NOUVEAU CADRE DE GOUVERNANCE DE LA SÉCURITÉ DE L INFORMATION
|
|
|
- Jean-Marc Boulet
- il y a 8 ans
- Total affichages :
Transcription
1 NOUVEAU CADRE DE GOUVERNANCE DE LA SÉCURITÉ DE L INFORMATION 13 mai 2014 Sous-secrétariat du dirigeant principal de l information Direction de l encadrement de la sécurité de l information
2 TABLE DES MATIÈRES Introduction Définition de la gouvernance Cadre légal Comparaison Ancienne directive versus nouvelle directive Composantes du nouveau cadre de gouvernance Directive sur la sécurité de l information Cadre gouvernemental de gestion de la sécurité de l information Cadre de gestion des risques et des incidents à portée gouvernementale Approche stratégique gouvernementale en sécurité de l information Gestion du changement Stratégie et leviers de transformation
3 INTRODUCTION
4 GOUVERNANCE DE LA SÉCURITÉ DE L INFORMATION DÉFINITION «Établissement et mise en œuvre d un processus de gestion intégrée et d amélioration continue de la sécurité de l information où les rôles et les responsabilités en cette matière sont clairement attribués à tous les niveaux de l organisation.» 4
5 CADRE LÉGAL 5 Loi concernant le cadre juridique des technologies de l'information Loi sur l accès aux documents des organismes publics et sur la protection des renseignements personnels Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (adoptée en juin 2011) Établit les règles de gouvernance et de gestion en matière de ressources informationnelles, incluant la sécurité de l information (Champ d application, acteurs clés et nouvelles fonctions, règles de gouvernance des RI) Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics (adoptée en décembre 2010) Met l emphase sur la révision de la directive en vigueur et sur la réalisation de trois documents structurants permettant d en faciliter la mise en œuvre (cadre gouvernemental de gestion de la sécurité de l information, cadre de gestion des risques et des incidents à portée gouvernementale, approche stratégique triennale)
6 COMPARAISON ANCIENNE DIRECTIVE VS NOUVELLE DIRECTIVE
7 COMPARAISON ANCIENNE DIRECTIVE VERSUS NOUVELLE DIRECTIVE 7 Directive 2006 Directive 2014 Non conforme aux champs d application de la LGGRI Alignée sur le champ d application de la LGGRI Énoncés trop généraux et sujets àinterprétations diverses Énoncés identifiant clairement les exigences, et conformes aux bonnes pratiques de sécurité de l information Édicte des obligations ainsi que des rôles et des responsabilités Édicte des obligations seulement. Les rôles et responsabilités sont intégrés dans le cadre gouvernemental de gestion de la sécurité de l information Limite la gestion des risques à l échelle d un ministère ou organisme Absence d obligation en matière de cybersécuritéet de gestion des incidents. Les incidents sont déclarés au Centre de services partagés du Québec (CERT/AQ) sur une base volontaire Exige la désignation d un RSI Instaure une gestion des risques prenant en compte les risques ayant un impact à l échelle gouvernementale Instaure un processus de coordination et de concertation, advenant un incident ayant un impact àl échelle gouvernementale Instaure une déclaration obligatoire des incidents àportée gouvernementale Exige la désignation d un ROSI, lequel doit être de niveau cadre Est appuyée par une approche stratégique , limitée àla définition de grands axes d intervention Est appuyée par une approche stratégique triennale, basée sur les bilans gouvernementaux et sur les tendances de l heure en matière de sécuritéde l information définissant les objectifs, et les cibles a atteindre et les indicateurs de performance.
8 COMPOSANTES DU NOUVEAU CADRE DE GOUVERNANCE
9 QUATRE DOCUMENTS STRUCTURANTS 9 Directive sur la sécurité de l information gouvernementale Fixe les objectifs à atteindre, énonce les principes directeurs devant être appliqués et établit les obligations du dirigeant principal de l information (DPI) et des organismes publics afin d assurer la sécurité de l information gouvernementale tout au long de son cycle de vie Cadre gouvernemental de gestion de la sécurité de l information Vise à compléter les dispositions de la directive en précisant l organisation fonctionnelle de la sécurité de l information au sein de l appareil gouvernemental ainsi que les rôles et les responsabilités en cette matière Cadre de gestion des risques et des incidents à portée gouvernementale Présente une approche d identification et de suivi du traitement des risques et des incidents susceptibles d'avoir des conséquences sur la prestation de services à la population, sur la vie, la santé ou le bien-être des personnes, sur le respect de leurs droits fondamentaux à la protection des renseignements personnels qui les concernent et au respect de leur vie privée, sur l image du gouvernement, ou sur la prestation de services fournie par d autres organismes publics Approche stratégique gouvernementale en sécurité de l information Permet d établir la vision gouvernementale et de définir les objectifs stratégiques pour les trois années à venir
10 DIRECTIVE SUR LA SÉCURITÉ DE L INFORMATION GOUVERNEMENTALE 10 Obligations du dirigeant principal de l information Conseiller le CT en matière de gouvernance de la sécurité de l information Déposer au CT un rapport bisannuel sur l état de situation gouvernemental et un rapport annuel sur les risques à portée gouvernementale Définir et mettre en œuvre, conjointement avec le CERT/AQ, un processus de gestion des incidents à portée gouvernementale Proposer au CT des services communs de sécurité de l information à rendre obligatoires pour l Administration gouvernementale Mettre en place les instances de concertation gouvernementales de sécurité de l information
11 DIRECTIVE SUR LA SÉCURITÉ DE L INFORMATION GOUVERNEMENTALE (SUITE) 11 OBLIGATIONS DU CSPQ - CERT/AQ Présenter au DPI, conjointement avec le ministère de la Sécurité publique et la Sûreté du Québec, un rapport annuel sur les incidents à portée gouvernementale Informer le DPI de tout incident de sécurité de l information à portée gouvernementale OBLIGATION DU CONTRÔLEUR DES FINANCES Veiller à l intégrité du système comptable du gouvernement et informer, le cas échéant, le DPI des situations ayant des incidences sur la sécurité de l information gouvernementale
12 DIRECTIVE SUR LA SÉCURITÉ DE L INFORMATION GOUVERNEMENTALE (SUITE) 12 Obligations des organismes publics Adopter et mettre en œuvre une politique et un cadre de gestion de la sécurité de l information Présenter au DPI une planification et un bilan de sécurité de l information Définir et mettre en œuvre, de façon formelle, les processus de gestion des risques, de gestion des incidents et de gestion de l accès à l information Déclarer, au CERT/AQ, les incidents de sécurité de l information à portée gouvernementale Réaliser des audits et des tests d intrusion Mettre en place un registre d autorité Intégrer aux ententes de service et aux contrats les clauses garantissant le respect des exigences de sécurité de l information Déclarer au DPI les risques de sécurité de l information à portée gouvernementale Utiliser les services communs de sécurité de l information Désigner les principaux intervenants en sécurité de l information (ROSI, COGI) Définir et mettre en place un programme formel de formation et de sensibilisation
13 DIRECTIVE SUR LA SÉCURITÉ DE L INFORMATION GOUVERNEMENTALE (SUITE) 13 Obligations des réseaux de l éducation et de la santé Les établissements des réseaux sont assujettis aux obligations faites aux organismes publics en matière de respect de bonnes pratiques de sécurité de l information Le DRI présente au DPI une synthèse des bilans et des plans d action des établissements de chaque réseau Chaque réseau désigne un ROSI et un COGI
14 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION Organisation fonctionnelle de la sécurité de l information 14 Structure gouvernementale de sécurité de l information Organisme public
15 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION Organisation fonctionnelle de la sécurité de l information 15 Instances gouvernementales de concertation CCGSI Structure gouvernementale de sécurité de l information EIMSG Conseil du trésor Organisme public Table des ROSI Réseau des COSI Comité de crise gouvernemental Dirigeant principal de l information Organismes publics à portée horizontale BAnQ CF MJQ MCE -SIDPC MSP SQ - CSPQ - CERT /AQ Réseau d alerte gouvernemental
16 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION Organisation fonctionnelle de la sécurité de l information Organisme public Structure sectorielle de sécurité de l information Dirigeant d un organisme public Comité de crise ministériel Instances gouvernementales de concertation CCGSI EIMSG Structure gouvernementale de sécurité de l information Conseil du trésor ROSI DRI DSI Comité de continuité des services Table des ROSI Réseau des COSI Comité de crise gouvernemental Dirigeant principal de l information Organismes publics à portée horizontale BAnQ C F MJQ MSP MCE-SIDPC SQ - CSPQ - CERT/AQ Réseau d alerte gouvernemental COGI COSI Détenteurs de l information Comité chargé de la sécurité de l information Autres intervenants - RASI - RGD - RCS - RSP - RDASI - RE - RVI - RGTI - RAIPRP
17 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION Organisation fonctionnelle de la sécurité de l information Instances gouvernementales de concertation CCGSI Table des ROSI Réseau des COSI Comité de crise gouvernemental EIMSG Structure gouvernementale de sécurité de l information Conseil du trésor Dirigeant principal de l information Organismes publics à portée horizontale BAnQ CF MJQ MCE -SIDPC MSP SQ - CSPQ - CERT /AQ COGI Réseau d alerte gouvernemental ROSI COSI Dirigeant d un organisme public DRI DSI Organisme public Structure sectorielle de sécurité de l information Détenteurs de l information Comité chargé de la sécurité de l information Comité de crise ministériel Comité de continuité des services Autres intervenants - RASI - RGD - RCS - RSP - RDASI - RE - RVI - RGTI - RAIPRP
18 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION (SUITE) 18 Responsable organisationnel de la sécurité de l information (ROSI) Joue un rôle transversal à l ensemble des systèmes de mission de l organisation [De ce fait, et sans qu il soit mis dans une situation de conflit d intérêt, le ROSI doit bénéficier d une marge de manœuvre qui dépend essentiellement de son positionnement hiérarchique, d où l avantage de son rapprochement du pouvoir décisionnel, voire son rattachement auprès de la haute direction] Assure la coordination et la cohérence des actions de sécurité de l information menées au sein de son organisation S assure de la contribution de son organisation au processus de gestion des risques et des incidents de sécurité de l information à portée gouvernementale Représente le dirigeant d organisme en matière de déclaration des incidents à portée gouvernementale Est le principal interlocuteur du comité chargé de la sécurité de l information de l organisation
![hiérarchique, d où l avantage de son rapprochement du pouvoir décisionnel, voire son rattachement auprès de la haute direction] Assure la coordination et la cohérence des actions de sécurité de l](/docs-images/51/16370574/images/page_18.jpg "information menées au sein de son organisation S assure de la contribution de son organisation au processus de gestion des risques et des incidents de sécurité de l information à portée")
19 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION (SUITE) 19 Conseiller organisationnel en sécurité de l information (COSI) Met en œuvre les orientations internes et les priorités d actions, notamment celles portant sur l instauration de processus formels de sécurité de l information et le suivi de leur mise en œuvre Collabore étroitement avec le ROSI et lui apporte le soutien nécessaire dans la prise en charge des exigences de sécurité de l information Assiste les détenteurs dans la catégorisation de l information relevant de leur responsabilité et dans la réalisation des analyses de risques de sécurité de l information Participe aux négociations des ententes de service et des contrats et formule des recommandations quant à l intégration de dispositions garantissant le respect des exigences de sécurité de l information Produire les bilans et les plans d action de sécurité de l information
20 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION (SUITE) 20 Conseiller organisationnel en gestion des incidents (COGI) Participe au réseau d alerte gouvernemental dont la coordination est assurée par le CERT/AQ Est l interlocuteur officiel de son organisation auprès du CERT/AQ Assure la coordination de l équipe de réponse aux incidents de son organisation, et du déploiement des stratégies de réaction appropriées Apporte au ROSI et au COSI le soutien technique nécessaire dans l exercice de leurs responsabilités Contribue à la mise en place du processus de gestion des incidents de son organisation Le COGI contribue à la mise en œuvre du processus gouvernemental de gestion des incidents
21 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION (SUITE) 21 Autres intervenants Détenteurs de l information Responsable de l architecture de sécurité de l information Responsable de la continuité des services Responsable de la sécurité physique Responsable de la gestion des technologies de l information Responsable de la vérification interne Responsable de la gestion documentaire Responsable de l accès à l information et de la protection des renseignements personnels Responsable du développement ou de l acquisition de systèmes d information Responsable de l éthique
22 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L INFORMATION (SUITE) 22 INSTANCES DE COORDINATION ET DE CONCERTATION Comité de crise gouvernemental : centre de coordination de la réaction et de la décision lorsqu un incident de sécurité de l information à portée gouvernementale n est pas maîtrisé en dépit des stratégies palliatives mises en œuvre. Table des ROSI : exerce un rôle-conseil auprès du dirigeant principal de l information dans la définition, la mise en œuvre et le suivi de l application des politiques, des directives et des orientations gouvernementales de sécurité de l information Comité de coordination gouvernementale de la sécurité de l information (CCGSI) : est constitué de représentants des organismes publics ayant les responsabilités horizontales. Il voit à la coordination des actions découlant de ces responsabilités horizontales des OP membres et qui seraient d intérêt pour l ensemble des organismes publics Réseau des COSI : constitue une plateforme d échanges et de partage des connaissances en sécurité de l information Réseau d alerte gouvernemental : animé par le CERT/AQ, ce réseau constitue une plateforme de partage de l information entre les coordonnateurs organisationnels de gestion des incidents
23 CADRE DE GESTION DES RISQUES ET DES INCIDENTS À PORTÉE GOUVERNEMENTALE 23 Risque de sécurité de l information à portée gouvernementale (RPG) Risque d'atteinte à la disponibilité, à l intégrité ou à la confidentialité de l information gouvernementale et qui peut avoir des conséquences sur la prestation de services à la population, sur la vie, la santé ou le bien-être des personnes, sur le respect de leurs droits fondamentaux à la protection des renseignements personnels qui les concernent et au respect de leur vie privée, sur l image du gouvernement, ou sur la prestation de services fournie par d autres organismes publics Incident de sécurité de l information à portée gouvernementale (IPG) Conséquence observable de la concrétisation d un risque de sécurité de l information à portée gouvernementale et qui nécessite une intervention concertée au plan gouvernemental
24 CADRE DE GESTION DES RISQUES ET DES INCIDENTS À PORTÉE GOUVERNEMENTALE (SUITE) 24 Le DPI assure la mise en œuvre et la coordination de la stratégie de gestion des RPG. Il doit : Identifier, de concert avec les organismes publics, les RPG inhérents aux activités stratégiques Analyser les RPG et les mesures d atténuation mises en place Apprécier le niveau de risque résiduel et juger de son acceptabilité au niveau gouvernemental Formuler des recommandations de prise en charge du RPG, si nécessaire, à l organisme public concerné. Élaborer un rapport annuel sur les RPG à l intention du CT En matière de réponse aux IPG, le DPI, conjointement avec le CERT/AQ Assure la coordination du processus gouvernemental de gestion d un IPG Soutient les organismes publics dans le rétablissement de la situation après incident Effectue le suivi d un IPG auprès des organismes publics
25 APPROCHE STRATÉGIQUE GOUVERNEMENTALE EN SÉCURITÉ DE L INFORMATION 25 DÉTERMINATION DES OBJECTIFS STRATÉGIQUES Parties prenantes (Tables de concertation, groupes de validation interministériels, réseau d expertise et de vigie) Environnement interne (Rapport du VG, état de situation gouvernemental) Objectifs stratégiques Environnement externe (Préoccupations et tendances observées au plan national et International)
26 APPROCHE STRATÉGIQUE GOUVERNEMENTALE EN SÉCURITÉ DE L INFORMATION (SUITE) 26 Niveau de maturité cible : Un niveau de maturité en sécurité de l information, convenable pour un organisme public (niveau 3), est atteint, notamment, lorsque ses processus de sécurité de l information sont normalisés, intégrés, documentés et implémentés et lorsque l information qu elle détient est sécurisée, conformément aux bonnes pratiques de sécurité de l information.
27 APPROCHE STRATÉGIQUE GOUVERNEMENTALE EN SÉCURITÉ DE L INFORMATION (SUITE) 27 ORIENTATIONS GOUVERNEMENTALES Orientation 1 : Renforcer l encadrement de la sécurité de l information Orientation 2 : Atteindre un niveau de maturité adéquat en sécurité Orientation 3 : Renforcer la cybersécurité Orientation 4 : Développer l offre de service d authentification gouvernementale Orientation 5 : Développer et maintenir les compétences en sécurité de l information
28 APPROCHE STRATÉGIQUE GOUVERNEMENTALE EN SÉCURITÉ DE L INFORMATION (SUITE) 28 CIBLES À L ENDROIT DES ORGANISMES PUBLICS Adopter une politique et un cadre de gestion Désigner les principaux intervenants en sécurité de l information Participer aux activités gouvernementales de concertation Identifier les actifs critiques et mettre en place les mesures de sécurité associées Définir et mettre en œuvre, de façon formelle, les processus de gestion des risques, de gestion des incidents et de gestion des droits d accès Effectuer un audit de sécurité et des tests d intrusion Adopter une architecture de sécurité de l information Mettre en place un registre d autorité Intégrer les clauses contractuelles dans les ententes de service et les contrats Participer activement au réseau d alerte gouvernemental Augmenter le nombre de prestations électroniques arrimées aux services d authentification gouvernementaux (clicséqur, ICPG) Élaborer un plan de formation et de sensibilisation
29 GESTION DU CHANGEMENT
30 STRATÉGIE DE GESTION DU CHANGEMENT 30 Vise l adhésion des acteurs impliqués, la transformation des pratiques et l évolution de la sécurité de l information gouvernementale vers un niveau de maturité adéquat Leviers de transformation Communication : plateforme de collaboration des DI, plateforme dédiée à la sécurité de l information, communauté d intérêt en sécurité de l information Formation : formations dispensées par le CSPQ/CLDC, réflexion en cours sur une nouvelle stratégie de formation Sensibilisation : colloques, séminaires et conférences organisés par des associations et forums exerçant des activités en SI ou dans des domaines connexes Accompagnement et soutien : réalisation de guides de bonnes pratiques, soutien dans le cadre d un service de première ligne, mise en œuvre du cadre de gestion des RPG, mise en place d un processus gouvernemental de gestion des incidents Pilotage du changement : mise en place de comités de travail interministériels et des instances gouvernementales de coordination et de concertation
31 LES GRANDS JALONS mai 2014, collecte des bilans et des plans d actions des organismes publics 30 septembre 2014, collecte des bilans et des plans d actions consolidés des réseaux 31 octobre 2014, dépôt au Conseil du trésor du rapport annuel sur les risques à portée gouvernementale 30 novembre 2014, dépôt au Conseil du trésor du rapport bisannuel sur l état de situation gouvernemental en sécurité de l information
32 CONCLUSION Confiance 32 AMÉLIORATION CONTINUE Risque
33 MERCI Mohamed Darabid
34 ANNEXE
35 Guides réalisés (7) GUIDES DE BONNES PRATIQUES Politique de sécurité de l information Cadre de gestion en sécurité de l information Critères de désignation des principaux intervenants en SI (ROSI, COSI et COGI) Tests d intrusions et de vulnérabilités Catégorisation de l information Processus de gestion des risques de sécurité de l information Suivi de la reddition de comptes (tableau de bord) Guides à venir (10) Plan d action ministériel de sécurité de l information (en cours) Registre d autorité de la sécurité de l information (en cours) Méthode d analyse des risques Méhari (en cours) Audit de sécurité de l information (en cours) Mise en œuvre du cadre de gestion des risques à portée gouvernementale (en cours) Gestion des incidents à portée sectorielle et gouvernementale (à venir) Sensibilisation à la sécurité de l information (à venir) Prise en charge des exigences de SCPRP (àvenir) Utilisation sécuritaire des assistants numériques personnels (à venir) Processus de gestion des accès logiques (à venir) 35 Retour
36 EXEMPLES DE RISQUES ET INCIDENTS À PORTÉE GOUVERNEMENTALE 36 Au gouvernement du Québec En 2007, un virus contamine le réseau informatique des établissements de santé du Québec, causant des ralentissements ou des interruptions de service dans les hôpitaux, les CHSLD et les CLSC En 2012, lors du printemps étudiant, certains organismes publics voient leurs vitrines web falsifiées, des tentatives d intrusion des systèmes informatiques ou encore des attaques massives rendant indisponibles des services en ligne gouvernementaux Au gouvernement fédéral canadien En 2011, le Conseil du trésor (CT) et le ministère des Finances sont l objet de cyber-attaques d une grande ampleur, vraisemblablement d origine chinoise, l objectif étant le vol d informations En avril 2014, la firme Codenomicon (spécialisée dans la cybersécurité) et Google Security ont découvert une importante faille de sécurité, baptisée «Heartbleed», dans un logiciel de chiffrement utilisé par plus des deux tiers des sites internet au monde (OpenSSL) Au niveau du gouvernement français En 2012, une cyber-attaque vise les services de la présidence du palais de l Élysée, L objectif étant le vol d informations Retour
37 GESTION DES RISQUES METTRE EN ŒUVRE UN PROCESSUS FORMEL DE GESTION DES RISQUES DE SÉCURITÉ DE L INFORMATION Le processus de gestion des risques est clairement défini et connu des intervenants concernés L analyse du contexte organisationnel (enjeux de sécurité de l information) est réalisée L identification des risques de sécurité de l information est réalisée L analyse et l évaluation des risques sont réalisées Les traitements des risques identifiés sont planifiés ou réalisés Un suivi et une revue périodiques des risques sont prévus et mis en œuvre Retour
38 GESTION DES INCIDENTS METTRE EN ŒUVRE UN PROCESSUS FORMEL DE GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION Le processus de gestion des incidents est clairement défini et connu des intervenants concernés Les activités de prévention des incidents sont en place Les activités de détection des incidents sont en place Les activités de réaction aux incidents sont prévues Les activités de rétablissement après incident sont prévues Les activités de suivi des incidents (documentation et recommandations) sont prévues Retour
39 GESTION DE L ACCÈS À L INFORMATION METTRE EN ŒUVRE UN PROCESSUS FORMEL DE GESTION DE L ACCÈS À L INFORMATION Le processus de gestion des accès est clairement défini et connu des intervenants concernés Les droits d accès et les privilèges spéciaux sont attribués et mis à jour de façon formelle Les activités de contrôle des accès sont clairement définies et mises en œuvre Les droits d accès et privilèges spéciaux sont révisés périodiquement ou à la suite d un changement majeur Retour
40 AUDIT DE SÉCURITÉ DE L INFORMATION RÉALISER UN AUDIT DE SÉCURITÉ DE L INFORMATION Le plan d audit est clairement défini La collecte de données est effectuée L analyse des données est effectuée Le rapport d audit est rédigé et les recommandations sont formulées Les priorités d actions et les échéanciers sont définis Le rapport d audit date de moins de 2 ans Un audit est réalisé suite à des changements majeurs susceptibles d avoir des conséquences sur la sécurité de l information Retour
41 TESTS D INTRUSIONS ET DE VULNÉRABILITÉS RÉALISER DES TESTS D INTRUSIONS ET DE VULNÉRABILITÉS Le plan de tests d intrusions et de vulnérabilités est clairement défini La phase de découverte des vulnérabilités est réalisée La phase d exploitation des vulnérabilités (tests d intrusion) est réalisée Le rapport des tests d intrusions et des vulnérabilités est rédigé et les recommandations sont formulées Les priorités d actions et les échéanciers sont définis Le rapport des tests date de moins d une année Des tests d intrusions et de vulnérabilités sont réalisés suite à des changements majeurs susceptibles d avoir des conséquences sur la SI Retour
42 ARCHITECTURE DE SÉCURITÉ ADOPTER UNE ARCHITECTURE DE SÉCURITÉ Une architecture de sécurité documentée existe Un cadre d architecture de SI et une méthodologie sont utilisés Les travaux d architecture de la conception à l implémentation sont intégrés au programme de sécurité de l OP ou à la planification triennale des travaux de sécurité L architecture de sécurité est arrimée au processus d amélioration continue de la sécurité de l OP Les orientations, les principes, les normes et les standards de sécurité en usage découlent de l architecture de sécurité Les mesures de sécurité découlent des orientations, des principes, des normes et des standards définis dans l architecture Retour
43 POURQUOI RÉVISER LA GOUVERNANCE DE LA SÉCURITÉ DE L INFORMATION? 43 Améliorer l état de la sécurité de l information gouvernementale en tenant compte du bilan des organismes publics Répondre à l obligation d évaluer la directive en vigueur cinq années après son adoption Se conformer au champ d application de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LGGRI) et aux énoncés de la politique cadre Mieux s outiller pour contrer les cyber-attaques Assurer une gestion intégrée des risques et des incidents, au plan sectoriel et gouvernemental S assurer de l application de bonnes pratiques de sécurité de l information par les organismes publics Se doter d une planification stratégique définissant la vision gouvernementale, les objectifs et les cibles a atteindre pour les trois prochaines années Continuer à accompagner les organismes publics et leur apporter le soutien nécessaire dans la prise en charge des exigences de sécurité de l information Retour