RÉGIE RÉGIONALE DE LA SANTÉ ET DES SERVICES SOCIAUX CHAUDIÈRE- APPALACHES BATIR ENSEMBLE UNE RÉGION EN SANTÉ

Transcription

1 RÉGIE RÉGIONALE DE LA SANTÉ ET DES SERVICES SOCIAUX CHAUDIÈRE- APPALACHES BATIR ENSEMBLE UNE RÉGION EN SANTÉ

2 RÉGIE RÉGIONALE DE LA SANTÉ ET DES SERVICES SOCIAUX Tél.: (514) CHAUDIÈRE- APPALACHES Politique administrative intérimaire relative à la sécurité des actifs informationnels et à la protection des données et des renseignements confidentiels de la Régie régionale de Chaudière-Appalaches Adoptée par le comité de direction le 16 décembre 2003

3 Régie régionale de la santé et des services sociaux de Chaudière-Appalaches, 2004 Reproduction autorisée à des fins non commerciales avec mention de la source Toute reproduction partielle doit être fidèle au texte utilisé. ISBN Dépôt légal - Bibliothèque nationale du Canada, 2004 Bibliothèque nationale du Québec" fe a m n me\% d ue C RS tomme é s nérique ^ ^ * ^ bu ' d ' a " é9er le texte et dési 9" e tan» **

4 Table des matières 1. Préambule... j 2. Énoncé de principe j 3. Mise en contexte A. DÉFINITION DES TERMES B. PRINCIPES GÉNÉRAUX DE LA POLITIQUE 3 4. Objectifs de la politique 4 5. Champs d'application 4 A. TIERS 5 6. Rôles, responsabilités et autorités 5 7. Dérogation à la politique 5 8. Utilisation des actifs informationnels 5 9. Confidentialité # g 10. Droit d'auteur 11. Propriété des informations Authentification Privilèges Relations avec les tiers Modifications interdites aux réseaux Virus et autres menaces g 17. Sauvegarde des données 18. Destruction des informations 19. Encodage des données g 20. Ordinateurs portables g 21. Vie privée Outil de contrôle automatisé Gestion interne des informations concernant la sécurité Sécurité physique des équipements et des informations Sanctions t JQ 26. Modification de la politique... JQ 27. Mesures continues de sensibilisation 28. Entrée en vigueur 29. Approbation par le comité de direction de la Régie régionale j j 11 LISTE DES RÉFÉRENCES ZLZIl3 Annexe 1

5 Politique administrative relative à la sécurité des actifs informationnels 1. Préambule L'évolution et le développement des technologies de l'information favorisent l'utilisation croissante de l'informatique et du Réseau de télécommunications sociosanitaire (RTSS) par les établissements et la Régie régionale. Ainsi, nous avons davantage accès à un ensemble d'informations qui peuvent être nominatives et confidentielles. Ces informations ont une valeur légale, économique ou administrative. Dans ce contexte, le Comité stratégique pour l'informatisation du secteur de la santé et des services sociaux (COSISS) approuvait, en 1999, la «Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux». Cette politique intérimaire spécifie les mesures de base que tout organisme du réseau de la santé et des services sociaux doit prendre s'il veut utiliser le RTSS. De plus, elle énonce que tout organisme du réseau de la santé et des services sociaux doit établir un programme d'application de cette politique intérimaire, qui sert de base d'adhésion obligatoire à quiconque veut utiliser le RTSS. Concurremment à la diffusion de cette politique et afin de garantir un seuil minimum de sécurité en regard de l'utilisation du RTSS, l'équipe ministérielle du RTSS a émis les «Exigences minimales de sécurité pour le raccordement au réseau de télécommunications sociosanitaire». Chaque organisme doit s'engager à respecter ces exigences minimales de sécurité. La Régie régionale de la santé et des services sociaux de Chaudière-Appalaches a aussi amorcé un processus de support auprès des établissements de santé en remettant aux gestionnaires de tous les établissements un guide pratique, soit une méthode simple pour la rédaction et l'implantation d'une politique «locale» de sécurité de leurs actifs informationnels. 2. Énoncé de principe La Régie régionale reconnaît la nécessité de mettre en place une politique relative à la sécurité de ses actifs informationnels pour assurer le respect de la vie privée et la protection de l'information pour chaque usager. La sécurité informationnelle est un facteur que l'organisme considère dans l'élaboration de ses projets. À cet effet, la politique et les normes qui doivent être adoptées permettront d'assurer le respect des dispositions légales pertinentes. Ces dispositions sont contenues à la Charte des droits et libertés de la personne, à la Loi sur les services de santé et les services sociaux, à la Loi sur l'accès aux documents des organismes publics et sur fa protection des renseignements personnels, à la Loi sur les archives, et aux articles 3 et 35 à 41 du Code civil du Québec. La Régie régionale s'est donc inspirée, pour sa politique interne, du Guide à l'intention des établissements de la région de la Chaudière-Appalaches pour l'élaboration et l'implantation d'une politique de sécurité des actifs informationnels et également de la Régie régionale de la santé et des services sociaux de Chaudière-Appalaches p nno r, age 0

6 Politique administrative relative à la sécurité des actifs informationnels Politique relative à la sécurité des actifs informationnels de la Régie régionale de la santé et des services sociaux de la Mauricie et du Centre-du-Québec document de travail, 5 juin De même, la politique et ses normes sont conformes au Cadre global de gestion sur la sécurité des actifs informationnels du réseau de la santé et des services sociaux 1 et à la Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux. La protection des actifs informationnels s'articule autour de cinq grands axes savoir respectivement : à > Disponibilité : propriété d'une information d'être accessible et utilisable en temps voulu et de la manière requise par une personne autorisée. > Intégrité : propriété d'une information ou d'une technologie de l'information de n'être ni modifiée, ni altérée, ni détruite sans autorisation. > Confidentialité : propriété d'une information accessible uniquement aux personnes autorisées. > Authentification : acte permettant d'établir la validité de l'identité d'une personne ou d'un dispositif. > Irrévocabïlité : propriété d'un acte d'être définitif et qui est clairement attribué à la personne qui l'a posé ou au dispositif avec lequel cet acte a été accompli. La Régie régionale de Chaudière-Appalaches a amorcé un processus pour assurer la sécurité de l'information. La présente politique est le fondement de ce processus. Elle établit les mesures de sécurité logiques, physiques, humaines et organisationneiles à appliquer pour assurer la sécurité des informations lors de leur collecte, entreposage, traitement ou transmission, que ces informations soient conservées sur un support papier ou électronique. ' Les principes directeurs émis dans cette politique de sécurité sont tirés, d'une part, de la «Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux» élaborée par le comité de sécurité du RTSS (mars 1999) et, d'autre part, des «Exigences minimales relatives à la sécurité des dossiers informatisés 1 Document approuvé officiellement par te ministère de la Santé et des Services sociaux en octobre 2002 Régie régionale de la santé et des services sociaux de Chaudière-Appalaches p nno r, age

7 Politique administrative relative à la sécurité des actifs informationnels des usagers du réseau de la santé et des services sociaux» de la Commission d'accès à l'information du Québec Quillet 2000). Ces principes s'articulent autour de la collecte, de la confidentialité, de la communication de renseignements nominatifs et de données confidentielles ainsi que de l'accès aux actifs informationnels et au RTSS. Plus spécifiquement, cette politique est adoptée dans le but de mettre en place des règles et des mécanismes de régulation afin de garantir le respect des droits des usagers, des droits et obligations du personnel du réseau sociosanitaire, du personnel de la Régie régionale et des utilisateurs. 3. Mise en contexte La présente politique constitue le document de référence en matière de sécurité des actifs informationnels pour l'ensemble du personnel de la Régie régionale de Chaudière-Appalaches. Avec la venue des réseaux locaux et des réseaux étendus tels que le RTSS, il est impératif que le volet sécurité soit davantage développé. La sécurité doit être une préoccupation de tous les instants pour l'ensemble du personnel. Désormais, aucun système informatisé ne peut être mis en opération si les fonctions de sécurité n'y sont pas présentes. Un programme de sensibilisation et de formation continue sera dispensé pour l'ensemble du personnel de la Régie régionale de façon à bien saisir l'ampleur et l'importance de ce dossier. Finalement, cette politique de sécurité des actifs informationnels, étant acceptée et appliquée par tous, fournit une assurance à la communauté des utilisateurs du RTSS ainsi qu'aux citoyens que les actifs informationnels, peu importe le type de support sur lequel ils sont conservés, sont sécurisés et que la confidentialité des renseignements concernant les citoyens est préservée. A. Définition des termes Dans la présente politique, à moins que le contexte n'indique un sens différent, les termes utilisés réfèrent aux définitions présentées à l'annexe 1. B. Principes généraux de la politique > Le président-directeur général de la Régie régionale demeure l'ultime responsable de la sécurité des actifs informationnels de la Régie régionale; > Les actifs informationnels doivent être classifïés et protégés de façon optimale, en tenant compte de leur valeur organisationnelle et de leur sensibilité aux menaces; Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 3

8 Politique administrative relative à la sécurité des actifs informationnels > Les mesures de protection envisagées doivent permettre d'assurer la disponibilité, l'intégrité et la confidentialité des informations; > Les renseignements doivent être traités en tenant compte des dispositions de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, à savoir le respect à la vie privée est un droit reconnu; l'information personnelle ne peut être divulguée à de tierces parties sans le consentement écrit de l'individu concerné; seuls les employés dont la tâche requiert l'accès à des informations personnelles peuvent recourir à ces informations; > Les employés de la Régie régionale doivent détenir des privilèges d'accès et être authentifiés pour accéder aux informations requises; > Les informations mémorisées dans les différents systèmes d'information sont la propriété de la Régie régionale. 4. Objectifs de la politique Cette politique vise à assurer la confidentialité, la disponibilité et l'intégrité de tous les actifs informationnels détenus par la Régie régionale. Elle ne se limite pas à l'aspect «informatique» et englobe l'ensemble des lois et politiques qui traitent de la gestion de l'information au sens large (accès, diffusion, disposition, aliénation, archivage, etc.). La présente politique a pour objectif d'assurer > le respect de la vie privée des individus, notamment la confidentialité des renseignements à caractère nominatif relatifs aux usagers et au personnel du réseau sociosanitaire; > la sécurité de l'information en regard de l'utilisation des réseaux informatiques, du RTSS et d'internet; > la sécurité de l'information en regard de l'utilisation des actifs informationnels; > la sécurité des données corporatives. 5. Champs d'application La politique de sécurité de la Régie régionale s'adresse aux groupes de personnes suivants et s'applique généralement à > toute personne utilisant, pouvant utiliser ou ayant accès aux actifs informationnels de la Régie régionale ou pouvant traiter des informations détenues par celle-ci; Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 4

9 Politique administrative relative à la sécurité des actifs informationnels > tout actif informationnel de îa Régie régionale ou sous son contrôle, peu importe sa localisation; > toute information détenue, saisie, traitée ou emmagasinée à même ou à l'aide des actifs informationnels de la Régie régionale. A. Tiers Toute personne physique ou morale qui utilise ou qui accède, avec l'autorisation préalable de la Régie régionale, à des informations de nature confidentielle ou non, quel que soit le support sur lequel elles sont conservées. 6. Rôles, responsabilités et autorités L'application et le respect de la politique de sécurité incombent à chaque utilisateur. Le comité de direction de la Régie régionale approuve la politique intérimaire. Le président-directeur général de la Régie régionale est le responsable de la sécurité des actifs informationnels utilisés par la Régie régionale. Le président-directeur général de la Régie régionale est responsable de la mise en oeuvre de la politique en conformité avec la Politique Nationale sur la sécurité des actifs informationnels et le Cadre global de gestion sur la sécurité des actifs informationnels. Il est aussi responsable de la sensibilisation et la mobilisation de ses employés, des professionnels et des utilisateurs des actifs informationnels concernant la sécurité entourant leur utilisation. Le responsable de la sécurité des actifs informationnels de la Régie régionale élabore et applique la politique. Il assume également les responsabilités énoncées à l'article 2 3 du Cadre global. Le détenteur d'actifs informationnels assure la sécurité de ceux-ci, l'application systématique des mesures élaborées, la consignation au registre approprié des actifs informationnels qu'il détient; il autorise par écrit les accès au personnel d'exploitation informatique et assume toutes autres responsabilités mentionnées à l'article 2 4 du Cadre global. Les utilisateurs appliquent et respectent la politique de sécurité et ses règlements. Ils avisent leur supérieur immédiat de toute situation susceptible de compromettre la sécurité des actifs informationnels de la Régie régionale. 7. Dérogation à la politique Aucune dérogation à la politique n'est autorisée sans consentement écrit du responsable de la sécurité. Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 5

10 Politique administrative relative à la sécurité des actifs informationnels 8. Utilisation des actifs informationnels Tous fes actifs informationnels doivent être dédiés et réservés à la réalisation des activités de la Régie régionale. L'utilisation des actifs informationnels de la Régie régionale est un privilège Ce privilège peut etre révoqué en tout temps, à tout utilisateur qui ne se conformera pas à la politique ou ses normes. Chaque utilisateur accepte que la Régie régionale puisse effectuer la vérification de la saine utilisation des actifs informationnels. Tout usage des actifs informationnels qui est dérogatoire à la politique ou ses normes est sanctionné selon les dispositions pertinentes des présentes, ses normes ou toute autre source conventionnelle, légale ou réglementaire à ia disposition de la Réaie a régionale. 9. Confidentialité Conformément au contexte légal et réglementaire qui encadre les activités de la Régie regionale, tout renseignement nominatif relatif aux usagers contenu dans quelque élément des actifs informationnels de la Régie régionale est confidentiel. Personne ne doit, autrement que dans le cadre de ses fonctions, consulter, divulguer modifier ou détruire une information confidentielle. L'accès aux informations confidentielles doit être contrôlé par des mesures de sécurité adéquates, notamment par des mesures d'authentification. Le droit de l'utilisateur à la confidentialité de l'information qui lui est propre ne couvre pas les cas où il fait de cette information ou des actifs informationnels une utilisation contraire à la politique ou à ses normes. 10. Droit d'auteur Les reproductions de logiciels, de progiciels, de marques de commerce ou d'objets numérisés ne sont autorisées qu'à des fins de copies de sauvegarde et selon les termes des licences d'utilisation qui les régissent. Personne ne peut effectuer ou participer à la reproduction de logiciels, de progiciels d'objets numérisés ou de leur documentation, sans le consentement du responsable de la sécurité des actifs informationnels de la Régie régionale. Régie régionale de la santé et des services sociaux de Chaudière-Appalaches p nno r, age

11 Politique administrative relative à la sécurité des actifs informationnels Personne ne peut utiliser de reproductions illicites de logiciels, de progiciels ou d'objets numérisés à l'aide des actifs informationnels de la Régie régionale. 11. Propriété des informations Toute information générée par les utilisateurs est la propriété exclusive de la Régie régionale. Toute information qui circule ou réside sur quelque actif informationnel de la Régie régionale et qui n'a pas été spécifiquement identifiée comme étant la propriété exclusive d'une tierce partie est réputée appartenir à la Régie régionale. La Régie régionale protège adéquatement toute information qui lui est confiée par une tierce partie ainsi que ses marques de commerce et autres biens couverts par les lois appropriées en matière de propriété intellectuelle. 12. Authentification Lorsque requis, chaque utilisateur doit choisir un ou des mots de passe pour exercer son ou ses privilèges d'accès aux actifs informationnels. Le mode de génération et de gestion de ses mots de passe doit être conforme aux normes. Il est strictement interdit de partager un mot de passe. Aucune circonstance ne permet de le justifier. Le manquement à cette interdiction rend l'utilisateur fautif responsable de toutes les actions posées par l'individu en possession de ce même mot de passe et certains ou tous ses privilèges d'accès peuvent être révoqués. 13. Privilèges Tous les privilèges d'accès aux actifs informationnels sont octroyés aux utilisateurs en fonction de leurs besoins justifiés. Aucun privilège n'est octroyé au-delà des besoins pour l'exécution complète des tâches assignées ou des mandats confiés. 14. Relations avec les tiers La Régie régionale peut émettre des normes concernant ses relations avec les tiers en matière de sécurité informationnelle. Des conventions écrites doivent être conclues afin de tenir compte des différentes ententes intervenues en vertu de la présente disposition. 15. Modifications in ter dites aux réseaux Il est interdit à quiconque, sans autorisation du responsable de!a gestion de la sécurité des actifs informationnels, de modifier les configurations réseaux des actifs informationnels, de créer des babillards électroniques, des réseaux parallèles ou de nouvelles connexions «modem» sur les réseaux informatiques. Toute modification doit Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 7

12 Politique administrative relative à la sécurité des actifs informationnels être exécutée selon les normes et suivant l'autorisation du responsable de ia sécurité des actifs informationnels de la Régie régionale. Les ordinateurs portables contenant des informations appartenant à la Régie régionale sont aussi visés par cette interdiction. Il est interdit d'ajouter un logiciel non autorisé à quelque actif informationnel. 16. Virus et autres menaces Un virus informatique est un programme malicieux ayant comme fonction de se multiplier, de s'insérer dans divers programmes autorisés et de se transmettre sur les supports de données, les systèmes et les réseaux informatiques. Des moyens sont implantés dans les actifs informationnels pour éviter les infections par des virus ou autres menaces. 17. Sauvegarde des données Pour rencontrer les objectifs de protection et de disponibilité des informations contenues dans les actifs informationnels de la Régie régionale, chaque utilisateur est responsable de la sauvegarde des informations contenues en exclusivité sur son poste de travail. Toutes les informations confidentielles doivent faire l'objet de mesures périodiques de sauvegarde selon les normes. 18. Destruction des informations À la seule exception des instructions spécifiques reçues du responsable de la sécurité des actifs informationnels de la Régie régionale ou en vertu des lois et règlements applicables, toute information contenue sur les actifs informationnels de la Régie régionale qui n'est plus utile doit être détruite selon les normes. 19. Encodage des données Toute information confidentielle détenue et transmise par le biais des actifs informationnels de la Régie régionale doit être encodée selon les normes, lorsque des mécanismes d'encodage sont disponibles. 20. Ordinateurs portables Chaque utilisateur d'ordinateur portable ou de tout autre périphérique portable, contenant ou pouvant contenir des informations confidentielles, doit protéger celui-ci en tout temps contre le vol ou son accès non autorisé par des tiers. Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 8

13 Politique administrative relative à la sécurité des actifs informationnels Toutes les conditions relatives aux sauvegardes de données ou à leur encodage s'appliquent à tout équipement informatique portable. Lors du déplacement du portable ou du périphérique, l'utilisateur doit respecter les normes appropriées. 21. Vie privée Les actifs informationnels de la Régie régionale sont mis à la disposition des utilisateurs pour l'exécution de leurs tâches. Aucun utilisateur ne devrait prétendre à une expectative de vie privée dans le cours de l'exécution d'une tâche pour le compte de la Régie régionale en utilisant ses actifs informationnels. Chaque utilisateur doit être informé que des mesures de vérification de l'usage des actifs informationnels peuvent être appliquées ponctuellement. 22. Outil de contrôle automatisé Chaque système d'information à utilisateurs multiples doit être pourvu d'outils automatiques de gestion de la sécurité. Ces outils doivent inclure des mécanismes de détection, de consignation et de correction des événements associés à la consultation et au traitement des informations et à leur sécurité. 23. Gestion interne des informations concernant la sécurité De temps à autre, le responsable de la sécurité ou des personnes désignées par lui exécutent des analyses de conformité à la politique de sécurité et ses normes. Par ailleurs, chaque utilisateur doit rapporter immédiatement au responsable de la sécurité toute situation pouvant mettre en cause la sécurité des actifs informationnels de la Régie régionale. Toute information relative au fonctionnement adéquat des actifs informationnels de la Régie régionale et à leur sécurité doit faire l'objet d'une diffusion adéquate par le biais d'affichages, de publipostages ou autres moyens. Chaque utilisateur doit prendre connaissance de la politique et ses normes. Toutes les informations relatives aux mesures de sécurité de la Régie régionale sont confidentielles. Personne n'est autorisé à divulguer à quiconque quelque information que ce soit relative aux mesures de sécurité utilisées par la Régie régionale, sans une autorisation spécifique à cet effet émise par le responsable de la sécurité. De même, quiconque est identifié comme étant la source d'information non autorisée d'une donnée de la Régie régionale est passible du retrait de son ou ses privilèges d'accès. Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 9

14 Politique administrative relative à la sécurité des actifs informationnels 24. Sécurité physique des équipements et des informations Chaque élément tangible des actifs informationnels de la Régie régionale doit être identifié comme étant sa propriété exclusive. Des mesures particulières doivent être entreprises pour protéger les actifs tangibles susceptibles d'être déplacés pour les protéger contre le vol. L'accès aux aires techniques (par exemple, centrale téléphonique) doit être restreint aux seuls utilisateurs identifiés en vertu des normes. Toute personne autorisée à détenir des informations confidentielles appartenant à la Régie régionale, pour usage à sa résidence ou dans un autre lieu, doit assurer la sécurité physique des supports contenant lesdites informations. 25. Sanctions Nonobstant tout autre recours civil, pénal ou criminel à la disposition de la Régie régionale, les utilisateurs des actifs informationnels de la Régie régionale qui contreviennent aux dispositions de la politique et ses normes peuvent se voir suspendre ou retirer leurs privilèges d'accès aux actifs informationnels de la Régie régionale. 26. Modification de la politique La politique doit être périodiquement évaluée afin de se conformer aux nouvelles pratiques et technologies utilisées à la Régie régionale. Toute modification à la politique de sécurité de la Régie régionale doit être sanctionnée par le comité de direction de la Régie régionale. 27. Mesures continues de sensibilisation La politique de sécurité de la Régie régionale doit faire l'objet de mesures continues de formation, de sensibilisation et d'information des utilisateurs des actifs informationnels. La Régie régionale doit avoir un plan d'action visant l'application des mesures de sensibilisation nécessaires afin d'assurer la disponibilité, l'intégrité et la confidentialité des informations. Un plan d'intégration et de formation des nouveaux utilisateurs est prévu. Chaque nouvel utilisateur doit recevoir la formation relative à la sécurité des actifs informationnels de la Régie régionale et doit s'engager à respecter la politique et ses normes conformément à sa responsabilité. Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 10

15 Politique administrative relative à la sécurité des actifs informationnels 28. Entrée en vigueur La politique de sécurité de la Régie régionale entre en vigueur 10 jours suivant sa diffusion aux utilisateurs ou à toute autre date indiquée par le comité de direction de la Régie régionale. 29. Approbation par le comité de direction de la Régie régionale Approuvée par le comité de direction de la Régie régionale le 16 décembre Le président-directeur général, Marc Tanguay Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 11

16 Politique administrative relative à la sécurité des actifs informationnels LISTE DES RÉFÉRENCES Charte canadienne des droits et liberté de la personne. Charte des droits et libertés de la personne (L.R.Q. chapitre C-12), Code civil du Québec. COMMISSION D'ACCÈS À L'INFORMATION DU QUÉBEC, Exigences minimales relatives à la sécurité des dossiers informatisés des usagers du réseau de la santé et des services sociaux, Québec, COMMISSION D'ACCÈS À L'INFORMATION DU QUÉBEC, Le courrier Québec, COMMISSION D'ACCÈS À L'INFORMATION DU QUÉBEC, Utilisation des Québec, électronique, télécopieurs, CONSEIL DU TRÉSOR, La sécurité de l'information électronique - Directive concernant la sécurité de l'information électronique et les actifs informationnels, Québec, Ministère des Communications, COS ISS, Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, Québec, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., chapitre A-2.1). Loi sur le droit d'auteur (L.R.Q., chapitre C-42). Loi sur les archives (L.R.Q., chapitre A-21.1). Loi sur les services de santé et les services sociaux (L.R.Q., chapitre S-4.2). MINISTÈRE DE LA SANTÉ ET DES SERVICES SOCIAUX, Cadre global sur la gestion des actifs informationnels du réseau de la santé et des sen/ices sociaux, document approuvé et diffusé officiellement par le Ministère en septembre RÉGIE RÉGIONALE DE LA SANTÉ ET DES SERVICES SOCIAUX DE CHAUDIÈRE-APPALACHES, Guide à l'intention des établissements de la région de la Chaudière-Appalaches pour l'élaboration et l'implantation d'une politique de sécurité des actifs informationnels, Québec, Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 12

17 Politique administrative relative à la sécurité des actifs informationnels RÉGIE RÉGIONALE DE LA SANTÉ ET DES SERVICES SOCIAUX DE LA MAURICIE ET DU CENTRE DU QUÉBEC (Groupe Développement de l'organisation), Politique relative à la sécurité des actifs informationnels, document de travail, 5 juin RÉGIE RÉGIONALE DE LA SANTÉ ET DES SERVICES SOCIAUX DE QUÉBEC, Politique administrative relative à la sécurité des actifs informationnels et de télécommunication et à la protection des données et des renseignements confidentiels de la Régie régionale de la santé et des services sociaux de Québec, 9 décembre UNIVERSITÉ LAVAL, Code de conduite sur l'utilisation et la gestion des technologies l'information et des télécommunications à l'université Laval, Québec, de UNIVERSITÉ LAVAL, Politique de sécurité sur les technologies de l'information et des télécommunications, Québec, Régie régionale de la santé et des services sociaux de Chaudière-Appalaches Page 14

18 Annexe 1 Définition des termes

19 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 DÉFINITION DES TERMES «Actif informationnel et de télécommunication» Système d'information, matériel informatique et de télécommunication, logiciels, progiciels, banques de données et information (textuelle, sonore, symbolique ou visuelle) placées dans un matériel informatique ou sur un média informatique et/ou électronique, ou encore sous forme de documents papier, système de courrier électronique et système de messagerie vocale. Un équipement médical spécialisé ou ultraspécialisé peut comporter des composantes qui font partie des actifs informationnels, notamment, lorsqu'il est relié de façon électronique à des actifs informationnels. Source : COSSIS, Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, Québec, 1999 et UNIVERSITÉ LAVAL, Politique de sécurité sur les technologies de l'information et des télécommunications, Québec, «Bavardage, Cyberbavardage, Bavardage-Clavier ou Clavardage (Chat)» Conversation écrite, interactive et en temps réel entre des internautes du monde entier, et ceci, par clavier interposé. Commission d'accès à l'information, «Cadre de gestion» Le Cadre global de gestion sur la sécurité des actifs informationnels du réseau de la santé et des services sociaux tel qu'adopté par le ministère de la Santé et des Services sociaux du Québec, et ses modifications. «Confidentialité» Caractère que possède une donnée dont la divulgation, la prise de connaissance et l'utilisation sont réservées à des personnes désignées et autorisées selon la présente politique. Source : COSSIS, Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, Québec, «Courrier électronique, «courriel», ( )» Service de correspondance sous forme d'échange de messages, à travers un réseau de téléinformatique. Commission d'accès à l'information, 1999.

20 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 «Cryptage» Appelé aussi encodage d'informations, it interdit la lecture d'informations par des personnes non autorisées et permet de sécuriser les données. Source : Dictionnaire de l'informatique et de l'internet, août «Déclaration d'allégeance» Engagement écrit par lequel toute personne qui a accès à des données confidentielles et aux actifs informationnels et de télécommunication, sous la responsabilité de la Régie régionale, et qui n'est pas membre du personnel de celle-ci, s'engage à respecter la présente politique. «Détenteur» Le détenteur assure la sécurité d'un ou de plusieurs actifs informationnels, qu'il soit délégué par le président-directeur général ou par un tiers mandaté. «Document» Tout support d'information (incluant les notes manuscrites) y compris les données inscrites ou enregistrées sur celui-ci sous une forme en général permanente et lisible par une personne ou par la machine. Source : COSSIS, Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, Québec, «Donnée informatisée» Représentation d'une information sous une forme conventionnelle et formant le contenu d'un document informatisé. Source : RTSS, Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, Québec, «Données sociosanitaires nominatives» Données qui concernent une personne physique et qui permettent de l'identifier, emmagasinées par un organisme de la santé et des services sociaux. Source : COMMISSION D'ACCÈS À L'INFORMATION DU QUÉBEC, Exigences minimales relatives à la sécurité des dossiers informatisés des usagers du réseau de la santé et des services sociaux, Québec, 1992.

21 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 «Données corporatives» Données de gestion concernant un organisme. «Droits d'auteur» Droit exclusif de produire ou de reproduire une œuvre ou une partie importante de celle-ci sous une forme matérielle quelconque, de la représenter en public, de la publier, de permettre l'un des actes ci-dessus énumérés ainsi que tous les droits accessoires y afférents, le tout tel que prévu par la Loi concernant ie droit d'auteur. «Droit d'utilisation» Autorisation accordée à une personne définissant l'usage qu'il peut faire des actifs informationnels et de télécommunication. Source : UNIVERSITÉ LAVAL, Politique de sécurité sur les technologies de l'information et des télécommunications, Québec, «Équipements informatiques et leurs périphériques» Ordinateurs, micro-ordinateurs, postes de travail informatisés et leurs périphériques de lecture, de conservation, de reproduction, d'impression, de transmission, de réception et de traitement de l'information et tout autre équipement de télécommunication. «Extrant» Tout objet permettant de conserver de l'information résultant d'un traitement ou des programmes informatiques provenant d'un matériel informatique ou de ses unités périphériques ou d'un équipement de télécommunication. Source: UNIVERSITÉ LAVAL, Politique de sécurité sur les technologies de l'information et des télécommunications, Québec, «Forum de discussion, groupe de discussion (newsgroups)» Service offert par un serveur d'information ou un babillard électronique sur un réseau comme Internet et qui permet à un groupe de personnes d'échanger leurs opinions, leurs idées sur un sujet particulier, en direct ou en différé, selon des formules variées (liste de participants, canal IRC, etc.) Commission d'accès à l'information, 1999.

22 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 «Gestionnaire de système» Tout membre du personnel dont la fonction est d'assurer Ea responsabilité de gestion d'actifs informationnels, d'équipements, de systèmes ou de réseaux au sens de la présente politique, et toute personne à qui cette responsabilité est conférée en vertu d'une entente avec la Régie régionale. Source : UNIVERSITÉ LAVAL, Politique de sécurité sur les technologies de l'information et des télécommunications, Québec, «Information» Élément de connaissance susceptible d'être représenté à l'aide de conventions, pour être conservé, traité ou communiqué. (CMTl et AFNOR). «Internet ou réseau Internet» Réseau informatique mondial constitué d'un ensemble de réseaux nationaux, régionaux et privés, qui sont reliés par le protocole de communication TCP-IP et qui coopèrent dans le but d'offrir une interface unique à leurs utilisateurs. Commission d'accès à l'information, «Intranet ou réseau intranet» Réseau informatique privé qui utilise des protocoles de communication et des technologies permettant un échange d'information. Les protocoles et les technologies les plus connus sont ceux d'internet. Source : Dictionnaire de l'informatique et de i'internet, août «Logiciel» Ce mot désigne un programme. Il y a deux sortes de logiciels : les logiciels destinés aux systèmes informatiques (voir système informatique) et les logiciels destinés à l'utilisateur, appelés «applications» ou «logiciels d'application»... Source : Dictionnaire de l'informatique et de l'internet, août «Marque de commerce» Selon le cas, est une marque de commerce : une marque employée par une personne pour distinguer ou de façon à distinguer les marchandises fabriquées, vendues, données à bail ou louées ou les services loués ou exécutés par elle, des marchandises fabriquées, vendues, données à bail ou louées ou des services loués ou exécutés par d'autres, une marque de certification, un signe distinctif, une marque de commerce projetée.

23 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 «Matériel informatique» On le nomme «hardware» en anglais. C'est l'ensemble de tous les composants physiques incluant les logiciels pour les faire fonctionner et tous les types des périphériques qui forment un système informatique. Source : Dictionnaire de l'informatique et de l'internet, août «Normes» Toute documentation, sous forme manuscrite ou électronique, préparée par le responsable de la sécurité suivant les pouvoirs consentis à cet effet par le président-directeur général. Cette documentation vise à supporter l'application du cadre de sécurité de la Régie régionale. «Objet numérisé» Information textuelle, symbolique, sonore ou visuelle (animée ou non) qui est transformée afin qu'elle soit visualisée, modifiée ou transmise sur les réseaux de télécommunication. Source : UNIVERSITÉ LAVAL, Politique de sécurité sur les technologies de l'infonnation et des télécommunications, Québec, «Périphériques» Dispositifs servant en premier lieu à l'entrée et à la sortie de données, de même qu'au stockage des données sur supports externes (voir support de données) qui constituent les «périphériques» d'un ordinateur. Source : Dictionnaire de l'informatique et de l'internet, août «Personnel» Toute personne à l'emploi de la Régie régionale ou sous sa responsabilité à tout autre titre. Sans limiter ce qui précède, sont inclus : les employés permanents, à temps complet ou partiel, les occasionnels, les contractuels, les professionnels de la santé, les stagiaires, les bénévoles, etc. «Politique» Le présent document, tel qu'adopté par le conseil d'administration de la Régie régionale.

24 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 «Privilège» Autorisation de nature personnelle accordée à un utilisateur des actifs informationnels et régissant son exploitation de ceux-ci, conformément à la politique et ses normes. «Professionnel de la santé» Conformément au plan d'organisation professionnel de la Régie régionale, le médecin, le pharmacien, le dentiste ou toute autre personne détenant les privilèges professionnels requis pour l'exercice de sa profession et qui obtient un privilège d'utilisation des actifs informationnels, conformément à la politique et ses normes. «Progiciel : (angl. «software package»)» Ensemble de logiciels (voir logiciel) travaillant sur le même type de données, partageant un certain nombre de programmes auxiliaires et, surtout, exportés et/ou commercialisés de manière unitaire. Source : Dictionnaire de l'informatique et de l'internet, août «Programme» Un programme informatique est composé d'une série de fonctions et de définitions en langage machine ou dans un langage de programmation plus évolué. Elles permettent à l'ordinateur de procéder au traitement des données. On donne aussi aux programmes le nom collectif de logiciel. Source : Dictionnaire de l'informatique et de l'internet, août «Renseignements nominatifs» Sont nominatifs les renseignements qui concernent une personne physique et permettent de l'identifier. Le nom d'une personne physique n'est pas un renseignement nominatif, sauf lorsqu'il est mentionné avec un autre renseignement la concernant ou lorsque sa seule mention révélerait un renseignement nominatif concernant cette personne. Source : Loi sur /'accès aux documents des organismes publics et sur la protection des renseignements personnels, 1982, c.30, a.54, a.56 (L R.Q., c. A-2.1).

25 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 «Réseau informatique» Ensemble des moyens matériels et logiciels mis en œuvre pour assurer les communications entre ordinateurs, stations de travail et terminaux informatiques. (CMT1 et AFNOR). Ceci inclut les réseaux suivants : 1. «Local Area Network (LAN)» qui ne couvre qu'une surface restreinte. 2. «Wide Area Network (WAN)» qui désigne un réseau ayant une grande extension, souvent internationale, et disposant de connexions par ligne téléphonique avec des réseaux locaux distants. Source : Dictionnaire de l'informatique et de l'internet, août 1997, p.323 et p «Responsable de la sécurité» Toute personne dûment nommée par le dirigeant de la Régie régionale ainsi que ses mandataires et qui assume les responsabilités énoncées à la politique en conformité avec le Cadre global de gestion sur la sécurité des actifs informationnels du réseau de la santé et des services sociaux. «RTSS MD» Le Réseau de télécommunications sociosanitaire. «Réseau de télécommunications sociosanitaire (RTSS)» C'est le principal véhicule d'échange d'information entre les établissements du réseau de la santé et des services sociaux. Source : COSISS, Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, Québec, [Le RTSS est un réseau «WAN»]. «Site Web» Site Internet où sont stockées des données accessibles par le Web. Créer un site Web (...) signifie montrer publiquement ses créations. Le site Web permet de conserver les données, les textes, les images et les sons, et de les rendre accessibles à toutes les personnes autorisées qui naviguent sur Internet. Commission d'accès à l'information, 1999.

26 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 «Support de données» Terme employé pour désigner tous les supports sur lesquels peuvent être stockées et lues des données. Source : Dictionnaire de l'informatique et de l'internet, août «Système informatique» Ensemble composé par le matériel informatique et les logiciels (voir logiciel) nécessaires au traitement des données. Il faut noter que le matériel peut être un réseau composé de plusieurs ordinateurs. Source : Dictionnaire de l'informatique et de l'internet, août «Systèmes d'information» Ensemble des pratiques et des moyens pour recueillir, traiter, mettre à jour, reproduire et distribuer tous les types d'informations. Source : UNIVERSITÉ LAVAL, Politique de sécurité sur les technologies de l'information et des télécommunications, Québec, «Télécopieur (Fax)» Procédé de transmission de l'ensemble d'un texte écrit ligne par ligne (...). Les données sont transmises par ligne téléphonique à un autre télécopieur qui transforme le signal en image. Cette définition inclut le «Fax-modem» qui peut servir autant à la transmission de données qu'à celle de la télécopie. Source : Dictionnaire de l'informatique et de l'internet, août 1997, p. 228 «Usagers» Toute personne qui reçoit des services de santé et des services sociaux. Source : Loi sur les services de santé et de services sociaux, (L.R.Q., c. S-4.2). «Utilisateurs» Personne, groupe ou entité administrative faisant usage d'un actif informationnel. Source : COSSIS, Politique intén'maire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, Québec, «Utilisateur non autorisé» Toute personne qui fait un usage non autorisé des actifs informationnels.

27 Politique administrative relative à la sécurité des actifs informationnels - ANNEXE 1 «Vidéoconférence ou visioconférence» Permet à des personnes situées en différents endroits de communiquer par ordinateur, à l'aide d'une caméra transmettant les images, alors qu'un micro transmet le son. Source : Dictionnaire de l'informatique et de l'internet, août «Web ou W3 (World Wide Web, WWW)» Système basé sur l'utilisation de l'hypertexte, qui permet la recherche d'information sur Internet, l'accès à cette information et sa visualisation. Commission d'accès à l'information, 1999.

28 r I! I i ' I Ij RÉGI H RÉGIONALE DE LA SANTÉ ET DES SERVICES SOCIAUX CHAUDIÈRE- APPALACHES 36?., ROUTE CAMERON SAlNTïi-i'.iÀKÎL. OC C i^e F t r tej KPHONFt (41^) 386,3365 TÉLÉCOPIE: 141») 3S6r33fil COIIRRI lil: rrsss J ml [«-r qc ca