Ministere de I'Em loi

et de la ~olidaritP
sociale
mm
Qubec o o

POLITIQUE DE GESTION DE LA SCURIT DE L'INFORMATION

5 mars 2009
1 INTRODUCTION .............................................................................................................................................
1

2 CONTEXTE ........................................................................................................................................................
2
2.1 JURIDIQUE ..........................................................................................................................................................2
CADRE
2.2 NORMATIF ..........................................................................................................................................................
CADRE 2
2.2.1 Cadre normatifgouvernemental ............................................................................................................. 2
2.2.2 Cadre normatifministriel .....................................................................................................................3
3 OBJECTIFS. PRINCIPES DIRECTEURS ET ORIENTATIONS MINISTRIELLES ............................4
3.1 ......................................................................................................................................................................
OEIJECTIFS 4
3.2 DIRECTEURS GOUVERNEMENTAUX .................................................................................................................4
PRINCIPES
3.3 ORIENTATIONS MINISTRIELLES EN MATIRE DE SCURIT DE L'INFORMATION ................................................................5

5 STRUCTURE ......................................................................................................................................................7
5.1 LES NIVEAUX D'~NTERVENTION ......................................................................................................................................
7
5.2 STRUCTURE D E LA GESTION D E LA SCURIT ................................................................................................................... 9
6 RLES ET RESPONSABILITS .................................................................................................................10
6.1 LE SOUS-MINISTRE....................................................................................................................................................... 10
6.2 AUTRESINTERVENANTS DU NIVEAU DE LA GESTION STRATGIQUE DE LA SCURIT DE L'INFORMATION DU M I N I S T R E . 1 0
6.2.1 Le responsable ministriel de la scurit de l'information (RSI) ......................................................... Il
6.2.2 Le Comit ministriel de la protection des renseignementspersonnels et de la scurit de
1 'information (CMPRPSI)...................................................................................................................................12
6.3 LESINTERVENANTS D U NIVEAU TACTIQUE : LES RESPONSABLES DES DIFFRENTS DOMAINES D E 1.A SCURIT D E
L'INFORMATION ........................................................................................................................................................................... 13
6.3.1 Responsable ministriel de l'accs et de la protection des renseignements personnels ....................... 13
6.3.2 Responsable de la scurit de l'information numrique du Ministre (RSIN) ..................................... 13
6.3.3 Direction de la gouverne des technologies de l'information (DGTI)................................................... 14
6.3.4 Responsable de la scurit physique .................................................................................................... 14
6.3.5 Responsable de la gestion documentaire.............................................................................................. 15
6.3.6 Responsable ministriel en thique ...................................................................................................... 15
6.3.7 Responsable de la vrifcation interne et des enqutes administratives ............................................... 16
6.4 LES INTERVENANTS AU NIVEAU OPRATIONNEL ............................................................................................................ 1 6
6.4.1 Les directeurs mandataires d'actifs informationnels d'une ligne d'affaires........................................ 16
6.4.2 Les gestionnaires .................................................................................................................................. 17
6.4.3 Le personnel ......................................................................................................................................... 18
6.4.4 Les rpondants au soutien technique et la scurit informatique.................................................... 18
6.5 UNITS ADMINISTRATIVES AGISSANT EN SOUTIEN .........................................................................................................19
6.5.1 La Direction des affairesjuridiques .....................................................................................................
19
6.5.2 La Direction des ressources humaines .................................................................................................19
6.5.3 La Direction des communications ........................................................................................................19
7 DISPOSITIONS GNRALES ......................................................................................................................20
7.1 MODALITS D E RVISION .............................................................................................................................................. 20
7.2 DATED'ENTRE EN VIGUEUR ........................................................................................................................................20
 Politique de gestion de la scurit de I'information

1 Introduction
Pour accomplir ses mandats, le ministre de l'Emploi et de la Solidarit sociale (MESS) recueille,
conserve, traite, diffuse et archive d'importantes quantits d'informations dont la masse va toujours
augmenter au fil des annes. Ces informations sont ncessaires la ralisation de sa mission et
requirent une protection tout au long de leur cycle de vie. Avec l'volution des technologies de
I'information, I'information numrique a pour sa part pris une place prpondrante dans les activits
courantes du Ministre.

Conscient du rle stratgique de ses informations, le Ministre s'est dot, en mai 2000, d'une politique
relative au domaine de la gestion de la scurit de I'information numrique et de ses changes
lectroniques. En vigueur depuis huit ans, cette politique se devait d'tre revue, notamment afin de tenir
compte des exigences dcoulant de la nouvelle ~irective' sur la scurit de I'information
gouvernementale (C.T. 203560) qui est entre en vigueur au mois de mai 2006. Cette dernire
remplace l'ancienne Directive sur la scurit de I'information numrique et des changes lectroniques
dans l'Administration gouvernementale (C.T. 194055). Elle largit le spectre de la gestion de la scurit.
En outre, elle assigne au sous-ministre ou au dirigeant de tout organisme public l'ultime responsabilit
de la scurit de I'information sous son autorit. La prsente politique fait donc partie des actions que le
MESS prend pour mettre en application cette Directive gouvernementale (C.T. 203560).

D'autre part, le contexte organisationnel d'ensemble du Ministre s'est considrablement transform au

cours des dernires annes. L'utilisation de plus en plus rpandue des nouvelles technologies de
I'information (NTIC) et l'usage accentu de I'internet en particulier ont galement eu d'importants
impacts sur l'organisation du travail.

Outre ces deux grandes tendances d'ensemble qui ont affect le fonctionnement du Ministre, le
gouvernement du Qubec, pour sa part, fait de la mise en place du gouvernement en ligne l'une de ses
priorits en vue d'assurer aux citoyens du Qubec des services publics plus accessibles. Le MESS, dj
fortement engag dans cette orientation, est appel accrotre sa prestation de services en ligne,
accentuant de ce fait l'importance de la scurit de I'information.

Le 22 novembre 2007, le gouvernement du Qubec annonait le regroupement des ressources et des

infrastructures en technologies de I'information du Ministre celles du Centre de services partags du
Qubec (CSPQ). Des chantiers de travail ont aussitt t constitus et leurs travaux ont port sur la
mise en uvre de l'Entente de transfert des ressources et des infrastructures technologiques du
ministre de l'Emploi et de la Solidarit sociale au Centre de services partags du Qubec ds le
le'avril 2008, et ce, dans un contexte d'impartition des services en technologies de I'information rendus
au Ministre.

' Directive gouvernementale sur la scurit de I'infotmation gouvernementale, ministre des Services gouvernementaux,
CT 203560 du 1 1 avril 2006.

Ministre de l'Emploi et de la Solidarit sociale (MESS) Page 1

 Politiaue de gestion de la scurit de I'information

2 Contexte
2.1 Cadre juridique
La gestion de la scurit de I'information s'effectue dans le respect des lois et rglements auxquels le
Ministre est soumis. Ceux-ci ont une porte gnrale ou encore sectorielle. Les lois porte gnrale
sont :

Loi sur l'administration publique (L.R.Q., c. A-6.01) ;

Loi sur l'accs aux documerts des organismes publics et sur la protection des renseignements
personnels (L.R.Q., c. A-2.1) ;

Loi concernant le cadre juridique des technologies de I'information (L.R.Q., c. C-1.1) ;

Loi sur les archives (L.R.Q., c. A-21.1) ;

Loi sur la scurit dans les difices publics (L.R.Q., c. S-3) ;

Loi fdrale sur les droits d'auteur (L.R. 1985, c. C-42);

Charte des droits et liberts de la personne (L.R.Q., c. C-12, art. 5 et 44) ;

Code civil du Qubec, (art. 37 41);

Directive sur la scurit de l'information gouvernementale (C.T. 203560);

Directive sur l'utilisation thique du courriel, d'un collecticiel et des services duInternet par le
personnel de la fonction publique (C.T. 198872);

Rglement sur l'thique et la discipline dans la fonction publique (LRQ, chap. F-3.1.1, art. 126,
paragraphes 1 3);

Rglement sur la diffusion de I'information et sur la protection des renseignements personnels

(dcret 408-2008, art.7).

La gestion de la scurit de I'information est galement soumise certaines exigences dcou.lant de lois
et rglements propres l'environnement d'affaires du Ministre. Ces lois et rglements auront
galement tre pris en compte lors de l'tablissement des mesures de la scurit de l'information2.

2.2 Cadre normatif

2.2.1 Cadre normatif gouvernemental
La Directive sur la scurit de I'information gouvernementale (C.T. 203560) est le document de
rfrence en matire de gestion de la scurit de I'information. Cette directive identifie les principaux
rles en ce domaine et attribue ceux-ci des responsabilits prcises. La prsente politique vise ainsi
tablir le cadre de gestion applicable la scurit de I'information du Ministre, en s'appuyant en outre
sur les obligations nonces par cette directive gouvernementale.

La liste des lois et rglements spcifiques est disponible dans I'lntranet corporatif.

Ministre de l'Emploi et de la Solidarit sociale (MESS) Page 2

 Politique de esti ion de la scurit de I'information

2.2.2 Cadre normatif ministriel

Le Ministere a dj adopt un certain nombre de politiques qui visent assurer la scurit de
I'information. Ces politiques ministrielles sont les suivantes :
O Politique concernant le domaine de la gestion de la scurit de I'information numrique et des
changes lectroniques ;

Politique ministrielle en matire de vrification interne ;

Politique ministrielle sur la scurit physique dans les difices du MESS ;

O Politique ministrielle sur la gestion documentaire ;

Politique ditoriale et cadre de gestion de I'intranet ministriel du MESS;

Politique ditoriale des sites Internet du MESS.

Pour rpondre ses besoins spcifiques en la matiere, le Ministere s'est galement dot des documents
normatifs suivants :
O Lignes directrices sur I'utilisation et la gestion du rseau Internet et du courrier lectronique ;

Guides et bulletins d'information sur les bonnes pratiques en matiere de protection des
renseignements personnels;
O Guide sur thique au MESS - Agir avec intgrit ;
Guide relatif la gestion des droits d'accs aux ressources informatiques par les units
administratives du Ministere ;
O Plusieurs pratiques et procdures relatives la scurit informatique (rfrence: le coffre outils
des Technologies de I'information);
O Cadre de gestion sur I'utilisation de la vidosurveillance ;
O Cadre ministriel de gestion des sondages auprs des personnes ;
O Registre d'autorit de la scurit de I'information numrique;
O Procdures de traitement du matriel informatique en surplus ;

O Procdures relatives la destruction scuritaire des documents sur support papier ;

O Protocole d'identification appliquer lors de communications avec les clientles;

Procdures de gestion de la scurit physique et des accs;

O Directive ministrielle sur la rclamation lors de pertes matrielles subies par le Ministere;

I I y a quelques annes, le Ministere a aussi labor une stratgie de communication visant rappeler
l'ensemble de son personnel l'importance d'adopter un comportement responsable au regard de
l'thique, de la protection des renseignements personnels, de l'application des lignes directrices sur
I'utilisation du rseau Internet et du courrier lectronique de mme qu'en matiere de scurit de
I'information numrique.

Ministre de l'Emploi et de la Solidarit sociale (MESS) Page 3