Norme oprationnelle de scurit :

Gestion de la scurit des technologies de

l'information (GSTI)
Outils et Ressources
Table des matiresTexte completFormats alternatifs Instruments connexes PolitiquesDirectivesLignes directrices Liens
connexes Abrviations

Norme instaure en vertu de la Politique du gouvernement sur la scurit et de la

Politique sur la gestion de l'information gouvernementale.

Partie I - Introduction
1. Raison d'tre
La prsente norme dfinit les exigences scuritaires de base que les ministres fdraux doivent satisfaire pour assurer
la scurit de l'information et des biens de technologie de l'information (TI) placs sous leur contrle.

2. Porte et application
La Politique du gouvernement sur la scurit nonce les exigences respecter pour protger les biens du
gouvernement, y compris l'information, et prescrit aux ministres et organismes fdraux touchs par cette politique
de se doter d'une stratgie de scurit en matire de technologies de l'information. La Politique sur la gestion de
l'information gouvernementale exige des ministres qu'ils protgent l'information tout au long de son cycle de vie. La
prsente norme largit les exigences de ces deux politiques. De plus, elle remplace les Normes sur la scurit des
technologies de l'information (1995) chapitres 2 et 3 du Manuel du Conseil du Trsor sur la Gestion de l'information et
la Gestion administrative.
La Politique du gouvernement sur la scurit dfinit la scurit des TI comme tant les mesures de sauvegarde visant
prserver la confidentialit, l'intgrit, la disponibilit, l'utilisation prvue et la valeur des renseignements conservs,
traits ou transmis par voie lectronique . Pour les besoins de la prsente norme, le terme scurit des TIinclura aussi
les mesures de protection appliques aux biens utiliss pour recueillir, traiter, recevoir, afficher, transmettre,
reconfigurer, balayer, entreposer ou dtruire l'information par voie lectronique.

3. Philosophie de gestion du risque

La prsente norme tablit les exigences de la scurit des TI, mme si la mise en ouvre de ces dernires doit tre
gre par les ministres. La documentation technique, publie en vertu de la prsente norme, contient d'autres
directives de mise en ouvre.
Comme l'indique la Politique du gouvernement sur la scurit, les exigences scuritaires de base sont des dispositions
obligatoires qui permettent d'obtenir une cohrence l'chelle du gouvernement fdral et d'offrir un niveau minimal
de protection pour les ministres. Dans le cadre du profil de risque des ministres, comme l'illustre le Cadre de gestion
intgre du risque (CGIR), la mise en ouvre propre aux exigences de base et celle d'autres mesures de protection
devraient tre dtermines par la gestion du risque.

4. Principes
La prestation de services ncessite la scurit des TI.
La scurit des TI fait partie intgrante de la prestation continue de programmes et de services. Pour viter toute
interruption de service ou perte de confiance que pourrait causer une atteinte la scurit des TI, les ministres sont
tenus de concevoir la scurit des TI comme tant un impratif organisationnel et un outil de prestation de services.
Bien que les gestionnaires de la prestation de programmes et services puissent dlguer la responsabilit de la scurit
des TI des experts techniques, ils demeurent redevables envers les administrateurs gnraux et sont responsables
d'assurer la scurit des programmes et des services placs sous leur autorit.

Les pratiques de scurit des TI doivent tenir compte

de l'volution de l'environnement.
Les technologies de l'information continuent progresser rapidement dans le sens de l'accroissement de
l'interconnectivit et de l'amlioration de la prestation des services. Simultanment, le nombre et la gravit ventuelle
des menaces, des vulnrabilits et des incidents se multiplient. Les ministres doivent tre conscients de l'volution de
l'environnement et comprendre comment grer leurs programmes de scurit des TI en consquence.

Le gouvernement du Canada est une seule entit.

La disponibilit accrue de services communs et partags peut aider les ministres satisfaire leurs exigences en
matire de scurit. Mme si on peut ainsi amliorer l'efficience, les ministres doivent nanmoins comprendre que les
dcisions de scurit qu'ils prennent peuvent avoir des incidences sur d'autres organisations.

Travailler ensemble pour soutenir la scurit des TI.

La scurit des TI est bien plus que la somme des outils servant protger l'information et les systmes; pour tre
efficace, un programme de scurit des TI doit combiner les gens, les processus et les technologies. Chaque directeur
principal de ministre, chaque gestionnaire de la prestation de programmes et services, chaque membre du personnel
de la scurit, des oprations de TI ou des ressources humaines ainsi que tout autre intervenant travaillent de manire
concerte afin d'atteindre le mme niveau lev de scurit des TI partout au sein du gouvernement fdral.

La prise de dcision ncessite un processus permanent

de gestion du risque.
Afin de prendre de bonnes dcisions oprationnelles fondes sur la gestion du risque, les ministres doivent
continuellement rester au fait des biens qu'ils dtiennent et de leur degr d'importance et de dlicatesse. Les dcisions
doivent tre prises en fonction d'un mode de gestion du risque qui reconnat les incidences ventuelles sur le ministre
et sur l'ensemble du gouvernement.

5. Politiques et normes connexes

Le gouvernement tablit des politiques, des normes et des lignes directrices portant sur la gestion de l'information, les
TI et la scurit. La prsente norme devrait tre lue paralllement ces politiques, normes et lignes directrices.

6. Structure de la prsente norme

La prsente norme comprend trois principales parties, en plus des annexes. La Partie I contient de l'information
gnrale sur la scurit des TI. La Partie II offre une orientation sur la manire d'organiser et de grer la scurit des
TI au sein des ministres. La Partie III contient des consignes sur les mesures de protection techniques et
oprationnelles.

7. Ministres et organismes gouvernementaux cls

L'annexe A de la Politique du gouvernement sur la scurit dfinit les rles et responsabilits des ministres et
organismes gouvernementaux qui jouent un rle cl dans la scurit de l'information et des TI au sein du
gouvernement.

Partie II - Approche ministrielle de

l'organisation et de la gestion de la scurit
des TI
8. Introduction

La prsente partie de la norme contient une orientation et des directives sur la manire d'organiser et de grer un
programme ministriel de scurit des TI. Elle porte sur les rles et les responsabilits, la politique, les ressources et
les contrles de gestion.

9. Rles et responsabilits
Bien que les ministres attribuent de manire diffrente les rles et responsabilits qui suivent (p. ex., ils peuvent
utiliser des titres diffrents que ceux qui figurent ci-aprs), chaque ministre doit dsigner les personnes qui devront
tenir les fonctions dcrites dans la prsente section.

9.1 Coordonnateur de la scurit des TI

Les ministres doivent nommer un coordonnateur de la scurit des TI qui doit avoir au moins un rapport hirarchique
fonctionnel la fois avec le dirigeant principal de l'information et avec l'agent de scurit du ministre.
Au minimum, le coordonnateur de la scurit des TI doit :

mettre en place et grer un programme ministriel de scurit des TI dans le cadre d'un programme
ministriel de scurit coordonn;

examiner les politiques et normes de scurit des TI du ministre et toutes les politiques qui contiennent des
implications pour la scurit des TI, et recommander leur approbation;

veiller ce que soient vrifies les sections lies la scurit des TI de la demande de propositions et de
toute autre documentation sur la passation de marchs, y compris les listes de vrification des exigences
relatives la scurit;

recommander l'approbation de tous les contrats destins aux fournisseurs externes de services de scurit
des TI;

collaborer troitement avec les gestionnaires de la prestation de programmes et services afin d'effectuer ce
qui suit :

o
o
o
o

veiller ce que leurs besoins de scurit des TI soient satisfaits,

prodiguer des conseils sur les mesures de protection,
les conseiller sur les incidences ventuelles des menaces existantes et nouvelles,
les informer sur le risque rsiduel li un programme ou service;

surveiller la conformit du ministre la prsente norme et la documentation connexe;

servir de principale personne-ressource au ministre en matire de scurit des TI.

promouvoir la scurit des TI au sein du ministre;

mettre en place un processus efficace afin de grer les incidents lis la scurit des TI et veiller ce que
tous s'y conforment;

Le poste de coordonnateur de la scurit des TI doit faire l'objet d'une enqute de scurit au niveau secret ou un
niveau plus lev. Au moment d'embaucher une personne pour ce poste, les ministres devraient privilgier des
personnes qui possdent une attestation de leurs comptences professionnelles.

9.2 Haute direction

L'un des rles de la haute direction est de promouvoir une culture de la scurit l'chelle du ministre.
Lorsqu'elle dfinit les priorits, les orientations stratgiques, les objectifs des programmes, le budget et la dotation en
personnel du ministre, la haute direction doit satisfaire aux exigences en matire de scurit des TI. Elle doit aussi
veiller fournir une financement appropri pour la scurit des projets de TI, conformment la section 10.12 de
la Politique du gouvernement sur la scurit.
La haute direction doit approuver les politiques, normes et lignes directrices ministrielles relatives la scurit des TI.

9.3 Agent de scurit du ministre

La section 10.1 de la Politique du gouvernement sur la scurit stipule que les ministres sont tenus de nommer un
agent de scurit du ministre charg d'tablir et de diriger un programme de scurit ministrielle, en plus de fournir
une liste des responsabilits lies ce poste.

L'agent de scurit du ministre et le coordonnateur de la scurit des TI doivent veiller ce que les responsables de
la scurit matrielle, de la protection des personnes et de la scurit des TI coordonnent leurs efforts de manire
protger l'information et les biens de TI, et mettre en pratique une approche intgre et quilibre.

9.4 Dirigeant principal de l'information

Le dirigeant principal de l'information du ministre assume la responsabilit de veiller l'efficience et l'efficacit de la
gestion de l'information et des biens de TI du ministre. Compte tenu de l'incidence qu'auraient d'ventuels checs de
prestation de services dcoulant d'atteintes la scurit, le dirigeant principal de l'information et le coordonnateur de
la scurit des TI doivent collaborer pour que des mesures de scurit appropries soient mises en place l'gard de
toutes les activits et de tous les processus de GI et de TI.

9.5 Coordonnateur de la planification de la continuit

des activits
Le dirigeant principal de l'information, l'agent de scurit du ministre, le coordonnateur de la scurit des TI et le
coordonnateur de la planification de la continuit des activits doivent collaborer pour appliquer une approche globale
de la prestation continue des services. Prire de se reporter la Norme oprationnelle de scurit sur le programme de
planification de la continuit des activits.

9.6 Gestionnaires de la prestation de programmes et

services
Au nom de l'administrateur gnral du ministre, les gestionnaires de la prestation de programmes et services
assument la responsabilit de fournir un niveau de scurit appropri pour leurs programmes et services. Au stade de
la conception des programmes et services, les gestionnaires collaborent avec les spcialistes de la scurit du
ministre afin de grer les risques lis leurs programmes ou services. En s'appuyant sur les conseils et le support du
coordonnateur de la scurit des TI, les gestionnaires doivent dterminer les exigences de scurit des TI pour leurs
programmes et services et doivent les accrditer en acceptant le risque rsiduel qui leur est associ.
Les gestionnaires doivent s'assurer que, dans leurs champs de responsabilit, les exigences nonces dans la prsente
norme, dans la Politique du gouvernement sur la scurit et dans d'autres politiques, normes et documentation
technique connexes, soient satisfaites.

9.7 Personnel des oprations de TI

Le personnel des oprations de TI inclut les administrateurs ou gestionnaires de rseau ou de systme, le personnel du
centre d'assistance, les gestionnaires de compte, le personnel de la scurit des systmes, celui de la maintenance et
tout autre personnel de soutien des TI. Sous la direction gnrale du coordonnateur de la scurit des TI et
conformment aux priorits, politiques et procdures ministrielles, le personnel des oprations de TI doit :

suivre les procdures de scurit et y recommander des amliorations

rgler les incidents en matire de scurit
mettre l'essai et installer des correctifs de scurit
maintenir ou mettre niveau le matriel et les logiciels de scurit
surveiller les systmes et les journaux d'activit
sauvegarder et rcuprer l'information
grer les privilges et les droits d'accs

9.8 Autre personnel

Tout le personnel doit se conformer la politique et aux procdures de scurit des TI du gouvernement ou du
ministre et tout autre document connexe. Il doit signaler aux responsables de la scurit dsigns les incidents de
scurit, qu'ils soient rels ou prsums, normalement par l'intermdiaire de leur suprieur immdiat. Aux fins de la
prsente norme, le personnel inclut les employs, les membres du personnel, les entrepreneurs, les tudiants, les
visiteurs et les Forces canadiennes.

9.9 Gardien COMSEC

Les ministres qui gardent des dossiers cryptographiques classifis, des lments cryptographiques contrls ou des
documents comptables doivent avoir un compte COMSEC (Scurit des communications). Ces ministres doivent
nommer un gardien COMSEC (et un remplaant, au besoin) qui sera responsable de ces dossiers, lments et
documents conformment aux directives du Centre de la scurit des tlcommunications.

9.10 Gestionnaires de projet de TI

Avec l'aide du coordonnateur de la scurit des TI et du personnel charg du soutien oprationnel des TI, les
gestionnaires de projet de TI doivent faire en sorte que les exigences en matire de scurit des projets sont
respectes au moyen du dveloppement et de la mise en ouvre de devis techniques de scurit.

10. Politique ministrielle de scurit des TI

Chaque ministre doit avoir une politique de scurit des TI qui se fonde sur la Politique du gouvernement de scurit,
la prsente norme et les autres politiques, normes et documents techniques connexes. Cette politique peut constituer
un document distinct ou s'inscrire, sous forme d'noncs de politique, dans la politique de scurit ministrielle.
Au minimum, la politique ministrielle de scurit des TI doit :

dfinir les rles et responsabilits des gestionnaires de prestation de services et de programmes, du dirigeant
principal de l'information, des conseillers juridiques, des spcialistes de la protection des renseignements
personnels et des spcialistes de la scurit du ministre et d'autres membres du personnel en rapport avec
la scurit des TI;

tablir les liens requis avec les autres normes et politiques ministrielles et les exigences juridiques et
rglementaires en matire de scurit des TI (p. ex., politique sur l'utilisation acceptable);

noncer l'exigence de faire de la scurit des TI une partie intgrante de la prestation des services et des
programmes;

noncer les besoins pour obtenir du financement aux fins de support de la scurit des TI;
noncer les exigences d'examen et de remaniement de la politique ministrielle de scurit des TI et des
documents connexes.

11. Ressources de scurit des TI destines aux

projets
Au stade de la planification de nouveaux programmes ou services et d'importantes mises niveau de programmes ou
services existants, les gestionnaires responsables doivent, ds le tout dbut du processus de financement et
d'approbation, dterminer les exigences scuritaires pour ces programmes, services ou mises niveau, et indiquer les
ressources requises dans les demandes de financement.

12. Contrles de gestion

La prsente section dcrit les contrles de gestion qui s'appliquent tous les programmes et services ministriels. La
partie III de la prsente norme dfinit les mesures de protection techniques et oprationnelles l'appui de ces
contrles.

12.1 Scurit dans le cycle chronologique d'laboration

des systmes
Compte tenu de la difficult de prendre des mesures de protection des TI rentables aprs le dploiement d'un systme,
et comme les technologies et les menaces voluent constamment, les ministres doivent rgler les questions de
scurit et rajuster les exigences de scurit tout au long des stades du cycle chronologique d'laboration des
systmes ci-aprs, y compris ds les premiers stades de la planification et vrification :
Prparation
Une valuation initiale des menaces et des risques (EMR) permettra de fournir des intrants aux exigences de
scurit des TI.
Conception et dveloppement
Le dosage appropri des mesures de protection visant l'aspect technique, la gestion, le fonctionnement, la
scurit matrielle et la scurit du personnel permet de satisfaire aux exigences nonces dans l'valuation
des menaces et des risques.

Mise en ouvre
Crer la documentation de conception, effectuer les tests d'acceptation et obtenir la certification et
l'accrditation.
Fonctionnement
La scurit du systme est surveille et maintenue tandis que l'valuation des menaces et des risques aide
valuer les modifications pouvant avoir une incidence sur la scurit.
Conservation et limination
Conformment aux normes et lignes directrices visant l'archivage et la scurit, archiver ou dtruire
l'information et les biens de TI de nature dlicate dans les systmes.
tant donn que les systmes sous-tendent la plupart des programmes et services, l'approche de la scurit des TI qui
est lie au cycle chronologique d'laboration des systmes s'applique aussi la gestion des programmes et services.

12.2 Identification et catgorisation des biens de TI

Conformment la Norme oprationnelle de scurit sur l'identification et la catgorisation des biens, les ministres
doivent dterminer le degr d'importance et de dlicatesse de leur information et de leurs biens de TI sur les plans de
la confidentialit, de l'intgrit, de la disponibilit et de la valeur.
Ce processus est essentiel pour tablir les priorits ministrielles au chapitre de la scurit des TI et il aide dfinir
l'application progressive des contrles et mesures de protection prvus dans la prsente norme et dans les documents
techniques affrents.

12.3 Gestion du risque de scurit

Les ministres doivent grer les risques de scurit touchant l'information et les biens de TI tout au long du cycle de
vie de leurs programmes et services.
La gestion du risque de scurit n'est qu'un lment de la gestion du risque pour l'organisation et les services dcrite
dans le Cadre intgr de gestion des risques.
Les activits de gestion du risque de scurit incluent les valuations des menaces et des risques, les vrifications, les
analyses de l'incidence sur l'organisation, les valuations des rpercussions sur la protection des renseignements
personnels, les auto-valuations, la surveillance, les enqutes de scurit et les valuations de vulnrabilit. Comme
certaines de ces activits vont gnrer une information identique ou similaire sur la gestion du risque, le gestionnaire
de la prestation de programmes et services devrait viter le chevauchement en veillant leur coordination et au
partage de l'information ainsi recueillie (en vertu des lois et politiques en vigueur traitant avec la collecte, l'utilisation,
la divulgation et la conservation de l'information).

12.3.1 Application progressive des contrles et mesures de

protection
L'application progressive des contrles de gestion et des mesures de protection techniques et oprationnelles devrait
se fonder au moins sur les lments suivants :

le degr de dlicatesse et d'importance des biens lis aux programmes et services;

les menaces la confidentialit, l'intgrit, la disponibilit ou la valeur des biens;
les vulnrabilits connues du programme ou service;
les donnes sur les incidents ou l'historique de ceux-ci;
les risques que les biens ne soient exposs des menaces (p. ex., par Internet).

Ces activits contribuent la gestion des risques des programmes, systmes et services.

12.3.2 valuation des menaces et des risques

L'valuation des menaces et des risques est un des lments qui permettent d'tablir les exigences en matire de
scurit. Les ministres doivent appliquer des mesures de scurit suprieures aux exigences de base lorsqu'une
valuation des menaces et des risques le justifie.
tapes de l'valuation des menaces et des risques :

identifier et classer l'information et les biens connexes selon leur degr de dlicatesse (et consigner cette
information dans un nonc de la nature dlicate);

valuer les vulnrabilits du systme et les menaces son endroit qui pourraient avoir une incidence sur la
prestation d'un programme ou d'un service;

dterminer le niveau de risque, en fonction des mesures de protection en place et des vulnrabilits du
systme;

recommander des mesures de protection qui permettront de ramener le risque un niveau acceptable.

Les ministres doivent coordonner l'identification et la catgorisation de leurs biens avec les activits connexes telles
que les valuations des rpercussions sur la protection des renseignements personnels ou les analyses des
rpercussions sur les activits.
Les ministres doivent effectuer une valuation des menaces et des risques (EMR) pour chaque programme, systme
ou service. Ce type d'valuation peut tre soit simple et concise, soit dtaille et rigoureuse, selon le degr de
dlicatesse, d'importance et de complexit du programme, du systme ou du service faisant l'objet de l'valuation.
Dans le cas des programmes, systmes ou services pour lesquels les inquitudes relatives l'environnement
d'exploitation et la scurit sont identiques ou similaires, les ministres sont encourags dvelopper des EMR
rutilisables.

12.3.3 Certification et accrditation

La certification sert vrifier si les exigences de scurit tablies pour un systme ou service particulier sont
respectes et si les contrles et mesures de protection fonctionnent comme prvu. L'accrditation vise confirmer si la
direction a autoris le fonctionnement du systme ou service et si elle a accept le risque rsiduel li au
fonctionnement du systme ou service, en se fondant sur les lments probants de la certification.
Les ministres doivent avoir leurs systmes ou services certifis et accrdits avant d'en autoriser le fonctionnement.
Le rendement progressif de la certification dpend de la quantit et de la qualit des lments probants de certification
exigs par le responsable de l'accrditation. Ces derniers peuvent inclure les rsultats applicables de l'EMR, de
l'valuation de l'incidence sur les activits, de l'valuation des rpercussions sur la protection des renseignements
personnels, de l'valuation de vulnrabilit, de l'valuation des tests de scurit et des produits, des auto-valuations,
des vrifications, des examens de scurit et des valuations juridiques et stratgiques connexes qui font la preuve de
la conformit aux lois et politiques pertinentes.
Les ministres doivent examiner priodiquement l'accrditation des systmes ou services si ces derniers ont beaucoup
chang ou si cela est ncessaire en raison de changements survenus dans l'environnement de risque.
Pour les systmes ou services communs, le dirigeant principal de l'information du gouvernement du Canada est le
responsable de l'accrditation. Pour les systmes ou services propres un ministre, le gestionnaire de la prestation de
programmes ou services est charg de l'accrditation. Pour les systmes ou services communs deux organisations ou
plus, le gestionnaire du programme ou du service est responsable de l'accrditation.

12.4 Gestion des incidents

La gestion des incidents couvre l'incident depuis sa dcouverte jusqu' la mise en ouvre des mesures appropries. La
dcouverte d'un incident se fait souvent par l'entremise de systmes qui dtectent l'occurrence d'incidents. Une fois
l'incident dtect, les ministres doivent tre en mesure de cerner correctement l'incident et d'y ragir la fois au sein
du ministre et dans le cadre d'une rponse coordonne l'chelle du gouvernement.
La gestion des incidents fait partie d'une stratgie de dfense active dcrite la section 15. Se reporter aux sections
17 et 18 pour obtenir de plus amples renseignements sur la gestion des incidents.

12.5 Gestion de la vulnrabilit

Les ministres doivent continuellement grer les vulnrabilits de leurs programmes, systmes et services. Cette tche
de gestion inclut la dcouverte des vulnrabilits et la mise en ouvre de solutions adaptes. Dans le cadre de la
dcouverte, les ministres doivent vrifier activement les sources d'information sur la vulnrabilit afin d'en dterminer
les effets ventuels sur leurs programmes, systmes et services.
Dans le cadre de la gestion des solutions, les ministres doivent dterminer le risque que posent les vulnrabilits. En
fonction de ce risque, les ministres doivent valuer l'incidence de la solution propose pour la vulnrabilit, et, par la
suite, mettre en ouvre et dployer la solution (p. ex., un correctif logiciel). Les ministres qui dcouvrent dans un

systme une vulnrabilit pour laquelle il n'existe aucun correctif devraient avoir recours une autre mthode pour
attnuer le risque (p. ex., changer la configuration).

12.5.1 valuation de la vulnrabilit

Une valuation de la vulnrabilit permet de dcouvrir les points vulnrables de systmes existants. Les ministres
doivent effectuer une valuation de la vulnrabilit rgulirement pour les systmes trs dlicats ou assortis de risques
importants, et leur discrtion, pour les autres systmes.
Les ministres doivent consigner les dtails relatifs aux valuations de la vulnrabilit, les dcisions prises et les
mesures correctives prises ultrieurement, p. ex., les correctifs logiciels.

12.5.2 Gestion des correctifs

Le fait de ne pas appliquer rapidement les correctifs de scurit peut entraner de graves incidents en matire de
scurit des TI. Les ministres doivent mettre en place un processus systmatique et document de gestion des
correctifs afin de s'assurer qu'ils appliquent les correctifs de scurit en temps opportun. Le coordonnateur de la
scurit des TI doit veiller ce que ce processus soit efficace et ce que le ministre le respecte.

12.6 Rpartition des fonctions

Le fait de confier toutes les responsabilits d'un systme de TI ou d'une fonction au sein de l'organisation une seule
personne peut rendre un systme vulnrable un abus non dtect ou une dfaillance ponctuelle. Afin qu'aucune
personne ne dtienne le contrle complet d'un systme entier de TI ou d'une importante fonction d'excution, les
ministres doivent, dans la mesure du possible, rpartir les responsabilits de TI. Les personnes autorises effectuer
des oprations sensibles ne doivent pas tre autorises en faire la vrification.

12.7 Passation de marchs

Les ministres doivent respecter les exigences de scurit des TI au cours du processus de passation de marchs.
Avant de signer un contrat, les ministres doivent vrifier si la scurit des TI convient au type de marchandises ou de
services que fournira l'entrepreneur, et si tel est le cas, ils doivent justifier les exigences de scurit tous les stades
de la passation de marchs.
Les ministres doivent nommer, au sein de leur personnel, des personnes responsables de superviser le travail des
fournisseurs de services de scurit des TI externes.
Pour de plus amples renseignements, prire de consulter la Norme de scurit et de gestion des marchs.

12.8 Planification de la continuit

La planification de la continuit de la Gestion de l'information (GI) et des Technologies de l'information (TI) fait partie
intgrante de la planification de la continuit des activits. L'un des objectifs de la planification de la continuit de la GI
est de faire en sorte qu'il y ait peu ou pas d'interruptions dans la disponibilit des biens d'information. Un des objectifs
de la planification de la continuit des TI est de faire en sorte qu'il y ait peu ou pas d'interruptions dans la disponibilit
des services et biens essentiels de TI. Dans le cadre de la planification de la continuit des activits, les ministres
doivent laborer un plan de continuit pour la GI et un autre pour les TI puis, les tester et les rviser rgulirement. Le
coordonnateur de la planification de la continuit des activits doit collaborer avec le coordonnateur de la scurit des
TI tout au long de la planification de la continuit des activits.
Pour de plus amples renseignements, prire de consulter la Norme oprationnelle de scurit sur le programme de
planification de la continuit des activits.

12.9 Sanctions
La section 10.16 de la Politique du gouvernement sur la scurit exige que les ministres imposent des sanctions en
raisons de violations de la scurit des TI, lorsque, de l'avis de l'administrateur gnral, il y a eu inconduite ou
ngligence. Pour de plus amples informations, veuillez consulter la norme oprationnelle de scurit sur les
sanctions et les lignes directrices du Conseil du Trsor sur la discipline.

12.10 Partage et change d'information et de biens de

TI
Les ministres qui partagent de l'information, l'infrastructure des TI et d'autres biens de TI doivent rdiger une entente
de scurit qui dfinit les modalits de tout partage d'information, et qui reconnat les consquences lgales de ce
partage. Comme le stipule la section 10.2 de la Politique du gouvernement sur la scurit, les ministres qui partagent
de l'information et d'autres biens ou qui se servent d'une infrastructure commune doivent se conformer aux normes de
scurit dfinies pour ce systme ou cette infrastructure.
Les ministres qui dtiennent ou utilisent de l'information provenant de l'extrieur du gouvernement du Canada
(p. ex., de l'industrie, d'un gouvernement provincial ou de parties internationales) doivent respecter les ententes ou les
arrangements pris avec les parties qui ont fourni l'information.

12.11 valuation et vrification de la scurit des TI

l'chelle du ministre
Les ministres devraient surveiller activement les pratiques et les contrles de gestion. Dans le cadre de leurs
responsabilits, les ministres doivent valuer et vrifier la scurit des TI et en combler les lacunes, s'il y a lieu.

12.11.1 Auto-valuation
Les ministres doivent effectuer une valuation annuelle de leur programme et de leurs pratiques de scurit des TI
afin de vrifier leur conformit aux politiques et normes de scurit du gouvernement et du ministre, au moyen de la
mthode d'auto-valuation de la scurit des TI mise au point par le Secrtariat du Conseil du Trsor. Cette mthode
sera explique en dtail dans des documents ultrieurs.
L'auto-valuation de la scurit des TI permet de reprer les lacunes et aide les ministres trouver et mettre en
ouvre des mesures correctives. En fonction des rsultats de l'auto-valuation, les ministres doivent laborer ou mettre
jour leur plan d'action en matire de scurit des TI et dterminer les ressources requises pour le mettre en ouvre.
Afin d'aider le Secrtariat du Conseil du Trsor valuer la scurit l'chelle du gouvernement, les ministres doivent
prsenter leur auto-valuation de la scurit des TI quand le dirigeant principal de l'information en fait la demande.

12.11.2 Vrification interne

La planification des vrifications de la scurit des TI doit tre intgre au processus gnral de planification des
vrifications internes du ministre, et place selon un ordre de priorit conforme la Politique du SCT sur la vrification
interne, aux exigences du ministre et du gouvernement du Canada ainsi qu' la stratgie et aux pratiques gnrales
du ministre en matire de gestion du risque. En gnral, le processus interne de planification de la vrification
accorde la priorit aux domaines assortis d'une grande importance relative et de grands risques, aux systmes
fondamentaux des ministres sur les plans financier, administratif ou de contrle, ainsi qu'aux processus de production
de rapports externes sur le rendement.
Le coordonnateur de la scurit des TI et le dirigeant principal de l'information doivent tre consults pendant chaque
tape d'une vrification du programme de scurit des TI et au cours de toutes les vrifications de programmes ou
services ministriels ayant une composante de scurit des TI. Le coordonnateur de la scurit des TI doit prparer
une rponse crite la vrification de la scurit des TI et laborer un plan d'action qui sera soumis l'approbation de
la haute direction.

12.12 Sensibilisation la scurit des TI

Les ministres doivent informer les membres de leur personnel de leurs responsabilits et de toute question ou de tout
problme lis la scurit des TI, et les leur rappeler rgulirement. Le personnel inclut toute personne ayant accs
l'information et aux biens de TI du gouvernement. Les ministres doivent inclure une sensibilisation la scurit des TI
dans la formation des nouveaux employs. Les ministres doivent intgrer la sensibilisation la scurit des TI leur
programme gnral de sensibilisation la scurit du ministre.
Les ministres doivent veiller ce que tout le personnel connaisse les risques de scurit associs l'utilisation des
postes de travail et de tout autre matriel informatique (n