Modèle de politique de sécurité des actifs informationnels

Politique de sécurité 

des actifs informationnels

Adoptée le ______________________

Par ______________________

Modifiée le ______________________

Entrée en vigueur le ______________________

Table des matières


Contexte…………………………………………………………………….. 2

Objectifs de la politique……………………………………………… 3

Respect de la politique………………………………………………… 4

Portée…………………………………………………………………………. 5

Principes directeurs……………………………………………………. 6

Rôles et responsabilités………………………………………………. 9

Le conseil d’administration de ____________________…………………………………………… 9

Le président………………………………………………………………………………………………………… 9

Le Chef de la sécurité de l’information  (CSI)……………………………………………………….. 10

Les détenteurs d’actifs informationnels…………………………………………………………………. 11

Utilisateur………………………………………………………………………………………………………….. 12

Le gestionnaire…………………………………………………………………………………………………… 12

Vice-présidence des Ressources humaines…………………………………………………………….. 13

Comité de sécurité de l’information………………………………………………………………………. 13

Sanctions…………………………………………………………………. 14

Modification…………………………………………………………….. 15


Contexte

____________________ reconnaît que l’information est essentielle à ses opérations courantes et, de ce fait, qu’elle doit faire l’objet d’une évaluation, d’une utilisation appropriée et d’une protection adéquate. ____________________ reconnaît détenir, en outre, des renseignements personnels ainsi que des informations qui ont une valeur légale, administrative ou commerciale.

De plus, plusieurs lois et directives encadrent et régissent l’utilisation de l’information. ____________________ est assujetti à ces lois et doit s’assurer du respect de celles-ci.

En conséquence, ____________________ met en place la présente politique de sécurité de l’information qui oriente et détermine l’utilisation appropriée et sécuritaire de l’information et des technologies de l’information.

Objectifs de la politique

La politique vise à assurer le respect de toute législation à l’égard de l’usage et du traitement de l’information et de l’utilisation des technologies de l’information et des télécommunications. Plus spécifiquement, les objectifs de ____________________ en matière de sécurité de l’information sont :

  • d’assurer la disponibilité, l’intégrité et la confidentialité des actifs informationnels;
  • d’assurer le respect de la vie privée des individus, notamment, la confidentialité des renseignements à caractère nominatif, commercial ou délicat relatifs aux clients, utilisateurs et au personnel;
  • d’assurer la conformité aux lois et règlements applicables ainsi que les directives, normes et orientations de l’organisation.

Cette politique est accompagnée de normes et de procédures afin de préciser les obligations qui en découlent.

Respect de la politique

____________________, président de ____________________ a désigné l’officier de la sécurité informatique, ____________________, comme responsable de l’application de la présente politique.

____________________ exige de tout employé, qui utilise les actifs informationnels de ____________________ ou qui a/aura accès à de l’information, de se conformer aux dispositions de la présente politique ainsi qu’aux normes, directives et procédures qui s’y rattachent.

Le non-respect de cette obligation peut entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement.

Portée

La présente politique s’applique :

  • à l’ensemble du personnel de ____________________. De plus, elle s’étend à toute personne physique ou morale qui utilise ou qui accède pour le compte de ____________________, à des informations confidentielles, ou non, quel que soit le support sur lequel elles sont conservées et quel que soit le lieu;
  • à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de ____________________, tels que les banques d’information, les informations et les données sans égard aux médiums de support, les réseaux, les systèmes d’information, les logiciels, les équipements informatiques ou centres de traitement utilisés par ____________________;
  • à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et de diffusion des actifs informationnels de ____________________.

Principes directeurs

Toute personne au sein de ____________________ ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès du dirigeant de ____________________ et de son mandataire, le Chef de la sécurité de l’information.

La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée de la gestion du risque. Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande, à cet égard, la mise en place d’un ensemble de mesures coordonnées.

Les mesures de protection, de prévention, de détection, d’assurance et de correction doivent permettre d’assurer la confidentialité, l’intégrité, la disponibilité des actifs informationnels de même que la continuité des activités. Elles doivent notamment empêcher les accidents, l’erreur, la malveillance ou la destruction d’information sans autorisation.

Lorsque nécessaire des mesures pour assurer la non répudiation des transactions doivent être mise en place.

Les mesures de protection des actifs informationnels doivent permettre de respecter lois du Canada et du Québec applicables, de même que les lois existantes en matière d’accès, de diffusion et de transmission d’information, les obligations contractuelles de ____________________ de même que l’application des règles de gestion interne.

Les actifs informationnels doivent faire l’objet d’une identification et d’une classification.

Une évaluation périodique des risques et des mesures de protection des actifs informationnels doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les menaces et les mesures de protections déployées. Cette évaluation pourra se faire dans le cadre d’un audit qui devra avoir lieu au minimum une fois par année financière.

La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du processus menant à l’acquisition, au développement, à l’utilisation, au remplacement ou la destruction d’un actif informationnel par ou pour ____________________.

Un programme continu de sensibilisation et de formation à la sécurité informatique doit être mis en place à l’intention du personnel de ____________________.

L’accès aux renseignements personnels des utilisateurs par le personnel de ____________________ doit être autorisé et contrôlé. Chaque système doit prévoir des droits d’accès différents selon les catégories de personnel.

Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquels ils ont été recueillis ou obtenus.

Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution d’accès aux informations. Les accès aux actifs informationnels sont attribués à l’utilisateur autorisé en fonction de ce qui lui est strictement nécessaire pour l’exécution de ses tâches.

Les ententes et contrats dont ____________________ fait partie doivent contenir des dispositions garantissant le respect des exigences en matière de sécurité et de protection de l’information.

Cette politique est modelé sur la norme ISO 17799 et se veux conforme à celle-ci.

Rôles et responsabilités

Le conseil d’administration de ____________________

Le conseil d’administration de ____________________ doit approuver la présente politique, s’assurer de sa mise en œuvre et faire le suivi de son application. À cet égard, il autorise et approuve la politique de sécurité de l’information.

Le président

Le président est le premier responsable de la sécurité de l’information  au sein de ____________________. Il s’assure que les valeurs et les orientations en matière de sécurité soient partagées par l’ensemble des gestionnaires et du personnel de ____________________. À cette fin, il s’assure de l’application de la politique dans l’organisation, apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et l’application de la présente politique; soumet le bilan annuel concernant l’application de la politique au conseil d’administration; exerce son pouvoir d’enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire.

Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des mesures précitées, il nomme un responsable de la sécurité de l’information.

Le Chef de la sécurité de l’information  (CSI)

À titre de représentant délégué du président en matière de sécurité des actifs informationnels, le CSI est une ressource de niveau cadre qui gère et coordonne la sécurité au sein de ____________________. Il doit donc harmoniser l’action des divers acteurs dans l’élaboration, la mise en place, le suivi et l’évaluation de la sécurité de l’information. Cette responsabilité exige une vision globale de la sécurité au sein de ____________________.

Le Chef, sécurité de l’information  veille à l’élaboration et à l’application de la politique sur la sécurité adoptée par l’organisme. Dans cette perspective, il collabore avec tous les gestionnaires et, en particulier, avec le gestionnaire qui est en charge des technologies de l’information, ____________________. Plus précisément, le responsable de la sécurité de l’organisme :

  • élabore et maintient à jour la politique sur la sécurité des actifs informationnels qui sera adoptée par l’organisme et soumet cette politique au président et au conseil d’administration de l’organisme pour approbation;
  • met en place et préside le comité de protection des renseignements personnels et de sécurité de l’organisme, qui pourrait être formé du responsable de la sécurité, de gestionnaires, d’un vérificateur interne, de détenteurs, de représentants des ressources humaines, financières et matérielles ainsi que d’un juriste;
  • coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la mise en oeuvre de la politique sur la sécurité adoptée par l’organisme et en suit l’évolution;
  • identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs informationnels dans leur secteur respectif;
  • s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions et coordonne la mise en place de ces solutions;
  • gère les aspects relatifs à l’escalade des incidents de sécurité et procède à des évaluations de la situation en matière de sécurité;
  • suit la mise en oeuvre de toute recommandation découlant d’une vérification ou d’un audit;
  • produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels appartenant à ____________________ en s’assurant que l’information sensible à diffusion restreinte est traitée de manière appropriée.

Les détenteurs d’actifs informationnels

Les détenteurs :

  • assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur soient confiés par le dirigeant de l’organisme ou un tiers mandaté;
  • s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment l’évaluation des risques, la détermination du niveau de protection visé, l’élaboration des contrôles non informatique et, finalement, la prise en charge des risques résiduels;
  • s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées systématiquement en plus de s’assurer que leur nom et les actifs dont ils assument la responsabilité sont consignés dans le registre des autorités;
  • déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui du Chef de la sécurité de l’information de l’organisme.

Utilisateur

Chaque membre du personnel et utilisateur d’actifs informationnels est responsable de respecter la présente politique, normes, directives et procédures en vigueur en matière de sécurité de l’information. Il a l’obligation d’informer son responsable ou le Chef de la sécurité de l’information de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs informationnels ou contrevenir à la lettre ou à l’esprit de cette politique et des normes qui en découlent. Tout manquement à cette obligation sera considéré comme une faute grave, sujet aux sanctions prévues dans cette politique.

Le gestionnaire

Le gestionnaire s’assure que tous ses employés sont au fait de leurs obligations découlant de la présente politique. Il les informe précisément des normes, directives et procédures de sécurité en vigueur.

Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que les moyens de sécurité sont utilisés de façon à protéger effectivement l’information utilisée par son personnel.

Il communique au CSI tout problème d’importance en matière de sécurité de l’information. Il a l’obligation d’informer le Chef de la sécurité de l’information de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs informationnels ou contrevenir à la lettre ou à l’esprit de cette politique et des normes qui en découlent. Tout manquement à cette obligation sera considéré comme une faute grave, sujet aux sanctions prévues dans cette politique.

Vice-présidence des Ressources humaines

La Vice-présidence des Ressources humaines est responsable d’informer tout nouvel employé de ses obligations découlant de la présente politique ainsi que des normes, directives et procédures en vigueur en matière de sécurité de l’information.

Comité de sécurité de l’information

Le Comité joue avant tout un rôle conseil auprès du CSI, du Président et du conseil d’administration de ____________________. Il constitue un mécanisme de coordination et de concertation qui, par sa vision globale, est en mesure de proposer des orientations et de faire des recommandations au regard de l’élaboration, la mise en œuvre et la mise à jour des mesures prévues. Il est aussi en mesure d’évaluer les incidences sur la sécurité de l’organisation que les nouveaux projets pourraient avoir.

Sanctions

Tout contrevenant au code de conduite, à la présente politique, et à la réglementation qui en découle est passible des sanctions suivantes:

  • annulation des droits d’accès aux équipements et services visés par la présente politique;
  • reprises des équipements et actifs informationnels en sa possession;
  • remboursement à ____________________ de toute somme que cette dernière serait dans l’obligation de défrayer suite à une utilisation non autorisée, frauduleuse ou illicite de ses services ou actifs informatiques et de télécommunication;
  • réprimande verbale;
  • réprimande écrite; et
  • mise à pied.

De plus, si la situation le justifie, une plainte criminelle pourra être déposée auprès des autorités policières compétentes.

Les mesures disciplinaires ou autres sanctions prévues dans le règlement disciplinaire à l’intention des étudiantes et des étudiants, ou imposées conformément aux contrats de travail, aux lois applicables et aux protocoles en vigueur.

Modification

La présente politique doit être périodiquement évaluée afin de s’ajuster aux nouvelles pratiques et technologies utilisées à ____________________.

Toute modification à la présente politique doit être sanctionnée par le Conseil d’administration de ____________________ sur recommandation du Président.