Méthodologie 2021 à 2022 du CRG sur la gestion de la sécurité

Sur cette page

Aperçu de la méthodologie

Le gouvernement du Canada (GC) doit donner l’assurance aux Canadiens et aux Canadiennes, aux partenaires, aux organismes de surveillance et aux autres intervenants en ce qui a trait à la gestion de la sécurité du gouvernement et, en particulier, respecter les attentes permanentes des Canadiens et des Canadiennes à l’égard de la protection des renseignements personnels et de nature délicate du gouvernement, tout en fournissant des services de confiance au public. La capacité du gouvernement à assurer la position sécurité de ses renseignements a une incidence directe sur son pouvoir de continuer d’offrir des programmes et des services de confiance qui contribuent à la santé, à la sécurité et au bien-être économique des Canadiens et des Canadiennes. Dans ce contexte, la Politique sur la sécurité du gouvernement (PSG) est le cadre stratégique clé utilisé par le Secrétariat du Conseil du Trésor du Canada (SCT) pour assurer l’adoption une approche intégrée et holistique en matière de gestion de la sécurité qui soit mature pour le GC.

La méthodologie du Cadre de responsabilisation de gestion (CRG) pour la gestion du secteur de la sécurité de 2021-2022 est conforme aux résultats stratégiques énoncés dans la PSG et elle les appuie et continuera de se concentrer sur : 1) la planification et l’établissement de rapports efficace en matière de sécurité; 2) un personnel et des partenaires fiables; 3) une préparation et une intervention efficaces face aux événements; 4) des systèmes et des processus d’information fiables.

En outre, la méthodologie tient compte des circonstances extraordinaires liées à la COVID-19 et le travail à distance tout en équilibrant les exigences établies en vertu de la nouvelle Politique sur la sécurité du gouvernement (PSG). Le CRG est le principal outil de collecte de données disponible à la composante de gestion (CG) de la sécurité pour veiller à ce que les ministères et organismes fédéraux atteignent un stade avancé de la gestion de la sécurité. Il s’assure également que les attentes liées à la mise en œuvre des politiques et pratiques de gestion connexes du Conseil du Trésor en matière de mesures de sécurité sont respectées, y compris les plans ministériels de sécurité, les mesures de sécurité, la sécurité dans les contrats et d’autres arrangements, la formation et la sensibilisation à la sécurité, la gestion de l’information, la technologie de l’information, la sécurité physique et la gestion des événements de sécurité.

Utilisation des résultats du CRG

Les trois principaux groupes cibles énumérés ci-dessous utiliseront les résultats du CRG de 2020-2021 aux fins suivantes :

Administrateurs généraux

  • Une vue intégrée de la mesure dans laquelle l’organisation obtient les résultats escomptés au chapitre de la gestion de la sécurité.
  • Les aspects pouvant être potentiellement améliorés et les mesures adaptées pouvant être requises pour assurer la surveillance des risques de sécurité pour le ministère et possiblement le GC sont continuellement surveillés.
  • Là où il existe des défis pour la mise en œuvre des politiques, une occasion de corriger la trajectoire des activités et d’établir les priorités à nouveau, selon le besoin.

La collectivité des dirigeants principaux de la sécurité (DPS)

  • L’état actuel des mesures de sécurité et de la gestion de la sécurité au ministère.
  • Des analyses et résultats comparatifs.
  • Les pratiques exemplaires pour alimenter et faire avancer les guides, procédures et outils ministériels.
  • la détermination des besoins communs en matière de sécurité pour orienter l’action collective et renforcer la composante de gestion de la sécurité ministérielle et, par extension, du GC.

Secrétariat du Conseil du Trésor du Canada

  • Le degré de conformité des politiques avec la PSG, et le niveau de maturité connexe des organisations.
  • Les risques à l’échelle du gouvernement et problèmes systémiques possibles.
  • Les pratiques exemplaires pour alimenter et faire avancer les guides, procédures et outils ministériels.
  • Les données de base sur le rendement à l’échelle du gouvernement et l’analyse des tendances pour éclairer la prise de décisions et l’élaboration et l’amélioration des politiques et des outils à venir.

Période d’évaluation

Bien que la période d’évaluation de chaque indicateur puisse varier en fonction de l’information requise, le délai global pour l’évaluation de cette année se situe entre le 1er novembre 2020 et le 31 octobre 2021, permettant de présenter les renseignements les plus à jour possibles.

De plus, il est à noter que le SCT pourrait consulter les évaluations et les audits internes ou externes (dont celles du Bureau du vérificateur général du Canada), le processus de gestion du portefeuille des applications ou l’outil Clarity connexe, ainsi que d’autres documents pertinents, pour appuyer l’évaluation et l’établissement de rapports de la gestion du secteur de la sécurité du CRG.

Incidences sur les ministères

Gestion de la sécurité 2020-2021 2021-2022
Nombre total de questions 6 (En raison de la COVID 19) 13
Nombre total de questions nécessitant la présentation de preuves 5 12
  • Trois questions demeurent du CRG 2020-2021 (Q1, Q5, Q9).
  • L’indicateur du plan de continuité des activités (PCA) a été conservé et représente le seul indicateur de l’évaluation de la sûreté et de la sûreté pour lequel le SCT interviendra dans le cadre de l’évaluation.
  • Le ministère doit répondre à toutes les questions.

Résultats généraux

La méthodologie permettra de mieux comprendre la maturité de la planification de la sécurité, le cadre des mesures de sécurité et les pratiques de gestion de la sécurité d’un ministère ou d’un organisme qui contribuent à renforcer la position générale du GC en matière de sécurité. Ces renseignements sont très importants pour valider et alimenter les décisions et l’orientation en matière de gestion de la sécurité, observer les tendances et les changements, repérer les points forts et les secteurs qui exigent de l’attention et partager les pratiques exemplaires en matière de gestion de la sécurité.

Questionnaire de CG du CRG pour 2020-2021

Question 1 conservée-modifiée (Q6 en 2020-2021)

Le ministère ou l’organisme a-t-il rendu compte à l’administrateur général ou à son comité de la haute direction sur l’efficacité du plan de sécurité ministériel (PSM) existant?

Remarque : Dans ce contexte, il est prévu que le comité de la haute direction soit un qui est présidé au niveau des administrateurs généraux.

  • Oui
  • Non

Justification

Les rapports annuels sur le progrès réalisé dans l’atteinte des priorités définies dans le plan de sécurité ministériel appuient l’organisation et l’administrateur général à répondre aux défis en matière de mise en œuvre, et fournissent l’occasion de corriger la trajectoire des activités et d’établir les priorités à nouveau, selon le besoin.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

S.O.

Méthode de calcul (le cas échéant)

S.O.

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Rapport d’étape du PSM, documents d’information ou compte rendu des décisions du Comité de la haute direction couvrant tous les secteurs des activités de sécurité du Ministère pour l’exercice financier de 2020-2021, ainsi que l’efficacité globale du plan, avec la preuve que le rapport d’étape a été présenté à l’administrateur général.

Limite de document : 2

Période d’évaluation : Le 1er novembre 2020 – le 31 octobre 2021

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Oui

Analyse d’une année à l’autre

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Oui

Cadre ministériel des résultats (CMR)

Cet indicateur est-il utilisé dans le CMR du SCT?

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 2 nouveau

Le ministère ou l’organisme a-t-il élaboré/mis en œuvre un plan de sécurité ministériel (PSM) mis à jour qui reflète et contribue aux priorités de sécurité à l’échelle du gouvernement, utilisant le nouveau modèle de PSM, et qui traite des mesures de sécurité définies dans la Politique sur la sécurité du gouvernement (PSG) de 2019?

  • Oui
  • Non

Justification

Le nouveau modèle de PSM a été élaboré et publié en avril 2021 pour s’harmoniser avec la nouvelle PSG, ses huit mesures de sécurité et les procédures obligatoires respectives. La contrepartie transitoire exprimée dans la version révisée de la PSG relative au paragraphe 1.3.1 expirera pour les autres organisations applicables le 30 juin 2022. Le PSM demeure une ressource stratégique et opérationnelle clé pour aider les organisations à déterminer les priorités, les risques, les stratégies d’atténuation et les mesures de rendement clés en matière de sécurité qui correspondent à leur mandat et à leur contexte particuliers. En même temps, l’approche normalisée du nouveau modèle fournira au SCT des renseignements comparables, à l’échelle du GC et opérationnels, par rapport aux huit mesures de sécurité établies dans la PSG. De plus, un PSM fournit les détails sur les décisions en matière de gestion des risques de sécurité de manière intégrée, améliorant la sécurité ministérielle et appuyant sa mise en œuvre. La mesure dans laquelle les activités sont harmonisées avec la politique appuie son efficacité, la probabilité qu’un ministère ou un organisme atteigne ses objectifs et contribue aux objectifs généraux de la politique de gestion de la sécurité du gouvernement à l’appui de la prestation de confiance des programmes et des services du gouvernement du Canada, de la protection de l’information, des particuliers et des biens, et assure aux Canadiens et aux Canadiennes, aux partenaires, aux organismes de surveillance et aux autres intervenants la gestion de la sécurité au GC.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

S.O.

Méthode de calcul (le cas échéant)

S.O.

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : L’administrateur général actuel approuve le Plan ministériel de sécurité

Limite de document : 1

Période d’évaluation : Le 1er novembre 2020 – le 31 octobre 2021

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Oui

Analyse d’une année à l’autre

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Oui

Cadre ministériel des résultats (CMR)

Cet indicateur est-il utilisé dans le CMR du SCT?

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 3 nouveau

Votre ministère ou organisme inclut-il le cours en ligne de sensibilisation à la sécurité A230 de l’École de la fonction publique du Canada (ÉFPC) comme exigence obligatoire des activités ou du programme de sensibilisation à la sécurité de l’organisation? Ou votre organisation a-t-elle une solution de rechange ministérielle approuvée en place?

  • Oui
  • Non

Justification

En tant qu’employeur, l’un des objectifs du gouvernement du Canada est de veiller à ce que tous les employés reçoivent une information de base commune sur la sensibilisation à la sécurité, initialement et de façon continue. Ces connaissances fondamentales sont importantes dans un milieu de travail où la mobilité des employés est élevée. Dans le cadre de l’obligation pour la majorité des employés de travailler à distance en raison des exigences de santé publique liées à la pandémie de la COVID-19 depuis la mi-mars 2020, l’importance de veiller à ce que les employés soient conscients de leurs responsabilités en matière de sécurité, que ce soit dans leur lieu de travail désigné ou à partir d’un autre endroit, demeure essentielle pour assurer la protection de l’information et des biens du gouvernement du Canada (GC) pour la prestation fiable et sécuritaire des services aux Canadiens et aux Canadiennes. Veiller à ce que les employés comprennent leurs responsabilités concernant leur niveau de cote de sécurité respectif, aider à minimiser les risques inhérents à l’utilisation de renseignements sensibles en dehors du lieu de travail désigné. De plus, le GC est déterminé à optimiser les investissements, comme l’apprentissage de base et les services relatifs fournis par les fournisseurs de services communs.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

S.O.

Méthode de calcul (le cas échéant)

S.O.

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Les organisations devront fournir deux des trois éléments de preuve requis pour obtenir un laissez-passer (Remarque : L’approbation appropriée de la haute direction doit être fournie dans au moins un élément de preuve présenté au SCT) :

  • copie du programme de sensibilisation à la sécurité de base de l’organisation (Exposé, manuel, présentation) qui comprend A230 comme exigence obligatoire;
  • politique opérationnelle ou document de procédure qui inclut l’A230 comme exigence obligatoire de formation;
  • note d’information approuvée par le Comité exécutif/administrateurs généraux établissant le cours A230 comme obligatoire ou identifiant la solution de rechange approuvée par le Ministère.

Limite de document : 3

Période d’évaluation : Le 1er novembre 2020 – le 31 octobre 2021

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Non

Analyse d’une année à l’autre

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Oui

Cadre ministériel des résultats (CMR)

Cet indicateur est-il utilisé dans le CMR du SCT?

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 4 nouveau

Le ministère ou l’organisme a-t-il établi un processus à l’échelle du ministère surveiller et assurer une réponse coordonnée aux menaces, aux vulnérabilités, aux incidents de sécurité et à d’autres événements relatifs à la sécurité propres aux ministères, ainsi que leur signalement?

  • Oui
  • Non

Justification

Les ministères ou organismes doivent définir, documenter et tenir à jour les pratiques ministérielles de gestion des événements de sécurité. Les DPS sont responsables de surveiller l’établissement de processus à l’échelle du Ministère pour évaluer et documenter les mesures prises au sujet des risques résiduels liés à la gestion des événements de sécurité pour les programmes et les services du Ministère et les ressources à l’appui. Les processus doivent comprendre la détermination des mesures à prendre pour remédier aux lacunes.

Les ministères et organismes sont tenus d’informer le SCT de tous les incidents de sécurité et autres événements importants en matière de sécurité et doivent faire rapport par courriel sur une base cyclique ou sur demande, aux fins de la surveillance des politiques à l’échelle du gouvernement.

Les ministères et organismes doivent également signaler toute violation importante de la vie privée au Commissariat à la protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor du Canada.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

S.O.

Méthode de calcul (le cas échéant)

S.O.

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Plan opérationnel ou document de processus décrivant le processus à l’échelle du Ministère.

Limite de document : 3

Période d’évaluation : Le 1er novembre 2020 – le 31 octobre 2021

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Oui

Analyse d’une année à l’autre

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Oui

Cadre ministériel des résultats (CMR)

Cet indicateur est-il utilisé dans le CMR du SCT?

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 5 conservée (Q3 en 2020-2021)

Quel est le pourcentage des services externes du ministère ou de l’organisme et des services internes opérationnels qui ont une analyse de incidences sur les activités (AIA) sur les activités à jour?

Justification

On s’attend à ce que les organisations définissent les exigences de la gestion de la continuité des activités (GCA) pour tous leurs services et activités connexes appuyant la disponibilité continue des services et de actifs connexes qui sont essentiels à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens et des Canadiennes ou au bon fonctionnement du gouvernement. Une AIA définit ces exigences ministérielles en matière de GCA et on s’attend à ce qu’une AIA soit menée sur tous les services internes et externes du Ministère.

Les services critiques sont identifiés après l’achèvement d’une AIA (comme indiqué dans la PGS). Une AIA permet également aux ministères et organismes de déterminer leur environnement de risque, ce qui permet de déterminer les services critiques du ministère et les stratégies de continuité connexes.

Dans le cadre du Répertoire de services du GC, les organisations doivent identifier les services critiques ministériels dans leur Répertoire de services ministériels, après avoir effectué des AIA sur chacun de leurs services internes et externes ministériels pour déterminer la situation.

En raison de la COVID-19, l’environnement de risque a été modifié et une liste permanente des services critiques aidera à faciliter et à éclairer la prise de décisions et l’affectation des ressources pour la gestion des événements importants qui ont une incidence sur la prestation de services critiques aux Canadiens et aux Canadiennes, maintenant et dans l’avenir. Les réponses permettront d’évaluer dans quelle mesure les organisations ont récemment terminé la tenue d’une analyse des incidences sur les activités (AIA), conformément à la politique ou à la directive opérationnelle de leur ministère ou organisme en matière de gestion de la continuité des activités (GCA), et ont déterminé une liste à jour de leurs services critiques ministériels afin de tenir compte de l’évolution de l’environnement de risque.

Le point de référence pour déterminer si l’AIA est à jour est de savoir si elle a été mise à jour dans les trois ans suivant la date d’extraction du CRG, ou si elle est décrite autrement dans la politique ou directive du ministère sur la GCA. Veuillez noter qu’il est recommandé d’examiner et de mettre à jour toutes les AIA ministérielles à la lumière du contexte pandémique de la COVID-19.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

100 %

Méthode de calcul (le cas échéant)

(Nombre totale des services ministériels internes opérationnels et des services externes avec mise à jour de l’AIA/le nombre total de services internes opérationnels et de services externes) x 100

Source de preuve et limite de documents

Le SCT doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : Répertoire de services GC ou Portail du CRG

Date d’extraction des données : Journée qui suit la date d’échéance de la soumission du CRG.

Méthode de collecte des données : Preuves documentaires

Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Preuve : Modèle Excel extrait du Répertoire de services avec les champs de services critiques inclus. L’appel du Répertoire de services aux administrateurs généraux comprend des instructions sur la façon de présenter les renseignements sur les services critiques au SCT après la date limite de présentation. Si les services critiques du Ministère ne sont pas indiqués dans le Répertoire de services, veuillez fournir des éléments de preuve par l’intermédiaire du Portail du CRG qui comprend une liste des services internes opérationnels et externes du Ministère et la date à laquelle une AIA associée à chaque service a été mise à jour. Si la politique ou la directive ministérielle sur la GCA énonce un cycle d’examen de l’AIA de plus de trois ans, veuillez inclure la référence ministérielle comme preuve pour justifier que l’AIA est à jour selon son cycle établi.

Limite de document : Jusqu’à trois documents

Période d’évaluation : Mars 2021 – Date limite pour le Répertoire de services (le 15 novembre 2021)

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

Oui

Analyse d’une année à l’autre

Oui

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 6 nouveau

Le Ministère a-t-il inclus tous ses services critiques, tels que définis dans le processus de l’AIA comme défini à la question 5, dans le Répertoire de services du GC?

  • Oui
  • Non

Justification

Il s’agit d’une exigence de la PSG que les ministères fournissent au SCT, sur une base régulière ou sur demande, de l’information sur les services critiques identifiés par le ministère.  Dans le cadre de l’exercice Répertoire de services du GC, et comme l’exige la Politique sur les services et le numérique, les organisations doivent identifier tous les services ministériels, y compris les services critiques dans leur Répertoire de services ministériels.

Historiquement, les services critiques ont été identifiés et regroupés séparément de l’exercice Répertoire de services du GC, car l’exigence de la politique d’élaboration et de mise à jour annuelle d’un Répertoire de services ministériels n’est entrée en vigueur qu’en 2014, après l’exigence d’élaborer et de tenir à jour une liste des services critiques, comme l’indique la PSG.

Une liste intégrée des services critiques du Répertoire de services permet de veiller à ce qu’il existe une seule source fiable d’information sur les services du gouvernement du Canada, qui constitue une source vitale de renseignements lorsqu’il s’agit de se préparer à des événements importants et d’y réagir.

Les ministères bénéficient d’une réduction du fardeau de déclaration grâce à l’adoption d’une approche rationalisée de la collecte de données sur les services, ainsi qu’à une vue ministérielle de l’information sur leurs services qui permettra une gestion des services renforcée et une meilleure gestion de la continuité des activités.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

Oui

Méthode de calcul (le cas échéant)

S.O.

Source de preuve et limite de documents

Le SCT doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : Répertoire de services du GC

Date d’extraction des données : Journée qui suit la date d’échéance de la soumission du CRG

Méthode de collecte des données : Preuves documentaires

Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Preuve : Modèle Excel extrait du Répertoire de services avec les champs de services critiques inclus.

L’appel du Répertoire de services aux administrateurs généraux comprend des instructions sur la façon de présenter les renseignements sur les services critiques au SCT après la date limite de présentation.

Limite de document : S.O.

Période d’évaluation : Mars 2021 – Date limite pour le Répertoire de services (le 15 novembre 2021)

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

L’indicateur peut-il être utilisé dans une analyse d’une année à l’autre?

Oui

Analyse d’une année à l’autre

Oui

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 7 nouveau

Le Ministère a-t-il fourni des conseils sur les exigences visant à assurer la protection des biens matériels, de l’équipement et/ou de l’information dans le milieu de travail à distance?

  • Oui
  • Non

Justification

La PSG exige des ministères qu’ils veillent à la protection des biens matériels, de l’équipement et de l’information du gouvernement du Canada dans un milieu de travail ou des installations.

En raison de la pandémie de la COVID-19, les ministères et organismes ont dû changer les milieux de travail pour se tourner vers le travail à distance dans la plupart des cas. Cette situation a considérablement modifié l’environnement de risque pour le gouvernement du Canada et ses employés. Afin d’atténuer certains de ces risques, le GC (Sécurité du SCT, Bureau du dirigeant principal des ressources humaines du SCT, Gendarmerie royale du Canada, Bureau du Conseil privé) a élaboré, mis en œuvre et fourni des conseils et des conseils aux ministères sur les considérations relatives à un environnement de travail à distance sécuritaire. Note 1

Les réponses aideront le SCT à évaluer la mesure dans laquelle les organisations ont été en mesure de mettre en œuvre cette orientation et d’atténuer les risques en ce qui concerne le nouvel environnement de travail à distance et d’assurer une protection efficace des biens matériels, de l’équipement ou de l’information du GC.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

% des ministères ont fourni des conseils aux employés afin de veiller à ce que les biens et l’information de sécurité physique sont protégés dans un milieu de travail à distance.

Méthode de calcul (le cas échéant)

% des ministères qui ont publié ou partagé des directives avec les employés sur la façon d’assurer la protection des biens matériels, de l’équipement ou de l’information dans un milieu de travail à distance.

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Conseils, directives ou procédures opérationnelles normalisées du Ministère décrivant les exigences relatives à la protection des biens matériels, de l’équipement et/ou de l’information, ainsi que la preuve de la communication du document à l’échelle du Ministère. Il peut s’agir notamment de l’affichage sur les pages Web du Ministère, de l’intranet du GC (GCpédia, GCconnex) ou du courriel.

Limite de document : Jusqu’à trois (3) documents

Période d’évaluation : Du 1er novembre 2020 au 31 octobre 2021.

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

Oui

Analyse d’une année à l’autre

Non

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 8 nouveau

Votre ministère ou organisme a-t-il fourni des conseils à jour aux employés pour qu’ils tiennent compte de considérations de sécurité tout en travaillant à distance, assurant une catégorisation et une gestion uniformes des informations sensibles tout au long de leur cycle de vie?

  • Oui
  • En partie
  • Non

Justification

La sécurité de la gestion de l’information (GI) est un élément essentiel d’un cadre de gestion de la sécurité. La sécurité de la GI comprend l’ensemble de principes, de stratégies, de pratiques et de mesures utilisés pour contrer les menaces et assurer une protection uniforme de l’information qui appuie les programmes et les services ministériels ou qui sont sous la garde du Ministère.

Les exigences en matière de gestion des informations sont les mêmes, que ce soit à distance ou au bureau. Les personnes (ou employés) doivent être conscients de gérer l’information de manière appropriée et efficace et conformément à toutes les exigences législatives et politiques pertinentes. Les ministères doivent fournir des conseils et en communiquant continuellement sur l’importance de la sécurité de la GI et de la catégorisation de l’information, pendant le cycle de vie de la GI. Comme exprimé dans la directive sur la gestion de la sécurité, annexe E : Procédures obligatoires relatives aux mesures de sécurité de la gestion de l’information, section E.2.2.4, les organisations doivent :

Surveiller les pratiques et les mesures en matière de sécurité relatives à la gestion de l’information pour veiller à l’application uniforme et mettre en œuvre les changements nécessaires pour veiller à ce que ces pratiques et mesures continuent de répondre aux besoins du ministère.

On demande aux ministères et organismes de fournir des preuves, sous forme de saisies d’écran, de pièces jointes ou de liens vers des sites Web accessibles à partir du SCT (veuillez ne pas partager les liens Intranet que le SCT ne peut pas accéder), au sujet des communications envoyées à tous les employés pour leur rappeler l’importance de la gestion de l’information. Les détails pourraient également comprendre des messages destinés aux employés sur la façon d’assurer une catégorisation appropriée, la notation des documents et les rappels d’intégration de la sécurité dans la planification, la création, la réception, l’organisation, l’utilisation, la diffusion, la maintenance, le transfert et la disposition

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

Oui

Méthode de calcul (le cas échéant)

S.O.

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Les éléments suivants sont des exemples pour garantir un Oui :

  • Copies des communications, qui comprennent des détails sur la sécurité de la GI qui couvrent toute la durée du processus d’évaluation (4+Note * communications directement liées à la sécurité de la GI).
  • Copies de tableaux de bord ou d’autres outils pour aider les employés à catégoriser de manière appropriée la sécurité de la GI.

En partie :

  • Copies des communications, qui comprennent des détails sur la sécurité de la GI qui couvrent toute la durée du processus d’évaluation (1-3Note * communications directement liées à la sécurité de la GI).
  • Copies de tableaux de bord ou d’autres outils pour aider les employés à catégoriser la GI.

Aucune conformité :

  • Aucune preuve n’a été fournie ou aucune communication n’a été fournie aux employés.

Limite de document : Jusqu’à trois (3) documents

Période d’évaluation : Du 1er novembre 2020 au 31 octobre 2021.

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

Oui

Analyse d’une année à l’autre

Oui

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 9 modified

Le ministère ou l’organisme a-t-il la capacité de veiller à ce que les systèmes de la TI soient limités aux utilisateurs autorisés seulement sur une base régulière?Note 1 Si le ministère ou l’organisme utilise un tiers comme fournisseur de services, y a-t-il des communications régulières pour confirmer que le tiers remplit la fonction afin de veiller à ce que seuls les utilisateurs autorisés aient accès?

  • Oui
  • En partie
  • Non

Justification

La sécurité de la technologie de l’information (TI) est un élément essentiel d’un cadre de gestion de la sécurité. Elle comprend l’ensemble de principes, de stratégies, de pratiques et de mesures utilisés pour protéger les systèmes d’information qui appuient les programmes, les services ou les activités ministériels. Un examen périodique de l’accès aux systèmes de la TI gérés en interne est impératif pour assurer la protection des systèmes internes. 

Les exigences relatives à la définition, à la documentation et au maintien des exigences et des pratiques en matière de sécurité de la TI du Ministère sont les mêmes, qu’il s’agisse de travailler à distance ou au bureau, et qu’il y ait ou non un lien avec le RPV. Tel qu’indiqué dans la Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information, section B.2.3.2, les organisations doivent :

Mettre en œuvre des mesures afin de veiller à ce que l’accès à l’information (données électroniques) et aux systèmes d’information soit limité aux utilisateurs autorisés qui ont fait l’objet d’un filtrage de sécurité de niveau opportun et qui doivent y avoir accès.

On demande aux ministères et organismes de fournir des politiques et des procédures opérationnelles ainsi que des preuves de la mise en œuvre, par exemple, des saisies d’écran ou des registres, pour saisir le « tableau d’ensemble » afin de veiller à ce que les procédures obligatoires fournies à l’annexe B de la PSG soient mises en œuvre. Cette preuve est requise pour les services fournis à l’interne et les services de tiers. Étant donné que cette question porte sur les procédures obligatoires que doivent suivre tous les ministères et organismes touchés, une « réponse nulle » nécessitera une communication plus poussée entre le Secrétariat du Conseil du Trésor du Canada et le ministère ou l’organisme.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

Oui

Méthode de calcul (le cas échéant)

S.O.

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Les éléments suivants sont des exemples pour garantir un oui :

  • Politique et procédures opérationnelles fournies, illustrant les liens entre les responsables de la TI et des RH pour veiller à ce que l’accès au réseau soit activé ou désactivé en fonction des déplacements des employés.
  • Capture d’écran des journaux d’accès (p. ex., restriction de l’accès par les comptes privilégiés).
  • Autres documents qui fournissent une « vue d’ensemble » (p. ex., avis aux utilisateurs d’une utilisation acceptable des systèmes d’information).
  • Fréquence de l’examen (p. ex., quotidien, hebdomadaire, bimensuel, mensuel, trimestriel).

En partie :

  • Politique et procédures opérationnelles fournies.
  • Fréquence de l’examen (p. ex., quotidienne, hebdomadaire, bimensuelle, etc.).

Aucune conformité :

  • Aucune preuve n’a été fournie.

Limite de document : Jusqu’à trois (3) documents

Période d’évaluation : Du 1er novembre 2020 au 31 octobre 2021.

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

Oui

Analyse d’une année à l’autre

Oui

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 10 nouveau

Si votre organisation a identifié des postes nécessitant un filtrage de sécurité amélioré à l’aide de l’Outil d’analyse des postes (OAP) du SCT, quel est le pourcentage de filtrage de sécurité amélioré qui ont été entièrement terminé pour tous les postes actuellement occupés du 1er novembre 2020 au 31 octobre 2021?

Remarque : « Entièrement terminé » signifie que toutes les activités améliorées exigées par la Norme sur le filtrage de sécurité (Norme) pour le poste sont complètes (questionnaire de sécurité, entrevue de sécurité, demande de renseignements de source ouverte et examen polygraphique, le cas échéant). Chaque fichier de filtrage de sécurité approfondie devra être identifié par un nom ou identificateur unique.

Remarque : Si vous ne traitez aucune demande de filtrage de sécurité approfondie, veuillez indiquer S.O.

Justification

Les ministères et organismes avaient jusqu’à 36 mois après la publication de la Norme sur le filtrage de sécurité de 2014 pour se conformer entièrement à toutes les exigences. Bien que la politique l’exige, on croit que de nombreuses organisations n’ont pas encore terminé la mise en œuvre du filtrage de sécurité approfondie. À son tour, cela peut créer une vulnérabilité en matière de sécurité et pose des défis en matière de transférabilité. Les vulnérabilités découlant d’une mesure de sécurité incomplète pourraient entraîner d’importantes violations de la sécurité, y compris de possibles menaces à la sécurité nationale.

Cette question servira à évaluer la conformité des politiques à la Norme, particulièrement en ce qui a trait à la mise en œuvre d’un filtrage amélioré lorsque les fonctions ou les postes impliquent ou appuient directement les fonctions de sécurité et de renseignement (S et R) et à aider à déterminer les défis qui subsistent en ce qui concerne la mise en œuvre d’un filtrage amélioré.

Depuis 2014, les ministères ont été informés de l’importance de se conformer aux exigences en matière de filtrage de sécurité approfondie énoncées dans la Norme de 2014.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

100 %

Méthode de calcul (le cas échéant)

On s’attend à ce que les organisations fournissent deux chiffres :

« Nombre total de postes occupés désignés comme étant améliorés lorsque la personne qui occupe le poste fait l’objet d’une présélection appropriée au niveau amélioré » (numérateur)

« Nombre total de postes occupés identifiés comme étant améliorés » (dénominateur)

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Modèle à fournir

Limite de document : Modèle + 2 documents

Période d’évaluation : Du 1er novembre 2020 au 31 octobre 2021.

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

Oui

Analyse d’une année à l’autre

Oui

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 11 nouveau

Pour toutes les personnes qui ont quitté la fonction publiqueNote 1 du 1er novembre 2020 au 31 octobre 2021, quel est le pourcentage des dossiers de filtrage de sécurité qui contiennent des preuvesNote 2 qu’un résumé en bonne et due forme a été fourni pour rappeler aux personnes leurs responsabilités continues de maintenir la confidentialité des renseignements de nature délicate auxquels elles ont eu accès?

Justification

La Norme exige qu’au moment de la cessation d’emploi, de l’engagement ou de l’affectation, toutes les personnes doivent faire l’objet d’un compte rendu officiel pour leur rappeler leurs responsabilités continues de maintenir la confidentialité des renseignements de nature délicate auxquels elles ont eu accès.

Le compte rendu de sécurité au moment de la cessation d’emploi offre l’occasion de clarifier les attentes et d’atténuer les vulnérabilités potentielles en matière de sécurité concernant la divulgation de renseignements de nature délicate.

Cette dernière étape donne l’assurance que les renseignements ou les biens de nature délicate ne seront pas divulgués, discutés ou partagés d’une manière qui pourrait causer un préjudice grave au Canada et aux Canadiens et aux Canadiennes.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

100 %

Méthode de calcul (le cas échéant)

On s’attend à ce que les organisations fournissent deux chiffres :

« Nombre total de personnes qui ont quitté la fonction publique fédérale et qui ont bénéficié d’un compte rendu officiel contenant des preuves au dossier » (numérateur)

« Nombre total de personnes qui ont quitté la fonction publique fédérale (cessation d’emploi) » (dénominateur)

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve :

  1. Les ministères sont tenus d’énumérer ou de déclarer, au moyen d’un identificateur unique, toutes les personnes qui ont quitté la fonction publique fédérale dans la période prescrite et d’y inclure la confirmation du type de compte rendu qui a été fourni, le cas échéant.

    Les ministères doivent indiquer si le certificat d’enquête de sécurité et le profil de sécurité sont consignés et versés au dossier.

  2. Les ministères doivent fournir une preuve type du type de processus d’information officiel utilisé (c’est-à-dire, une trousse de courriel avec accusé de réception, un exemple de séance d’information en personne, etc.)

Limite de document : 3

Période d’évaluation : Du 1er novembre 2020 au 31 octobre 2021.

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

Oui

Analyse d’une année à l’autre

Oui

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 12 nouveau

Dans le cadre des exigences décrites à l’annexe F sur le Suivi dans la Norme, les dossiers de filtrage de sécurité doivent être mis à jour dans le cycle de mise à jour prescrit correspondant au niveau de filtrage requis par le poste. Quel est le pourcentage des dossiers de filtrage de sécurité qui ont été entièrement mis à jour, avant la période de validité qui s’est écoulée comme prescrit par la Norme, pour réévaluer la fiabilité ou la loyauté d’une personne?

Remarque : « Entièrement mise à jour » désigne la vérification complète de toutes les activités de filtrage de sécurité connexes requises pour une mise à jour à l’annexe B du Modèle et des critères de filtrage de sécurité.

Justification

Dans le cadre des exigences établies à l’annexe F : Suivi dans la Norme sur le filtrage de sécurité, les ministères sont tenus de mettre à jour les dossiers de filtrage de sécurité conformément aux cycles de mise à jour établis décrits à l’annexe B du Modèle et des critères de filtrage de sécurité.

Ces pratiques de suivi sont essentielles en ce sens qu’elles contribuent à former une culture de sécurité dans laquelle les particuliers comprennent et mettent en œuvre des politiques et pratiques de sécurité en vue de protéger des informations, des biens et des installations, et font en sorte que la sécurité ne soit pas compromise.

 

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

100 %

Méthode de calcul (le cas échéant)

« Nombre total de personnes qui ont subi une mise à jour de leur cote de sécurité ou autorisation de sécurité avant la fin de la période de validité et où toutes les activités requises ont été effectuées » (numérateur)

« Nombre total de personnes déterminées dans le numérateur, plus le nombre total de personnes encore employées par l’organisation et lorsque la période de validité de ce statut ou de cette autorisation est écoulée » (dénominateur)

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Modèle à fournir

Limite de document : Modèle + 2 documents

Période d’évaluation : Du 1er novembre 2020 au 31 octobre 2021.

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

Oui

Analyse d’une année à l’autre

Oui

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Question 13 nouveau

Votre ministère dispose-t-il d’un mécanisme pour surveiller la conformité des fournisseurs, des partenaires et du ministère aux exigences en matière de sécurité tout au long du processus de passation de marchés ou d’arrangement?

  • Oui
  • Non

Remarque : Les exigences en matière de sécurité se réfèrent à une exigence qui doit être satisfaite pour réduire les risques de sécurité à un niveau acceptable et/ou pour respecter les obligations légales, réglementaires, stratégiques, contractuelles et autres obligations en matière de sécurité.

Justification

La Directive sur la gestion de la sécurité exige que les exigences en matière de sécurité associées aux contrats et autres arrangements soient déterminées et documentées, et les mesures de sécurité connexes soient mises en œuvre et surveillées à chaque étape du processus d’octroi de contrats ou d’établissement d’ententes, afin de fournir une assurance raisonnable que l’information, les particuliers, les actifs et les services liés au contrat ou à l’entente sont protégés de façon adéquate.

La surveillance continue de la conformité aux exigences et aux mesures de sécurité tout au long du contrat ou de l’entente est à la fois nécessaire et importante pour fournir une assurance raisonnable que les mesures de protection et les exigences visant à atténuer les risques pour la sécurité continuent d’être respectées, comme le définit l’entente.

Cette question a pour objet de déterminer si et comment les ministères surveillent et vérifient la conformité continue aux exigences de sécurité après l’adjudication du contrat ou la conclusion d’une entente. Plus précisément, nous voulons savoir si la conformité globale est suivie et surveillée en ce qui concerne la gestion de la sécurité des mesures de sécurité qui sont impliquées (p. ex, mesure de sécurité, sécurité physique, gestion de l’information et de la technologie de l’information, etc.).

Cette question permettra d’évaluer le rendement et vise à déterminer les lacunes possibles en vue d’une orientation plus globale permettant de veiller à ce que le respect des exigences en matière de sécurité liées aux contrats et autres arrangements soit surveillé tout au long de la procédure. Le renforcement de la surveillance et du suivi fait partie intégrante de la réduction et de la résolution des problèmes de non-conformité, d’incidents de sécurité ou d’autres événements de sécurité.

Catégorie

  1. Conformité aux politiques
  2. Rendement
  3. Autres

Cible

Oui

Méthode de calcul (le cas échéant)

S.O.

Source de preuve et limite de documents

Le SCT doit répondre
Le ministère ou l’organisme doit répondre

Cette question s’applique aux organisations suivantes :

  • Grands ministères et organismes

Source des données : S.O.

Date d’extraction des données : S.O.

Méthode de collecte des données : Preuves documentaires

Preuve : Un mécanisme tel qu’un système de suivi ou un autre processus interne (p. ex., la validation de la conformité aux exigences de sécurité) qui démontre comment la conformité aux exigences de sécurité est surveillée et comptabilisée tout au long du cycle de vie de l’entente.

Limite de document : 3

Période d’évaluation : Du 1er novembre 2020 au 31 octobre 2021.

Autres à l’usage exclusif du SCT nouveau

Moyenne pangouvernementale

Oui

Analyse d’une année à l’autre

Oui

Cadre ministériel des résultats (CMR)

Non

Documents de référence

Renvoi à la politique du Conseil du Trésor ou à la priorité du gouvernement du Canada

Détails de la page

Date de modification :