Académique Documents
Professionnel Documents
Culture Documents
Politique de scurit
des actifs informationnels
Le 6 juin 2006
Version 1.4
Date
Auteur
1.
2.
3.
2006-03-22
2006-05-23
2006-06-08
Hlne Gendron
Bambina Circelli
Bambina Circelli
Hlne Gendron
Changements
Direction
Titre demploi
Personne dsigne
Gnrale
Anne-Marie Tardif
Affaires mdicales et
universitaires
Adjoint administratif
dterminer
Services la population
Chef de service
Ghislaine Tremblay
Chef de service
Hlne Gendron
Coordination des
technologies et
systmes dinformation
Coordonnateur
Diamantino De Sousa
Coordination des
technologies et
systmes dinformation
Officier de scurit de
linformation / RSAI
Bambina Circelli
Coordination de la
gestion de linformation
Coordonnateur
Mike Benigeri
Ressources humaines,
information et
planification
Prvention et sant
publique
Gnrale adjointe
Service/territoire
Administration
Adjointe au responsable
secteur administration
Directrice gnrale
adjointe
Rene-Marthe Giard
Louise Massicotte
Coordonnateur
Grald Trottier
Service de gnie
biomdicale et services
techniques
Conseiller aux
tablissements
Paul Trahan
Rseaux-Est
Directeur
Normand Lauzon
Rseaux-Ouest
Directrice
Rita Cavaliere
1.
CONTEXTE........................................................................................................................................................1
2.
OBJECTIFS DE LA POLITIQUE....................................................................................................................3
3.
PORTE..............................................................................................................................................................3
3.1.
3.2.
4.
5.
6.
7.
8.
MISE EN APPLICATION...............................................................................................................................12
9.
ANNEXE 1 .................................................................................................................................................................13
ANNEXE 2 .................................................................................................................................................................14
ANNEXE 3 .................................................................................................................................................................17
ANNEXE 4 .................................................................................................................................................................18
1.
Contexte
La modernisation du rseau de la sant et des services sociaux repose sur la
possibilit, pour les tablissements et organismes du rseau, de schanger des
informations de faon rapide et scuritaire. Cest dans cette optique que le rseau
sest dot en 1999 du RTSS (rseau de tlcommunication sociosanitaire) qui relie
des sites au sein de plusieurs tablissements et organismes de la sant. Dans la
perspective dun volume accru dchanges dinformation et afin de sassurer du
respect des lois, rglements et normes gouvernementales en matire de scurit de
linformation, le ministre de la Sant et des Services sociaux (MSSS) a labor et
adopt le 22 septembre 2002 un Cadre global de gestion des actifs informationnels
appartenant aux organismes de la sant et des services sociaux volet sur la
scurit (CGGAI-volet scurit). La volont du MSSS est de mettre en place
lensemble des mesures prvues au CGGAI-volet scurit.
LAgence reconnat que linformation, sur support papier et lectronique, est
essentielle ses oprations courantes et, de ce fait, quelle doit faire lobjet dune
valuation, dune utilisation approprie et dune protection adquate. De plus,
plusieurs lois et directives encadrent et rgissent lutilisation de linformation.
En consquence, la prsente politique de scurit est la premire de plusieurs tapes
que lAgence entreprend pour raliser le plan de mise en uvre du CGGAI-volet
scurit qui oriente et dtermine lutilisation approprie et scuritaire de linformation.
Page 1
Mission organisationnelle
tape 1
Politique de
scurit
tape 2
Catgorisation
des documents
tape 3b
tat de la
situation
actuelle
tape 3a
Analyse de
risques
Adquation
Risques
intolrables
Plan directeur
Normes et
procdures
implanter
Outils
techniques
Manires de
faire et
gestion
de la
scurit
Page 2
2.
Objectifs de la politique
La prsente politique, vise assurer le respect de toute lgislation lgard de
lusage et du traitement de linformation sur support lectronique et papier, de
lutilisation des technologies de linformation et des tlcommunications, ou autres
manipulations de linformation.
Dans le prsent document lutilisation de lexpression actif informationnel signifie
la fois les documents sous format papier et les documents sous format
lectronique.
Fonds sur le CGGAI-volet scurit, les objectifs de lAgence de la sant et des
services sociaux de Montral sont dassurer :
la scurit de linformation l'gard de lutilisation des actifs informationnels
(a.i.) :
objectifs de scurit de linformation : disponibilit, intgrit, confidentialit;
objectifs de scurit des accs et transmissions : authentification,
irrvocabilit;
le respect de la vie prive de toute personne et des renseignements personnels
relatifs aux utilisateurs et au personnel du rseau de la sant;
le respect des mesures de scurit et des diffrents codes de conduite
concernant l'utilisation et la gestion des technologies de l'information et des
tlcommunications.
la conformit aux lois et rglements applicables ainsi que les directives, normes
et orientations gouvernementales.
Cette politique sera suivie de normes et de procdures afin de prciser les obligations
qui en dcoulent.
3.
Porte
La porte de la prsente politique sapplique toute personne physique ou morale qui
utilise ou accde de linformation, quelque soit le support sur lequel elle est conserve.
Page 3
(*ces derniers, par leur vocation particulire, peuvent ajouter des procdures
relies leurs activits spciales selon un processus de validation tant et aussi
longtemps quils sont conformes la prsente politique de lAgence);
tous les fournisseurs, contractuels, chercheurs, stagiaires et entits externes qui
doivent accder notre rseau.
3.2.
4.
Respect de la politique
Le prsident-directeur gnral de lAgence dsigne lOfficier de scurit de
linformation/Responsable de la scurit des actifs informationnels (RSAI) comme
responsable de lapplication de la prsente politique.
LAgence exige de toutes les personnes qui utilisent les actifs informationnels ou qui ont
accs de linformation de se conformer aux dispositions de la prsente politique ainsi
quaux normes, directives et procdures qui sy rattachent.
Le non-respect de cette obligation peut entraner des mesures disciplinaires pouvant
aller jusquau congdiement immdiat selon la nature de la faute.
5.
Page 4
5.1.
Principes directeurs
a. Toute personne ayant accs aux actifs informationnels assume des
responsabilits spcifiques en matire de scurit et est imputable de ses
actions auprs de son suprieur immdiat. Elle applique et respecte la
politique de scurit et ses normes et procdures ainsi que les lois et
rglements spcifiques son domaine dactivit. Elle avise son suprieur
immdiat de toute situation susceptible de compromettre la scurit des
actifs informationnels.
b. La mise en uvre et la gestion de la scurit reposent sur une approche
globale et intgre. Cette approche tient compte des aspects humains,
organisationnels, financiers, juridiques et techniques, et demande, cet
gard, la mise en place dun ensemble de mesures coordonnes.
c. Les mesures de protection, de prvention, de dtection, dassurance et de
correction doivent permettre d'assurer la disponibilit, lintgrit et la
confidentialit, l'authentification et l'irrvocabilit des actifs informationnels de
mme que la continuit des activits. Elles doivent notamment empcher les
accidents, les erreurs, la malveillance ou la destruction dinformation sans
autorisation.
d. Les mesures de protection des actifs informationnels doivent permettre de
respecter les prescriptions du CGGAI-volet scurit de mme que les lois
existantes en matire de conservation, daccs, de diffusion et de
transmission dinformation, les obligations contractuelles de lAgence et
lapplication des rgles de gestion interne. Ces mesures permettent aussi de
grer adquatement l'utilisation d'Internet, d'intranet, du courrier lectronique,
du rseau interne de l'Agence et du RTSS.
e. Afin de reconnatre toute information sensible, tout actif informationnel doit
faire lobjet dune identification et dune catgorisation selon un processus
continu dvaluation de linformation.
f.
Page 5
5.2.
Cette section est largement inspire de la politique en vigueur lhpital Louis-H Lafontaine.
Page 6
Page 7
utilisateur ne peut en aucun cas utiliser le compte dun autre utilisateur pour
accder au rseau.
Les rgles et les mesures de scurit entourant les rseaux de
tlcommunication et dInternet doivent empcher quiconque dintercepter des
donnes sensibles sans autorisation. De plus, elles doivent assurer la continuit
des oprations et lintgrit dans la transmission des donnes.
7. Micro-informatique
L'Agence doit assurer l'installation de logiciels et de progiciels autoriss pour
lesquels des licences valides existent sur les serveurs et les postes de travail des
utilisateurs afin d'viter les consquences lgales lies au non-respect des droits
d'auteur. Aucun logiciel ne peut tre install par un utilisateur sans autorisation
pralable.
Tout document lectronique de source externe doit tre vrifi contre les virus
avant son excution ou son utilisation. S'il y a prsence de virus ou un doute
raisonnable qu'il y en a un, il est formellement interdit d'utiliser ce document dans
les appareils de l'Agence ou sur son rseau.
Les donnes sensibles ne doivent pas tre emmagasines sur les postes de
travail sans raison valable. En cas de besoin, elles doivent tre protges de
faon scuritaire (exemple : chiffrement, mot de passe, etc).
8. Relve en cas de dsastre ou de panne
L'Agence doit dfinir les mesures ncessaires afin d'assurer la continuit et la
reprise rapide des oprations en cas de non-disponibilit de ses systmes
informatiques pour une priode intolrable.
Elle doit assurer la mise en place d'un mcanisme de protection de ses donnes
critiques contre la corruption ou la perte suite une dfaillance technique, une
suppression ou une modification involontaire ou malveillante. Le mcanisme
contribuera au succs d'une opration de relve en cas de dsastre en assurant
la disponibilit et l'intgrit de ses donnes.
6.
Page 8
7.
Page 9
Analyste en scurit
titre danalyste en scurit:
travaille sous la gestion professionnelle du RSAI;
sassure dtre au courant du CGGAI-volet scurit;
met en place des procdures pour appuyer limplantation des mesures
obligatoires du CGGAI-volet scurit en collaboration avec le service des
systmes dinformation et de linformatique de lAgence;
coordonne et/ou ralise les tches de scurit oprationnelles qui lui sont
confies par le RSAI;
informe le RSAI de tout manquement la politique.
Les services des systmes dinformation et de linformatique
Le service des systmes dinformation et de linformatique agit comme fournisseur
des services suivants sans sy limiter :
fournit et maintient en tat les moyens techniques de scurit dans lexploitation
des actifs informationnels;
assure la conformit de ces moyens techniques en fonction des besoins de
scurit dtermins par le dtenteur dactif;
assiste et conseille les utilisateurs en vue dune meilleure utilisation de ces
moyens techniques;
met en application la politique de compte dusagers, les procdures des profils et
des codes daccs;
voit la tenue des inventaires sur les quipements et logiciels;
voit la gestion des mots de passe;
voit la mise en place des antivirus et la tenue des journaux;
assure la scurit dans le dveloppement dapplications informatiques;
met en place et maintient une relve des actifs informationnels classs prioritaires;
conseille les directeurs de l'Agence dans l'acquisition des quipements, des
logiciels et du matriel ncessaires pour appliquer la prsente politique;
voit la mise en place des mesures de scurit physique pour les contrles
daccs aux salles des serveurs, aux quipements de tlcommunication ou
tout autre matriel informatique;
appuie le RSAI dans son rle.
Le gestionnaire
en lien avec les sessions de sensibilisation la scurit, le gestionnaire sassure
que son personnel est au fait de leurs obligations dcoulant de la prsente
politique, normes et procdures de scurit en vigueur;
sassure que des moyens de scurit sont utiliss de faon protger
linformation utilise par son personnel;
demande les droits daccs aux applications pour son personnel dans le cas o il
nest pas dtenteur;
informe le RSAI de toute situation risque dans le but damliorer la scurit des
a.i.. Les critres pour un incident sont :
Impacts sur la prestation des services aux usagers;
Impacts lgaux;
Impacts sur plus dun tablissement ou organisme;
Tout vnement pouvant compromettre la scurit physique, la scurit
logique, la scurit de limpression, etc.;
voit au suivi des codes de conduite mis par le service des ressources humaines.
Page 10
Page 11
8.
Mise en application
Des normes et des procdures dcoulent de la prsente politique.
Dans tous les cas elles sont mises jour afin de tenir compte des dveloppements
lgislatifs, technologiques ou de lvolution dans les modes dutilisation.
Le CMIS ainsi que les deux sites soit celui du Technocentre de Montral et celui de la
Direction de la Sant publique, par leur vocation particulire, doivent respecter les
exigences de la prsente politique mais peuvent dvelopper et ajouter des procdures
relies leur activits spciales selon un processus de validation.
Les annexes font partie intgrante de la politique.
9.
Mises jour
La rvision de la prsente politique sera faite selon un calendrier tabli par le CSAI.
Page 12
ANNEXE 1
RFRENCES
1. Charte des droits et liberts de la personne, (L.R.Q. c. C-12)
2. Loi sur les services de sant et services sociaux, Qubec, (L.R.Q., c.A-4.2)
3. Loi 83, Loi modifiant la Loi sur les Services de sant et les Services sociaux et
dautres dispositions lgislatives
4. Loi sur laccs aux documents des organismes publics et sur la protection des
renseignements personnels, Qubec, (L.R.Q. c. a-2.1)
5. Exigences minimales relatives la scurit des dossiers informatiss des usagers du
rseau de la sant et des services sociaux, Commission dAccs lInformation du
Qubec, Qubec, 1992
6. Politique intrimaire de scurit visant les actifs informationnels du rseau de la sant
et des services sociaux, RTSS, Qubec, 1999
7. Politique administrative relative la scurit des actifs informationnels et de
tlcommunication et la protection des donnes et des renseignements confidentiels
de la Rgie rgionale de la sant et des services sociaux de Qubec, RRSSS de
Qubec, Qubec, 2000
8. Le cadre global de gestion des actifs informationnels du rseau de la sant et des
services sociaux, septembre 2002
9. Le courrier lectronique, Commission daccs linformation du Qubec, Qubec,
1997
10. Loi sur les droits dauteur, (L.R.C., c.C.42)
11. Loi sur les Archives, (L.R.Q., c.A-21.1)
12. MSSSQ, projet de standard, version 1.1, juin 2003, annexe A - Exemple de politique
Page 13
ANNEXE 2
DFINITION DES TERMES UTILISS
Actif informationnel (a.i.)
Systme dinformation, matriel informatique et de tlcommunication, logiciels,
progiciels, banques de donnes et information (textuelle, sonore, symbolique ou
visuelle) places dans un matriel informatique ou sur un mdia informatique et/ou
lectronique, systme de courrier lectronique. Un quipement mdical spcialis ou
ultraspcialis peut comporter des composantes qui font partie des actifs
informationnels, notamment lorsquil est reli de faon lectronique des actifs
informationnels. Sajoutent, dans le prsent cadre de gestion, les documents papiers et
les documents imprims gnrs par les technologies de linformation.
Cadre global de gestion des actifs informationnels appartenant aux organismes du
rseau de la sant et des services sociaux Volet sur la scurit (CGGAI-volet
scurit)
Ensemble de textes encadrant la scurit des actifs informationnels et comprenant la
Politique nationale sur la scurit des a.i., les rles et responsabilits des acteurs en
matire de scurit, les mesures en matire de scurit des a.i. et le rpertoire des
procdures optionnelles en cette matire.
Code de conduite
Condens de rgles de pratique labores partir de principes thiques moraux et
professionnels, devoirs et responsabilits, destin tablir des rgles de conduite
suivre et rgissant particulirement l'utilisation des actifs informationnels ainsi que la
protection des donnes et des renseignements confidentiels.
Donnes sensibles
Toute information pouvant crer prjudice l'Agence ou toute autre personne.
Incident
vnement ayant mis en pril la scurit dun ou de plusieurs actifs informationnels.
Les critres pour un incident sont : Impacts sur la prestation de services aux usagers;
Impacts lgaux; Impacts sur plus dun tablissement ou site; Tout vnement pouvant
compromettre la scurit physique, la scurit logique, la scurit de limpression, etc.
Exemple d'incidents potentiels dus des:
menaces intrusions, dtection de virus;
risques modifications de l'environnement technologique comme le raccordement
au RTSS ou le dploiement de nouvelles applications.
Information
lment de connaissance descriptif d'une situation ou d'un fait, rsultant de plusieurs
donnes.
Information lectronique
Information sous toute forme (textuelle, symbolique, sonore ou visuelle), dont l'accs et
l'utilisation ne sont possibles qu'au moyen des technologies de l'information.
Page 14
Page 15
5.
Irrvocabilit :
Page 16
Annexe 3
POSITIONNEMENT de la SCURIT DE LINFORMATION
du RSEAU de la SANT et des SERVICES SOCIAUX
Chaque niveau influence le suivant
NIVEAU 1
Domaines dterminant les grands paramtres de la scurit de linformation dans le rseau de la sant et des services sociaux
Loi en vigueur
dans la sant
et les serv.
sociaux (et
autres lois et
rglements en
lien)
Protection de
la vie prive
Protection des
renseignements
personnels
Accs
linformation
Gestion des
documents et
des archives
(quel que soit
le support)
Proprit
intellectuelle
Protection des
donnes
corporatives
NIVEAU 2
3 objectifs de SCURIT de linformation
2 objectifs ACCS ET TRANSMISSION
de linformation
Chaque domaine gre des obligations en
regard de ces objectifs
SCURIT DE
LINFORMATION ET
DISPONIBILIT
INTGRIT
CONFIDENTIALIT
ACCS ET
TRANSMISSIONS
AUTHETIFICATION
IRRVOCABILIT
NIVEAU 3
NIVEAU 4
Gestion de la scurit de linformation dun organisme du rseau de la sant et des services sociaux
POLITIQUE DE SCURIT LOCALE
En lien avec le cadre lgislatif, le cadre global,
la mission de lorganisme et ses caractristiques organisationnelles
NORMES ET DIRECTIVES
PROCDURES
VOLONT et VISION du CA et du DG
Principes directeurs, objectifs et moyens
Resp. scurit des actifs informationnels
Resp. protection des renseignements
Dtenteurs dactifs informationnels
Resp. ressources informationnels
Resp. des archives
Professionnel en scurit de linformatique
Page 17
Annexe 4
lments et normes de la politique
Cadre normatif
Politique
Scurit logique
gestion des accs
et utilisation
Scurit physique
prvention, dtection
et protection
Dveloppement,
maintenance et mise
en place des
systmes
Introduction,
porte et adoption
Profil daccs
Emplacement des
installations et du
matriel
Dveloppement,
acquisition et mise
en place
Horaires,
calendriers et
planification
Chiffrement et
transmission
scuritaire
Gestion des
logiciels/Droits
dauteur
Relve
informatique
Programme de
sensibilisation et
formation
Mots de passe et
ractivation des
codes daccs
Contrle des
accs physiques
Contrle des
changements
Mesures de
manipulation
des rapports
Virus
Copies de
sauvegarde
Catgorisation de
linformation
Matriel
informatique
Applications
supportes par des
fournisseurs
externes
Utilisation du
courrier
lectronique
Utilisation de
portatifs
Gestion de la
scurit des
systmes
dinformation
Embauche, dpart
et suivi du
personnel
Micro-informatique
Relve en cas de
dsastre
Normes
Rseautique
Utilisation dInternet
valuation des
risques et
menaces
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Guide de
rfrence
technique
Guide de
rfrence
technique
Guide de
rfrence
technique
Guide de
rfrence
technique
Guide de
rfrence
technique
Guide de
rfrence
technique
Formulaire
Guide de
rfrence
technique
Formulaire
Guide de
rfrence
technique
Procdures
Gestion des
changements
Formulaires
DICAI
Exploitation
Guides
Organisation
et administration
de la scurit
Politique
corporative
Regroupements
fonctionnels
Page 18