Vérification de la sécurité au ministère
rapport sommaire final

5.2 RÉPONSE DE LA DIRECTION ET PLAN D’ACTION (3 de 3)

Recommandations Réponse Plan d’action
et tâches		 Responsabilité Échéance
3. La haute direction devrait veiller à ce que, pour tout ce qui touche les ressources d’information, les objectifs et les activités de sécurité :

3.1 sensibilisent davantage les employés quant aux exigences de sécurité sur le plan du traitement de l’information;

3.2 améliorent les processus d’évaluation des menaces et des risques et garantissent que des EMR et des END sont réalisés de façon régulière et mis à jour et que leurs résultats sont présentés sous forme de rapports;

3.3 exigent la réalisation d’une EMR à l’échelle du Ministère dans le but d’étudier et de documenter les risques et les problèmes à l’échelle du Ministère;

3.4 entraînent l’examen des systèmes d’exploitation actuels au regard des exigences de protection des renseignements qui y sont conservés;

3.5 améliorent les mesures de contrôle de l’entreposage, de l’utilisation et du rapprochement des documents contrôlés.

 Depuis la vérification, CIC a réalisé une EMR à l’échelle du Ministère, comme on le lui avait recommandé, et mené une enquête sur les installations et les technologies de l’information à l’échelle nationale. La Direction générale de la gestion et des technologies de l’information a terminé son examen de sécurité en juin 2002; elle s’est attachée aux questions qui ont été soulevées au sujet de la façon de concevoir et d’utiliser les systèmes de TI pour le traitement des données protégées. 3.1 Sensibilisent davantage les employés quant aux exigences de sécurité sur le plan du traitement de l’information.

a) Adoption de la LIPR
Avec l’adoption de la Loi sur l’immigration et la protection des réfugiés (LIPR), la Sécurité ministérielle a mis sur pied un projet d’examen de la sécurité pour normaliser le niveau de sécurité des postes régionaux concernés. Il a fallu procéder à l’examen de quelque 1 500 postes de ce type et leur attribuer le niveau de sécurité pertinent.
  • Sécurité ministérielle
  • Terminé
3.2 Améliorent les processus d’évaluation des menaces et des risques et garantissent que des EMR et des END sont réalisés de façon régulière et mis à jour et que leurs résultats sont présentés sous forme de rapports.
  • Sécurité ministérielle
  • Dernier trimestre
a) EMR des installations physiques
On a précisé clairement les politiques sur les EMR des installations physiques , mais elles ne sont pas appliquées de façon uniforme à CIC. Certains trouvent que le processus est trop complexe et n’en voient pas l’utilité précise. C’est pourquoi la plupart des sites ayant fait l’objet de la vérification n’avaient pas réalisé, récemment, une EMR. On vérifiera l’efficacité des outils servant aux EMR et on formera le personnel à leur utilisation.
  • Voir 2.1b
  • Voir 2.1b
b) EMR visant la Sécurité des TI
Seulement 30 % des systèmes ont fait l’objet d’un examen. On terminera la rédaction d’une politique complète sur les EMR visant les TI.

c) Gestion continue des risques
Les procédures en matière de sécurité des TI permettront de gérer les risques pour la sécurité tout au long du cycle de vie du système. Le processus sera intégré au mécanisme général de gestion de projet de CIC.
  • DGGTI
  • 31 décembre 2002

3.3 Exigent la réalisation d’une EMR à l’échelle du Ministère dans le but d’étudier et de documenter les risques et les problèmes à l’échelle du Ministère.

a) EMR visant le Ministère
CIC fait actuellement l’évaluation des menaces et des risques à l’échelle du Ministère dans le but de cerner et de documenter les risques et les préoccupations de l’ensemble de l’organisme. On en tirera un modèle à partir duquel les EMR seront réalisées aux échelons inférieurs.
  • Sécurité ministérielle
  • Troisième trimestre, exercice 2002-2003

3.4 Entraînent l’examen des systèmes d’exploitation actuels au regard des exigences de protection des renseignements qui y sont conservés

a) Amélioration de la sécurité du périmètre
Avec la collaboration de la Sécurité des TI et du groupe de la communication des données des opérations, la Direction générale de la gestion et des technologies de l’information s’efforce d’améliorer la sécurité du périmètre dans lequel se trouvent les systèmes informatiques.
  • DGGTI
  
b) Exigences touchant la protection des données emmagasinées
La DGGTI prendra les mesures nécessaires pour garantir que les applications de production et les systèmes d’exploitation respectent les lignes directrices du Centre de la sécurité des télécommunications.

3.5 Améliorent les mesures de contrôle de l’entreposage, de l’utilisation et du rapprochement des documents contrôlés.

a) Formulaires contrôlés
On a créé un comité présidé par le directeur de la Gestion de l’information qui a pour tâche d’examiner et de peaufiner les politiques, procédures et lignes directrices visant la production, la diffusion, l’entreposage, l’utilisation et le suivi des formulaires contrôlés.
On a aussi consacré des ressources au contrôle des exigences ordinaires en matière de rapport sur les formulaires contrôlés que doivent respecter les bureaux et les missions de CIC.
De plus, on a revu les directives de CIC concernant la distribution, l’entreposage, l’utilisation et la destruction des formulaires contrôlés. On a aussi élaboré des procédures sur la présentation de rapports de façon à faire le suivi des écarts dans ce domaine.
  • RH
  • Sécurité ministérielle
  • Région internationale
  • Régions intérieures
  • Gestion du matériel
  • Exécution de la loi
  • SMGC
  • Crimes de guerre
  • Continu

<< Contenu | Précédent >>