Direction des ressources humaines, de linformation et de la planification

Politique de scurit
des actifs informationnels

Le 6 juin 2006

Version 1.4

HISTORIQUE DES CHANGEMENTS

Version

Date

Auteur

1.
2.
3.

2006-03-22
2006-05-23
2006-06-08

Hlne Gendron
Bambina Circelli
Bambina Circelli
Hlne Gendron

Changements

Comit de scurit des actifs informationnels

Comit inter-directions
Comit de planification et valuation

REPRSENTANTS AU COMIT DE SCURIT DES ACTIFS INFORMATIONNELS (CSAI)

Direction

Titre demploi

Personne dsigne

Gnrale

Adjointe au Prsidentdirecteur gnral (PDG)

Anne-Marie Tardif

Affaires mdicales et
universitaires

Adjoint administratif

dterminer

Services la population

Chef de service

Ghislaine Tremblay

Service des systmes

dinformation et de
linformatique

Chef de service

Hlne Gendron

Coordination des
technologies et
systmes dinformation

Coordonnateur

Diamantino De Sousa

Coordination des
technologies et
systmes dinformation

Officier de scurit de
linformation / RSAI

Bambina Circelli

Coordination de la
gestion de linformation

Coordonnateur

Mike Benigeri

Ressources humaines,
information et
planification

Prvention et sant
publique
Gnrale adjointe

Service/territoire

Administration

Adjointe au responsable
secteur administration
Directrice gnrale
adjointe

Rene-Marthe Giard
Louise Massicotte

Service interne des

ressources humaines

Coordonnateur

Grald Trottier

Service de gnie
biomdicale et services
techniques

Conseiller aux
tablissements

Paul Trahan

Rseaux-Est

Directeur

Normand Lauzon

Rseaux-Ouest

Directrice

Rita Cavaliere

Table des matires

1.

CONTEXTE........................................................................................................................................................1

2.

OBJECTIFS DE LA POLITIQUE....................................................................................................................3

3.

PORTE..............................................................................................................................................................3
3.1.
3.2.

LES PERSONNES VISES .................................................................................................................................3

LES ACTIFS ET SERVICES VISS......................................................................................................................4

4.

RESPECT DE LA POLITIQUE .......................................................................................................................4

5.

PRINCIPES, LMENTS ET NORMES DE LA POLITIQUE....................................................................4

5.1.
5.2.

PRINCIPES DIRECTEURS .................................................................................................................................5

LMENTS ET NORMES DE LA POLITIQUE ......................................................................................................6

6.

DFINITION DES TERMES SPCIFIQUES UTILISS .............................................................................8

7.

RLES ET RESPONSABILITS AU SEIN DE L'AGENCE .......................................................................9

8.

MISE EN APPLICATION...............................................................................................................................12

9.

MISES JOUR ................................................................................................................................................12

ANNEXE 1 .................................................................................................................................................................13
ANNEXE 2 .................................................................................................................................................................14
ANNEXE 3 .................................................................................................................................................................17
ANNEXE 4 .................................................................................................................................................................18

1.

Contexte
La modernisation du rseau de la sant et des services sociaux repose sur la
possibilit, pour les tablissements et organismes du rseau, de schanger des
informations de faon rapide et scuritaire. Cest dans cette optique que le rseau
sest dot en 1999 du RTSS (rseau de tlcommunication sociosanitaire) qui relie
des sites au sein de plusieurs tablissements et organismes de la sant. Dans la
perspective dun volume accru dchanges dinformation et afin de sassurer du
respect des lois, rglements et normes gouvernementales en matire de scurit de
linformation, le ministre de la Sant et des Services sociaux (MSSS) a labor et
adopt le 22 septembre 2002 un Cadre global de gestion des actifs informationnels
appartenant aux organismes de la sant et des services sociaux volet sur la
scurit (CGGAI-volet scurit). La volont du MSSS est de mettre en place
lensemble des mesures prvues au CGGAI-volet scurit.
LAgence reconnat que linformation, sur support papier et lectronique, est
essentielle ses oprations courantes et, de ce fait, quelle doit faire lobjet dune
valuation, dune utilisation approprie et dune protection adquate. De plus,
plusieurs lois et directives encadrent et rgissent lutilisation de linformation.
En consquence, la prsente politique de scurit est la premire de plusieurs tapes
que lAgence entreprend pour raliser le plan de mise en uvre du CGGAI-volet
scurit qui oriente et dtermine lutilisation approprie et scuritaire de linformation.

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 1

tapes venir pour raliser le plan de mise en uvre du CGGAI-volet scurit :

Mission organisationnelle
tape 1
Politique de
scurit

tape 2
Catgorisation
des documents

tape 3b
tat de la
situation
actuelle

tape 3a
Analyse de
risques

Adquation

Risques
intolrables

Plan directeur

Normes et
procdures
implanter

Politique de scurit des actifs informationnels2006-06-1614:29:49

Outils
techniques

Manires de
faire et
gestion
de la
scurit

Page 2

2.

Objectifs de la politique
La prsente politique, vise assurer le respect de toute lgislation lgard de
lusage et du traitement de linformation sur support lectronique et papier, de
lutilisation des technologies de linformation et des tlcommunications, ou autres
manipulations de linformation.
Dans le prsent document lutilisation de lexpression actif informationnel signifie
la fois les documents sous format papier et les documents sous format
lectronique.
Fonds sur le CGGAI-volet scurit, les objectifs de lAgence de la sant et des
services sociaux de Montral sont dassurer :
la scurit de linformation l'gard de lutilisation des actifs informationnels
(a.i.) :
objectifs de scurit de linformation : disponibilit, intgrit, confidentialit;
objectifs de scurit des accs et transmissions : authentification,
irrvocabilit;
le respect de la vie prive de toute personne et des renseignements personnels
relatifs aux utilisateurs et au personnel du rseau de la sant;
le respect des mesures de scurit et des diffrents codes de conduite
concernant l'utilisation et la gestion des technologies de l'information et des
tlcommunications.
la conformit aux lois et rglements applicables ainsi que les directives, normes
et orientations gouvernementales.
Cette politique sera suivie de normes et de procdures afin de prciser les obligations
qui en dcoulent.

3.

Porte
La porte de la prsente politique sapplique toute personne physique ou morale qui
utilise ou accde de linformation, quelque soit le support sur lequel elle est conserve.

La porte comporte deux dimensions :

3.1.

Les personnes vises

tout le personnel de lAgence, incluant le personnel du Carrefour montralais de
linformation sociosanitaire et le personnel des deux autres sites soit celui du
Technocentre de Montral et celui de la Direction de la Sant publique*;

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 3

(*ces derniers, par leur vocation particulire, peuvent ajouter des procdures
relies leurs activits spciales selon un processus de validation tant et aussi
longtemps quils sont conformes la prsente politique de lAgence);
tous les fournisseurs, contractuels, chercheurs, stagiaires et entits externes qui
doivent accder notre rseau.

3.2.

Les actifs et services viss

lensemble des actifs informationnels appartenant ou sous la responsabilit de
lAgence ainsi que leur utilisation au sein de celle-ci;
les contrats et les ententes de services en lien avec des actifs informationnels;
toute information traite lectroniquement et/ou conserve sur papier.

4.

Respect de la politique
Le prsident-directeur gnral de lAgence dsigne lOfficier de scurit de
linformation/Responsable de la scurit des actifs informationnels (RSAI) comme
responsable de lapplication de la prsente politique.
LAgence exige de toutes les personnes qui utilisent les actifs informationnels ou qui ont
accs de linformation de se conformer aux dispositions de la prsente politique ainsi
quaux normes, directives et procdures qui sy rattachent.
Le non-respect de cette obligation peut entraner des mesures disciplinaires pouvant
aller jusquau congdiement immdiat selon la nature de la faute.

5.

Principes, lments et normes de la politique

La prsente politique de scurit origine de l'obligation de se conformer au CGGAI-volet
scurit en vue de protger les 7 principaux domaines considrer dans une approche
globale de gestion de l'information. Ils dterminent les grands paramtres de la scurit
de l'information dans le rseau de la sant et des services sociaux orientant notre
politique locale. Ces principaux domaines sont les suivants :
lois en vigueur dans le domaine de la sant et des services sociaux, lois et
rglements internationaux, canadiens et qubcois;
protection de la vie prive;
protection des renseignements personnels;
accs l'information;
gestion des documents et des archives (quel que soit le support);
proprit intellectuelle;
protection des donnes corporatives.
Chaque domaine de gestion de l'information gnre des obligations en regard des
objectifs de scurit de l'information, daccs et de transmission des donnes. Le
schma sur le positionnement de la scurit de l'information du Rseau de la sant et
des services sociaux (RSSS) situe bien notre politique de scurit locale (voir
annexe 3).

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 4

5.1.

Principes directeurs
a. Toute personne ayant accs aux actifs informationnels assume des
responsabilits spcifiques en matire de scurit et est imputable de ses
actions auprs de son suprieur immdiat. Elle applique et respecte la
politique de scurit et ses normes et procdures ainsi que les lois et
rglements spcifiques son domaine dactivit. Elle avise son suprieur
immdiat de toute situation susceptible de compromettre la scurit des
actifs informationnels.
b. La mise en uvre et la gestion de la scurit reposent sur une approche
globale et intgre. Cette approche tient compte des aspects humains,
organisationnels, financiers, juridiques et techniques, et demande, cet
gard, la mise en place dun ensemble de mesures coordonnes.
c. Les mesures de protection, de prvention, de dtection, dassurance et de
correction doivent permettre d'assurer la disponibilit, lintgrit et la
confidentialit, l'authentification et l'irrvocabilit des actifs informationnels de
mme que la continuit des activits. Elles doivent notamment empcher les
accidents, les erreurs, la malveillance ou la destruction dinformation sans
autorisation.
d. Les mesures de protection des actifs informationnels doivent permettre de
respecter les prescriptions du CGGAI-volet scurit de mme que les lois
existantes en matire de conservation, daccs, de diffusion et de
transmission dinformation, les obligations contractuelles de lAgence et
lapplication des rgles de gestion interne. Ces mesures permettent aussi de
grer adquatement l'utilisation d'Internet, d'intranet, du courrier lectronique,
du rseau interne de l'Agence et du RTSS.
e. Afin de reconnatre toute information sensible, tout actif informationnel doit
faire lobjet dune identification et dune catgorisation selon un processus
continu dvaluation de linformation.
f.

Une valuation priodique des risques et des mesures de protection des

actifs informationnels doit tre effectue afin dobtenir lassurance quil y a
adquation entre les risques, les menaces et les mesures de protection
dployes.

g. La gestion de la scurit de linformation doit tre incluse et applique tout au

long du processus menant lacquisition, au dveloppement, lutilisation,
au remplacement ou la destruction dun actif informationnel par ou pour
lAgence.
h. Un programme continu de sensibilisation et de formation la scurit de
linformation doit tre mis en place.
i.

Tous les actifs informationnels sont ddis et rservs la ralisation des

activits de l'Agence. Cependant, en tenant compte que le travail a la priorit,
l'Agence reconnat que les utilisateurs peuvent, en lien avec la loi et en
dehors des heures de travail, utiliser son rseau des fins personnelles, tout

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 5

en s'assurant que la prsente politique est respecte en tous points. En

aucun cas, l'Agence ne peut tre tenue responsable envers l'utilisateur de
tout dommage, perte ou consquence dcoulant d'une interruption volontaire
ou d'une panne de son rseau ou d'en faire une utilisation inapproprie.
j.

Les renseignements personnels, confidentiels et nominatifs ne doivent tre

utiliss quaux fins pour lesquelles ils ont t recueillis ou obtenus. Ils ne
doivent pas tre divulgus, sauf si leur communication est autorise par une
loi ou un rglement.

k. Le principe du droit daccs minimal est appliqu en tout temps lors de

lattribution daccs aux informations. Les accs aux actifs informationnels
sont attribus lutilisateur autoris en fonction de ce qui lui est strictement
ncessaire pour lexcution de ses tches.
l.

L'utilisation des actifs informationnels de l'Agence est un privilge. Ce

privilge peut tre rvoqu, en tout temps, tout utilisateur qui se servira de
manire inapproprie des actifs informationnels mis sa disposition et qui ne
se conformera pas la politique. Tout usage drogatoire des actifs
informationnels est sanctionn selon toute source conventionnelle, lgale ou
rglementaire la disposition de l'Agence.

m. Les ententes et contrats en lien avec les actifs informationnels doivent

contenir des dispositions garantissant le respect des exigences en matire de
scurit et de protection de linformation.

5.2.

lments et normes de la politique1

Le CGGAI-volet scurit vise la protection de tous les actifs informationnels
dfinis selon huit (8) catgories tires du CGGAI-volet scurit (voir annexe 4) :
1. Organisation et administration de la scurit
L'Agence doit assurer une gestion de la scurit des actifs informationnels. Elle
doit tablir un programme de sensibilisation et de formation dans le but de
faciliter l'application des mesures de scurit informatique et la responsabilisation
des individus face aux actes poss en regard de la scurit de linformation et
aux consquences de leurs actions. Elle doit dterminer des niveaux de risque
acceptables et valuer les menaces touchant les actifs informationnels. Elle doit
avoir un processus d'inventaire et de catgorisation de ses actifs informationnels
lui permettant d'tablir un niveau de protection adquat et dassurer la continuit
des oprations.
2. Scurit logique, gestion des accs et utilisation
L'Agence doit assurer la scurit des actifs informationnels par un processus
formel de gestion et de contrle des codes et profils d'accs accords ses
utilisateurs et dfinir les mesures de gestion et d'utilisation scuritaire des mots

Cette section est largement inspire de la politique en vigueur lhpital Louis-H Lafontaine.

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 6

de passe. Elle doit assurer la prsence de contrles adquats (journalisation)

pour dtecter, vrifier et valider les accs aux systmes et le respect des
mesures et procdures de scurit de l'Agence.
3. Scurit physique, prvention, dtection et protection
L'Agence doit dfinir les mesures ncessaires afin de prvenir les accs non
autoriss aux actifs informationnels incluant les accs aux classeurs, aux
espaces de travail et dentreposage. Elle doit assurer la mise en place d'un
processus efficace daccs, de gestion et de contrle de ses classeurs, de son
matriel informatique et de tlcommunication et autres installations.
4. Dveloppement, maintenance et mise en place des systmes
L'Agence doit assurer la prise en compte des considrations lies la scurit
lors du dveloppement, de l'acquisition, de l'entretien et de la mise en place de
tout systme informatique. Elle doit assurer la mise en place d'un processus de
gestion des changements garantissant la scurit et l'intgrit des systmes
d'application et des donnes. Elle doit aussi assurer la gestion adquate des
contrats et ententes touchant les actifs informationnels. Ces derniers doivent
contenir des dispositions garantissant le respect des exigences en matire de
scurit et de protection de linformation selon l'encadrement du CGGAI-volet
scurit.
5. Exploitation informatique
L'Agence doit assurer la prsence de directives adquates relies l'excution
des oprations informatiques et leurs rsultats. Personne ne peut altrer
(modifier, ajouter ou corriger) de quelque faon que ce soit les donnes de
production ou entreprendre des travaux de son propre chef sans autorisation
crite du dtenteur de l'actif informationnel. L'Agence dfinit aussi les rgles
suivre face aux antivirus et l'application des mesures antivirus. Elle doit
assurer la gestion et l'utilisation scuritaire de la fonction d'impression et dfinir
des mesures ncessaires pour garantir la scurit des rseaux de
tlcommunication. Elle doit aussi dfinir les bases d'un processus local de
rponse et d'escalade en cas d'attaque, tant interne qu'externe. La dfinition
d'attaque inclut, entre autres, le hacking, les dnis de service, les virus et
l'utilisation inapproprie des actifs informationnels.
6. Rseautique
Les utilisateurs ont accs au rseau Internet, au RTSS et au rseau interne mis
en place par l'Agence, incluant les utilisateurs effectuant des activits de
recherche et dvaluation. Chaque utilisateur du rseau de tlcommunication
doit pouvoir tre identifi de faon unique et doit authentifier son identit pour
accder au rseau de faon exercer limputabilit. Ce qui signifie quun
Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 7

utilisateur ne peut en aucun cas utiliser le compte dun autre utilisateur pour
accder au rseau.
Les rgles et les mesures de scurit entourant les rseaux de
tlcommunication et dInternet doivent empcher quiconque dintercepter des
donnes sensibles sans autorisation. De plus, elles doivent assurer la continuit
des oprations et lintgrit dans la transmission des donnes.
7. Micro-informatique
L'Agence doit assurer l'installation de logiciels et de progiciels autoriss pour
lesquels des licences valides existent sur les serveurs et les postes de travail des
utilisateurs afin d'viter les consquences lgales lies au non-respect des droits
d'auteur. Aucun logiciel ne peut tre install par un utilisateur sans autorisation
pralable.
Tout document lectronique de source externe doit tre vrifi contre les virus
avant son excution ou son utilisation. S'il y a prsence de virus ou un doute
raisonnable qu'il y en a un, il est formellement interdit d'utiliser ce document dans
les appareils de l'Agence ou sur son rseau.
Les donnes sensibles ne doivent pas tre emmagasines sur les postes de
travail sans raison valable. En cas de besoin, elles doivent tre protges de
faon scuritaire (exemple : chiffrement, mot de passe, etc).
8. Relve en cas de dsastre ou de panne
L'Agence doit dfinir les mesures ncessaires afin d'assurer la continuit et la
reprise rapide des oprations en cas de non-disponibilit de ses systmes
informatiques pour une priode intolrable.
Elle doit assurer la mise en place d'un mcanisme de protection de ses donnes
critiques contre la corruption ou la perte suite une dfaillance technique, une
suppression ou une modification involontaire ou malveillante. Le mcanisme
contribuera au succs d'une opration de relve en cas de dsastre en assurant
la disponibilit et l'intgrit de ses donnes.

6.

Dfinition des termes spcifiques utiliss

Voir Annexe 2.

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 8

7.

Rles et responsabilits au sein de l'agence

Cette section vise tablir les rles et responsabilits de chacun selon les fonctions quil
occupe au sein de l'Agence.
Le conseil dadministration de lAgence
doit approuver la prsente politique;
reoit le bilan annuel rsultant de lapplication de la politique.
Le prsident-directeur gnral
Le prsident-directeur gnral est le premier responsable de la scurit des actifs
informationnels.
nomme le responsable de la scurit des actifs informationnels (RSAI);
voit ce que les valeurs et les orientations en matire de scurit soient
partages par lensemble des gestionnaires et du personnel;
sassure de sa mise en uvre et fait le suivi de son application;
soumet le bilan annuel rsultant de lapplication de la politique au conseil
dadministration.
Le comit de scurit des actifs informationnels (CSAI)
Le comit de scurit des actifs informationnels est un comit permanent:
a un rle de conseil auprs du RSAI;
assure lapplication des diffrentes mesures de scurit identifies dans le
CGGAIvolet scurit, soutient la mise en place des dispositions lgislatives et
propose des mesures communes pour assurer la disponibilit, lintgrit, la
confidentialit de linformation ainsi que lauthentification et lirrvocabilit de
lusager sappliquant lensemble des actifs informationnels;
value les incidences sur la scurit de lorganisation que les nouveaux projets
pourraient avoir;
constitue un mcanisme de coordination et de concertation qui, par sa vision
globale, est en mesure de proposer des orientations et de faire des
recommandations au regard de llaboration, de la mise en uvre et de la mise
jour des mesures prvues au plan directeur de scurit de linformation;
effectue le suivi de lchancier et rend des comptes au PDG.
Le responsable de la scurit des actifs informationnels (RSAI)
titre de reprsentant dlgu du prsident-directeur gnral en matire de scurit
des actifs informationnels, il gre et coordonne la scurit au sein de lAgence :
harmonise laction des divers acteurs dans llaboration, la mise en place, le suivi
et lvaluation de la scurit de linformation;
coordonne les activits relies au CGGAI-volet scurit;
veille llaboration et lapplication de la politique sur la scurit;
tablit un programme gnral dapplication et de respect de la prsente politique;
gre les aspects relatifs lescalade des incidents de scurit;
suit la mise en uvre de toute recommandation dcoulant dune vrification ou
dun audit;
produit annuellement, et au besoin, des rapports relatifs la scurit de
linformation.

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 9

Analyste en scurit
titre danalyste en scurit:
travaille sous la gestion professionnelle du RSAI;
sassure dtre au courant du CGGAI-volet scurit;
met en place des procdures pour appuyer limplantation des mesures
obligatoires du CGGAI-volet scurit en collaboration avec le service des
systmes dinformation et de linformatique de lAgence;
coordonne et/ou ralise les tches de scurit oprationnelles qui lui sont
confies par le RSAI;
informe le RSAI de tout manquement la politique.
Les services des systmes dinformation et de linformatique
Le service des systmes dinformation et de linformatique agit comme fournisseur
des services suivants sans sy limiter :
fournit et maintient en tat les moyens techniques de scurit dans lexploitation
des actifs informationnels;
assure la conformit de ces moyens techniques en fonction des besoins de
scurit dtermins par le dtenteur dactif;
assiste et conseille les utilisateurs en vue dune meilleure utilisation de ces
moyens techniques;
met en application la politique de compte dusagers, les procdures des profils et
des codes daccs;
voit la tenue des inventaires sur les quipements et logiciels;
voit la gestion des mots de passe;
voit la mise en place des antivirus et la tenue des journaux;
assure la scurit dans le dveloppement dapplications informatiques;
met en place et maintient une relve des actifs informationnels classs prioritaires;
conseille les directeurs de l'Agence dans l'acquisition des quipements, des
logiciels et du matriel ncessaires pour appliquer la prsente politique;
voit la mise en place des mesures de scurit physique pour les contrles
daccs aux salles des serveurs, aux quipements de tlcommunication ou
tout autre matriel informatique;
appuie le RSAI dans son rle.
Le gestionnaire
en lien avec les sessions de sensibilisation la scurit, le gestionnaire sassure
que son personnel est au fait de leurs obligations dcoulant de la prsente
politique, normes et procdures de scurit en vigueur;
sassure que des moyens de scurit sont utiliss de faon protger
linformation utilise par son personnel;
demande les droits daccs aux applications pour son personnel dans le cas o il
nest pas dtenteur;
informe le RSAI de toute situation risque dans le but damliorer la scurit des
a.i.. Les critres pour un incident sont :
Impacts sur la prestation des services aux usagers;
Impacts lgaux;
Impacts sur plus dun tablissement ou organisme;
Tout vnement pouvant compromettre la scurit physique, la scurit
logique, la scurit de limpression, etc.;
voit au suivi des codes de conduite mis par le service des ressources humaines.

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 10

Le dtenteur dactifs informationnels

participe lensemble des activits relatives la scurit, notamment lvaluation
des risques, la dtermination du niveau de protection vis, llaboration des
contrles non informatiques, la prise en charge des risques rsiduels concernant
les actifs informationnels et, finalement;
autorise les droits daccs aux informations incluant les systmes
dinformation dont il est dtenteur;
assure la scurit dun ou de plusieurs actifs informationnels;
sassure que les mesures de scurit appropries sont labores,
approuves, mises en place et appliques systmatiquement en plus de
sassurer que leur nom et les actifs dont ils assument la responsabilit
sont consigns dans le registre des autorits (formulaire dautorisation
des accs).
Pilote de systme nomm par le dtenteur de lactif informationnel
assure le fonctionnement scuritaire dun actif informationnel ds sa mise en
exploitation;
contrle et donne laccs lactif informationnel dont il a la responsabilit la
demande du dtenteur de lactif et en collaboration avec le service des systmes
dinformation et de linformatique;
informe les utilisateurs de leurs obligations face lutilisation des systmes
dinformation lors de lattribution des accs.
Responsable de la protection des renseignements personnels (RPRP) - titre
de responsable de l'application de la Loi sur l'accs aux documents des organismes
publics et sur la protection des renseignements personnels, le RPRP a un rle de
conseiller et/ou de valideur - approbateur auprs du RSAI afin de :
s'assurer que les mcanismes de scurit mis en place permettent de respecter
les exigences de la Loi sur l'accs aux documents des organismes publics et sur
la protection des renseignements personnels;
de voir ce que cette responsabilit se manifeste ds le dbut d'un
dveloppement d'un nouveau systme o le RPRP doit introduire les
proccupations et les exigences relatives la protection des renseignements
nominatifs.
Service interne des ressources humaines
est responsable dinformer toute nouvelle personne de ses obligations dcoulant
de la prsente politique;
est responsable de sensibiliser toute nouvelle personne aux enjeux relis la
scurit des actifs informationnels;
est responsable de voir la signature de lengagement au secret professionnel et
la confidentialit des donnes.
L'utilisateur
prend connaissance de la politique de scurit;
respecte la prsente politique, normes, directives et procdures en vigueur en
matire de scurit de linformation;
si applicable, signe le(s) formulaire(s) dengagement selon le(s) service(s)
utilis(s) (i.e. engagement au secret professionnel et la confidentialit des
donnes, politique dutilisation dinternet et courrier lectronique, etc.);
avise le suprieur hirarchique ds quil constate un manquement la politique.
Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 11

8.

Mise en application
Des normes et des procdures dcoulent de la prsente politique.
Dans tous les cas elles sont mises jour afin de tenir compte des dveloppements
lgislatifs, technologiques ou de lvolution dans les modes dutilisation.
Le CMIS ainsi que les deux sites soit celui du Technocentre de Montral et celui de la
Direction de la Sant publique, par leur vocation particulire, doivent respecter les
exigences de la prsente politique mais peuvent dvelopper et ajouter des procdures
relies leur activits spciales selon un processus de validation.
Les annexes font partie intgrante de la politique.

9.

Mises jour
La rvision de la prsente politique sera faite selon un calendrier tabli par le CSAI.

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 12

ANNEXE 1

RFRENCES
1. Charte des droits et liberts de la personne, (L.R.Q. c. C-12)
2. Loi sur les services de sant et services sociaux, Qubec, (L.R.Q., c.A-4.2)
3. Loi 83, Loi modifiant la Loi sur les Services de sant et les Services sociaux et
dautres dispositions lgislatives
4. Loi sur laccs aux documents des organismes publics et sur la protection des
renseignements personnels, Qubec, (L.R.Q. c. a-2.1)
5. Exigences minimales relatives la scurit des dossiers informatiss des usagers du
rseau de la sant et des services sociaux, Commission dAccs lInformation du
Qubec, Qubec, 1992
6. Politique intrimaire de scurit visant les actifs informationnels du rseau de la sant
et des services sociaux, RTSS, Qubec, 1999
7. Politique administrative relative la scurit des actifs informationnels et de
tlcommunication et la protection des donnes et des renseignements confidentiels
de la Rgie rgionale de la sant et des services sociaux de Qubec, RRSSS de
Qubec, Qubec, 2000
8. Le cadre global de gestion des actifs informationnels du rseau de la sant et des
services sociaux, septembre 2002
9. Le courrier lectronique, Commission daccs linformation du Qubec, Qubec,
1997
10. Loi sur les droits dauteur, (L.R.C., c.C.42)
11. Loi sur les Archives, (L.R.Q., c.A-21.1)
12. MSSSQ, projet de standard, version 1.1, juin 2003, annexe A - Exemple de politique

Politique de scurit des actifs informationnels2006-06-1614:29:49

Page 13

ANNEXE 2
DFINITION DES TERMES UTILISS
Actif informationnel (a.i.)
Systme dinformation, matriel informatique et de tlcommunication, logiciels,
progiciels, banques de donnes et information (textuelle, sonore, symbolique ou
visuelle) places dans un matriel informatique ou sur un mdia informatique et/ou
lectronique, systme de courrier lectronique. Un quipement mdical spcialis ou
ultraspcialis peut comporter des composantes qui font partie des actifs
informationnels, notamment lorsquil est reli de faon lectronique des actifs
informationnels. Sajoutent, dans le prsent cadre de gestion, les documents papiers et
les documents imprims gnrs par les technologies de linformation.
Cadre global de gestion des actifs informationnels appartenant aux organismes du
rseau de la sant et des services sociaux Volet sur la scurit (CGGAI-volet
scurit)
Ensemble de textes encadrant la scurit des actifs informationnels et comprenant la
Politique nationale sur la scurit des a.i., les rles et responsabilits des acteurs en
matire de scurit, les mesures en matire de scurit des a.i. et le rpertoire des
procdures optionnelles en cette matire.
Code de conduite
Condens de rgles de pratique labores partir de principes thiques moraux et
professionnels, devoirs et responsabilits, destin tablir des rgles de conduite
suivre et rgissant particulirement l'utilisation des actifs informationnels ainsi que la
protection des donnes et des renseignements confidentiels.
Donnes sensibles
Toute information pouvant crer prjudice l'Agence ou toute autre personne.
Incident
vnement ayant mis en pril la scurit dun ou de plusieurs actifs informationnels.
Les critres pour un incident sont : Impacts sur la prestation de services aux usagers;
Impacts lgaux; Impacts sur plus dun tablissement ou site; Tout vnement pouvant
compromettre la scurit physique, la scurit logique, la scurit de limpression, etc.
Exemple d'incidents potentiels dus des:
menaces intrusions, dtection de virus;
risques modifications de l'environnement technologique comme le raccordement
au RTSS ou le dploiement de nouvelles applications.
Information
lment de connaissance descriptif d'une situation ou d'un fait, rsultant de plusieurs
donnes.
Information lectronique
Information sous toute forme (textuelle, symbolique, sonore ou visuelle), dont l'accs et
l'utilisation ne sont possibles qu'au moyen des technologies de l'information.

Politique de scurit des actifs informationnels

Page 14

Intranet ou rseau Intranet

Rseau informatique priv de l'Agence qui utilise des protocoles de communication et
des technologies permettant un change interne dinformation. Les protocoles et les
technologies les plus connus sont ceux dInternet.
Journalisation
Enregistrement dans un journal de tous les accs fructueux et infructueux un
ordinateur et aux donnes, de lutilisation de certains privilges spciaux relatifs
laccs et des changements apports aux a.i., en vue dune vrification ultrieure.
Mot de passe
Authentifiant prenant la forme dun code alphanumrique attribu un utilisateur (code
d'accs, d'usager), permettant ce dernier dobtenir laccs un ordinateur en ligne
et dy effectuer lopration dsire. Cet authentifiant reprsente une liste secrte de
caractres qui, combine un code dutilisateur public, forme un identificateur unique
dsignant un utilisateur particulier.
Normes et pratiques
noncs gnraux manant de la direction de lAgence et indiquant ce qui doit tre
appliqu relativement la scurit des actifs informationnels.
Renseignements nominatifs
Sont nominatifs les renseignements qui concernent une personne physique et
permettent de lidentifier. Le nom dune personne physique nest pas, en soi, un
renseignement nominatif, sauf lorsquil est mentionn avec un autre renseignement la
concernant ou lorsque sa seule mention rvlerait un renseignement nominatif
concernant cette personne.
RTSS (Rseau de tlcommunications sociosanitaire)
Cest le principal vhicule dchange lectronique dinformation entre les tablissements
et organismes du rseau de la sant et des services sociaux.
RSSS
Rseau de la sant et des services sociaux.
Scurit de linformation
La prmisse sur laquelle se base la scurit de linformation sarticule autour de
5 fonctions dont lacronyme est DICAI.
Trois fonctions de scurit de l'information (1 3) et deux fonctions de scurit des
transmissions de l'information (4-5) :
1. Disponibilit :
proprit dune information dtre accessible et utilisable en temps
voulu et de la manire requise par une personne autorise;
2. Intgrit :
proprit dune information ou dune technologie de linformation
de ntre ni modifie, ni altre, ni dtruite sans autorisation;
3. Confidentialit :
proprit dune information dtre inaccessible aux personnes non
autorises;
4. Authentification :
acte permettant dtablir la validit de lidentit dune personne ou
dun dispositif;

Politique de scurit des actifs informationnels

Page 15

5.

Irrvocabilit :

proprit dun acte dtre dfinitif et qui est clairement attribu la

personne qui la pos ou au dispositif avec lequel cet acte a t
accompli.

Donc assurer la disponibilit, lintgrit, la confidentialit, lauthentification et

l'irrvocabilit des actifs informationnels et la continuit des activits en regard des
rseaux informatiques, du RTSS, dInternet et dintranet et des donnes
organisationnelles sur support informatique.
Systmes d'information
Ensemble des pratiques et des moyens pour recueillir, traiter, mettre jour, reproduire et
distribuer tous les types d'informations en vue de rpondre un besoin dtermin y
incluant notamment les TI et les procds utiliss pour accomplir ces fonctions.
Technologie de linformation (TI)
Tout logiciel ou matriel lectronique et toute combinaison de ces lments utiliss pour
recueillir, emmagasiner, traiter, communiquer, protger ou liminer linformation sous
toute forme (textuelle, symbolique, sonore ou visuelle).
Toute nouvelle personne
Tout nouvel employ permanent ou temporaire temps plein ou temps partiel, tout
nouveau contractuel, consultant, chercheur, stagiaire, fournisseur et entits externes qui
travaillent pour lAgence incluant la sant publique, le Technocentre de Montral et le
CMIS ou toute nouvelle personne qui travaille pour le compte dune entit externe mais
dans les locaux de lAgence, incluant les locaux de la sant publique, ceux du CMIS et
ceux du Technocentre.

Politique de scurit des actifs informationnels

Page 16

Annexe 3
POSITIONNEMENT de la SCURIT DE LINFORMATION
du RSEAU de la SANT et des SERVICES SOCIAUX
Chaque niveau influence le suivant

(Adapt du GUIDE DE RDACTION, juin 2003, version 1.1)

NIVEAU 1

Domaines dterminant les grands paramtres de la scurit de linformation dans le rseau de la sant et des services sociaux
Loi en vigueur
dans la sant
et les serv.
sociaux (et
autres lois et
rglements en
lien)

Protection de
la vie prive

Protection des
renseignements
personnels

Accs
linformation

Gestion des
documents et
des archives
(quel que soit
le support)

Proprit
intellectuelle

Protection des
donnes
corporatives

NIVEAU 2
3 objectifs de SCURIT de linformation
2 objectifs ACCS ET TRANSMISSION
de linformation
Chaque domaine gre des obligations en
regard de ces objectifs

SCURIT DE
LINFORMATION ET

DISPONIBILIT
INTGRIT
CONFIDENTIALIT

ACCS ET
TRANSMISSIONS

AUTHETIFICATION
IRRVOCABILIT

Chaque DOMAINE de GESTION de linfo

gnre des obligations en regard de ces
OBJECTIFS.
Ex. : Accs linfo > Disponibilit et
Confidentialit.

NIVEAU 3

Gestion de la scurit de linformation du rseau de la sant et des services sociaux

Exigences minimales en matire de scurit pour le raccordement au RTSS (juillet 1999)
Cadre global de Gestion des actifs informationnels appartenant aux organismes du rseau de la Sant et des services Sociaux Volet Scurit
Politique nationale rles et responsabilits Mesures (obligatoires et minimales) (septembre 2002)

NIVEAU 4

Gestion de la scurit de linformation dun organisme du rseau de la sant et des services sociaux
POLITIQUE DE SCURIT LOCALE
En lien avec le cadre lgislatif, le cadre global,
la mission de lorganisme et ses caractristiques organisationnelles
NORMES ET DIRECTIVES
PROCDURES

Politique de scurit des actifs informationnels

VOLONT et VISION du CA et du DG
Principes directeurs, objectifs et moyens
Resp. scurit des actifs informationnels
Resp. protection des renseignements
Dtenteurs dactifs informationnels
Resp. ressources informationnels
Resp. des archives
Professionnel en scurit de linformatique

Page 17

Annexe 4
lments et normes de la politique

Cadre normatif
Politique

Scurit logique
gestion des accs
et utilisation

Scurit physique
prvention, dtection
et protection

Dveloppement,
maintenance et mise
en place des
systmes

Introduction,
porte et adoption

Profil daccs

Emplacement des
installations et du
matriel

Dveloppement,
acquisition et mise
en place

Horaires,
calendriers et
planification

Chiffrement et
transmission
scuritaire

Gestion des
logiciels/Droits
dauteur

Relve
informatique

Programme de
sensibilisation et
formation

Mots de passe et
ractivation des
codes daccs

Contrle des
accs physiques

Contrle des
changements

Mesures de
manipulation
des rapports

Gestion des accs

distance et
mcanisme
dauthentification

Virus

Copies de
sauvegarde

Catgorisation de
linformation

Suivi des incidents

Matriel
informatique

Applications
supportes par des
fournisseurs
externes

Utilisation du
courrier
lectronique

Utilisation de
portatifs

Gestion de la
scurit des
systmes
dinformation

Embauche, dpart
et suivi du
personnel

Micro-informatique

Relve en cas de
dsastre

Normes

Rseautique

Utilisation dInternet

valuation des
risques et
menaces

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Procdure

Formulaire

Formulaire

Formulaire

Formulaire

Formulaire

Formulaire

Guide de
rfrence
technique

Guide de
rfrence
technique

Guide de
rfrence
technique

Guide de
rfrence
technique

Guide de
rfrence
technique

Guide de
rfrence
technique

Politique de scurit des actifs informationnels

Formulaire

Guide de
rfrence
technique

Formulaire

Guide de
rfrence
technique

Procdures

Gestion des
changements

Formulaires

DICAI

Exploitation

Guides

Organisation
et administration
de la scurit

Politique
corporative

Regroupements
fonctionnels

(Cette figure est adapte du cadre normatif)

Page 18