Vérification de la sécurité au ministère
rapport sommaire final

5.0 RECOMMANDATIONS

1. La haute direction devrait revoir le contexte organisationnel de la sécurité et veiller à attribuer à tous les éléments relatifs à la sécurité une importance suffisamment élevée. À cette fin, elle devrait :

  • vérifier que les fonctions de sécurité relèvent du niveau organisationnel pertinent;
  • garantir une meilleure intégration des éléments entre l’AC et les régions;
  • obtenir l’appui de l’équipe de gestion en intégrant les exigences relatives à la sécurité aux contrats de gestion conclus avec les cadres supérieurs de l’ensemble du Ministère;
  • vérifier de façon périodique les fonctions de sécurité à l’échelle régionale et locale au regard du contrat de gestion;
  • réviser les budgets pour aider les employés affectés à la sécurité à tous les niveaux à assurer le leadership, puis évaluer le leadership au regard du contrat de gestion de la sécurité;
  • améliorer les communications en fournissant des ressources grâce auxquelles les pratiques « exemplaires » en matière de sécurité pourront être diffusées dans l’ensemble du Ministère;
  • prendre la mesure des investissements en sécurité faits par les autres ministères et appliquer les « leçons dégagées » de ces exemples au Ministère.

2. Le cadre de gestion de la sécurité devrait être mieux intégré entre l’AC, les régions et les sites de façon à garantir une mise en oeuvre réelle des politiques et des procédures. La haute direction devrait consolider le cadre de sécurité :

  • en veillant à l’amélioration des activités d’élaboration de politiques et à la promulgation des ébauches de politiques - ces activités viseraient entre autres la promulgation d’une politique sur la sécurité de la technologie de l’information, le nettoyage ou le remplacement des sites intranet existants et la coordination des politiques relatives aux différents éléments de sécurité;
  • en veillant à ce que tous les organismes responsables élaborent un plan pour définir les objectifs en matière de sécurité et les calendriers connexes, y compris pour l’amélioration de la formation;
  • en mettant sur pied des comités de sécurité mixtes (régional-national, régional-régional, sécurité-secteurs d’activité) et en rédigeant des comptes rendus de façon à partager l’information relative aux mesures adoptées, aux résultats et aux pratiques « exemplaires » en matière de sécurité.

3. La haute direction devrait veiller à ce que, pour tout ce qui touche les ressources d’information, les objectifs et les activités de sécurité :

  • sensibilisent davantage les employés quant aux exigences de sécurité sur le plan du traitement de l’information;
  • améliorent les processus d’évaluation des menaces et des risques et garantissent que des EMR et des END sont réalisés de façon régulière et mis à jour et que leurs résultats sont présentés sous forme de rapports;
  • exigent la réalisation d’une EMR à l’échelle du Ministère dans le but d’étudier et de documenter les risques et les problèmes à l’échelle du Ministère;
  • entraînent l’examen des systèmes d’exploitation actuels au regard des exigences de protection des renseignements qui y sont conservés;
  • améliorent les mesures de contrôle de l’entreposage, de l’utilisation et du rapprochement des documents contrôlés.

<< Contenu | Précédent | Suivant >>