Lignes directrices relatives à l accréditation des installations d évaluation et d essais de produits de sécurité des technologies de l information

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "Lignes directrices relatives à l accréditation des installations d évaluation et d essais de produits de sécurité des technologies de l information"

Transcription

1 Lignes directrices relatives à l accréditation des installations d évaluation et d essais de produits de sécurité des technologies de l information (EEPSTI)

2

3 LIGNES DIRECTRICES RELATIVES À L ACCRÉDITATION DES INSTALLATIONS D ÉVALUATION ET D ESSAIS DE PRODUITS DE SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION GUIDELINES FOR THE ACCREDITATION OF INFORMATION TECHNOLOGY SECURITY EVALUATION AND TESTING FACILITIES (EEPSTI) Copyright Conseil canadien des normes, avril 2010 Tous droits réservés. Aucune partie du présent document ne peut être reproduite, stockée dans un système électronique d extraction, ni transmise, sous quelque forme que ce soit ni par aucun procédé électronique ou mécanique, y compris la photocopie, l enregistrement ou autrement sans le consentement écrit préalable de l éditeur : Conseil canadien des normes 270, rue Albert, bureau 200 Ottawa (Ontario) K1P 6N7 Canada Tél. : (613) Téléc. : (613) Internet :

4 NOTE : On peut obtenir un exemplaire français de ce document en écrivant au : Conseil canadien des normes 270, rue Albert, bureau 200, Ottawa (Ontario), K1P 6N7 Tél. : (613) Télécopieur : (613) Courriel : Site web : NOTE: An English version of this document is available from the: Standards Council of Canada 270 Albert Street, Suite 200 OTTAWA, Ontario K1P 6N7 Tel.: (613) Fax.: (613) Website:

5 TABLE DES MATIÈRES AVANT-PROPOS... II PRÉFACE...III INTRODUCTION... IV EXIGENCES GÉNÉRALES... VI 1. RÉFÉRENCES DÉFINITIONS PORTÉE DES ESSAIS Approche générale en matière d essais STI DÉMONSTRATION DE LA COMPÉTENCE TECHNIQUE Composition de l équipe d évaluation Préparation de l évaluation sur place Essais d aptitude...9 ANNEXE A APPLICATION DES EXIGENCES DU CAN-P-4E AUX INSTALLATIONS D EEPSTI Exigences relatives au management Exigences techniques...12 ANNEXE B PORTÉE D'ACCRÉDITATION DES CENTRES D'ÉVALUATION SELONS LES CRITERES COMMUNS Portée d accréditation...15 Compétences et habiletés requises...16 Essais d aptitude Processus de contrôle technique...17 Conseil canadien des normes, 2010 i

6 AVANT-PROPOS Le Conseil canadien des normes («CCN») est une société d État qui a été constituée en vertu d une loi adoptée par le Parlement en 1970, modifiée en 1996, pour encourager et promouvoir une normalisation volontaire efficiente et efficace au Canada. Bien que financé en partie en vertu d un crédit parlementaire, il est indépendant du gouvernement pour ce qui est de ses politiques et de son fonctionnement. Le CCN est composé de membres provenant du gouvernement et d organismes du secteur privé. Le CCN a pour mission d encourager les Canadiens à participer aux activités relatives à la normalisation volontaire; d encourager la coopération entre les secteurs privé et public en matière de normalisation volontaire au Canada; de coordonner les efforts des personnes et organismes s occupant du Système national de normes et de voir à la bonne marche de leurs activités; d encourager, dans le cadre d activités relatives à la normalisation, la qualité, la performance et l innovation technologique en ce qui touche les produits et les services canadiens; d élaborer des stratégies et de définir des objectifs à long terme en matière de normalisation. Pour l essentiel, le CCN encourage une normalisation efficiente et efficace au Canada lorsque celle-ci ne fait l objet d aucune mesure législative, en vue de faire progresser l économie nationale, de contribuer au développement durable, d améliorer la santé, la sécurité et le bien-être des travailleurs et du public, d aider et de protéger les consommateurs, de faciliter le commerce intérieur et extérieur, et de développer la coopération internationale en matière de normalisation. En outre, le CCN est le point de convergence du gouvernement en ce qui a trait à la normalisation volontaire. Il représente le Canada dans le cadre d activités internationales de normalisation et il établit les politiques et les procédures régissant l élaboration des Normes nationales du Canada ainsi que l accréditation des organismes d élaboration de normes, des organismes de certification de produits, des laboratoires d essais et d étalonnage, des organismes de certification de systèmes de management de la qualité (SMQ) et de management environnemental (SME) et des organismes de certification des auditeurs de SMQ et de SME. Enfin, le CCN se fait le défenseur de la reconnaissance de l accréditation ou de systèmes équivalents en tant que moyen de réduire le nombre d évaluations et d audits, au Canada de même qu entre le Canada et ses partenaires commerciaux. Le présent document fait partie de ceux qui ont été publiés par le Conseil canadien des normes pour définir les politiques, les plans et les méthodes qu il a établis pour l aider à remplir son mandat. Les demandes d éclaircissement, les recommandations de modification et les demandes d exemplaires supplémentaires doivent être envoyées directement à l éditeur. Conseil canadien des normes, 2010 ii

7 PRÉFACE En 1998, le Centre de la sécurité des télécommunications (CST) s est engagé à collaborer avec le gouvernement et l industrie en vue de mettre en place des capacités commerciales d évaluation et d essais de produits de sécurité des technologies de l information (STI) qui puissent être utilisées sur une large échelle au sein des secteurs public et privé. Le CCN a préparé en collaboration avec le CST le présent document, le CAN-P- 1591C, afin qu il serve de cadre pour l accréditation des installations d évaluation et d essais de produits STI (EEPSTI) du Canada. Ce document a été préparé pour la gouverne et à l usage des accréditeurs, du personnel des installations accréditées aux fins de l EEPSTI ou candidates à cette accréditation, des autres systèmes d accréditation de laboratoires, des clients d installations d EEPSTI, de même que des organismes ou des personnes ayant besoin d information sur les exigences liées à l accréditation accordée dans le cadre du programme d accréditation des installations d EEPSTI. Le (EEPSTI) est un document directeur spécifique qui précise le contenu du CAN-P-4E, Exigences générales concernant la compétence des laboratoires d étalonnages et d essais, qui reprend pour mot pour mot, pour le Canada, les termes de la norme ISO/CEI 17025:2005 du même nom. Les exigences techniques y sont expliquées afin d indiquer comment elles s appliquent au Domaine de spécialité de programme (DSP) de l EEPSTI. Toute installation (y compris les laboratoires commerciaux, universitaires, de fabricants et des gouvernements fédéral ou provinciaux) qui applique des méthodes d essais relevant du DSP-EEPSTI peut présenter une demande d accréditation au CCN. L accréditation sera accordée aux installations qui se conforment aux exigences d accréditation définies dans le présent document et à celles du Guide du PALCAN (CAN-P-1570). L accréditation ne fournit pas de garantie quant au rendement des installations et aux résultats d essais des produits; elle reconnaît plutôt la compétence des installations. Conseil canadien des normes, 2010 iii

8 INTRODUCTION Le présent document a pour objet de préciser, lorsqu il y a lieu, les critères techniques et organisationnels généraux énoncés dans ISO/CEI 17025:2005 (CAN-P-4E) en vue de l accréditation par le CCN d installations susceptibles d évaluer et de mettre à l essai des produits STI. Dans leurs domaines d approbation STI respectifs, les autorités compétentes en matière de STI peuvent reconnaître l accréditation des installations pour la conduite des activités énumérées ci-dessous, cette liste n étant toutefois pas exhaustive : évaluation de produits et de systèmes en vertu des Critères communs; évaluation de modules et d algorithmes cryptographiques (si l accréditation se rapporte également au CAN-P-1621, Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques); examen de produits STI; évaluation d applications de commerce électronique sûr; évaluation de dispositifs biométriques; évaluation de la vulnérabilité et essais de pénétration; évaluation de dispositifs de sécurité commerciaux à fonctions spécialisées. Év aluatio n et certification selon les Critères com muns CAN-P-1621 Essais de modules et d algorithm es cryptographiques Examen de pr od uits Essais et approbation de comme rce électr oniqu e sûr Autres do main es d'approbation STI : Ligne s directrices re lative s à l'accréd itation des installations d'évaluation et d'essais de produits ST I Autres domaines de spécialité du PALCAN CAN-P-4E: Exigences générales concernant la compétence des laboratoires d'étalonnages et d'essais : ISO/CEI 17025:2005 Figure 1 : Ce diagramme illustre les domaines d approbation particuliers et généraux compris dans le champ de la STI Conseil canadien des normes, 2010 iv

9 Le Conseil canadien des normes accrédite des laboratoires pour l exécution d essais objectifs. Le contrôle de ces essais sera assuré de la manière suivante : constitution d une documentation sur les essais menés, y compris sur les modalités appliquées; validation des essais; vérification de la formation et des titres de compétences des membres du personnel, et de leur autorisation; entretien du matériel et des laboratoires. Et, lorsqu il y a lieu : étalonnage du matériel; emploi de matériaux de référence appropriés; prestation de conseils en matière d interprétation; vérification des résultats; évaluation des compétences du personnel; consignation de la performance du matériel et des résultats des essais. Conseil canadien des normes, 2010 v

10 EXIGENCES GÉNÉRALES Le présent document fournit des renseignements d ordre général à l intention des installations d EEPSTI, quelle que soit leur spécialité STI. Des exigences particulières seront élaborées et publiées pour chaque spécialité qui sera définie, au fur et à mesure que la demande le justifiera. D autres domaines de spécialité pourront s ajouter à la liste à mesure que la STI se diversifiera. Les critères liés à une spécialité donnée pourront venir préciser les critères généraux lorsqu il y aura lieu. À cet égard, chaque domaine de spécialité lié à l EEPSTI aura ses critères de performance particuliers précisant ce qui est nécessaire pour assurer le maintien des compétences d une installation d EEPSTI, selon les informations recueillies par l intermédiaire des programmes d assurance de la qualité, lorsque ces programmes existent et qu ils font partie des exigences liées à l accréditation. La mise à l essai des modules et des algorithmes cryptographiques constitue l une des spécialités STI pour lesquelles il a fallu mettre à jour les exigences de la norme et rédiger un nouveau document de procédure, le CAN-P-1621, intitulé Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques. Les installations qui souhaitent effectuer des essais de modules et d algorithmes cryptographiques doivent se conformer aux exigences du CAN-P-1621 en plus de satisfaire à celles du présent document. Les installations qui seront accréditées par le CCN recevront un certificat d accréditation pour l évaluation et l essai de produits STI ainsi qu un document précisant la portée de leur accréditation, c est-à-dire la gamme d essais pour lesquels l accréditation leur a été accordée. Les installations accréditées pourront en outre conclure des ententes avec le CCN concernant l utilisation de son logo conformément à l accord de licence de marque du CCN. Conseil canadien des normes, 2010 vi

11 1. RÉFÉRENCES i. CAN-P-4E, Exigences générales concernant la compétence des laboratoires d étalonnages et d essais, Conseil canadien des normes. ii. iii. ISO/CEI 17025: 2005, Exigences générales concernant la compétence des laboratoires d étalonnages et d essais. Guide ISO/CEI 28: 2004, Évaluation de la conformité Lignes directrices pour un système type de certification des produits par une tierce partie. iv. ISO/CEI 15408: 2005 et 2006, Critères d évaluation pour la sécurité TI Partie 1 : Introduction et modèle général; Partie 2 : Exigences fonctionnelles de sécurité; et Partie 3 : Exigences d assurance de sécurité. v. Vocabulaire international des termes fondamentaux et généraux de métrologie (VIM) : 2004, publié par l ISO. vi. vii. viii. ix. ISO/CEI 17000:2004, Évaluation de la conformité Vocabulaire et principes généraux. Guide ISO/CEI 2: 2004, Normalisation et activités connexes Vocabulaire général. CAN-P-15CA, Exigences et procédures du programme d accréditation des organismes d évaluation de la conformité du CCN relatives à la suspension et au retrait de l accréditation et au règlement des plaintes, des différends et des appels, septembre Guide du PALCAN (CAN-P-1570), Programme d accréditation des laboratoires (PALCAN), Conseil canadien des normes. x. NIST Handbook 150, NVLAP, Procedures and General Requirements, National Institute of Standards and Technology/National Voluntary Laboratory Accreditation Program (NIST/NVLAP), Gaithersburg, MD USA. xi. xii. xiii. NIST Handbook Checklist, Information Technology Security Testing Common Criteria. ISO/CEI 17011: 2005, Évaluation de la conformité Exigences générales pour les organismes d accréditation procédant à l accréditation d organismes d évaluation de la conformité. Lignes directrices à l intention des évaluateurs techniques effectuant des visites, Conseil canadien des normes. 1

12 xiv. Évaluation Guide de cotation à utiliser avec le CAN-P-4E (ISO/CEI :2005) «Exigences générales concernant la compétence des laboratoires d étalonnage et d essais», F0410, septembre 2009, Conseil canadien des normes. 2. DÉFINITIONS 2.1 Les définitions applicables aux fins du présent document englobent toutes les définitions du CAN-P-4E (c.-à-d. laboratoire, laboratoire d essais, laboratoire d étalonnage, étalonnage, essai, méthode d étalonnage, méthode d essai, vérification, système qualité, manuel qualité, étalon de référence, matériau de référence, matériau de référence certifié, traçabilité, essai d aptitude, exigences relatives à l accréditation), les définitions pertinentes d ISO (p. ex., assurance de la qualité, maîtrise de la qualité) et les définitions énoncées cidessous qui sont particulières au présent document : Accréditation d une installation : Reconnaissance officielle du fait qu une installation répond aux exigences d accréditation en matière d EEPSTI. L accréditation d une installation établit que l installation possède les compétences et les capacités voulues pour exécuter des évaluations et des essais de produits et de systèmes STI conformément aux exigences en matière d EEPSTI. (Facility Accreditation) Approbation : Détermination par une autorité en matière de sécurité de l information du fait qu une installation possède dans un domaine d activité précis les compétences techniques voulues pour effectuer l évaluation et l essai de produits STI; autorisation officielle habilitant l installation à mener des essais dans le contexte de l EEPSTI. (Approval) Autorité compétente reconnue en matière de STI : Organisation qui exerce un rôle directeur, une autorité formelle ou une influence directe sur un domaine d approbation STI afin de vérifier l application des normes et des pratiques exemplaires appropriées en matière d évaluation et d essai dans le domaine de compétence visé pour s assurer de la conformité à ces normes et pratiques. Cette organisation est responsable de l approbation des installations d EEPSTI accréditées pour la conduite d activités spécialisées d évaluations et d essais en vue de l approbation ou de la certification des résultats relatifs aux produits dans les domaines d approbation visés. (Recognized ITS Competent Authority) Conception fonctionnelle : Caractéristiques conceptuelles de la structure et caractéristiques de fonctionnement du produit STI. (Architectural Design) Domaine d approbation STI : Domaine spécialisé de la STI pour lequel il existe une autorité compétente reconnue, et pour lequel : 2

13 a) il existe (ou seront élaborées) des normes pour la conduite d activités spécialisées d évaluation et d essais STI; b) il existe un besoin en matière d évaluation de produits ou de services STI; c) il existe une reconnaissance des compétences individuelles ou organisationnelles nécessaires pour mener à bien les évaluations et les essais de sécurité spécialisés; d) il existe une exigence de maîtrise et de surveillance d une gamme précise d essais et d évaluation de produits STI; e) il existe un besoin en matière de révision et d approbation des résultats des évaluations et des essais; f) il existe une ou des installations d EEPSTI accréditées par le CCN. (ITS Approval Domain). Enregistrements : Données étayées, conservées pour référence ultérieure, au sujet d une intervention, d une analyse, d un résultat ou d un événement particulier ou de toute autre activité particulière se rapportant à l évaluation et à l essai de produits STI. Les enregistrements devraient être conservés sous une forme appropriée (électronique ou autre) et permanente pour leur durée de vie utile telle que définie par l autorité compétente reconnue en matière de STI. (Records) Essai d aptitude : Démonstration par une installation de sa capacité d effectuer des essais et des évaluations applicables à sa portée d accréditation. Dans le cadre de l EEPSTI, les installations seront tenues de démontrer leurs compétences théoriques et pratiques en matière d exécution d évaluations et d essais de produits STI. (Proficiency Testing) Évaluation : Analyse et essai de conformité menés en fonction de critères nationaux et internationaux d évaluation de la sécurité (p. ex., les Critères communs). Ce terme est l équivalent de la notion d «essai» pour le CCN. (Evaluation) Évaluation sur place : Examen sur place d une installation en vue d évaluer sa conformité aux conditions et aux critères d accréditation en matière d EEPSTI. (On-site Assessment) Examen technique : Processus par lequel une équipe d évaluation rattachée à une installation d EEPSTI acquiert une connaissance suffisante d un produit pour pouvoir porter un jugement technique sur sa capacité de satisfaire à une exigence de sécurité particulière. (Technical Review) 3

14 Exigences de sécurité : Spécifications relatives à la fonctionnalité ou aux caractéristiques conceptuelles d un produit de technologie de l information qui, lorsqu elles sont intégrées au produit, contribuent à assurer la sécurité. (Security Requirements) Installation : Organisme qui procède à des évaluations et à des essais de sécurité. Lorsque l installation fait partie d une organisation ayant des activités supplémentaires autres que l évaluation et les essais, le terme «installation» se rapporte exclusivement aux éléments de ladite organisation qui interviennent dans le processus d évaluation et d essai. (Facility) Installation d évaluation et d essais de produits STI (EEPSTI) : Installation accréditée par le CCN, selon les normes relatives à l EEPSTI, pour mener des évaluations et des essais de produits STI. (Information Technology Security Evaluation and Testing (ITSET) Facility) Module cryptographique : L ensemble du matériel, du logiciel, du microprogramme ou d une combinaison quelconque de ces éléments qui met en place une logique ou des processus cryptographiques, y compris des algorithmes de chiffrement et des processus de gestion des clés, et qui est contenu dans le périmètre cryptographique. (Cryptographic Module) Outils d essai : Désigne tout l équipement, y compris le matériel, le logiciel, les utilitaires et les procédures connexes, employé à l appui des activités d évaluation et d essais de produits de sécurité. L équipement devrait convenir aux emplois prévus et être géré, utilisé et entretenu conformément aux exigences du fabricant et à toutes autres pratiques appropriées. (Testing Tools) Personnel technique clé : Personnel de l installation détenant l autorité voulue pour prendre les décisions techniques importantes en matière d évaluation. Le «chef», le «responsable» et le «chef d équipe» chargé des évaluations en constituent des exemples. (Key Technical Personnel) Produit : Toute technologie de sécurité TI destinée à assurer la protection des biens et qui fait l objet d activités d évaluation et d essais en matière de sécurité. Ces technologies peuvent comprendre aussi bien des composants matériels ou logiciels autonomes que des systèmes entièrement intégrés, et peuvent englober toutes les procédures qui assurent l utilisation sûre de ces technologies dans l environnement auquel elles sont destinées. (Product) Sécurité des technologies de l information : Tout ce qui se rapporte à la définition, à la mise en œuvre et à la préservation de la confidentialité, de l intégrité, de la disponibilité, de l imputabilité et du contrôle d accès. (Information Technology Security) 4

15 Signataires approuvés : Personnes qualifiées et autorisées à signer le rapport d essai ou le certificat d étalonnage avant sa remise au client. (Approved Signatories) Validation : La validation d un outil ou d une procédure d essai est le processus qui consiste à vérifier, dans la mesure où cela est possible, que l outil fonctionnera adéquatement ou que la procédure produira des résultats conformes aux spécifications des séries d essais pertinentes, des normes pertinentes ou de versions antérieurement validées d outils d essais. (Validation) 5

16 3. PORTÉE DES ESSAIS 3.1 Les activités d EEPSTI englobent aussi bien des essais menant à des résultats catégoriques, comme les essais de pénétration de garde-barrières, les vérifications de résistance des mots de passe ou les taux de fausse acceptation des dispositifs biométriques, que des activités pouvant comporter une bonne part d interprétation, comme l évaluation de la robustesse des fonctions et des caractéristiques de sécurité d un produit logiciel ou matériel STI. 3.2 L EEPSTI consiste en l analyse des caractéristiques d un produit logiciel ou matériel STI qui visent à assurer les services de sécurité suivants : confidentialité de l information; intégrité de l information; disponibilité; imputabilité. 3.3 Les caractéristiques de sécurité précises qui peuvent être mises à l essai englobent, sans s y limiter, les aspects suivants : fonctions d identification et d authentification; audits de sécurité (constitution et stockage sécurisé de pistes d audit, analyse des événements relatifs à la sécurité); fonctions de non-répudiation; fonctions cryptographiques (opérations cryptographiques, gestion des clés cryptographiques); transmission sécuritaire de données (implantation et application du contrôle de l accès ou des règles ou politiques de flux de données); intégrité des données stockées; gestion des fonctions de sécurité, des données relatives à la sécurité et des rôles de gestion de la sécurité; protection des fonctions de sécurité, y compris l impossibilité de contournement et l isolation de domaines; utilisation des ressources (résilience, priorité de service, attribution des ressources); fonctions à sécurité intégrée; fonctions d autotest; protection physique (détection/prévention des sabotages). 3.4 Les techniques employées pour évaluer les caractéristiques de sécurité englobent, sans s y limiter, les aspects suivants : autoexamen avec résultats connus; analyse de la vulnérabilité afin de s assurer que le client a envisagé toutes les vulnérabilités éventuelles du produit STI évalué; 6

17 examen des codes logiciels; analyse approfondie de l environnement de conception et de la documentation connexe en vue de déterminer l efficacité du système de gestion des configurations applicable au produit STI évalué; examen approfondi de la documentation de livraison pour établir si elle décrit bien toutes les procédures requises pour préserver l intégrité du produit STI évalué; examen et mise à l essai des procédures d installation, de génération et de démarrage pour déterminer si elles sont complètes et assez détaillées pour permettre une configuration sécurisée du produit STI évalué; analyse approfondie de la documentation de conception, notamment les spécifications fonctionnelles, la conception de haut niveau et la conception de bas niveau, afin de confirmer qu elle instancie correctement toutes les interfaces et toutes les fonctions de sécurité inhérentes au produit évalué; analyse approfondie des guides d utilisation et d administration afin d établir s ils expliquent bien et sans ambiguïté comment se servir du produit et l administrer de manière sécuritaire et s ils sont conformes à toute autre documentation fournie aux fins de l évaluation; examen et évaluation, dans le cadre de visites sur place, des procédures de sécurité à l égard de la conception afin de déterminer si elles exposent de manière assez précise les mesures nécessaires dans l environnement de conception pour assurer la confidentialité et l intégrité du concept et de l implantation du produit STI; analyse des essais des clients en vue d en établir la couverture et la profondeur, et réalisation d essais de fonctionnement et de pénétration indépendants; mise en correspondance des politiques de sécurité; traçage des exigences de sécurité. 3.5 Approche générale en matière d essais STI La méthodologie appliquée distingue quatre principaux volets dans la planification et l exécution des essais liés à l évaluation de la sécurité d installations d EEPSTI : l analyse de la couverture des essais, les plans d essais, les procédures d essais et les résultats d essais L analyse de la couverture des essais met habituellement en correspondance les caractéristiques de sécurité et les résultats des essais qui démontrent le fonctionnement adéquat des fonctions de sécurité. Elle peut servir à prouver que toutes les caractéristiques de sécurité ont été mises à l essai. 7

18 3.5.3 Le plan d essai précise la mesure dans laquelle chaque caractéristique de sécurité sera mise à l essai, l approche adoptée à cette fin ainsi que les ressources nécessaires, notamment en fait d équipement, de personnel et de temps, pour réaliser les essais de la façon indiquée La procédure d essai décrit la marche à suivre, conformément au plan d essai, pour mettre en place le contexte nécessaire à la conduite des essais, réunir les conditions voulues, procéder aux essais et documenter les résultats projetés. Elle doit être consignée de façon suffisamment détaillée pour éviter toute ambiguïté au cours des essais et pour permettre à d autres évaluateurs de la reprendre ultérieurement et d obtenir les mêmes résultats Les résultats d un essai documentent les résultats réels observés au cours d un essai et doivent être consignés de façon suffisamment détaillée pour permettre la comparaison avec les résultats projetés et pour faciliter les comparaisons si le même essai est répété ultérieurement. Les résultats réels obtenus permettent de prendre une décision concernant la protection assurée. 8

19 4. DÉMONSTRATION DE LA COMPÉTENCE TECHNIQUE 4.1 Composition de l équipe d évaluation L accréditation établit que l installation dispose des compétences et des capacités voulues pour procéder à des évaluations et à des essais de produits et de systèmes STI conformément aux normes définies. Le CCN offre l accréditation aux installations d EEPSTI en collaboration avec le CST. Le CCN fournit l évaluateur principal pour chaque accréditation ou réévaluation et le CST, un ou plus d un évaluateur technique pour les évaluations sur place et les essais d aptitude. 4.2 Préparation de l évaluation sur place L évaluation sur place vise à faciliter la démonstration de la conformité du fonctionnement d une installation au document CAN-P-4E. Le CCN remettra les lignes directrices relatives à la conduite des visites aux évaluateurs techniques du CST afin qu ils s y réfèrent pour effectuer les évaluations sur place Avant de procéder à l évaluation sur place, les évaluateurs examineront le manuel qualité de l installation et le curriculum vitæ des membres du personnel. Si d autres documents sont nécessaires à l appui d un essai d aptitude, l installation devrait en être informée avant l évaluation afin qu elle puisse les soumettre. 4.3 Essais d aptitude Les installations sont tenues de participer à des essais d aptitude pour les méthodes d essais indiquées. Dans le cadre de l EEPSTI, les installations devront démontrer leurs compétences théoriques et pratiques en matière d exécution d évaluations et d essais de produits STI. La réussite de l essai d aptitude est un préalable à l obtention de l accréditation initiale et à son renouvellement périodique. Les installations qui désirent renouveler leur accréditation devraient avoir réussi de façon satisfaisante tous les essais d aptitude requis durant la période d accréditation précédente ou avoir apporté les améliorations nécessaires pour remédier aux lacunes signalées. Pour permettre une évaluation adéquate d une installation, un essai d aptitude peut englober les méthodes suivantes : évaluation de la formation et de l expérience du personnel technique de l installation à l égard des exigences précisées à l article de l Annexe A ainsi que des habiletés et des compétences requises mentionnées à l Annexe B; 9

20 évaluation de la capacité de l installation à mettre en œuvre les critères et les méthodes d évaluation applicables correctement et toujours de la même manière par l examen des enregistrements des activités d évaluation et de tout document complémentaire; observation de l expertise du personnel de l installation en matière de sécurité des TI (p. ex., assister à la réalisation des essais relatifs au fonctionnement, à la vulnérabilité et à la pénétration) et des processus techniques en vigueur au sein de l installation. Lorsque la portée d accréditation inclut un programme faisant l objet d un contrôle technique 1 constant (p. ex., Programme des Critères communs), l installation aura eu l occasion par le passé de démontrer sa compétence en exécution d évaluations et d essais de produits et de systèmes STI. Le cas échéant, les résultats du contrôle technique seront utilisés dans le cadre des essais d aptitude. 1 Le processus de contrôle technique est exposé à l Annexe B. 10

21 ANNEXE A APPLICATION DES EXIGENCES DU CAN-P-4E AUX INSTALLATIONS D EEPSTI La présente annexe doit être utilisée avec le F0410. Chaque application vise à préciser les exigences générales énoncées dans le CAN-P-4E pour lesquelles les critères d essais et d évaluation expressément applicables à l EEPSTI seront utilisés. Le tableau ci-dessous indique les numéros des clauses du CAN-P-4E visées par chaque application. 4. Exigences relatives au management CAN-P-4E (ISO/CEI 17025: 2005, article n o ) Notes du CCN à l intention des installations d EEPSTI concernant l application des exigences 4.1 Organisation b) L installation d EEPSTI est tenue de mettre en place des politiques et des procédures assurant l impartialité et l intégrité des essais EEPSTI, en particulier : lorsque l installation peut, à la discrétion de l autorité compétente en matière de STI, concevoir des produits STI; lorsque l installation peut, à la discrétion de l autorité compétente en matière de STI, fournir des services de consultation en vue d essais STI d un tel produit et participer à ces essais h) et Au moins un membre du personnel technique de l installation est tenu d assumer des fonctions de gestion et doit être un professionnel STI qualifié satisfaisant aux exigences fondamentales en matière de formation (5.2.1) et possédant une vaste expérience de la STI. En ce qui concerne les installations qui sont des Centres d évaluation selon les Critères communs, la formation et l expérience en STI du personnel seront passées en revue et analysées en fonction d une grille de compétences prédéfinie élaborée par l autorité compétente reconnue en matière de STI/le CST. 4.2 Système de management Le manuel qualité doit comprendre la portée des étalonnages ou des essais effectués par l installation qui est publiée sur le site web du CCN. 4.4 Revue des demandes, appels d offres et contrats a) L installation d EEPSTI et son client sont tenus de s entendre par écrit sur ce qui constitue la cible des essais et l environnement dans lequel la cible sera testée, y compris la cible précise des essais, la configuration adoptée aux fins des essais et l environnement externe dans lequel ceux-ci se dérouleront. L installation d EEPSTI et le client sont tenus de s entendre par écrit sur les éléments suivants : cible précise des essais; configuration adoptée aux fins des essais; 11

22 lieux où seront effectués les essais ou l évaluation; toute assistance à la préparation de l environnement d évaluation fournie par le client, comme l envoi d équipement particulier sur les lieux des essais et l installation d un système d exploitation ou de bases de données particuliers, etc.; documents à livrer par le client; documents à livrer par l installation; approche adoptée par l installation relativement aux essais. Les rapports d essais définitifs doivent être conservés par l installation pour la période prévue par le client ou l autorité compétente en matière de STI, ou par les deux Maîtrise des enregistrements L installation est tenue d utiliser et de garder fonctionnel un système de maîtrise des enregistrements afin d assurer le suivi des activités liées aux essais pour chaque évaluation de produit de sécurité. Les enregistrements associés aux activités d évaluation doivent être traçables aux normes et aux méthodes reconnues de l industrie, s il y a lieu. 5. Exigences techniques Les enregistrements doivent être facilement accessibles et contenir des données suffisantes pour permettre à une entité indépendante de déterminer quel travail d évaluation a été effectivement accompli et de souscrire au verdict. L installation d EEPSTI est également tenue de conserver des enregistrements sur les éléments suivants : établissement et modification de procédures et de méthodologies d évaluation; approbation ou rejet de produits soumis à une évaluation; suivi complet des multiples versions des données d évaluation et des rapports techniques d évaluation; suivi complet des activités d évaluation, y compris l analyse initiale, les verdicts et tout changement subséquent à ces derniers (p. ex., à la suite de la modification de preuves ou d une analyse additionnelle); renseignements nécessaires pour reproduire tout essai mené durant une évaluation; configuration de tout équipement d essai employé durant une évaluation et analyse de cet équipement visant à confirmer son adéquation pour ce qui est de l exécution des essais voulus. L installation est tenue de conserver, divulguer et détruire ses enregistrements conformément à sa politique à l égard des renseignements exclusifs de nature confidentielle ainsi qu aux engagements contractuels conclus avec ses clients. CAN-P-4E (ISO/CEI 17025: 2005, article n o ) Notes du CCN à l intention des installations d EEPSTI concernant l application des exigences 5.2 Personnel L installation est tenue de compter, parmi son personnel technique, au moins 12

23 trois employés ayant une formation appropriée (diplôme universitaire ou collégial en informatique, en génie ou dans une discipline connexe, ou certification professionnelle) et une expérience pertinente en conception, en essai ou en évaluation de produits de sécurité. En outre, son personnel doit avoir les connaissances ou l expérience requises relativement à tout produit spécifique à évaluer Le système de management doit contenir des renseignements sur les politiques et les procédures (programme de formation) qui régissent la vérification périodique des compétences de tout le personnel prenant part à la conduite et à l évaluation des essais. S il y a seulement un membre du personnel de l installation qui possède les compétences voulues pour se charger d un aspect spécifique des essais, les audits doivent au moins comprendre une revue de la documentation et des instructions ainsi qu une vérification du respect des procédures et des instructions, et de la documentation présentant les résultats d essais. 5.3 Installations et conditions ambiantes L espace dont dispose l installation pour les évaluations STI doit être entretenu de manière à permettre ces évaluations. Cela inclut des locaux aménagés pour l évaluation et l essai de produits de sécurité, la formation du personnel, la tenue des enregistrements et la conservation des documents et des logiciels et matériel informatique. L installation est tenue de mettre à jour tous les systèmes d essais et d évaluation régulièrement pour les protéger contre les virus et autres logiciels malveillants. L installation doit être dotée d un système de sauvegarde efficace afin de pouvoir récupérer toute donnée d évaluation (enregistrements compris) éventuellement perdue. Lorsque des essais sont menés dans les locaux d un client ou à tout autre endroit qu à l installation, toutes les exigences d EEPSTI applicables à l équipement, aux aménagements et à l environnement s appliqueront Des processus et des procédures doivent être instaurés pour préserver le cloisonnement des divers produits évalués simultanément, ce qui inclut à la fois les produits mêmes et toutes les données connexes découlant des essais et des évaluations Un système doit être instauré pour protéger le matériel informatique, les logiciels, les documents d évaluation livrables et les enregistrements électroniques et papier propres aux clients. Ce système doit protéger contre tout accès non autorisé le matériel et l information qui appartiennent en propre aux clients. Des mesures de protection technique (garde-barrière, système de détection d intrusion, etc.) doivent être implantées afin de protéger les systèmes internes associés aux essais et aux évaluations STI contre les entités externes non fiables. 5.5 Équipement Pour les besoins de la portée d accréditation, l installation est tenue de disposer de l équipement matériel et logiciel et des installations informatiques appropriés pour mener des évaluations et des essais de produits STI. Elle doit être pourvue sur place de systèmes à l appui des évaluations de sécurité qui sont appropriés et qui sont adaptés aux essais visés par la demande d accréditation. 13

24 L installation doit avoir ou être en mesure de fournir, sur préavis raisonnable, l infrastructure de TI nécessaire aux fonctions suivantes : traitement de textes pour la production de rapports; communication sécurisée par courriel avec les clients, l autorité compétente en matière de STI, etc.; accès à Internet; utilisation de tout outil spécialisé requis dans le cadre du travail d évaluation Aux fins de l EEPSTI, le terme «équipement» désigne les produits matériels et logiciels et tout autre mécanisme d évaluation utilisés par l installation à l appui de l évaluation et de l essai d un produit STI. L installation doit être dotée sur place des systèmes appropriés à l appui d évaluations et d essais de produits STI. L équipement utilisé pour les essais doit être employé et entretenu : conformément aux recommandations du fabricant; tel qu il est indiqué dans la méthode d essai; tel qu il est indiqué dans les exigences détaillées propres au domaine de spécialité EEPSTI. L installation est tenue d avoir des procédures garantissant la configuration appropriée de tout l équipement d essai. Elle est tenue de conserver les enregistrements de cette configuration et de toute analyse visant à confirmer que cet équipement convient aux essais voulus. L installation est tenue d avoir des procédures visant à assurer la conservation, l élimination ou le retour appropriés des logiciels et du matériel informatique après la conclusion de l évaluation. 5.8 Manutention des objets d essai et d étalonnage Le manuel qualité doit comprendre les procédures qui se rapportent à ce qui suit : manipulation et intégrité des produits; manipulation et intégrité des outils et logiciels d essais; exécution d essais sur place Rapport sur les résultats L installation d EEPSTI est tenue de publier des rapports d essais qui présentent de façon exacte, claire et non ambiguë les conditions d essais, la configuration d essais, les résultats des essais et toute l information requise Les rapports d essais doivent comporter une mention indiquant qu ils ne peuvent être reproduits qu en totalité sauf autorisation écrite de l installation à cet effet e) Chaque rapport d essai doit indiquer les types d essais standard effectués ou fournir une description des essais. 14

25 ANNEXE B PORTÉE D'ACCRÉDITATION DES CENTRES D'ÉVALUATION SELONS LES CRITERES COMMUNS Introduction L accréditation établit qu une installation dispose des compétences et des capacités voulues pour exécuter des évaluations et des essais de produits et de systèmes de sécurité des technologies de l information (STI). La présente annexe expose en détail les méthodes d évaluation et d essais précises que les installations peuvent employer aux termes de la norme ISO/CEI (aussi appelée Critères communs, ou CC) à l aide du document méthodologique ISO/CEI (aussi appelé méthodologie d évaluation commune, ou CEM). Le Centre de la sécurité des télécommunications (CST) gère l organisme de certification (OC) du Schéma canadien d évaluation et de certification selon les Critères communs (SCCC). Le SCCC est un partenariat gouvernement-industrie en vertu duquel des installations commerciales d évaluation évaluent selon les CC des produits STI d une part et le CST assure le contrôle technique et la certification des résultats des évaluations d autre part. Le CST est également chargé d approuver les Centres d évaluation selon les CC (CECC) et il s appuie à cette fin sur le domaine de spécialité de programme de l EEPSTI pour établir leur compétence technique. Les installations d évaluation dont les compétences sont ainsi reconnues reçoivent un document contenant la portée d accréditation ci-dessous, qui est propre à la norme des CC. La présente annexe précise par ailleurs les compétences et les habiletés exigées du personnel des installations de même que les techniques relatives aux essais d aptitude qui sont propres aux CCEC. Portée d accréditation Conformément aux normes suivantes : ISO/CEI : Technologies de l information Techniques de sécurité Critères d évaluation pour la sécurité TI Partie 1 : Introduction et modèle général; Partie 2 : Exigences fonctionnelles de sécurité; Partie 3 : Exigences d assurance de sécurité; ISO/CEI : Technologies de l information Techniques de sécurité Méthodologie pour l évaluation de sécurité TI, la portée d accréditation inclut les activités d évaluation et d essais ci-dessous : APE : évaluation de profils de protection; ASE : évaluation d une cible de sécurité; EAL1 : premier niveau d assurance de l évaluation; 15

26 EAL2 : deuxième niveau d assurance de l évaluation; EAL3 : troisième niveau d assurance de l évaluation; EAL4 : quatrième niveau d assurance de l évaluation; ALC_FLR : correction d anomalies. Compétences et habiletés requises Pour les besoins de la portée d accréditation, présentée ci-dessus, le personnel de l installation est tenu d avoir une connaissance fonctionnelle des normes ISO/CEI et ISO/CEI et de posséder les compétences et les habiletés nécessaires pour accomplir les activités suivantes en conformité avec les exigences des deux normes : évaluer un profil de protection; évaluer une cible de sécurité; effectuer une analyse approfondie de l environnement de conception du client et de la documentation connexe en vue de déterminer l efficacité du système de gestion des configurations du client; effectuer un examen approfondi de la documentation de livraison du client afin d établir si cette dernière décrit bien toutes les procédures requises pour préserver l intégrité du produit STI évalué; examiner et mettre à l essai les procédures d installation, de génération et de démarrage pour déterminer si elles sont complètes et assez détaillées pour permettre une configuration sécurisée du produit STI évalué; effectuer une analyse approfondie de la documentation de conception, notamment les spécifications fonctionnelles, la conception de haut niveau et la conception de bas niveau, afin de confirmer qu elle instancie correctement toutes les interfaces et toutes les fonctions de sécurité inhérentes au produit évalué; analyser en profondeur les guides d utilisation et d administration afin d établir s ils expliquent bien et sans ambiguïté comment se servir du produit et l administrer de manière sécuritaire et s ils sont conformes à toute autre documentation fournie aux fins de l évaluation; examiner et évaluer, au cours de visites sur place, les procédures de sécurité à l égard de la conception afin de déterminer si elles font une description suffisamment détaillée des mesures de sécurité nécessaires dans l environnement de conception pour assurer la confidentialité et l intégrité du concept et de l implantation du produit STI; faire une analyse de la vulnérabilité pour vérifier si le client a envisagé toutes les vulnérabilités éventuelles du produit STI évalué; évaluer les essais conçus par des clients en vue d en établir la couverture et la profondeur, et mener des essais de fonctionnement et de pénétration indépendants; passer en revue le plan d essai, l approche d essai, les procédures d essais et les résultats d essais du client, et étudier les données d essais afin de démontrer que les fonctions de sécurité sont conformes aux spécifications et ont été éprouvées de manière systématique par rapport aux spécifications fonctionnelles et à la conception de haut niveau; 16

27 concevoir des essais de fonctionnement par suite de l analyse de la documentation de conception, des guides et de la documentation des essais du client, de l exécution d un vaste échantillon des scénarios d essais du client et de la création de scénarios d essais complémentaires; concevoir des essais de pénétration fondés sur une analyse de la vulnérabilité, les spécifications fonctionnelles, la conception de haut niveau, la conception de bas niveau et les guides d installation; produire des rapports d observation, d évaluation et d essais conformément aux exigences du SCCC. Essais d aptitude Processus de contrôle technique Ainsi qu il a été mentionné précédemment, il incombe à l OC d assurer la surveillance technique des travaux d évaluation selon les CC réalisés par les CCEC. Grâce à ce processus, l OC peut déterminer si un CECC réalise des évaluations de qualité ou si celui-ci doit prendre des mesures correctives. Pour satisfaire aux exigences de surveillance technique du SCCC, une installation doit être en mesure de : préparer un plan de travail pour l évaluation (PTE) et un calendrier d évaluation qui prévoient l assignation de ressources appropriées et les activités pertinentes; présenter une version bien développée de la cible de sécurité (obtenue du développeur) et la liste des documents à livrer; effectuer les activités d évaluation conformément aux exigences des CC et de la CEM, et produire les données d évaluation pour l OC pendant l évaluation proprement dite; répondre aux rapports d observation formulés par l OC; préparer un rapport technique d évaluation (RTE) et un rapport de certification préliminaire (RCP) dans lesquels seront consignées les constatations; travailler de façon coordonnée en équipe afin de réussir l évaluation. L OC peut choisir d observer certaines activités d évaluation plus en détail ou de répéter plus d activités d évaluation que ce qui serait normalement le cas dans d autres évaluations selon les CC, afin de vérifier que les analyses et les procédures appropriées sont appliquées. Les résultats du processus de surveillance technique décrit ci-dessus peuvent servir aux fins des essais d aptitude. Outre le processus de surveillance technique, l OC évalue, met à l essai et approuve les candidats aux postes d évaluateur selon les CC. Pour participer aux activités d évaluation à ce titre, les membres du personnel doivent faire la preuve qu ils ont reçu la formation et acquis l expérience pertinentes en STI, et réussir un examen de l OC qui met à l épreuve leurs connaissances et leurs habiletés dans l application des CC et de la CEM. L OC remet aux personnes ayant satisfait à ces deux exigences un certificat d évaluateur qui précise le niveau EAL maximal en vertu duquel elles sont qualifiées pour travailler dans le cadre du SCCC. 17

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 6 Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 Contrôle technique de la continuité de l assurance d une TOE certifiée Août 2005 ii Version

Plus en détail

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302*

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Transports Canada Transport Canada TP 14693F (05/2007) Aviation civile Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Imprimé au Canada Veuillez acheminer vos commentaires, vos commandes

Plus en détail

juin 2003 Programmes d accréditation des Systèmes de management de la qualité (PASMQ)

juin 2003 Programmes d accréditation des Systèmes de management de la qualité (PASMQ) Guide du SCECIM Politique et méthode relatives à la qualification sectorielle dans le cadre du système canadien d évaluation de la conformité des instruments médicaux (SCECIM) juin 2003 Programmes d accréditation

Plus en détail

CHARTE D AUDIT INTERNE

CHARTE D AUDIT INTERNE CHARTE D AUDIT INTERNE adoptée par le Conseil des gouverneurs le 26 mars 2013 Centre de recherches pour le développement international Ottawa, Canada Assurances et conseils afin de soutenir le développement

Plus en détail

Introduction à l ISO/IEC 17025:2005

Introduction à l ISO/IEC 17025:2005 Introduction à l ISO/IEC 17025:2005 Relation avec d autres normes de Management de la Qualité Formation Assurance Qualité LNCM, Rabat 27-29 Novembre 2007 Marta Miquel, EDQM-CoE 1 Histoire de l ISO/IEC

Plus en détail

En quoi consiste la gestion des dossiers et de l information (GDI)?

En quoi consiste la gestion des dossiers et de l information (GDI)? OBJET Les dossiers et l information sont d importants biens stratégiques pour une organisation et, comme c est le cas d autres éléments organisationnels (ressources humaines, capital et technologie), ils

Plus en détail

International Laboratory Accreditation Cooperation. Les avantages de l accréditation. global trust. Testing Calibration Inspection

International Laboratory Accreditation Cooperation. Les avantages de l accréditation. global trust. Testing Calibration Inspection International Laboratory Accreditation Cooperation Les avantages de l accréditation La reconnaissance de la compétence en matière d essais L accréditation représente une reconnaissance officielle pour

Plus en détail

Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits combinés

Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits combinés EA-7/05 Guide EA pour l application de la norme ISO/CEI 17021:2006 pour les audits combinés Référence de la publication Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

LIGNES DIRECTRICES À L USAGE DES ORGANISMES RÉALISANT LA CERTIFICATION DE SYSTÈMES DE QUALITÉ POUR LES PROGRAMMES DE CONTRÔLE DU DOPAGE

LIGNES DIRECTRICES À L USAGE DES ORGANISMES RÉALISANT LA CERTIFICATION DE SYSTÈMES DE QUALITÉ POUR LES PROGRAMMES DE CONTRÔLE DU DOPAGE PROGRAMME MONDIAL ANTIDOPAGE LIGNES DIRECTRICES À L USAGE DES ORGANISATIONS ANTIDOPAGE DÉVELOPPANT DES BONNES PRATIQUES POUR LES PROGRAMMES DE CONTRÔLE DU DOPAGE LIGNES DIRECTRICES À L USAGE DES ORGANISMES

Plus en détail

CHARTE DU COMITÉ DE GESTION DES RISQUES

CHARTE DU COMITÉ DE GESTION DES RISQUES CHARTE DU COMITÉ DE GESTION DES RISQUES MANDAT Le Comité de gestion des risques (le «Comité») du Conseil d administration (le «Conseil») a pour mandat d assister le Conseil de la Société canadienne d hypothèques

Plus en détail

Tous droits réservés. Règles Du Comité De Gouvernance, Des Ressources Humaines Et De La Rémunération

Tous droits réservés. Règles Du Comité De Gouvernance, Des Ressources Humaines Et De La Rémunération Règles Du Comité De Gouvernance, Des Ressources Humaines Et De La Rémunération Table des Matières I. OBJECTIFS... 3 II. FONCTIONS ET RESPONSABILITÉS... 3 A. Membres du Conseil, principes de gouvernance

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Trustwave AppDetectivePRO Version 8.3.1 préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du système d exploitation Data Domain version 5.2.1.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit RSA Archer egrc Platform v5.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques

Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques Exigences relatives à l accréditation des installations d essais de modules et d algorithmes cryptographiques EXIGENCES RELATIVES À L ACCRÉDITATION DES INSTALLATIONS D ESSAIS DE MODULES ET D ALGORITHMES

Plus en détail

CHARTE DU COMITÉ DES RESSOURCES HUMAINES DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ DES RESSOURCES HUMAINES DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ DES RESSOURCES HUMAINES DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION Principales responsabilités ~~ Être responsable de l évaluation du rendement, de la rémunération et de

Plus en détail

CHARTE DU COMITÉ DE RÉGIE D ENTREPRISE

CHARTE DU COMITÉ DE RÉGIE D ENTREPRISE CHARTE CORPORATIVE Date de publication 2005-11-17 Date de révision 2014-06-10 Émise et approuvée par Conseil d administration de Uni-Sélect inc. CHARTE DU COMITÉ DE RÉGIE D ENTREPRISE PARTIE I. STRUCTURE

Plus en détail

RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS

RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS Dernière modification en vigueur le 1 er mars 2014 Ce document a valeur officielle chapitre V-1.1, r. 7.1 RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS A.M.

Plus en détail

OFM-TG-03-2000F. Bureau du commissaire des incendies. Qualifications du personnel des entreprises d entretien C I DIRECTIVE

OFM-TG-03-2000F. Bureau du commissaire des incendies. Qualifications du personnel des entreprises d entretien C I DIRECTIVE B Qualifications du personnel des entreprises d entretien C I NOVEMBRE 2000 DIRECTIVE TABLE DES MATIÈRES ARTICLE PAGE Résumé... 2 1.0 OBJET... 3 2.0 CONTEXTE... 3 3.0 CRITÈRES D ACCEPTABILITÉ... 3 3.1

Plus en détail

Bureau du vérificateur général du Canada. Rapport sur la revue des pratiques d audit de performance

Bureau du vérificateur général du Canada. Rapport sur la revue des pratiques d audit de performance Bureau du vérificateur général du Canada Rapport sur la revue des pratiques d audit de performance Revues des pratiques effectuées au cours de l exercice 2011-2012 Juillet 2012 Revue des pratiques et audit

Plus en détail

Tous droits réservés. Règles Du Conseil D administration

Tous droits réservés. Règles Du Conseil D administration Règles Du Conseil D administration Table des Matières I. OBJECTIFS... 3 II. FONCTIONS ET RESPONSABILITÉS DU CONSEIL... 3 A. Stratégie et budget... 3 B. Gouvernance... 3 C. Membres du Conseil et des comités...

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetIQ Secure Configuration Manager 5.9.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetScout ngeniusone Unified Performance Management Platform V5.2.1 and ngenius InfiniStream V5.2.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme

Plus en détail

Ordonnance sur les services de certification électronique

Ordonnance sur les services de certification électronique Ordonnance sur les services de certification électronique (OSCert) 784.103 du 12 avril 2000 (Etat le 23 mai 2000) Le Conseil fédéral suisse, vu les art. 28, 62 et 64 de la loi du 30 avril 1997 sur les

Plus en détail

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE Résumé PREFACE 2 INTRODUCTION 2 1. BUT ET CHAMP D APPLICATION 2 2. REFERENCES DOCUMENTAIRES ET NORMES 3 3. TERMES ET DEFINITIONS 3 4. POLITIQUE POUR UNE CONSOMMATION RAISONNEE (PCC) 3 5. RESPONSABILITE

Plus en détail

Mandat du Comité sur la gouvernance, le risque et la stratégie VIA Rail Canada inc.

Mandat du Comité sur la gouvernance, le risque et la stratégie VIA Rail Canada inc. Mandat du Comité sur la gouvernance, le risque et la stratégie VIA Rail Canada inc. 1. OBJET Le conseil d administration a délégué au Comité sur la gouvernance, le risque et la stratégie les fonctions

Plus en détail

Banque Canadienne Impériale de Commerce Mandat du conseil d administration 1

Banque Canadienne Impériale de Commerce Mandat du conseil d administration 1 1 1. OBJET (1) Les membres du conseil d administration ont le devoir de surveiller la gestion des affaires tant commerciales qu internes de la Banque CIBC. Le conseil d administration donne, à la fois

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit EMC RecoverPoint version 3.4 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Trustwave Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon

Plus en détail

Services d accréditation Aperçu général et focus sur l accréditation des organismes de certification de personnes. Conférence AQVE 21 novembre 2013

Services d accréditation Aperçu général et focus sur l accréditation des organismes de certification de personnes. Conférence AQVE 21 novembre 2013 Services d accréditation Aperçu général et focus sur l accréditation des organismes de certification de personnes Conférence AQVE 21 novembre 2013 Chantal Guay, ing., P. Eng. Vice-présidente 2 Le mandat

Plus en détail

Lignes directrices du PALCAN relatives à l utilisation des logos de l organisme d accréditation et aux déclarations concernant le statut d organisme

Lignes directrices du PALCAN relatives à l utilisation des logos de l organisme d accréditation et aux déclarations concernant le statut d organisme Lignes directrices du PALCAN relatives à l utilisation des logos de l organisme d accréditation et aux déclarations concernant le statut d organisme accrédité (ILAC-G14:2000) CAN-P-1631 LIGNES DIRECTRICES

Plus en détail

DIRECTIVE DU COMMISSAIRE

DIRECTIVE DU COMMISSAIRE DIRECTIVE DU COMMISSAIRE SUJET: PROCESSUS INTERNE DE RÈGLEMENT DES DIFFÉRENDS N O: DC-12 DATE DE PUBLICATION: 10 AVRIL 2013 DATE D ENTRÉE EN VIGUEUR : 2 SEPTEMBRE 2013 INTRODUCTION Le gouvernement du Canada

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

FINANCE CRITÈRES D ÉVALUATION (Les critères d évaluation doivent être pris en compte de pair avec le Cadre de surveillance du BSIF)

FINANCE CRITÈRES D ÉVALUATION (Les critères d évaluation doivent être pris en compte de pair avec le Cadre de surveillance du BSIF) RÔLE DE LA FONCTION Finance est une fonction autonome qui rend compte avec exactitude et en temps utile du rendement des unités opérationnelles (y compris les secteurs d activité) de l institution financière

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

NORME 5 NORMES ET PROCÉDURE D AUTO-ACCRÉDITATION

NORME 5 NORMES ET PROCÉDURE D AUTO-ACCRÉDITATION NORME 5 NORME ET PROCÉDURE D AUTO-ACCRÉDITATION Bien que cette Norme apparaisse dans le Code canadien de sécurité pour les transporteurs routiers, il est important de noter qu'elle s'applique à tous les

Plus en détail

Note de mise en œuvre

Note de mise en œuvre Note de mise en œuvre Objet : appliquant l approche standard ou une AMA Catégorie : Fonds propres N o : A & A-1 Date : Mai 2006 I. Introduction L objectif de cette note de mise en œuvre est de présenter

Plus en détail

RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA

RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA Le présent document a pour but de servir de guide pour ce qui est des rôles et des responsabilités du coordonnateur communautaire

Plus en détail

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 9 février 2004 000309/SGDN/DCSSI/SDR Référence : CER/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE

Plus en détail

INTRODUCTION AU PROGRAMME D ASSURANCE DE LA QUALITÉ

INTRODUCTION AU PROGRAMME D ASSURANCE DE LA QUALITÉ JUIN 2009 INTRODUCTION AU PROGRAMME D ASSURANCE DE LA QUALITÉ Placez dans l onglet no 5 de votre classeur des ressources des membres Le programme d assurance de la qualité de l Ordre des ergothérapeutes

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et

Plus en détail

REGLEMENT SUR LE SERVICE D AUDIT INTERNE DE LA SOCIETE ANONYME «COMPAGNIE NATIONALE «ASTAN EXPO-2017»

REGLEMENT SUR LE SERVICE D AUDIT INTERNE DE LA SOCIETE ANONYME «COMPAGNIE NATIONALE «ASTAN EXPO-2017» «Approuvé» Par la décision du Conseil des Directeurs de la SA «CN «Astana EXPO-2017» du 29 août 2013 Protocole N 6 avec des amendements introduits par la décision du Conseil des Directeurs de la SA «CN

Plus en détail

Décrets, arrêtés, circulaires

Décrets, arrêtés, circulaires Décrets, arrêtés, circulaires TEXTES GÉNÉRAUX MINISTÈRE DE L EMPLOI, DE LA COHÉSION SOCIALE ET DU LOGEMENT Arrêté du 21 novembre 2006 définissant les critères de certification des compétences des personnes

Plus en détail

REF01 Référentiel de labellisation des laboratoires de recherche_v3

REF01 Référentiel de labellisation des laboratoires de recherche_v3 Introduction Le présent référentiel de labellisation est destiné aux laboratoires qui souhaitent mettre en place un dispositif de maîtrise de la qualité des mesures. La norme ISO 9001 contient essentiellement

Plus en détail

Principes Critères Protocole Compétences. aux fins de l obtention du titre de. ARBITRE AGRÉÉ/ARBITRE AGRÉÉE (Arb.A)

Principes Critères Protocole Compétences. aux fins de l obtention du titre de. ARBITRE AGRÉÉ/ARBITRE AGRÉÉE (Arb.A) Principes Critères Protocole Compétences aux fins de l obtention du titre de ARBITRE AGRÉÉ/ARBITRE AGRÉÉE (Arb.A) I INTRODUCTION L arbitrage est un processus par lequel les parties prenantes à un différend

Plus en détail

RÉSOLUTION ADOPTÉE PAR L ASSEMBLÉE GÉNÉRALE. [sur le rapport de la Cinquième Commission (A/48/801/Add.2)]

RÉSOLUTION ADOPTÉE PAR L ASSEMBLÉE GÉNÉRALE. [sur le rapport de la Cinquième Commission (A/48/801/Add.2)] NATIONS UNIES A Assemblée générale Distr. GÉNÉRALE A/RES/48/218 B 12 août 1994 Quarante-huitième session Point 121 de l ordre du jour RÉSOLUTION ADOPTÉE PAR L ASSEMBLÉE GÉNÉRALE [sur le rapport de la Cinquième

Plus en détail

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire NORME INTERNATIONALE ISO/CEI 27000 Troisième édition 2014-01-15 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Plus en détail

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION I. COMPOSITION ET FONCTIONNEMENT DU COMITÉ DE LA VÉRIFICATION 1. Le Comité de la vérification (le «comité»)

Plus en détail

Cadre de travail sur les relations avec les gouvernements et la défense des droits. Société canadienne de la sclérose en plaques

Cadre de travail sur les relations avec les gouvernements et la défense des droits. Société canadienne de la sclérose en plaques Cadre de travail sur les relations avec les gouvernements Société canadienne de la sclérose en plaques Juin 2009 Table des matières Contexte... 3 1.0 Mission de la Société canadienne de la sclérose en

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION LES COMPAGNIES LOBLAW LIMITÉE

MANDAT DU CONSEIL D ADMINISTRATION LES COMPAGNIES LOBLAW LIMITÉE MANDAT DU CONSEIL D ADMINISTRATION de LES COMPAGNIES LOBLAW LIMITÉE LES COMPAGNIES LOBLAW LIMITÉE MANDAT DU CONSEIL D ADMINISTRATION 1. RÔLE DU CONSEIL Le rôle du conseil est d assumer la responsabilité

Plus en détail

Conseil de recherches en sciences humaines du Canada

Conseil de recherches en sciences humaines du Canada Conseil de recherches en sciences humaines du Canada Annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers (non auditée) Exercice 2014-2015

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION

MANDAT DU CONSEIL D ADMINISTRATION MANDAT DU CONSEIL D ADMINISTRATION Le conseil d administration (le «conseil») rend compte à l actionnaire et relève du Parlement par l intermédiaire du ministre de l Industrie. Le conseil assume la responsabilité

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit VNX OE for Block v5.31 and File v7.0 with Unisphere running on VNX Series Hardware Models VNX5100, VNX5300, VNX5500, VNX5700, and VNX7500 d Corporation

Plus en détail

Instruction administrative ICC/AI/2007/005 Date: 19/06/2007

Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 SÉCURITÉ DES INFORMATIONS DANS LE CADRE DE L EXÉCUTION DE CONTRATS CONCLUS AVEC DES TIERCES PARTIES En application de la directive de la Présidence

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Trustwave Network Access Control (NAC) version 4.1 et Central Manager Software version 4.1 Préparé par Le Centre de la sécurité des télécommunications à titre d organisme de certification

Plus en détail

Charte de l audit interne de la Direction Générale de la Dette

Charte de l audit interne de la Direction Générale de la Dette MINISTÈRE DE L ECONOMIE ET DE LA PROSPECTIVE RÉPUBLIQUE GABONAISE Union-Travail-Justice ------------ -------- SECRETARIAT GENERAL ------------ ------------ DIRECTION DE L AUDIT ET DU CONTROLE ------------

Plus en détail

Banque européenne d investissement. Charte de l Audit interne

Banque européenne d investissement. Charte de l Audit interne Charte de l Audit interne Juin 2013 Juin 2013 page 1 / 6 Juin 2013 page 2 / 6 1. Politique L Audit interne est une fonction essentielle dans la gestion de la Banque. Il aide la Banque en produisant des

Plus en détail

Charte du conseil d administration de La Banque Toronto-Dominion

Charte du conseil d administration de La Banque Toronto-Dominion Charte du conseil d administration de La Banque Toronto-Dominion ~ ~ Superviser la gestion de l entreprise et des affaires de la Banque ~ ~ Principales responsabilités Nous assurons la surveillance nécessaire

Plus en détail

CHARTE DE L AUDIT INTERNE DU CMF

CHARTE DE L AUDIT INTERNE DU CMF CHARTE DE L AUDIT INTERNE DU CMF Approuvée par le Collège du CMF en date du 3 juillet 2013 1 La présente charte définit officiellement les missions, les pouvoirs et les responsabilités de la structure

Plus en détail

SERVICE DE VALIDATION DES TITRES DE COMPÉTENCE (SVTC) MARCHE À SUIVRE POUR SOUMETTRE UNE DEMANDE DE VALIDATION DE PROGRAMME

SERVICE DE VALIDATION DES TITRES DE COMPÉTENCE (SVTC) MARCHE À SUIVRE POUR SOUMETTRE UNE DEMANDE DE VALIDATION DE PROGRAMME SERVICE DE VALIDATION DES TITRES DE COMPÉTENCE (SVTC) MARCHE À SUIVRE POUR SOUMETTRE UNE DEMANDE DE VALIDATION DE PROGRAMME Pour obtenir des renseignements, veuillez communiquer avec : Service de l assurance

Plus en détail

AMÉLIORATION CONTINUE DE LA QUALITÉ. Direction de l évaluation et de l assurance qualité

AMÉLIORATION CONTINUE DE LA QUALITÉ. Direction de l évaluation et de l assurance qualité POLITIQUE POL-DEAQ-04 AMÉLIORATION CONTINUE DE LA QUALITÉ ÉMETTEUR : APPROUVÉ PAR : Direction de l évaluation et de l assurance qualité Conseil d administration DATE D ENTRÉE EN VIGUEUR : 6 octobre 2011

Plus en détail

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences NORME INTERNATIONALE ISO/CEI 27001 Deuxième édition 2013-10-01 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences Information technology

Plus en détail

Règles relatives à la qualification des produits de sécurité par la DCSSI

Règles relatives à la qualification des produits de sécurité par la DCSSI Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits

Plus en détail

Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005

Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005 Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005 Conseil de recherches en sciences naturelles et en génie du Canada et Conseil de recherches en sciences humaines

Plus en détail

BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009

BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009 BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009 Division du rendement et de l information institutionnels Direction générale de la gestion intégrée Présenté au : Comité d évaluation de Bibliothèque

Plus en détail

Annexe 9 : Transferts de fonds d un Établissement principal à un Établissement secondaire

Annexe 9 : Transferts de fonds d un Établissement principal à un Établissement secondaire Annexe 9 : Transferts de fonds d un Établissement principal à un Établissement secondaire 1. Définitions Chercheur principal le candidat principal d une demande de subvention ou de bourse qui a été approuvée

Plus en détail

Assurance qualité appliquée aux OMCLs, Rabat, 27&28 Novembre 2007. L. Lempereur, Coordinateur Qualité DLC

Assurance qualité appliquée aux OMCLs, Rabat, 27&28 Novembre 2007. L. Lempereur, Coordinateur Qualité DLC Rabat, 27&28 Novembre 2007 L. Lempereur, Coordinateur Qualité DLC Exigences ISO 17025 relatives au personnel résumées dans 2 chapitres : 4.1 Organisation Points généraux liés au management 5.2 Personnel

Plus en détail

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012 Évolutions de la norme NF EN ISO/CEI 17020 De la version 2005 à la version 2012 Plan de la présentation L intervention sera structurée suivant les 8 chapitres de la norme. Publiée le 1 er mars 2012, homologuée

Plus en détail

Programme des Nations Unies pour l'environnement

Programme des Nations Unies pour l'environnement NATIONS UNIES EP Programme des Nations Unies pour l'environnement Distr. GÉNÉRALE UNEP/OzL.Pro/ExCom/68/12 2 novembre 2012 FRANÇAIS ORIGINAL : ANGLAIS COMITÉ EXÉCUTIF DU FONDS MULTILATÉRAL AUX FINS D APPLICATION

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Memory Arrays avec Memory Gateways Version 5.5.2 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Groupe SNC-Lavalin inc. Rév. 6 août 2015 Page 1 MANDAT DU COMITÉ DES RISQUES ASSOCIÉS À LA SÉCURITÉ, AU MILIEU DE TRAVAIL ET AUX PROJETS

Groupe SNC-Lavalin inc. Rév. 6 août 2015 Page 1 MANDAT DU COMITÉ DES RISQUES ASSOCIÉS À LA SÉCURITÉ, AU MILIEU DE TRAVAIL ET AUX PROJETS Page 1 MANDAT DU COMITÉ DES RISQUES ASSOCIÉS À LA SÉCURITÉ, AU MILIEU DE TRAVAIL ET AUX PROJETS Le comité des risques associés à la sécurité, au milieu de travail et aux projets («comité») est un comité

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit McAfee Enterprise Mobility Management 9.7 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

POLITIQUE SUR LE PROCESSUS OFFICIEL D ADOPTION DE NORMES DE PRATIQUE

POLITIQUE SUR LE PROCESSUS OFFICIEL D ADOPTION DE NORMES DE PRATIQUE 15 MAI 2012 Document 212021 POLITIQUE SUR LE PROCESSUS OFFICIEL D ADOPTION DE NORMES DE PRATIQUE A. INTRODUCTION Le présent document énonce le processus et les critères définis par le Conseil des normes

Plus en détail

ISO 9001:2000. CHAPITRE par CHAPITRE

ISO 9001:2000. CHAPITRE par CHAPITRE ISO 9001:2000 PARTIE 2-3 CHAPITRE par CHAPITRE 9001:2000, domaine Satisfaction du client par la prévention des N.C. (ISO 9001:1994) Appliquer efficacement le système pour répondre aux besoins du client

Plus en détail

ORGANISME CANADIEN DE RÉGLEMENTATION DU COMMERCE DES VALEURS MOBILIÈRES (OCRCVM)

ORGANISME CANADIEN DE RÉGLEMENTATION DU COMMERCE DES VALEURS MOBILIÈRES (OCRCVM) 1 ORGANISME CANADIEN DE RÉGLEMENTATION DU COMMERCE DES VALEURS MOBILIÈRES (OCRCVM) CHARTE DU COMITÉ DES FINANCES, DE L AUDIT COMPTABLE ET DE LA GESTION DES RISQUES Mandat Le Comité des finances, de l audit

Plus en détail

235.13 Ordonnance sur les certifications en matière de protection des données

235.13 Ordonnance sur les certifications en matière de protection des données 235.13 Ordonnance sur les certifications en matière de protection des données (OCPD) du 28 septembre 2007 (Etat le 1 er avril 2010) Le Conseil fédéral suisse, vu l art. 11, al. 2, de la loi fédérale du

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit EMC Symmetrix VMAX Series with Enginuity Operating Environment 5875, Solutions Enabler 7.2.0 and Symmetrix Management Console 7.2.0 Préparé par :

Plus en détail

ENTENTE DE RECONNAISSANCE MUTUELLE VISANT À FACILITER LA MOBILITÉ DES INGÉNIEURS ENTRE L IRLANDE ET LE CANADA

ENTENTE DE RECONNAISSANCE MUTUELLE VISANT À FACILITER LA MOBILITÉ DES INGÉNIEURS ENTRE L IRLANDE ET LE CANADA ENTENTE DE RECONNAISSANCE MUTUELLE VISANT À FACILITER LA MOBILITÉ DES INGÉNIEURS ENTRE L IRLANDE ET LE CANADA (Ébauche, novembre 2007) 1 PARTIES 1.1 L Institution of Engineers of Ireland (Engineers Ireland)

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Symantec Security Information Manager 4.8.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification US Federal Protect Standard v9.1 Préparé par : Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et

Plus en détail

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME Les petits déjeuner du CT M Réunion n 4 du Club de Laboratoires Accrédités Dématérialisation des données Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes

Plus en détail

Système de certification. Système officiel ou agréé de certification.

Système de certification. Système officiel ou agréé de certification. DIRECTIVES SUR L ÉLABORATION D ACCORDS D ÉQUIVALENCE RELATIFS AUX SYSTÈMES D INSPECTION ET DE CERTIFICATION DES IMPORTATIONS ET DES EXPORTATIONS ALIMENTAIRES SECTION 1 CHAMP D APPLICATION CAC/GL 34-1999

Plus en détail

Réforme «Spécialiste du commerce de détail»

Réforme «Spécialiste du commerce de détail» Réforme «Spécialiste du commerce de détail» Directives relatives au déroulement des examens de validation des modules pour les futurs spécialistes du commerce de détail (Les dénominations de personnes

Plus en détail

SOMMAIRE DE LA RÉPONSE DE LA DIRECTION

SOMMAIRE DE LA RÉPONSE DE LA DIRECTION SOMMAIRE DE LA RÉPONSE DE LA DIRECTION Rapport d évaluation final de l Initiative de la nouvelle économie (INÉ) Date : le 17 mars 2010 Programme de l INÉ : contexte Dans le cadre du plan du gouvernement

Plus en détail

Le Bureau du vérificateur général. Vérification interne des mécanismes de contrôle interne du système financier GX

Le Bureau du vérificateur général. Vérification interne des mécanismes de contrôle interne du système financier GX Préparé pour : Le Bureau du vérificateur général Vérification interne des mécanismes de contrôle interne du système financier GX Le 18 novembre 2009 1 Introduction KPMG s.r.l./s.e.n.c.r.l. a été chargée

Plus en détail

LAPHO Plan d accessibilité pluriannuel Normes d accessibilité intégrées Date de révision et n o : 11252014.000 Date : 25 novembre 2014 Page 1 de 9

LAPHO Plan d accessibilité pluriannuel Normes d accessibilité intégrées Date de révision et n o : 11252014.000 Date : 25 novembre 2014 Page 1 de 9 Hunter Douglas Canada LP Politique des ressources Date : 25 novembre 2014 Page 1 de 9 1 POLITIQUE 1.01 Hunter Douglas Canada LP («l entreprise») établira, mettra en œuvre et maintiendra un plan d accessibilité

Plus en détail

INSTRUCTION GÉNÉRALE 25-201 RELATIVE AUX INDICATIONS À L INTENTION DES AGENCES DE CONSEIL EN VOTE

INSTRUCTION GÉNÉRALE 25-201 RELATIVE AUX INDICATIONS À L INTENTION DES AGENCES DE CONSEIL EN VOTE INSTRUCTION GÉNÉRALE 25-201 RELATIVE AUX INDICATIONS À L INTENTION DES AGENCES DE CONSEIL EN VOTE CHAPITRE 1 OBJET ET CHAMP D APPLICATION 1.1. Objet Les Autorités canadiennes en valeurs mobilières (les

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetApp Data ONTAP v8.1.1 7-Mode Préparé par : le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014 OFFICE D INVESTISSEMENT DES RÉGIMES DE PENSION («INVESTISSEMENTS PSP») Approuvé par le conseil d administration le 13 novembre 2014 13 novembre 2014 PSP-Legal 1633578-1 Page 2 INTRODUCTION Le conseil d

Plus en détail

PROCÈS-VERBAUX INTÉGRITÉ ET CONFLITS D INTÉRÊTS COMPOSITION RÔLE ET RESPONSABILITÉS. Étendue générale BANQUE NATIONALE DU CANADA

PROCÈS-VERBAUX INTÉGRITÉ ET CONFLITS D INTÉRÊTS COMPOSITION RÔLE ET RESPONSABILITÉS. Étendue générale BANQUE NATIONALE DU CANADA BANQUE NATIONALE DU CANADA CONSEIL D ADMINISTRATION Les administrateurs sont élus annuellement par les actionnaires pour superviser la gestion, en vertu de la loi, des activités commerciales et des affaires

Plus en détail

POLITIQUE SUR LE SIGNALEMENT ET

POLITIQUE SUR LE SIGNALEMENT ET LA BANQUE DE NOUVELLE ÉCOSSE POLITIQUE SUR LE SIGNALEMENT ET PROCÉDURES Y AFFÉRENTES Supplément au Code d éthique Octobre 2015 BANQUE SCOTIA Table des matières SECTION 1 INTRODUCTION... 3 SECTION 2 RAISON

Plus en détail

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA 1 APPEL D OFFRES ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA JUILLET 2013 2 1. OBJET DE L APPEL D OFFRE Réalisation d un accompagnement

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

Survol du Programme d assurance de la qualité

Survol du Programme d assurance de la qualité Survol du Programme d assurance de la qualité Aperçu du Programme d assurance de la qualité PROGRAMME D ASSURANCE DE LA QUALITÉ AUTOÉVALUATION, ÉDUCATION PERMANENTE ET PERFECTIONNEMENT PROFESSIONNEL ÉVALUATION

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetApp Data ONTAP, version 8.2.1 7-Mode Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION

TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION 1 TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION I. INTRODUCTION A. Objet et objectifs Le Conseil d administration (le «Conseil») de la société par actions Tembec Inc. (la «Société») est responsable de

Plus en détail

RECUEIL DES POLITIQUES EED01-DA ÉDUCATION DE L ENFANCE EN DIFFICULTÉ Protocole de collaboration pour la prestation de services auprès des élèves

RECUEIL DES POLITIQUES EED01-DA ÉDUCATION DE L ENFANCE EN DIFFICULTÉ Protocole de collaboration pour la prestation de services auprès des élèves RÉSOLUTION : 245-10 Date d adoption : 23 novembre 2010 En vigueur : 23 novembre 2010 À réviser avant : Directives administratives et date d entrée en vigueur : EED-DA1 23 novembre 2010 RECUEIL DES POLITIQUES

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Forum Sentry v8.1.641 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification

Plus en détail