Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Méthodologie 2020 à 2021 du CRG sur la gestion de la sécurité

Sur cette page

Aperçu de la méthodologie

Les Canadiens s’attendent à ce que le gouvernement protège continuellement leurs renseignements personnels et de nature délicate tout en assurant la prestation efficace des services au public. La capacité du gouvernement à assurer la sécurité de ses propres renseignements a une incidence directe sur sa capacité à offrir des programmes et des services de confiance qui contribuent à la santé, à la sécurité et au bien‑être économique des Canadiens. Dans cette optique, la Politique sur la sécurité du gouvernement (PSG) assure une approche holistique intégrée de la gestion de la sécurité.

La méthodologie du Cadre de responsabilisation de gestion (CRG) pour la gestion de la sécurité de 2020‑2021 est conforme aux résultats stratégiques énoncés dans la PSG et elle les appuie et continuera de se concentrer sur : 1) la planification et l’établissement de rapports efficaces en matière de sécurité; 2) un personnel et des partenaires fiables; 3) une préparation et une intervention efficaces face aux évènements; 4) des systèmes et des processus d’information fiables.

De plus, la méthode tient compte des circonstances extraordinaires liées à la COVID-19 en comprenant des indicateurs conçus pour évaluer les mesures temporaires des processus de planification et de présentation de rapports efficaces en matière de sécurité pendant la pandémie, ainsi que la mise en œuvre de pratiques de gestion liées aux contrôles de la sécurité, comme les filtrages de sécurité, la gestion de la continuité des activités, la gestion de l’information et la gestion des évènements de sécurité.

Utilisation des résultats du CRG

Les résultats du cadre de responsabilisation de la gestion (CRG) de 2020 à 2021 fourniront les renseignements suivants aux trois publics cibles indiqués ci-dessous.

Administrateurs généraux

  • Un aperçu intégré de la mesure dans laquelle l’organisation répond aux résultats escomptés sur sa gestion de la sécurité à l’aide d’une approche axée sur le risque
  • Les aspects susceptibles d’être améliorés et les mesures subséquentes susceptibles d’être requises pour assurer la surveillance constante des risques de sécurité pour le gouvernement du Canada
  • Là où il existe des défis pour la mise en œuvre des politiques, les résultats fourniront une occasion de corriger la trajectoire des activités et d’établir les priorités à nouveau, selon le besoin

Communauté de la sécurité

  • L’état actuel des contrôles de sécurité et des pratiques de gestion de la sécurité au ministère
  • Les points de repère et les résultats comparatifs
  • Les pratiques exemplaires pour alimenter et faire avancer les guides, les procédures et les outils ministériels
  • La définition des besoins communs en matière de sécurité pour mener l’action collective afin de renforcer davantage la gestion de la sécurité au gouvernement du Canada (GC)

Secrétariat du Conseil du Trésor du Canada

  • Le degré de conformité des politiques avec la PSG, et le niveau de maturité connexe des organisations
  • Les risques pangouvernementaux et les difficultés systémiques
  • Les pratiques exemplaires pour alimenter et faire avancer les guides, les procédures et les outils du GC
  • Les données de référence sur le rendement du gouvernement visant à orienter la prise de décisions et l’amélioration des politiques

Période d’évaluation

Bien que la période d’évaluation de chaque indicateur puisse varier en fonction de l’information requise, le délai global pour l’évaluation de cette année se situe entre le 1er avril 2019 et le 31 octobre 2020, ce qui permet de présenter les renseignements les plus à jour possible.

De plus, il est à noter que le Secrétariat du Conseil du Trésor du Canada (SCT) pourrait consulter les évaluations et les audits internes ou externes (dont celles du Bureau du vérificateur général du Canada), le processus de gestion du portefeuille des applications ou l’outil Clarity connexe, ainsi que d’autres documents pertinents, pour appuyer l’évaluation et l’établissement de rapports de la gestion de la sécurité du CRG.

Incidence sur les ministères

On trouvera ci-dessous un résumé de l’impact sur les ministères en ce qui concerne le nombre de questions et la présentation de preuves, ce qui illustre une diminution importante globale si on compare à 2019-2020.

Gestion de la sécurité 2019-2020 2020-2021
Nombre total des questions 17 6
Le nombre des questions nécessitant une présentation de preuve 14 5
  • Deux questions fondamentales ont été conservées de l’année 2019-2020 pour fournir une analyse des tendances concernant la planification de la continuité des activités et la sécurité de la technologie de l’information (TI)
  • Il y a aussi quatre nouvelles questions :
    • L’une d’elles permet de faire progresser la planification de la continuité des activités et trois qui permettent d’étudier les répercussions de la COVID-19 sur la sécurité des ministères.  
  • Sur six questions, cinq nécessitent une réponse des ministères, une nécessite une réponse du SCT.

Résultats généraux

La méthodologie permettra de mieux comprendre la planification de la sécurité, le cadre de contrôle de la sécurité et les pratiques de gestion de la sécurité d’un ministère ou d’un organisme qui contribuent à renforcer la position générale du GC en matière de sécurité. Ces renseignements sont très importants pour valider et alimenter les décisions et l’orientation en matière de gestion de la sécurité, observer les tendances et les changements, repérer les points forts et les secteurs qui exigent de l’attention et partager les pratiques exemplaires de gestion de la sécurité.

Questionnaire sur la gestion de la sécurité du CRG 2020-2021

Question 1 Indicateur préservé du CRG 2019-2020

Quel est le pourcentage de services essentiels d’un ministère ou d’un organisme qui ont un plan de continuité des activités (PCA) en vigueur?

Remarque 1 : Pour cette réponse, on reconnaît qu’un service essentiel peut avoir son propre PCA, être inclus par un PCA plus vaste ou être appuyé par plusieurs PCA.

Remarque 2 : Pour cette question, veuillez noter que le SCT évalue seulement les services essentiels, et non les systèmes de TI essentiels à la mission.

Remarque 3 : Afin d’assurer l’uniformité et l’harmonisation des services essentiels du GC, les renseignements sur les services essentiels fournis à titre de preuve pour cette question seront comparés à la Liste des services essentiels du GC (COVID-19) que votre ministère a présentée au SCT au printemps aux fins de la réponse à la COVID-19 du GC ainsi qu’à votre répertoire des services ministériels. Tout écart important ou toute disparité importante fera l’objet d’un suivi auprès du SCT afin d’obtenir des éclaircissements de la part de votre ministère.

Justification

En cas de perturbation, les plans de continuité des activités (PCA) assurent la disponibilité continue des services et des ressources et actifs connexes qui sont essentiels à la santé, à la sûreté, à la sécurité et au bien-être économique des Canadiens ou au fonctionnement efficace du gouvernement. Les interventions permettront de s’informer sur la mesure dans laquelle les organismes répondent au résultat attendu pertinent. Les ministères, les organismes centraux et la haute direction bénéficient d’une vision à l’échelle ministérielle ou du gouvernement, ou une conformité à l’exigence de la PSG qui exige que les services essentiels des ministères fassent l’objet d’un PCA.

Catégorie

  1. Conformité à la politique
  2. Rendement
  3. Autre

Cible (s’il y a lieu)

100 % des services essentiels du ministère ou de l’organisme ont un PCA en vigueur.

Méthode de calcul (s’il y a lieu)

Nombre de services essentiels avec un PCA en vigueur, divisé par le nombre total de services essentiels, multiplié par 100

Source de preuves et limite de documents

Le SCT doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source de données : Outil Clarity et/ou le Portail de la CRG

Date d’extraction des données : Le jour suivant l’échéance de la présentation du CRG

Méthode de collecte des données : Preuves documentaires

Preuves : Champs de planification de la continuité des activités à partir de l’outil Clarity au moyen du module Gestion du portefeuille des services et/ou un document de synthèse décrivant vos services essentiels et indiquant si un PCA est en place pour chacun d'entre eux via le portail du CRG.

Le nombre total de services essentiels dans la portée seront déterminés à l’aide des champs de données et des critères suivants :

Nom de champ : incidence sur le service essentiel = toutes les sélections sauf « service non essentiel »

Les services essentiels avec un PCA en vigueur sont déterminés selon la méthode suivante :

Nom du champ : incidence sur le service essentiel = toutes les sélections sauf « service non essentiel », et Nom de champ : PCA en vigueur = « Oui », et Nom du champ :  PCA en place = « O »

Limite de document : S.O.

Période d’évaluation : de mars 2020 à la date d’extraction

Le ministère ou l’organisme doit répondre

Documents de référence

Renvoi à la politique du Conseil du Trésor ou priorité du gouvernement du Canada

Question 2 Indicateur préservé du CRG 2019-2020

Le ministère ou l’organisme détient-il la capacité de détecter les tentatives par des utilisateurs internes de contourner la gestion de l’accès sur ses systèmes de TI gérés à l’interne?

  • Oui
  • Non

Justification

La posture de sécurité en TI des ministères devrait être soutenue en permanence en surveillant les menaces et les vulnérabilités, en détectant les activités malveillantes et les accès non autorisés et en prenant des mesures préventives et réactives pour réduire les effets au minimum.

L’utilisation généralisée de réseaux privés virtuels (RPV) et d’autres technologies de travail à distance a rendu le gouvernement potentiellement plus vulnérable à des activités malveillantes. De plus, la pandémie de la COVID-19 a fait du travail à distance la « nouvelle normalité ». Dans ce contexte actuel, il devient encore plus impératif que les ministères conservent la capacité de détecter toute activité suspecte au sein de leurs réseaux.

Catégorie

  1. Conformité à la politique
  2. Rendement
  3. Autre

Cible (s’il y a lieu)

80 % ( il s'agit d'un objectif à l'échelle du gouvernement)

Méthode de calcul (s’il y a lieu)

Document de référence : Directive sur la gestion de la sécurité, annexe B : Procédures obligatoires relatives ax mesures de sécurité de la technologie de l’information

Source de preuves et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source de données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuves : les ministères sont tenus de présenter à titre de preuve au moins un des éléments suivants :

  1. Des documents qui démontrent qu’un programme de sécurité de la TI est en vigueur et que des contrôles sont définis et surveillés pour détecter l’accès non autorisé aux systèmes; et/ou
  2. Enregistrement des journaux du système de la TI qui affiche des renseignements sur l’accès, accompagné d’éléments de preuve de la surveillance (par exemple, des procédures précisant quels sont les responsables de la sécurité qui examineront l’activité du système, à quelle fréquence et quel type d’incident déclenchera une enquête, des journaux d’audit indiquant des tentatives d’accès suspectes (qui ont été désactivées)).

Limite de document : 3 documents

Période d’évaluation : du 1er mars au 31 octobre 2020

Documents de référence

Renvoi à la politique du Conseil du Trésor ou priorité du gouvernement du Canada

Question 3 Nouvel Indicateur pour le CRG 2020-2021

Quel est le pourcentage des services essentiels du ministère ou de l’organisme qui ont une analyse de répercussions sur les activités (ARA) à jour?

Remarque 1 : Afin d’assurer l’uniformité et l’harmonisation des services essentiels du GC, les renseignements sur les services essentiels fournis à titre de preuve pour cette question seront comparés à la Liste des services essentiels du GC (COVID-19) que votre ministère a présenté au SCT au printemps aux fins de la réponse à la COVID-19 du GC ainsi qu’à votre répertoire des services ministériels. Tout écart important ou toute disparité importante fera l’objet d’un suivi auprès du SCT afin d’obtenir des éclaircissements de la part de votre ministère.

Justification

On s’attend à ce que les organisations définissent les exigences de la gestion de la continuité des activités pour tous leurs services et activités appuyant la disponibilité continue des services et de actifs connexes qui sont essentiels à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens ou au bon fonctionnement du gouvernement.

Dans le cadre de la réponse à la COVID-19, on s’attendait à ce que les organisations identifient les services essentiels ministériels et en fournissent la liste au SCT. Les services essentiels sont identifiés à la suite de la réalisation d’une ARA (telle qu’elle est décrite dans la PSG). Une ARA permet également aux ministères et organismes de déterminer leur environnement de risque, ce qui permet de déterminer les services essentiels du ministère et les stratégies de continuité connexes.

En raison de la COVID-19, l’environnement de risque a été considérablement modifié et une liste actualisée des services essentiels aidera à faciliter et à éclairer la prise de décisions et l’affectation des ressources pour la gestion des évènements importants qui ont une incidence sur la prestation de services essentiels aux Canadiens. Les réponses permettront d’évaluer dans quelle mesure les organismes ont récemment terminé une ARA, conformément à la politique ou à la directive opérationnelle de leur ministère ou organisme en matière de gestion de la continuité des activités (GCA), et d’établir une liste à jour de leurs services essentiels ministériels afin de tenir compte de l’évolution de l’environnement de risque.

Le SCT évaluera les services essentiels qui sont des services intégrés externes et internes, et dont la perturbation entraînerait un degré élevé ou très élevé de préjudice à 1. la santé, 2. la sûreté, 3. la sécurité, 4. le bien-être économique des Canadiens ou 5. au bon fonctionnement du gouvernement du Canada. Les fonctions d’habilitation des activités de l’entreprise ne relèvent pas de la définition d’un service essentiel et ne seront donc pas prises en compte. Notre point de référence pour déterminer si l’ARA est à jour est l’attente et l’exigence énoncées dans la politique ou la directive du ministère sur la gestion de la continuité des activités.  

Catégorie

  1. Conformité à la politique
  2. Rendement
  3. Autre

Cible (s’il y a lieu)

100 % ( il s'agit d'un objectif à l'échelle du gouvernement)

Méthode de calcul (s’il y a lieu)

% des services essentiels des ministères ayant une analyse d'impact sur les entreprises actualisée = (nombre de services essentiels du ministère avec une ARA mise à jour / nombre total de services essentiels) x 100

Source de preuves et limite de documents

Le SCT doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source de données : S.O.

Date d’extraction des données : la journée suivant la date limite de la présentation du CRG

Méthode de collecte des données : Preuves documentaires

Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Preuves : Les ministères et agences devront fournir des rapports sommaires décrivant les services essentiels, la preuve du calendrier de renouvellement de PCA∕ARA comme indiqué dans les exigences ministérielles (par exemple, les procédures opérationnelles standard, la politique/directive de GCA) et la date à laquelle une ARA a été effectuée pour la dernière fois pour chaque service essentiel.

Source de données du SCT : domaines de la Planification de la continuité des activités de l’outil Clarity (notamment, l’exercice COVID-19), à l’aide du module de Gestion du portefeuille des services.

Limite de document : jusqu’à 4 documents

Période d’évaluation : de mars 2020 à la date d’extraction

Documents de référence

Renvoi à la politique du Conseil du Trésor ou priorité du gouvernement du Canada

Question 4 Nouvel Indicateur pour le CRG 2020-2021

Le ministère ou l’organisme a-t-il utilisé la variante temporaire de la norme sur le filtrage de sécurité offerte aux organismes fédéraux pour offrir une marge de manœuvre en matière d’embauche pendant la pandémie de la COVID-19?

  • Oui
  • Non

Si la réponse est oui, quel est le pourcentage de dossiers de filtrage de sécurité identifiés par le ministère ou l’organisme pour un examen plus approfondi qui sont maintenant considérés comme complets (après avoir mené toutes les activités de filtrage de sécurité requises)?

Justification

Dans le contexte de la COVID-19, et compte tenu des directives des organismes de santé publique du Canada concernant la distanciation physique, il n’a pas été possible pour un certain nombre de ministères et d’organismes de mener à bien tous les processus de filtrage de sécurité lorsqu’ils embauchaient de nouveaux employés au printemps et à l’été 2020. En mai 2020, le président du Conseil du Trésor a approuvé une modification temporaire à la Norme sur le filtrage de sécurité afin de donner aux ministères la souplesse nécessaire pour accorder des niveaux « conditionnels » de filtrage de sécurité en raison de la distanciation physique. Les réponses aideront à informer le SCT de la mesure dans laquelle les ministères et les organismes ont dû utiliser la variation temporaire pour le filtrage de sécurité et des répercussions possibles après la pandémie.

Catégorie

  1. Conformité à la politique
  2. Rendement
  3. Autre

Cible (s’il y a lieu)

S.O.

Méthode de calcul (s’il y a lieu)

S.O.

Source de preuves et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source de données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuves : le gabarit de rapport sur l’utilisation de la modification à la Norme sur le filtrage de sécurité élaboré par le SCT que les ministères et organismes doivent remplir

Limite de document : 1 document (le gabarit rempli pour la présentation de rapports sur l’utilisation de la variante à la Norme sur le filtrage de sécurité)

Période d’évaluation : du 1er mars au 31 août 2020

Documents de référence

Renvoi à la politique du Conseil du Trésor ou priorité du gouvernement du Canada

S.O.

Question 5 Nouvel Indicateur pour le CRG 2020-2021

Laquelle des mesures suivantes votre ministère ou organisme a-t-il mis en œuvre ou fourni à ses employés travaillant à distance pour assurer le respect des exigences de la politique de sécurité tout au long du cycle de vie de la gestion de l’information?

(Cochez toutes les options qui s’appliquent)

  1. Conseils aux employés sur la façon de signaler les incidents et les évènements liés à la sécurité
  2. Conseils aux employés sur la gestion et la classification appropriées de l’information
  3. Surveillance continue des contrôles de gestion de l’information et des évènements de sécurité afin d’assurer une application cohérente
  4. Autre (Veuillez préciser)
  5. Aucune de ces réponses

Justification

Dans le contexte de la COVID-19, le travail à distance est devenu la « nouvelle normalité », ce qui a eu des répercussions sur les exigences, les pratiques et les contrôles en matière de sécurité, de gestion de l’information et a renforcé l’importance de la surveillance continue et de la communication de rapports sur les évènements et incidents en matière de sécurité.

Le SCT évaluera la mesure dans laquelle les ministères ont pris des mesures dans le contexte de la COVID-19 pour s’assurer que les exigences, les pratiques et les contrôles en matière de sécurité de la gestion de l’information ont été définis, documentés, mis en œuvre, évalués, suivis et maintenus à toutes les étapes du cycle de vie de l’information avant de fournir une assurance raisonnable que l’information a été protégée de manière adéquate, conformément aux obligations légales et autres, et en équilibrant le risque des dommages et de menaces avec le coût de l’application des garanties.  

Le SCT évaluera également si les ministères ont pris des mesures dans le contexte de la COVID-19 pour s’assurer que les pratiques de gestion des évènements de sécurité ont été définies, documentées, mises en œuvre et maintenues afin de surveiller les menaces, les vulnérabilités, les incidents de sécurité et d’autres évènements de sécurité, et d’établir un rapport à ce sujet, et s’assurer que ces activités ont été efficacement coordonnées au sein du ministère, avec les partenaires et à l’échelle du gouvernement, pour gérer les répercussions potentielles, appuyer la prise de décision et permettre la prise de mesures correctives.

Catégorie

  1. Conformité à la politique
  2. Rendement
  3. Autre

Cible (s’il y a lieu)

S.O.

Méthode de calcul (s’il y a lieu)

S.O.

Source de preuves et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source de données : Documents de communication tels que courriels, sites Web, entre autres

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires (au moyen du portail CRG)

Preuves : veuillez préparer un document sommaire en décrivant les activités entreprises par votre organisation du 16 mars 2020 au 31 octobre 2020, qui s’harmonise avec chacune des options indiquées ci-dessus. Par exemple, veuillez indiquer toute communication à l’intention des employés venant du dirigeant principal de la sécurité (DPS), ou d’un haut fonctionnaire responsable, visant à leur rappeler les procédures à suivre pour assurer la sécurité de la gestion de l’information ou à les partager, notamment celles qui ont trait à la classification et au traitement appropriés de l’information, ainsi que celles qui permettent de signaler un évènement ou un incident de sécurité alors qu’ils travaillent encore à distance pendant la pandémie. Si vous avez de nombreuses activités à signaler, vous pouvez envisager d’utiliser un format de tableau.

Limite de document : 3 documents

Période d’évaluation : du 16 mars 2020 au 31 octobre 2020

Documents de référence

Renvoi à la politique du Conseil du Trésor ou priorité du gouvernement du Canada

Question 6 Nouvel Indicateur pour le CRG 2020-2021

Le ministère ou l’organisme a-t-il rendu compte à l’administrateur général ou au comité de la haute direction sur l’efficacité du Plan de sécurité ministériel (PSM) en tenant compte de l’évolution actuelle des risques pour la sécurité et des priorités connexes découlant des répercussions de la pandémie de la COVID-19 ?

  • Oui
  • Non

Justification

Les rapports annuels sur les progrès de la mise en œuvre et l’efficacité du PSN appuient l’organisation et l’administrateur général dans la réponse aux défis en matière de mise en œuvre et fournissent l’occasion de corriger la trajectoire des activités et d’établir un nouvel ordre de priorité, selon le besoin. La pandémie de la COVID-19 a également permis aux administrateurs généraux de réévaluer l’efficacité de leurs PSM présentement mis en place à la lumière de l’environnement actuel.

Catégorie

  1. Conformité à la politique
  2. Rendement
  3. Autre

Cible (s’il y a lieu)

100 % (il s'agit d'un objectif à l'échelle du gouvernement)

Méthode de calcul (s’il y a lieu)

S.O.

Source de preuves et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source de données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuves : un rapport d’étape du PSM qui couvre tous les domaines des activités de sécurité ministérielle pour l’exercice financier 2019-2020, ainsi que l’efficacité générale du plan, accompagné d’une preuve que ce rapport a été présenté à l’administrateur général.

Limite de document : 3 documents

Période d’évaluation : du 1er avril 2019 au 31 octobre 2020

Documents de référence

Renvoi à la politique du Conseil du Trésor ou priorité du gouvernement du Canada

Glossaire

Enquête administrative :
processus visant à effectuer un examen impartial d’un incident et autre évènement majeur relatif à la sécurité de manière à garantir les droits des personnes et la protection des preuves et à ne pas entraver d’éventuelles procédures civiles ou criminelles.
Privilèges administratifs :
le plus haut degré de droits conférés à l’utilisateur d’un ordinateur ou d’un réseau.
Gestion du portefeuille des applications :
la gestion du portefeuille d’applications est un cadre pour la gestion des applications logicielles de la technologie de l’information (TI) et les services de logiciels de l’organisation.
Dirigeant principal de la sécurité :
le responsable principal de la sécurité, désigné par l’administrateur général conformément à la Politique sur la sécurité du gouvernement pour assurer le leadership, la coordination et la surveillance des activités ministérielles de gestion de la sécurité.
Outil en ligne Clarity :
l’outil CA Clarity est le système central actuel du SCT utilisé pour la collecte de données sur les services essentiels de la Politique sur la sécurité du gouvernement (PSG 2019), par l’entremise du module Services. L’outil Clarity soutient également les modules de Gestion du portefeuille des applications (GPA) et le Plan de TI.
Contrat :
entente entre une autorité contractuelle et un particulier ou une entreprise pour fournir une marchandise, exécuter un service, construire un ouvrage ou louer des biens immobiliers moyennant une contrepartie.
Entrepreneur :
un particulier qui ne serait pas visé par le paragraphe 2(1) de la Loi sur les relations de travail dans le secteur public fédéral
Service essentiel :
service dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au bon fonctionnement du gouvernement.
Système essentiel :
système de la technologie de l’information ou une application informatique indispensable à la prestation d’un service essentiel et pour lequel il n’existe pas d’autre mode de prestation; les systèmes et les applications qui causeraient le plus de tort aux fonctionnaires des ministères ou des organismes s’ils devenaient indisponibles.
Administrateur général :
Les administrateurs généraux sont responsables de la gouvernance de la sécurité interne et de la gestion de la sécurité et sont tenus d’établir les priorités ministérielles en matière de sécurité au moyen de plans de sécurité ministériels. Par ailleurs, ils sont responsables de l’application de mesures normalisées en matière de sécurité à l’intérieur de leurs ministères respectifs, mesures qui sont proportionnelles aux risques auxquels sont exposés les renseignements, les gens et les actifs aux ministères, ainsi que leur environnement opérationnel respectif.
Installation :
un aménagement physique qui sert à une fin précise. Une installation peut faire partie d’un bâtiment, représenter un édifice en entier, ou un édifice et son site. Il peut également s’agir d’une construction qui n’est pas un bâtiment. Le terme désigne non seulement l’objet lui-même, mais aussi son usage (par exemple, champs de tir, terres agricoles). (Norme opérationnelle sur la sécurité matérielle, annexe A)
Un bâtiment aux exigences de sécurité plus élevées
est défini par l’analyse de l’environnement effectuée par le ministère ou l’organisme (les facteurs internes ou externes, les incidences possibles d’une compromission, les menaces définies et l’efficacité des contrôles de sécurité actuels) et la tolérance au risque.
Organe de gouvernance :
un groupe de fonctionnaires qui définissent les règles régissant les actions et le comportement d’une organisation et qui veillent à ce que ces règles soient suivies.
Personne :
il s’agit d’une personne employée à titre d’employé nommé pour une période indéterminée, à temps partiel, pour une période déterminée ou saisonnière, d’employé occasionnel, d’étudiant ou de travailleur à temps partiel dans des organismes définis au paragraphe 2(1) de la Loi sur les relations de travail dans le secteur public fédéral.
Service interne intégré :
Service offert par un ministère du gouvernement du Canada à d’autres ministères du gouvernement du Canada à des fins d’utilisation pangouvernementales.
Organisation de services internes intégrés :
Ministère ou organisation qui offrent des services internes intégrés à d’autres ministères du gouvernement du Canada. Cela comprend les principaux organismes chargés de la sécurité qui fournissent des services de sécurité à l’échelle du gouvernement.
Système géré à l’interne :
un système d’information qui est géré par le personnel de la TI du ministère (ou de l’organisme) et n’est pas un système qui est géré de façon centralisée par Services partagés Canada ou une autre organisation du gouvernement.
Voyages internationaux :
Le terme s’applique à tous les voyages où les personnes qui arrivent au Canada sont dédouanées aux points d’entrée de l’Agence des services frontaliers du Canada.
Utilisateur interne :
Personne qui a un accès direct au système d’information d’un ministère (ou d’un organisme), soit physiquement, soit à distance (par exemple, par un RPV).
Organisme de sécurité principal :
Fournit aux ministères des conseils, des directives et des services liés à la sécurité du gouvernement, selon les responsabilités qui leur sont confiées, nomme un cadre supérieur pour coordonner et superviser la prestation de services de soutien aux ministères et s’assure que les services de soutien à la sécurité fournis aux ministères les aident à atteindre et à maintenir un niveau acceptable de sécurité et de disponibilité opérationnelle.
Évaluation de la sécurité :
Processus permettant de déceler et de caractériser les menaces, les vulnérabilités et les risques en matière de sécurité afin d’appuyer la définition des exigences de sécurité et la détermination de mesures de sécurité visant à réduire à un niveau acceptable les risques à la sécurité.
Séance d’information sur la sécurité :
Dans le cadre d’une séance d’information sur la sécurité, les particuliers sont informés de leurs responsabilités en la matière en vertu de la Politique sur la sécurité du gouvernement et des autorisations d’accès dont est assorti leur niveau de sécurité. Les séances d’information sur la sécurité fournissent aux personnes l’occasion de poser des questions et de mieux comprendre ces responsabilités. La séance d’information sur la sécurité officialise l’octroi de la cote ou de l’autorisation de sécurité, ainsi que l’acceptation par le particulier de ses responsabilités en matière de sécurité et son engagement à s’y conformer. Les séances d’information sur la sécurité sont tenues à divers moments : avant qu’une personne n’entre en fonction, lorsque c’est nécessaire selon le cycle des mises à jour et lorsqu’un changement survient au niveau de la cote de sécurité.
Mesure de sécurité :
Mesure juridique, administrative, opérationnelle ou technique visant à satisfaire aux exigences en matière de sécurité.  Ce terme est synonyme de « mesure de protection ».
Évènement de sécurité :
Un évènement, un acte, une omission ou une situation pouvant nuire à la sécurité du gouvernement, notamment les menaces, les vulnérabilités et les incidents de sécurité.
Incident de sécurité :
Tout évènement (ou série d’évènements), tout acte, toute omission ou toute situation qui a entraîné une compromission.
Fonctionnaire responsable de la sécurité :
Personne désignée par l’administrateur général dans la gouvernance de la sécurité du ministère comme ayant la responsabilité globale de la sécurité d’un programme, d’un service ou d’une activité pour exercer une fonction de sécurité.
Haut fonctionnaire :
Aux fins de la Politique sur la sécurité du gouvernement, les particuliers désignés par l’administrateur général dans la gouvernance de la sécurité ministérielle comme ayant la responsabilité globale pour les aspects de sécurité d’un programme, d’un service ou d’un secteur d’activités ou pour une fonction de sécurité. Les hauts fonctionnaires peuvent inclure les responsables de programmes, le dirigeant principal des finances, le dirigeant principal de la vérification, le dirigeant principal de l’information, le dirigeant principal de la protection des renseignements personnels et les divers fonctionnaires désignés en vertu d’une obligation légale, d’une politique du Conseil du Trésor ou de toute autre exigence. Les hauts fonctionnaires comprennent également les particuliers ayant été désignés par les administrateurs généraux des organisations de services internes intégrés afin de superviser leurs activités en matière de services internes intégrés en vertu de la Politique sur la sécurité du gouvernement.
Gestion systématique des correctifs :
une composante de la gestion du changement qui comprend l’acquisition, la mise à l’essai et l’installation de correctifs pour les logiciels sur un système de la TI administré.
Évaluation à jour :
considéré comme dans les délais ministériels, comme établi dans la politique ou la procédure, aux fins de renouvellement des évaluations des risques liés à la sécurité ou dans les trois (3) ans en l’absence d’un délai ministériel établi.

Acronymes

GPA
Système de gestion du portefeuille des applications
GCA
Gestion de la continuité des activités
PCA
Plan de continuité des activités
DPS
Dirigeant principal de la sécurité
PSM
Plan de sécurité ministériel
GC
Gouvernement du Canada
HTTPS
Protocole de transfert hypertexte sécurisé
GI
Gestion de l’information
TI
Technologie de l’information
AMPTI
Avis de mise en œuvre de la Politique sur la technologie de l’information
OSII
Organisme de services internes intégrés
PORS
Principal organisme responsable de la sécurité
CRG
Cadre de responsabilisation de gestion
PSG
Politique sur la sécurité du gouvernement
PEIMM
Protocole d’échange d’information sur les incidents marquants
AMOPS
Avis de mise en œuvre de la Politique sur la sécurité
LVERS
Liste de vérification des exigences relatives à la sécurité
SCT
Secrétariat du Conseil du Trésor du Canada

Détails de la page

Signaler un problème sur cette page
Date de modification :