Vérification de la sécurité au ministère

Recommandations	Réponse	Plan d’action et tâches	Responsabilité	Échéance
2. Le cadre de gestion de la sécurité devrait être mieux intégré entre l’AC, les régions et les sites de façon à garantir une mise en oeuvre réelle des politiques et des procédures. La haute direction devrait consolider le cadre de sécurité : 2.1 en veillant à l’amélioration des activités d’élaboration de politiques et à la promulgation des ébauches de politiques - ces activités viseraient entre autres la promulgation d’une politique sur la sécurité de la technologie de l’information, le nettoyage ou le remplacement des sites intranet existants et la coordination des politiques relatives aux différents éléments de sécurité; 2.2 en veillant à ce que tous les organismes responsables élaborent un plan pour définir les objectifs en matière de sécurité et les calendriers connexes, y compris pour l’amélioration de la formation; 2.3 en mettant sur pied des comités de sécurité mixtes (régional-national, régional-régional, sécurité-secteurs d’activité) et en rédigeant des comptes rendus de façon à partager l’information relative aux mesures adoptées, aux résultats et aux pratiques « exemplaires » en matière de sécurité.	CIC reconnaît que la clé des programmes de sécurité efficaces est un ensemble de politiques communes, claires, complètes, connues et à jour. Il existe déjà un certain nombre de politiques, mais il faut encore que les employés de l’organisation y soient plus sensibilisés et les comprennent mieux. Le Conseil du Trésor passe actuellement en revue les normes liées à la Politique gouvernementale en matière de sécurité (PGS) révisée. CIC intégrera sa politique de sécurité et la complétera de manière à l’adapter aux changements apportés aux politiques en matière de sécurité du gouvernement fédéral. CIC intégrera le niveau de sécurité pertinent aux opérations ordinaires. Le personnel respectera les paramètres de la PGS comme il respecte ceux de la Loi sur la gestion des finances publiques (LGFP) et de la Loi sur les relations de travail dans la fonction publique (LRTFP).	2.1 En veillant à l’amélioration des activités d’élaboration de politiques et à la promulgation des ébauches de politiques - ces activités viseraient entre autres la promulgation d’une politique sur la sécurité de la technologie de l’information, le nettoyage ou le remplacement des sites intranet existants et la coordination des politiques relatives aux différents éléments de sécurité. a) Intégration La politique sur la sécurité de Citoyenneté et Immigration sera passée en revue, et on apportera les changements nécessaires pour répondre aux attentes de la nouvelle PGS et se conformer aux normes nouvelles et à venir. CIC harmonisera toutes les politiques relatives à la sécurité - statut actuel, statut souhaité, analyse des lacunes, plan de transition - pour les intégrer à la PGS.	ASM Sécurité ministérielle RH Sécurité des TI	Fin de l’exercice 2002-2003
b) Examen et politique touchant la Sécurité des TI La Direction générale de la gestion et des technologies de l’information (DGGTI) a mis le point final, le 28 juin 2002, à un examen des politiques en matière de sécurité. Elle s’est attachée à plusieurs des questions soulevées pendant la vérification, y compris : l’augmentation importante des exigences visant une plus grande sécurité des communications électroniques; les améliorations nécessaires à la gestion dans un environnement en constante évolution et au regard du fait que l’on compte de plus en plus sur les TI dans les activités; les contrôles de sécurité du réseau local en fonction de la nature délicate des données qui y sont contenues; les façons de contrer l’absence d’une approche axée sur le cycle de vie des systèmes pour assurer l’entretien des mécanismes de sécurité. Examen des politiques, des procédures, des structures de gestion et du plan de transition	DGGTI	Terminé
Les recommandations subséquentes visent les activités et les projets suivants dans le but d’améliorer la feuille de route du Ministère au chapitre de la sécurité : mesures de dotation visant la Sécurité des TI; projet sur un périmètre de sécurité pour augmenter la protection et le respect du caractère privé des ressources d’information de CIC; intégration de mesures de gestion continue des risques pour la sécurité dans le cadre de gouvernance de projet de CIC; élaboration d’une politique sur l’accès à distance; création de procédures de certification et d’accréditation des systèmes de CIC; élaboration de normes de sécurité des TI pour CIC; adoption de mesures de contrôle, de vérification et de détection de l’intrusion; mise à niveau du Programme de sensibilisation à la sécurité des TI.
2.2 En veillant à ce que tous les organismes responsables élaborent un plan pour définir les objectifs en matière de sécurité et les calendriers connexes, y compris pour l’amélioration de la formation. a) Programme de sensibilisation à la sécurité La PGS révisée exige que les ministères mettent en place un Programme de sensibilisation à la sécurité. CIC poursuivra la mise en oeuvre de son Programme de sensibilisation à la sécurité. Sur le site Web de la Sécurité ministérielle on offrira des modules de formation à la Sécurité ministérielle, des manuels et des liens vers d’autres éléments de sécurité, que tous les employés de CIC pourront consulter.	ASM DGGTI RH Sécurité ministérielle	Le site Web de la Sécurité ministérielle devrait être opérationnel au troisième trimestre, exercice 2002-2003
2.3 En mettant sur pied des comités de sécurité mixtes (régional-national, régional-régional, sécurité-secteurs d’activité) et en rédigeant des comptes rendus de façon à partager l’information relative aux mesures adoptées, aux résultats et aux pratiques « exemplaires » en matière de sécurité. a) Comités mixtes CIC se servira du CGSM comme d’un mécanisme permettant de cerner les besoins liés à la formation de comités et de créer les comités mixtes pertinents.	Voir 2.2a	Voir 2.2a
b) Système de compte rendu d’incident On a créé un système qui recueille les données sur les incidents. On peut produire des rapports et des analyses des tendances par bureau, par région, ou encore à l’échelle du pays.	Sécurité ministérielle	Terminé

Recommandations

Réponse

Plan d’action
et tâches

Responsabilité

Échéance

2. Le cadre de gestion de la sécurité devrait être mieux intégré entre l’AC, les régions et les sites de façon à garantir une mise en oeuvre réelle des politiques et des procédures. La haute direction devrait consolider le cadre de sécurité :

2.1 en veillant à l’amélioration des activités d’élaboration de politiques et à la promulgation des ébauches de politiques - ces activités viseraient entre autres la promulgation d’une politique sur la sécurité de la technologie de l’information, le nettoyage ou le remplacement des sites intranet existants et la coordination des politiques relatives aux différents éléments de sécurité;

2.2 en veillant à ce que tous les organismes responsables élaborent un plan pour définir les objectifs en matière de sécurité et les calendriers connexes, y compris pour l’amélioration de la formation;

2.3 en mettant sur pied des comités de sécurité mixtes (régional-national, régional-régional, sécurité-secteurs d’activité) et en rédigeant des comptes rendus de façon à partager l’information relative aux mesures adoptées, aux résultats et aux pratiques « exemplaires » en matière de sécurité.

CIC reconnaît que la clé des programmes de sécurité efficaces est un ensemble de politiques communes, claires, complètes, connues et à jour. Il existe déjà un certain nombre de politiques, mais il faut encore que les employés de l’organisation y soient plus sensibilisés et les comprennent mieux.

Le Conseil du Trésor passe actuellement en revue les normes liées à la Politique gouvernementale en matière de sécurité (PGS) révisée. CIC intégrera sa politique de sécurité et la complétera de manière à l’adapter aux changements apportés aux politiques en matière de sécurité du gouvernement fédéral.

CIC intégrera le niveau de sécurité pertinent aux opérations ordinaires. Le personnel respectera les paramètres de la PGS comme il respecte ceux de la Loi sur la gestion des finances publiques (LGFP) et de la Loi sur les relations de travail dans la fonction publique (LRTFP).

2.1 En veillant à l’amélioration des activités d’élaboration de politiques et à la promulgation des ébauches de politiques - ces activités viseraient entre autres la promulgation d’une politique sur la sécurité de la technologie de l’information, le nettoyage ou le remplacement des sites intranet existants et la coordination des politiques relatives aux différents éléments de sécurité.

a) Intégration

La politique sur la sécurité de Citoyenneté et Immigration sera passée en revue, et on apportera les changements nécessaires pour répondre aux attentes de la nouvelle PGS et se conformer aux normes nouvelles et à venir. CIC harmonisera toutes les politiques relatives à la sécurité - statut actuel, statut souhaité, analyse des lacunes, plan de transition - pour les intégrer à la PGS.

ASM
Sécurité ministérielle
RH
Sécurité des TI

Fin de l’exercice 2002-2003

b) Examen et politique touchant la Sécurité des TI

La Direction générale de la gestion et des technologies de l’information (DGGTI) a mis le point final, le 28 juin 2002, à un examen des politiques en matière de sécurité. Elle s’est attachée à plusieurs des questions soulevées pendant la vérification, y compris :

l’augmentation importante des exigences visant une plus grande sécurité des communications électroniques;
les améliorations nécessaires à la gestion dans un environnement en constante évolution et au regard du fait que l’on compte de plus en plus sur les TI dans les activités;
les contrôles de sécurité du réseau local en fonction de la nature délicate des données qui y sont contenues;
les façons de contrer l’absence d’une approche axée sur le cycle de vie des systèmes pour assurer l’entretien des mécanismes de sécurité.

Examen des politiques, des procédures, des structures de gestion et du plan de transition

DGGTI

Terminé

Les recommandations subséquentes visent les activités et les projets suivants dans le but d’améliorer la feuille de route du Ministère au chapitre de la sécurité :

mesures de dotation visant la Sécurité des TI;
projet sur un périmètre de sécurité pour augmenter la protection et le respect du caractère privé des ressources d’information de CIC;
intégration de mesures de gestion continue des risques pour la sécurité dans le cadre de gouvernance de projet de CIC;
élaboration d’une politique sur l’accès à distance;
création de procédures de certification et d’accréditation des systèmes de CIC;
élaboration de normes de sécurité des TI pour CIC;
adoption de mesures de contrôle, de vérification et de détection de l’intrusion;
mise à niveau du Programme de sensibilisation à la sécurité des TI.

2.2 En veillant à ce que tous les organismes responsables élaborent un plan pour définir les objectifs en matière de sécurité et les calendriers connexes, y compris pour l’amélioration de la formation.

a) Programme de sensibilisation à la sécurité

La PGS révisée exige que les ministères mettent en place un Programme de sensibilisation à la sécurité.

CIC poursuivra la mise en oeuvre de son Programme de sensibilisation à la sécurité.

Sur le site Web de la Sécurité ministérielle on offrira des modules de formation à la Sécurité ministérielle, des manuels et des liens vers d’autres éléments de sécurité, que tous les employés de CIC pourront consulter.

ASM
DGGTI
RH
Sécurité ministérielle

Le site Web de la Sécurité ministérielle devrait être opérationnel au troisième trimestre, exercice 2002-2003

2.3 En mettant sur pied des comités de sécurité mixtes (régional-national, régional-régional, sécurité-secteurs d’activité) et en rédigeant des comptes rendus de façon à partager l’information relative aux mesures adoptées, aux résultats et aux pratiques « exemplaires » en matière de sécurité.

a) Comités mixtes

CIC se servira du CGSM comme d’un mécanisme permettant de cerner les besoins liés à la formation de comités et de créer les comités mixtes pertinents.

Voir 2.2a

Voir 2.2a

b) Système de compte rendu d’incident

On a créé un système qui recueille les données sur les incidents. On peut produire des rapports et des analyses des tendances par bureau, par région, ou encore à l’échelle du pays.

Sécurité ministérielle

Terminé

Recherche

Vérification de la sécurité au ministère
rapport sommaire final

5.3 RÉPONSE DE LA DIRECTION ET PLAN D’ACTION (2 de 3)