Directive du commissaire 225 - Sécurité en matière de technologie de l’information
Instruments habilitants
- Cadre stratégique de gestion du risque du Secrétariat du Conseil du Trésor
- Directive sur la gestion de la sécurité du Secrétariat du Conseil du Trésor
- Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor
But
- Assurer la protection des systèmes d’information, des services d’information et des renseignements électroniques qu’utilisent le Service correctionnel du Canada (SCC), la Commission des libérations conditionnelles du Canada et le Bureau de l’enquêteur correctionnel, ci-après appelés les organismes desservis
Directive du commissaire
- Fournir un cadre pour la gestion des risques liés à la technologie de l’information et pour la mise en œuvre et le maintien du programme de sécurité de la technologie de l’information du SCC
Champ d'application
S’applique à toutes les personnes autorisées à utiliser les systèmes et services d’information ou les renseignements électroniques du SCC
Contenu
RESPONSABILITÉS
Le commissaire veillera à la mise en œuvre, à la surveillance et à la gouvernance efficaces du programme de sécurité du ministère, y compris du programme de sécurité de la technologie de l’information (TI), au SCC.
Les sous-commissaires et les commissaires adjoints désigneront une personne comme gestionnaire de la prestation de programmes ou services, qui sera responsable de chaque système d’information utilisé pour fournir des services dans leur domaine de responsabilité respectif.
Le dirigeant adjoint de la sécurité :
- assurera l’intégration des programmes et services de la sécurité de la TI dans le programme de sécurité du ministère
- organisera des réunions régulières avec le dirigeant principal de l’information et l’agent désigné pour la cybersécurité afin de veiller à ce que les programmes de sécurité de la TI et de sécurité du ministère soient harmonisés, d’examiner les menaces et les risques touchant la sécurité de la TI et de s’assurer de la mise en place de stratégies avec échéances pour améliorer la sécurité du SCC
- s’assurera que tous les dispositifs de cryptographie fournis aux organismes desservis sont mis en œuvre conformément aux politiques et normes du Centre de la sécurité des télécommunications et du SCC
- fournira au Secrétariat du Conseil du Trésor des preuves de la mise en œuvre et de l’efficacité du programme de sécurité de la TI du SCC après avoir consulté l’agent désigné pour la cybersécurité
- validera les risques afférents à la sécurité de la TI suivant les recommandations de l’agent désigné pour la cybersécurité
- établira la zone de sécurité matérielle dans toute aire où un système d’information sera utilisé avant son déploiement
- enquêtera sur tous les incidents de sécurité et toutes les atteintes à la sécurité comportant la perte ou le vol de biens de TI et consultera l’agent désigné pour la cybersécurité dans le cas de toute perte de renseignements électroniques.
Le dirigeant principal de l’information :
- est le décisionnaire en ce qui concerne le fonctionnement de tous les systèmes d’information du SCC
- sera désigné comme propriétaire du système d’information pour les systèmes ou services d’information que les Services de gestion de l’information fournissent à tous les utilisateurs
- s’assurera que tous les systèmes et services d’information respectent les politiques, les normes et les procédures publiées par le Secrétariat du Conseil du Trésor et les Services de gestion de l’information du SCC
- instituera des mesures d’urgence pour protéger les systèmes d’information ou les renseignements électroniques du SCC lorsqu’il y a lieu.
Le directeur, Sécurité de la TI :
- assumera le rôle d’agent désigné pour la cybersécurité, tel qu’il est défini dans les politiques du Secrétariat du Conseil du Trésor, et agira comme principale personne-ressource du SCC en matière de sécurité de la TI
- veillera au traitement et à la gestion des principaux éléments du programme de sécurité de la TI décrits à l’annexe B
- établira et gérera :
- un programme de gestion des risques afférents à la sécurité de la TI
- un programme de planification d’urgence pour assurer la sécurité de la TI
- un programme de gestion des incidents de sécurité de la TI
- le programme de sensibilisation et de formation en matière de sécurité de la TI du SCC
- sera le point de contact principal pour toutes les communications relatives à la gestion des incidents de sécurité de la TI et aux interventions connexes
- surveillera et évaluera tout changement dans l’environnement des menaces, susceptible d’avoir un impact sur les systèmes d’information du SCC
- fera régulièrement rapport au dirigeant principal de l’information et au dirigeant adjoint de la sécurité sur des questions ayant trait à la sécurité de la TI
- mobilisera la Division de la sécurité du Ministère, au besoin, dans le but de fournir des conseils et des orientations à la Division de la sécurité de la TI
- veillera à ce que toutes les ressources électroniques accessibles aux délinquants soient autorisées avant leur mise en service.
Les directeurs régionaux et les directeurs principaux, Services de gestion de l’information, institueront des mesures d’urgence pour protéger les systèmes et services d’information ou les renseignements électroniques du SCC dans la région, lorsqu’il y a lieu, et informeront l’agent désigné pour la cybersécurité des mesures prises.
Les propriétaires de systèmes d’information qui ont mis en œuvre des systèmes ou des services d’information pour répondre aux besoins opérationnels doivent :
- consulter, dès que possible, les Services de gestion de l’information et la Division de la sécurité du Ministère dans le cadre de toute initiative dont la TI constitue une composante afin d’assurer la participation de tous les intervenants
- soumettre chaque programme relevant de leur domaine de responsabilité à une analyse de l’incidence sur les activités et s’assurer de remédier à toute lacune liée aux systèmes ou aux services d’information
- s’assurer que les risques afférents à la sécurité de la TI sont évalués dès le lancement de tout nouveau système d’information et que ces risques sont réévalués périodiquement suivant l’apport de changements au système d’information
- atténuer, accepter ou transférer tout risque résiduel pour la sécurité de la TI qui ont une incidence sur les systèmes d’information relevant de leur domaine de responsabilité, avant que ceux-ci ne soient utilisés
- examiner régulièrement les droits d’accès aux systèmes d’information conformément aux conditions énoncées dans l’évaluation des risques liés à la sécurité de la TI
- s’assurer que toute vulnérabilité est traitée dès que possible.
Demandes de renseignements
- Division de la politique stratégique
Administration centrale
Courriel : Gen-NHQPolicy-Politi@csc-scc.gc.ca
Commissaire,
Original signé par :
Anne Kelly
Annexe A - Renvois et Définitions
RENVOIS
- DC 226 – Utilisation des ressources électroniques
- Directive sur les services et le numérique du Secrétariat du Conseil du Trésor
- Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor
- Politique sur les services et le numérique du Secrétariat du Conseil du Trésor
DÉFINITIONS
Évaluation : analyse à laquelle sont soumis tous les nouveaux systèmes d’information et tous les changements apportés aux systèmes existants. Selon l'ampleur du changement apporté ou de la mise en œuvre des nouveaux systèmes, l'évaluation peut comprendre une Évaluation de la menace et des risques, une évaluation des répercussions ou une évaluation de la vulnérabilité.
Évaluation des risques : processus officiel qui aide à déterminer les exigences en matière de sécurité et aboutit à la recommandation de stratégies pour réduire les risques.
Organismes desservis : organismes qui reçoivent des services de la Direction des services de gestion de l’information, c.-à-d. le SCC, la Commission des libérations conditionnelles du Canada et le Bureau de l’enquêteur correctionnel.
Propriétaire du système d’information : poste, rôle ou personne responsable de tout ce qui a trait à l’achat, au développement, à l’intégration, à la modification, à l’exploitation, à l’entretien et à la mise hors service d’un système d’information.
Services d’information : capacité qui est assurée par un fournisseur de service de TI et qui appuie directement ou indirectement des fonctions ou processus opérationnels.
Système d’information : ensemble de ressources et d’éléments de configuration (p. ex., matériel informatique, logiciels et documentation) qui fonctionne comme un tout.
Annexe B - Principaux éléments du programme de sécurité de la TI
SÉCURITÉ TECHNIQUE
Audit et responsabilisation : capacité de recueillir, d’analyser et de conserver des dossiers d’audit se rapportant aux activités menées par les utilisateurs dans le système d’information.
Contrôle de l’accès : capacité d’accorder ou de refuser aux utilisateurs l’accès à des ressources au sein du système d’information.
Identification et authentification : identification unique des utilisateurs et authentification de ces utilisateurs lorsqu’ils souhaitent accéder à des ressources du système d’information.
Protection du système et des communications : protection du système d’information ainsi que des communications avec le système et au sein de celui-ci.
SÉCURITÉ OPÉRATIONNELLE
Entretien : entretien du système d’information pour assurer un accès continu.
Gestion de la configuration : gestion et contrôle de tous les éléments du système d’information (p. ex., le matériel, le logiciel et les éléments de configuration).
Gestion des incidents : détection, signalement et gestion des incidents de sécurité de la TI au sein du système d’information ainsi que les interventions connexes.
Intégrité du système et de l’information : protection des éléments du système d’information et des données qui y sont traitées.
Planification d’urgence : assurer l’accès aux services du système d’information advenant la défaillance d’un élément du système ou une catastrophe.
Protection des supports : protection des supports du système d’information (p. ex., disques, bandes magnétiques, CD, DVD et clés USB) tout au long de leur durée de vie.
Protection matérielle et environnementale : contrôle de l’accès matériel à un système d’information ainsi que protection environnementale du matériel auxiliaire (p. ex., l’alimentation, la climatisation et le câblage) servant à l’exploitation du système d’information.
Sécurité du personnel : procédures requises pour s’assurer que tous les employés ayant accès au système d’information ont obtenu les autorisations requises ainsi que la cote de sécurité appropriée.
Sensibilisation et formation : sensibiliser les utilisateurs relativement à la sécurité du système d’information.
GESTION DU RISQUE
Accès des délinquants : contrôler l’accès des délinquants aux systèmes d’information appartenant ou non aux organismes desservis.
Communication d’information : protection des renseignements délicats communiqués à des parties autres que les organismes desservis.
Évaluation de sécurité et autorisation : évaluation de sécurité et autorisation du système d’information.
Évaluation du risque : réalisation d’évaluations du risque et d’analyses de la vulnérabilité.
Planification : activités de planification de la sécurité, y compris les évaluations des facteurs relatifs à la vie privée.
Sécurité relative à l’acquisition des systèmes et des services : passation de marchés pour les produits et services requis aux fins du déploiement et de l’exploitation du système d’information.
Détails de la page
- Date de modification :