veiller à ce que toutes les lacunes résiduelles substantielles sur le plan de la sécurité soient gérées selon un plan d’atténuation des risques approuvé et financé donne une indication de la diligence raisonnable du ministère ou de l’organisme en vue de protéger des personnes et des biens.

La détermination de la mesure dans laquelle les lacunes résiduelles substantielles sur le plan de la sécurité sont en suspens après un an donne une indication de la capacité de l’organisation de régler ces lacunes en temps opportun.

Calcul de la mesure :

Nombre d’installations ayant des lacunes résiduelles substantielles et disposant d’un plan financé

divisé par

Nombre total d’installations ayant des lacunes résiduelles substantielles

Définitions :

Lacunes résiduelles substantielles sur le plan de la sécurité

Correspondent aux exigences de sécurité de l’immeuble de base ou du ministère ou de l’organisme (établies au moyen d’évaluations des risques) n’ayant pas été entièrement prises en compte.

Où

De lacunes ayant causé ou susceptibles raisonnablement de causer des blessures ou des dommages graves (c.-à-d. incidence moyenne ou élevée) à une personne, des dommages à un bien de grande valeur du gouvernement, un préjudice à la prestation d’un service essentiel ou à l’intérêt des personnes ou des entreprises.

Il est attendu que 100 p. 100 des installations qui présentent des lacunes substantielles d’un ministère ou d’un organisme disposent d’un plan d’atténuation des risques approuvé et financé.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme opérationnelle sur la sécurité matérielle

Source de preuves :

Documentation du ministère ou de l’organisme indiquant le nombre total d’installations ayant d’importantes lacunes résiduelles et des lacunes en suspens depuis plus de 12 mois

Nombre de documents :

1 document

Rendement de gestion
- Indicateur de rendement

Actuellement, en ce qui concerne les installations du ministère ou de l’organisme ayant des lacunes résiduelles substantielles sur le plan de la sécurité;
- 10.2
  
  Quel pourcentage ont des lacunes en souffrance depuis plus de 12 mois?
Justification :

La mesure du rendement quant à la capacité d’une organisation de veiller à ce que toutes les lacunes résiduelles substantielles sur le plan de la sécurité soient gérées selon un plan d’atténuation des risques approuvé et financé donne une indication de la diligence raisonnable du ministère ou de l’organisme en vue de protéger des personnes et des biens.

La détermination de la mesure dans laquelle les lacunes résiduelles substantielles sur le plan de la sécurité sont en suspens après un an donne une indication de la capacité de l’organisation de régler ces lacunes en temps opportun.

Calcul de la mesure :

Nombre d’installations ayant des lacunes en souffrance depuis plus de 12 mois

divisé par

Nombre total d’installations ayant des lacunes

Définitions :

Lacunes résiduelles substantielles sur le plan de la sécurité

Correspondent aux exigences de sécurité de l’immeuble de base ou du ministère ou de l’organisme (établies au moyen d’évaluations des risques) n’ayant pas été entièrement prises en compte.

Où

De lacunes ayant causé ou susceptibles raisonnablement de causer des blessures ou des dommages graves (c.-à-d. incidence moyenne ou élevée) à une personne, des dommages à un bien de grande valeur du gouvernement, un préjudice à la prestation d’un service essentiel ou à l’intérêt des personnes ou des entreprises.

Il est attendu qu’un faible pourcentage des installations d’un ministère ou d’un organisme présentent des lacunes en suspens depuis plus de 12 mois.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Norme opérationnelle sur la sécurité matérielle

Source de preuves :

Documentation du ministère ou de l’organisme indiquant le nombre total d’installations ayant d’importantes lacunes résiduelles et des lacunes en suspens depuis plus de 12 mois

Nombre de documents :

1 document

Rendement de gestion
- Indicateur de rendement

Filtrage de sécurité du personnel

Indicateurs et méthode de calcul (le cas échéant)	Résultat attendu	Renvoi à la politique	Source de preuve et limite de documents	Catégorie
Lesquelles des six principales composantes de la nouvelle Norme sur le filtrage de sécurité (NFS), entrée en vigueur en octobre 2014, le ministère ou l’organisme a-t-il mises en œuvre? Cochez toutes les réponses qui s’appliquent Rôles et responsabilités des responsables de la sécurité délégués, gestionnaires et particuliers, y compris les décisions relatives au filtrage de sécurité dont le pouvoir devrait être délégué (section 6 de la NFS) Les exigences des ministères ou des organismes en matière de filtrage de sécurité des postes ont été déterminées conformément au modèle de filtrage de sécurité (annexe B de la NFS) Collecte, utilisation, communication, conservation et élimination de renseignements personnels aux fins du filtrage de sécurité (annexe C de la NFS) Évaluation, prise de décisions et révision pour motif valable (annexe D de la NFS) Révision et droits de recours (annexe E de la NFS) Suivi (annexe F de la NFS) Justification : Les renseignements recueillis au moyen des réponses à cette question donnent une indication des progrès (par exigence) réalisés par les ministères et les organismes quant à la mise en œuvre des principales composantes de la nouvelle Norme sur le filtrage de sécurité. Ces renseignements permettront aux organisations de mesurer les progrès sur une base comparative, afin de surveiller les progrès de l’ensemble du gouvernement du Canada et, éventuellement, de relever les domaines où un soutien supplémentaire est requis.	Il est attendu que les organisations avancent dans la mise en œuvre des six principales composantes de la nouvelle NFS.	Norme sur le filtrage de sécurité, 6.2.2	Source de preuves : Politique ou procédures de sécurité du ministère ou de l’organisme Nombre de documents : 3 documents	Jalons de gestion
L’obligation de procéder aux vérifications de crédit obligatoires dans le cadre du processus de filtrage de sécurité a-t-elle été pleinement mise en œuvre? Oui Non Justification : Pour assurer la conformité aux politiques, les ministères et les organismes doivent effectuer des vérifications de crédit sur les nouveaux employés, les renouvellements et les mises à niveau.	Il est attendu que tous les nouveaux employés, les renouvellements et les mises à niveau fassent l’objet d’une vérification de crédit dans le cadre du processus de filtrage de sécurité des organisations.	Norme sur le filtrage de sécurité, 6.2.2	Source de preuves : Un exemplaire de leur entente avec une ou les deux agences d’évaluation de crédit qui indique qu’un accord officiel a été conclu pour le traitement des vérifications de crédit; et/ou Un registre du nombre de vérifications de crédit effectuées pour 2014/2016; et/ou Des pièces justificatives officielles qui indiquent que des vérifications de crédit ont été officiellement mises en œuvre dans tout l’organisme ou le ministère. À titre d’exemple, un avis destiné à tous les employés. Nombre de documents : 3 Documents	Pratique de gestion Conformité avec les politiques

Indicateurs et méthode de calcul (le cas échéant)

Résultat attendu

Renvoi à la politique

Source de preuve et limite de documents

Catégorie

Lesquelles des six principales composantes de la nouvelle Norme sur le filtrage de sécurité (NFS), entrée en vigueur en octobre 2014, le ministère ou l’organisme a-t-il mises en œuvre?

Cochez toutes les réponses qui s’appliquent
- Rôles et responsabilités des responsables de la sécurité délégués, gestionnaires et particuliers, y compris les décisions relatives au filtrage de sécurité dont le pouvoir devrait être délégué (section 6 de la NFS)
- Les exigences des ministères ou des organismes en matière de filtrage de sécurité des postes ont été déterminées conformément au modèle de filtrage de sécurité (annexe B de la NFS)
- Collecte, utilisation, communication, conservation et élimination de renseignements personnels aux fins du filtrage de sécurité (annexe C de la NFS)
- Évaluation, prise de décisions et révision pour motif valable (annexe D de la NFS)
- Révision et droits de recours (annexe E de la NFS)
- Suivi (annexe F de la NFS)
Justification :

Les renseignements recueillis au moyen des réponses à cette question donnent une indication des progrès (par exigence) réalisés par les ministères et les organismes quant à la mise en œuvre des principales composantes de la nouvelle Norme sur le filtrage de sécurité. Ces renseignements permettront aux organisations de mesurer les progrès sur une base comparative, afin de surveiller les progrès de l’ensemble du gouvernement du Canada et, éventuellement, de relever les domaines où un soutien supplémentaire est requis.

Il est attendu que les organisations avancent dans la mise en œuvre des six principales composantes de la nouvelle NFS.

Norme sur le filtrage de sécurité, 6.2.2

Source de preuves :

Politique ou procédures de sécurité du ministère ou de l’organisme

Nombre de documents :

3 documents

Jalons de gestion

L’obligation de procéder aux vérifications de crédit obligatoires dans le cadre du processus de filtrage de sécurité a-t-elle été pleinement mise en œuvre?
- Oui
- Non
Justification :

Pour assurer la conformité aux politiques, les ministères et les organismes doivent effectuer des vérifications de crédit sur les nouveaux employés, les renouvellements et les mises à niveau.

Il est attendu que tous les nouveaux employés, les renouvellements et les mises à niveau fassent l’objet d’une vérification de crédit dans le cadre du processus de filtrage de sécurité des organisations.

Norme sur le filtrage de sécurité, 6.2.2

Source de preuves :

Un exemplaire de leur entente avec une ou les deux agences d’évaluation de crédit qui indique qu’un accord officiel a été conclu pour le traitement des vérifications de crédit; et/ou
Un registre du nombre de vérifications de crédit effectuées pour 2014/2016; et/ou
Des pièces justificatives officielles qui indiquent que des vérifications de crédit ont été officiellement mises en œuvre dans tout l’organisme ou le ministère. À titre d’exemple, un avis destiné à tous les employés.

Nombre de documents :

3 Documents

Pratique de gestion
- Conformité avec les politiques

Sensibilisation à la sécurité

Indicateurs et méthode de calcul (le cas échéant)	Résultat attendu	Renvoi à la politique	Source de preuve et limite de documents	Catégorie
Parmi les sujets de sensibilisation à la sécurité qui suivent, lesquels sont abordés dans le cadre de la séance d’information initiale sur la sécurité du ministère ou de l’organisme? Cochez toutes les réponses qui s’appliquent la sécurité dans le lieu de travail, dont l’accès aux immeubles, l’obligation d’afficher des cartes de sécurité, et les pratiques liées à la surveillance d’un comportement au travail par la voie de contrôles d’accès les pratiques de sécurité matérielle et liées à la technologie de l’information se rapportant au traitement, à l’identification, au transport, à la transmission, à l’entreposage et à l’élimination comme il se doit des informations délicates ou des biens les nouveaux problèmes de sécurité, notamment les menaces à la sécurité provenant de maliciels, de l’hameçonnage ou de l’ingénierie sociale la réduction au minimum des risques inhérents au fait de travailler avec des informations délicates à l’extérieur du lieu de travail officiel (par exemple, télétravail, informatique mobile, déplacements) les obligations de signaler des changements importants au niveau de la situation personnelle qui pourraient justifier une révision de la cote ou de l’autorisation accordée Justification : Déterminer le type et la portée des renseignements sur la sensibilisation et les responsabilités en matière de sécurité fournis aux nouveaux employés.	Les nouveaux employés reçoivent des renseignements complets en ce qui concerne leurs responsabilités en matière de sécurité.	Directive sur la gestion de la sécurité ministérielle (annexe C))	Source de preuves : Documents d’information sur les politiques et les procédures de sécurité du ministère ou de l’organisme Nombre de documents : 2 documents	Statistique descriptive
Inclusion du cours de sensibilisation à la sécurité (cours A230 de l’École de la fonction publique du Canada [EFPC]): 14.1 Reconnaissant que le cours ne fait pas partie des exigences obligatoires, le ministère ou organisme inclut-il le cours de sensibilisation à la sécurité (A230) offert par l’EFPC dans son programme ministériel de sensibilisation à la sécurité? Oui Non – Passer à la question 16 14.2 Comment le ministère ou l’organisme intègre-t-il le cours A230 de l’EFPC sans son programme de sensibilisation à la sécurité? Cocher une seule case À titre d’élément discrétionnaire ou facultatif pour tous les employés À titre d’élément obligatoire pour tous les employés À titre d’élément obligatoire pour certains employés (veuillez préciser le contexte) Justification : Un des buts du gouvernement du Canada (GC), à titre d’employeur, est de veiller à ce que tous les employés reçoivent un ensemble commun de renseignements de sensibilisation à la sécurité, initialement et de façon continue. Ces compétences fondamentales sont importantes dans un milieu de travail où la mobilité des employés est élevée. De plus, le GC est déterminé à optimiser les investissements, comme le matériel de base fourni par les fournisseurs de services communs.		Directive sur la gestion de la sécurité ministérielle (annexe C)	Aucune preuve requise	Pratique de gestion Pratique (14.1) Statistique descriptive (14.2)
Application du cours de sensibilisation à la sécurité (cours A230 de l’EFPC): 15.1 Quel est le délai accordé par le ministère ou l’organisme aux nouveaux employés pour la réussite du cours? (Répondre en nombre de semaines) 15.2 Pour l’exercice 2015‑2016, quel est le pourcentage de nouveaux employés qui ont réussi le cours en respectant le délai du ministère ou de l’organisme? 15.3 Est-ce que le ministère ou l’organisme a un plan destiné aux employés déjà en poste (c’est‑à‑dire, excluant les nouveaux employés) pour la réussite du cours dans les délais établis? Oui – Fournir le plan Non	Indicateurs de base	Directive sur la gestion de la sécurité ministérielle (annexe C)	Source de preuves : Ministère ou organisme : Un exemplaire des principaux éléments du programme de sensibilisation à la sécurité (document d’information, guide, dossier de présentation) Un document de politique ou de procédure Des horaires, etc. Nombre de documents : 3 documents	Pratique de gestion Pratique (15.3) Rendement de gestion Indicateur de rendement (15.2) Statistique descriptive (15.1)

Indicateurs et méthode de calcul (le cas échéant)

Résultat attendu

Renvoi à la politique

Source de preuve et limite de documents

Catégorie

Parmi les sujets de sensibilisation à la sécurité qui suivent, lesquels sont abordés dans le cadre de la séance d’information initiale sur la sécurité du ministère ou de l’organisme?

Cochez toutes les réponses qui s’appliquent
- la sécurité dans le lieu de travail, dont l’accès aux immeubles, l’obligation d’afficher des cartes de sécurité, et les pratiques liées à la surveillance d’un comportement au travail par la voie de contrôles d’accès
- les pratiques de sécurité matérielle et liées à la technologie de l’information se rapportant au traitement, à l’identification, au transport, à la transmission, à l’entreposage et à l’élimination comme il se doit des informations délicates ou des biens
- les nouveaux problèmes de sécurité, notamment les menaces à la sécurité provenant de maliciels, de l’hameçonnage ou de l’ingénierie sociale
- la réduction au minimum des risques inhérents au fait de travailler avec des informations délicates à l’extérieur du lieu de travail officiel (par exemple, télétravail, informatique mobile, déplacements)
- les obligations de signaler des changements importants au niveau de la situation personnelle qui pourraient justifier une révision de la cote ou de l’autorisation accordée
Justification :

Déterminer le type et la portée des renseignements sur la sensibilisation et les responsabilités en matière de sécurité fournis aux nouveaux employés.

Les nouveaux employés reçoivent des renseignements complets en ce qui concerne leurs responsabilités en matière de sécurité.

Directive sur la gestion de la sécurité ministérielle (annexe C))

Source de preuves :

Documents d’information sur les politiques et les procédures de sécurité du ministère ou de l’organisme

Nombre de documents :

2 documents

Statistique descriptive

Inclusion du cours de sensibilisation à la sécurité (cours A230 de l’École de la fonction publique du Canada [EFPC]):
- 14.1
  Reconnaissant que le cours ne fait pas partie des exigences obligatoires, le ministère ou organisme inclut-il le cours de sensibilisation à la sécurité (A230) offert par l’EFPC dans son programme ministériel de sensibilisation à la sécurité?
  - Oui
  - Non – Passer à la question 16
- 14.2
  Comment le ministère ou l’organisme intègre-t-il le cours A230 de l’EFPC sans son programme de sensibilisation à la sécurité?
  
  Cocher une seule case
  - À titre d’élément discrétionnaire ou facultatif pour tous les employés
  - À titre d’élément obligatoire pour tous les employés
  - À titre d’élément obligatoire pour certains employés (veuillez préciser le contexte)
Justification :

Un des buts du gouvernement du Canada (GC), à titre d’employeur, est de veiller à ce que tous les employés reçoivent un ensemble commun de renseignements de sensibilisation à la sécurité, initialement et de façon continue. Ces compétences fondamentales sont importantes dans un milieu de travail où la mobilité des employés est élevée.

De plus, le GC est déterminé à optimiser les investissements, comme le matériel de base fourni par les fournisseurs de services communs.

Directive sur la gestion de la sécurité ministérielle (annexe C)

Aucune preuve requise

Pratique de gestion
- Pratique (14.1)
Statistique descriptive (14.2)

Application du cours de sensibilisation à la sécurité (cours A230 de l’EFPC):
- 15.1
  
  Quel est le délai accordé par le ministère ou l’organisme aux nouveaux employés pour la réussite du cours? (Répondre en nombre de semaines)
- 15.2
  
  Pour l’exercice 2015‑2016, quel est le pourcentage de nouveaux employés qui ont réussi le cours en respectant le délai du ministère ou de l’organisme?
- 15.3
  Est-ce que le ministère ou l’organisme a un plan destiné aux employés déjà en poste (c’est‑à‑dire, excluant les nouveaux employés) pour la réussite du cours dans les délais établis?
  - Oui – Fournir le plan
  - Non

Indicateurs de base

Directive sur la gestion de la sécurité ministérielle (annexe C)

Source de preuves :

Ministère ou organisme :

Un exemplaire des principaux éléments du programme de sensibilisation à la sécurité (document d’information, guide, dossier de présentation)
Un document de politique ou de procédure
Des horaires, etc.

Nombre de documents :

3 documents

Pratique de gestion
- Pratique (15.3)
Rendement de gestion
- Indicateur de rendement (15.2)
Statistique descriptive (15.1)

Plan de continuité des activités

Indicateurs et méthode de calcul (le cas échéant)	Résultat attendu	Renvoi à la politique	Source de preuve et limite de documents	Catégorie
Notes du tableau 6 Note 6 du tableau 1 Les essais peuvent comprendre des schémas de communication (appel direct, contact/réponse par message texte ou courriel), l’accès au site de remplacement et la capacité des fonctions, la capacité d’accéder à distance aux applications essentielles, la capacité des fournisseurs au titre du PCA et plusieurs autres. Les exercices de discussion peuvent comprendre des activités comme des séminaires, des ateliers ou des simulations. Les exercices opérationnels peuvent comprendre des exercices de simulation de pratique, fonctionnels ou complets. Retour à la référence de la note * du tableau 6
Combien de services essentiels le ministère ou l’organisme a‑t‑il cerné? 16.1 Quel est le pourcentage de services essentiels sans plan de continuité des activités (PCA) en place? Justification : Les renseignements recueillis au moyen des réponses à cette question donnent un aperçu des progrès réalisés pour faire en sorte que des plans de continuité des activités soient instaurés pour tous les services essentiels. Remarque : Aux fins de la présente question, un service essentiel peut avoir son propre plan de continuité des activités, être visé par un plan de continuité des activités plus vaste ou soutenu par plus d’un plan de continuité des activités	Il est attendu que 100 p.100 des services essentiels de l’organisation soient encadrés par un PCA.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.3, 3.4	Source de preuves : Les zones qui portent sur la planification de la continuité des activités du système de GPA. Le SCT fournira la réponse du ministère ou de l’organisme	Pratique de gestion Conformité avec les poltiques
Combien de services essentiels le ministère ou l’organisme a‑t‑il cerné? 16.2 Quel est le pourcentage de services essentiels dont le plan de continuité des activités (PCA) a pour la dernière fois été mis à jour depuis le 1^er avril 2016? 16.3 Quel est le pourcentage de services essentiels dont le PCA a pour la dernière fois été mis à jour entre le 1^er avril 2015 et le 31 mars 2016? 16.4 Quel est le pourcentage de services essentiels dont le PCA a pour la dernière fois été mis à jour entre le 1^er avril 2014 et le 31 mars 2015? 16.5 Quel est le pourcentage de services essentiels dont le PCA a pour la dernière fois été mis à jour entre le 1^er avril 2013 et le 31 mars 2014, ou avant? Justification : Les renseignements recueillis au moyen des réponses à cette question donnent un aperçu des progrès réalisés pour faire en sorte que des plans de continuité des activités soient instaurés pour tous les services essentiels. Remarque 1 : La somme des réponses fournies aux questions 16.2 à 16.5 doit être égale au pourcentage indiqué à la question 16.1. Remarque 2 : Aux fins de la présente question, un service essentiel peut avoir son propre plan de continuité des activités, être visé par un plan de continuité des activités plus vaste ou soutenu par plus d’un plan de continuité des activités	Il s’agit d’indicateurs de rendement supplémentaires qui permettent de comprendre le cycle d’examen et de révision des plans.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.3, 3.4	Source de preuves : Les zones qui portent sur la planification de la continuité des activités du système de GPA. Le SCT fournira la réponse du ministère ou de l’organisme	Statistique descriptive
Exercices et essais des PCA pour les services essentiels du ministère ou de l’organisme: 17.1 Quel est le pourcentage de services essentiels encadrés par un PCA et pour lesquels des exercices ou des essais ont été effectués^{Note * du tableau 6}? Justification : Les renseignements recueillis au moyen des réponses à cette question donnent un aperçu des progrès réalisés pour faire en sorte que des plans et des mesures de continuité des activités sont instaurés et prêts pour tous les services essentiels, afin d’assurer que les exigences au titre de la continuité des activités sont respectées en cas de perturbations. Remarque : Aux fins de la présente question, un service essentiel peut avoir son propre plan de continuité des activités, être visé par un plan de continuité des activités plus vaste ou soutenu par plus d’un plan de continuité des activités	Il est attendu que 100 p.100 des services essentiels de l’organisation qui sont encadrés par un PCA aient fait l’objet d’exercices ou d’essais.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.4d)	Source de preuves : Les zones qui portent sur la planification de la continuité des activités du système de GPA. Le SCT fournira la réponse du ministère ou de l’organisme	Rendement de gestion Indicateur de rendement
Exercices et essais des PCA pour les services essentiels du ministère ou de l’organisme: 17.2 Quel est le pourcentage de services essentiels encadrés par un PCA et pour lesquels des exercices ou des essais^{Note * du tableau 6} ont été effectués depuis le 1^er avril 2016? 17.3 Quel est le pourcentage de services essentiels encadrés par un PCA et pour lesquels des exercices ou des essais^{Note * du tableau 6} ont été effectués entre le 1^er avril 2015 et le 31 mars 2016? 17.4 Quel est le pourcentage de services essentiels encadrés par un PCA et pour lesquels des exercices ou des essais^{Note * du tableau 6} ont été effectués entre le 1^er avril 2014 et le 31 mars 2015? 17.5 Quel est le pourcentage de services essentiels encadrés par un PCA et pour lesquels des exercices ou des essais^{Note * du tableau 6} ont été effectués entre le 1^er avril 2013 et le 31 mars 2014? Justification : Les renseignements recueillis au moyen des réponses à cette question donnent un aperçu des progrès réalisés pour faire en sorte que des plans et des mesures de continuité des activités sont instaurés et prêts pour tous les services essentiels, afin d’assurer que les exigences au titre de la continuité des activités sont respectées en cas de perturbations. Remarque 1 : La somme des réponses fournies aux questions 17.2 à 17.5 doit être égale au pourcentage indiqué à la question 17.1. Remarque 2 : Aux fins de la présente question, un service essentiel peut avoir son propre plan de continuité des activités, être visé par un plan de continuité des activités plus vaste ou soutenu par plus d’un plan de continuité des activités	Il s’agit d’indicateurs de rendement supplémentaires qui permettent au SCT de recueillir et de comprendre l’interprétation de la notion des «mises à l’essai et une validation régulières de tous les plans» des ministères et des organismes.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.4d)	Source de preuves : Les zones qui portent sur la planification de la continuité des activités du système de GPA. Le SCT fournira la réponse du ministère ou de l’organisme	Statistique descriptive
Est-ce que le ministère ou l’organisme passe son PCA en revue de manière cyclique? Oui Non Justification : Puisque la présentation régulière de rapports au SCT repose sur l’élaboration d’un cycle d’audit des programmes de planification de la continuité des activités par les ministères et les organismes, il est important que ces ministères et organismes passent ces programmes en revue de manière cyclique.	Il est attendu que toutes les organisations aient élaboré un cycle d’audit des programmes de planification de la continuité des activités.	Directive sur la gestion de la sécurité ministérielle (annexe C) Norme de sécurité opérationnelle – Programme de planification de la continuité des activités, 3.4d)	Source de preuves : Document de politique ou de programme du ministère ou de l’organisme Nombre de documents : 1 Document	Pratique de gestion Conformité avec les politiques

Harmonisation des priorités de la Politique sur la sécurité du gouvernement du Canada

Stratégie de cybersécurité du Canada

Indicateurs et méthode de calcul (le cas échéant)	Résultat attendu	Renvoi à la politique	Source de preuve et limite de documents	Catégorie
Le ministère ou l’organisme tient-il un registre de tous ses incidents de cybersécurité qui comprend au minimum les éléments suivants: La date Le type La priorité de l’incident L’affectation La situation La date d’achèvement Confirmation du signalement à l’Équipe de réponse aux incidents cybernétiques du gouvernement du Canada ERIC-GC Oui Non Justification : La tenue d’un registre de tous les incidents de cybersécurité est reconnue par les gouvernements et l’industrie comme étant une pratique exemplaire pour ce qui est de faire ressortir les anomalies et les tendances des violations et tentatives de violation. Les renseignements recueillis au moyen des réponses peuvent être utilisés pour mettre en relief et diffuser les pratiques notables. Définitions : Incident de cybersécurité Désigne tout événement de cybersécurité (ou série d’événements de sécurité) ou omission qui entraîne la compromission d’un système de TI. Une compromission désigne l’accès, la divulgation, la modification, l’utilisation, l’interruption, la suppression ou la destruction non autorisés de renseignements ou de biens, causant une perte de confidentialité, d’intégrité, de disponibilité ou de valeur. Remarquez : Lorsque la réponse est positive, la preuve devrait démontrer que des modèles sont utilisés, comme le décrit le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) (Modèle d’établissement de rapports sur les incidents liés à la cybersécurité, 5.2.2) et que les renseignements obtenus de ces modèles sont consignés.	Il est attendu que toutes les organisations tiennent un registre de l’ensemble de ses incidents de cybersécurité. L’exigence de rapport dont il est question est en vigueur depuis mai 2010 (Plan de gestion des incidents de la TI du GC)	Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), 5.2.2	Source de preuves : Extrait ou exemple d’un registre du ministère ou de l’organisme, etc. Nombre de documents : 1 Document	Pratique de gestion Pratique
Les processus de gestion des incidents de sécurité du ministère ou de l’organisme ont-ils été mis à jour pour s’harmoniser avec le PGEC GC? Oui Non Justification : Les ministères et organismes sont tenus d’élaborer, de maintenir et de mettre à l’essai des plans et des processus ministériels de gestion des événements de cybersécurité, et ils doivent veiller à leur harmonisation avec les orientations, les plans et les processus à l’échelle du GC.	Il est attendu que toutes les organisations disposent d’un plan de gestion des événements documenté qui s’harmonise au PGEC GC.	Norme opérationnelle de sécurité: Gestion de la sécurité des technologies de l’information (GSTI) Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), 5.2.2	Source de preuves : Un document sur les processus ou les plans de gestion des événements d’un ministère ou d’un organisme. Nombre de documents : 1 Document	Pratique de gestion Pratique

Indicateurs et méthode de calcul (le cas échéant)

Résultat attendu

Renvoi à la politique

Source de preuve et limite de documents

Catégorie

Le ministère ou l’organisme tient-il un registre de tous ses incidents de cybersécurité qui comprend au minimum les éléments suivants:
1. La date
2. Le type
3. La priorité de l’incident
4. L’affectation
5. La situation
6. La date d’achèvement
7. Confirmation du signalement à l’Équipe de réponse aux incidents cybernétiques du gouvernement du Canada ERIC-GC
- Oui
- Non
Justification :

La tenue d’un registre de tous les incidents de cybersécurité est reconnue par les gouvernements et l’industrie comme étant une pratique exemplaire pour ce qui est de faire ressortir les anomalies et les tendances des violations et tentatives de violation. Les renseignements recueillis au moyen des réponses peuvent être utilisés pour mettre en relief et diffuser les pratiques notables.

Définitions :

Incident de cybersécurité

Désigne tout événement de cybersécurité (ou série d’événements de sécurité) ou omission qui entraîne la compromission d’un système de TI. Une compromission désigne l’accès, la divulgation, la modification, l’utilisation, l’interruption, la suppression ou la destruction non autorisés de renseignements ou de biens, causant une perte de confidentialité, d’intégrité, de disponibilité ou de valeur.

Remarquez :

Lorsque la réponse est positive, la preuve devrait démontrer que des modèles sont utilisés, comme le décrit le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) (Modèle d’établissement de rapports sur les incidents liés à la cybersécurité, 5.2.2) et que les renseignements obtenus de ces modèles sont consignés.

Il est attendu que toutes les organisations tiennent un registre de l’ensemble de ses incidents de cybersécurité. L’exigence de rapport dont il est question est en vigueur depuis mai 2010 (Plan de gestion des incidents de la TI du GC)

Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), 5.2.2

Source de preuves :

Extrait ou exemple d’un registre du ministère ou de l’organisme, etc.

Nombre de documents :

1 Document

Pratique de gestion
- Pratique

Les processus de gestion des incidents de sécurité du ministère ou de l’organisme ont-ils été mis à jour pour s’harmoniser avec le PGEC GC?
- Oui
- Non
Justification :

Les ministères et organismes sont tenus d’élaborer, de maintenir et de mettre à l’essai des plans et des processus ministériels de gestion des événements de cybersécurité, et ils doivent veiller à leur harmonisation avec les orientations, les plans et les processus à l’échelle du GC.

Il est attendu que toutes les organisations disposent d’un plan de gestion des événements documenté qui s’harmonise au PGEC GC.

Norme opérationnelle de sécurité: Gestion de la sécurité des technologies de l’information (GSTI)

Plan de gestion des événements de cybersécurité du gouvernement

du Canada (PGEC GC), 5.2.2

Source de preuves :

Un document sur les processus ou les plans de gestion des événements d’un ministère ou d’un organisme.

Nombre de documents :

1 Document

Pratique de gestion
- Pratique

Fédération de l’identité

Indicateurs et méthode de calcul (le cas échéant)	Résultat attendu	Renvoi à la politique	Source de preuve et limite de documents	Catégorie
Services externes en ligne qui nécessitent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe (c’est‑à‑dire, l’authentification du client): 21.1 Quel est le nombre de services externes en ligne qui nécessitent une authentification du client? 21.2 Quel pourcentage des services externes en ligne du ministère ou de l’organisme qui nécessitent une authentification du client ont fait l’objet d’une évaluation du niveau d’assurance? Justification : Le gouvernement du Canada est déterminé à fournir des services en ligne qui permettent des opérations sécurisées entre les clients et le gouvernement. Les opérations en ligne posent des défis aux ministères et organismes pour ce qui est d’établir ou de vérifier l’identité du demandeur et aussi d’assurer des opérations sécurisées. Avant la prestation de tout service à un client, les ministères et organismes sont tenus d’évaluer les risques que comportent le service ou les opérations en lien avec l’identité et les justificatifs. Les ministères et organismes évaluent ces risques en menant une évaluation du niveau d’assurance. L’évaluation est ensuite utilisée par l’organisation pour choisir les processus et technologies appropriées pour veiller à ce que les risques identifiés soient traités afin de permettre la prestation du service en ligne. Ce processus normalisé est aussi le fondement de la fédération de l’identité. Calcul de la mesure : Nombre de services externes en ligne qui nécessitent une authentification du client qui ont fait l’objet d’une évaluation du niveau d’assurance divisé par Nombre total de services externes en ligne qui nécessitent une authentification du client Définitions : Services externes Désignent ceux qui sont fournis aux citoyens et aux entreprises.	Il est attendu que tous les services externes en ligne qui nécessitent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe aient fait l’objet d’une évaluation du niveau d’assurance.	Directive sur la gestion de l’identité, 6.1.2, 6.1.3 Norme sur l’assurance de l’identité et des justificatifs, 6.1.1, 6.1.2	Source de preuves : Une liste de tous les services externes en ligne du ministère ou de l’organisme qui nécessitent une authentification du client et qui indique, d’une part, la date de réalisation de l’évaluation du niveau d’assurance, et d’autre part, si un service donné fait appel au service de gestion des justificatifs externes (SGJE) obligatoire (CléGC/Service de courtier de justificatifs d’identité). Nombre de documents : 1 document	Rendement de gestion Indicateur de rendement (21.2) Statistique descriptive (21.1)
Quel pourcentage des services externes en ligne du ministère ou de l’organisme qui exigent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe (c.-à-d. authentification du client) font appel au service de gestion des justificatifs externes obligatoire (CléGC/Service de courtier de justificatifs d’identité)? Justification : Le gouvernement du Canada est déterminé à fournir des services en ligne qui permettent l’ouverture de session avec un identifiant unique et qui réduisent le nombre d’ouvertures de session et de mots de passe en encourageant le recours à ceux que le client a déjà établis ou en utilisant une ouverture de session et un mot de passe communs pour l’ensemble des services et opérations du GC. Ceci est fourni au moyen du SGJE obligatoire (CléGC/Service de courtier de services commercial). Ce service ministériel permet également de réduire le nombre de surfaces d’attaque et d’améliorer la posture de sécurité du gouvernement dans son ensemble. Cet indicateur mesure l’adoption du service obligatoire dans l’ensemble des ministères et organismes évalués, en mettant l’accent sur les services en ligne aux citoyens et entreprises, et donne une indication de l’alignement du ministère ou de l’organisme sur les objectifs de modernisation à l’échelle du gouvernement du Canada. Calcul de la mesure : Nombre de services externes en ligne qui font appel au SGJE divisé par Nombre total de services externes en ligne qui nécessitent une authentification du client Définitions : Services externes Désignent ceux qui sont fournis aux citoyens et aux entreprises.	Il est attendu que tous les services externes en ligne qui nécessitent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe fassent appel au SGJE obligatoire (CléGC/Service de courtier de justificatifs d’identité).	Directive sur la gestion de l’identité, 6.1.4	Mêmes preuves que pour la Q 21.	Rendement de gestion Indicateur de rendement

Indicateurs et méthode de calcul (le cas échéant)

Résultat attendu

Renvoi à la politique

Source de preuve et limite de documents

Catégorie

Services externes en ligne qui nécessitent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe (c’est‑à‑dire, l’authentification du client):
- 21.1
  
  Quel est le nombre de services externes en ligne qui nécessitent une authentification du client?
- 21.2
  
  Quel pourcentage des services externes en ligne du ministère ou de l’organisme qui nécessitent une authentification du client ont fait l’objet d’une évaluation du niveau d’assurance?
Justification :

Le gouvernement du Canada est déterminé à fournir des services en ligne qui permettent des opérations sécurisées entre les clients et le gouvernement. Les opérations en ligne posent des défis aux ministères et organismes pour ce qui est d’établir ou de vérifier l’identité du demandeur et aussi d’assurer des opérations sécurisées.

Avant la prestation de tout service à un client, les ministères et organismes sont tenus d’évaluer les risques que comportent le service ou les opérations en lien avec l’identité et les justificatifs. Les ministères et organismes évaluent ces risques en menant une évaluation du niveau d’assurance.

L’évaluation est ensuite utilisée par l’organisation pour choisir les processus et technologies appropriées pour veiller à ce que les risques identifiés soient traités afin de permettre la prestation du service en ligne. Ce processus normalisé est aussi le fondement de la fédération de l’identité.

Calcul de la mesure :

Nombre de services externes en ligne qui nécessitent une authentification du client qui ont fait l’objet d’une évaluation du niveau d’assurance

divisé par

Nombre total de services externes en ligne qui nécessitent une authentification du client

Définitions :

Services externes

Désignent ceux qui sont fournis aux citoyens et aux entreprises.

Il est attendu que tous les services externes en ligne qui nécessitent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe aient fait l’objet d’une évaluation du niveau d’assurance.

Directive sur la gestion de l’identité, 6.1.2, 6.1.3

Norme sur l’assurance de l’identité et des justificatifs, 6.1.1, 6.1.2

Source de preuves :

Une liste de tous les services externes en ligne du ministère ou de l’organisme qui nécessitent une authentification du client et qui indique, d’une part, la date de réalisation de l’évaluation du niveau d’assurance, et d’autre part, si un service donné fait appel au service de gestion des justificatifs externes (SGJE) obligatoire (CléGC/Service de courtier de justificatifs d’identité).

Nombre de documents :

1 document

Rendement de gestion
- Indicateur de rendement (21.2)
Statistique descriptive (21.1)

Quel pourcentage des services externes en ligne du ministère ou de l’organisme qui exigent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe (c.-à-d. authentification du client) font appel au service de gestion des justificatifs externes obligatoire (CléGC/Service de courtier de justificatifs d’identité)?

Justification :

Le gouvernement du Canada est déterminé à fournir des services en ligne qui permettent l’ouverture de session avec un identifiant unique et qui réduisent le nombre d’ouvertures de session et de mots de passe en encourageant le recours à ceux que le client a déjà établis ou en utilisant une ouverture de session et un mot de passe communs pour l’ensemble des services et opérations du GC. Ceci est fourni au moyen du SGJE obligatoire (CléGC/Service de courtier de services commercial). Ce service ministériel permet également de réduire le nombre de surfaces d’attaque et d’améliorer la posture de sécurité du gouvernement dans son ensemble.

Cet indicateur mesure l’adoption du service obligatoire dans l’ensemble des ministères et organismes évalués, en mettant l’accent sur les services en ligne aux citoyens et entreprises, et donne une indication de l’alignement du ministère ou de l’organisme sur les objectifs de modernisation à l’échelle du gouvernement du Canada.

Calcul de la mesure :

Nombre de services externes en ligne qui font appel au SGJE

divisé par

Nombre total de services externes en ligne qui nécessitent une authentification du client

Définitions :

Services externes

Désignent ceux qui sont fournis aux citoyens et aux entreprises.

Il est attendu que tous les services externes en ligne qui nécessitent que le client ouvre une session au moyen d’un nom d’utilisateur et d’un mot de passe fassent appel au SGJE obligatoire (CléGC/Service de courtier de justificatifs d’identité).

Directive sur la gestion de l’identité, 6.1.4

Mêmes preuves que pour la Q 21.

Rendement de gestion
- Indicateur de rendement

Lexique

À jour: Considéré comme respectant l’échéancier ministériel, tel qu’établi dans les politiques ou les procédures, pour renouveler les évaluations des risques pour la sécurité, ou trois ans en l’absence d’un échéancier ministériel établi.
Application essentielle à la mission: Une application opérationnelle qui est utilisée comme service essentiel ou qui en appuie un.
Évaluation de la sécurité: Le processus consistant à définir et à qualifier les menaces liées à la sécurité, les vulnérabilités et les risques, pour appuyer la définition des exigences en matière de sécurité et la détermination des contrôles de sécurité pour ramener les risques à un niveau acceptable.
Incident de cybersécurité: Désigne tout événement de cybersécurité (ou série d’événements de sécurité) ou omission qui entraîne la compromission d’un système de TI. Une compromission désigne l’accès, la divulgation, la modification, l’utilisation, l’interruption, la suppression ou la destruction non autorisés de renseignements ou de biens, causant une perte de confidentialité, d’intégrité, de disponibilité ou de valeur.
Installation: Désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d’un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n’est pas un immeuble. Le terme désigne non seulement l’objet à proprement parler, mais aussi son usage (p. ex., champs de tir, terres agricoles). (Norme opérationnelle sur la sécurité matérielle, annexe A)
Lacunes résiduelles substantielles sur le plan de la sécurité: Correspondent aux exigences de sécurité de l’immeuble de base ou du ministère ou de l’organisme (établies au moyen d’évaluations des risques) n’ayant pas été entièrement prises en compte.
Services externes: Désignent ceux qui sont fournis aux citoyens et aux entreprises.
Service essentiel: Un service dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.

Détails de la page

Date de modification :: 2017-05-15

Sélection de la langue

Recherche

Méthodologie 2016 à 2017 du CRG sur la gestion de la sécurité

Table des matières

Aperçu de la méthodologie

Introduction

Approche de gestion de la sécurité pour le nouveau cycle de trois ans du Cadre de responsabilisation de gestion

Méthodologie de la gestion de la sécurité 2016‑2017

Périodes de référence, source de preuves et validation

Questionnaire

Gestion efficace et intégrée de la sécurité au sein du ministère ou de l’organisme

Planification

Protection des actifs du gouvernement du Canada et exécution des programmes et prestation des services ininterrompues

Sécurité de la technologie de l’information

Sécurité matérielle

Filtrage de sécurité du personnel

Sensibilisation à la sécurité

Plan de continuité des activités

Notes du tableau 6

Harmonisation des priorités de la Politique sur la sécurité du gouvernement du Canada

Stratégie de cybersécurité du Canada

Fédération de l’identité

Lexique

Détails de la page