Politique de sécurité de l information

Transcription

1 Plitique de sécurité de l infrmatin Versin 2.3 Identificateur de dcument : 3541

2 Avis de drit d auteur 2015 cybersanté Ontari Tus drits réservés Il est interdit de reprduire le présent dcument, en ttalité u en partie, de quelque manière que ce sit, y cmpris en le phtcpiant u en le transférant en frmat électrnique sur un rdinateur, sans d abrd btenir une autrisatin écrite de cybersanté Ontari. Les renseignements présentés dans le présent dcument snt la prpriété de cybersanté Ontari, et il est interdit de les utiliser u de les divulguer, sauf autrisatin écrite expresse de cybersanté Ontari. Marques de cmmerce Les autres nms de prduits mentinnés dans le présent dcument peuvent être des marques de cmmerce u des marques de cmmerce dépsées, et snt ici recnnus cmme étant la prpriété de leurs entreprises respectives. Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin i

3 Gestin du dcument Date de la prchaine révisin : Chaque année u à la fréquence établie par le Cmité de sécurité de la cnnexin. Histrique des apprbatins APPROBATEURS DATE D APPROBATION Cmité de sécurité de la cnnexin Histrique des mdificatins NUMÉRO DE VERSION DATE RÉSUMÉ DES CHANGEMENTS AUTEUR DES CHANGEMENTS Adptin de la versin de nvembre 2013 par le grupe de travail sur la prtectin de la vie privée et la sécurité de CnnexinRGT et examen. Mark Carter Mise à jur à partir des cmmentaires frmulés par les membres du Cmité de sécurité de la cnnexin. Ajut de la référence à la Plitique visant à garantir la cnfrmité du DSE avec la Li sur la cnfidentialité des renseignements persnnels sur la santé (en anglais), y cmpris les puces cntextuelles. Mark Carter Apprbatin de la plitique à la réunin du Cmité de sécurité de la cnnexin du 9 septembre. Mark Carter Harmnisatin des libellés à la Plitique de cntrôle des accès et de gestin de l identité (en anglais) cnfrmément à la décisin définitive de la 3 e étape du Cmité de sécurité de la cnnexin. Mark Carter Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin ii

4 Plitique de sécurité de l infrmatin Objectif La présente vise à prtéger la cnfidentialité, l intégrité et la dispnibilité de la [slutin DSE] et des renseignements persnnels sur la santé stckés u traités dans la [slutin DSE]. À cet effet, elle établit le cadre de gestin de la sécurité de l infrmatin cntenue dans la [slutin DSE] : en définissant les principes en matière de sécurité de l infrmatin qui régissent : les renseignements persnnels sur la santé; la [slutin DSE] et les systèmes d infrmatin u les technlgies de l infrmatin cnnectés à la [slutin DSE]. Prtée en décrivant les rôles et les respnsabilités visant à assurer l applicatin des principes énncés dans la présente plitique. La présente plitique s applique aux respnsables de la [slutin DSE], à ses mandataires, à ses furnisseurs de services électrniques et à la [slutin DSE]. Pur les dépsitaires de renseignements sur la santé qui se cnnectent à la [slutin DSE] pur cnsulter, gérer u traiter autrement des renseignements persnnels sur la santé au myen : d une technlgie d identificatin lcale, cette plitique vise les éléments suivants : L infrastructure de gestin de l identité et de cntrôle de l accès lcal des dépsitaires de renseignements sur la santé (les «services d identificatin») qui sert à gérer l authentificatin et les autrisatins nécessaires pur accéder à la [slutin DSE] (p. ex., service d émissin de jetn de sécurité de la [slutin DSE] et Micrsft Active Directry Federatin Services 2.0, etc.); La cnnexin réseau directe au Prtail de la [slutin DSE] pur les furnisseurs et aux fnctinnalités administratives, y cmpris les cmpsantes du chemin de cnnexins (pare-feux, serveurs mandataires, etc.); L intégratin du Prtail de la [slutin DSE] pur les furnisseurs au système lcal d infrmatin sur la santé u aux applicatins de dssiers médicaux électrniques (DME) des dépsitaires de renseignements sur la santé. du service ONE ID de cybersanté Ontari, cette plitique vise les éléments suivants : La cnnexin réseau directe aux fnctinnalités administratives de la [slutin DSE], y cmpris les cmpsantes du chemin de cnnexins (pare-feux, serveurs mandataires, etc.). Pur les dépsitaires de renseignements sur la santé qui, en plus de cnsulter l infrmatin, créent u saisissent des renseignements persnnels sur la santé dans le Répertire des dnnées cliniques de la [slutin DSE] (les «établissements cntributeurs»), la présente plitique s applique en utre aux éléments suivants : Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 1

5 Les indicateurs de résultat des dnnées de cntributin qui furnissent des renseignements sur la santé utiles au Répertire de dnnées cliniques de la [slutin DSE]; Les technlgies de l infrmatin et les prcessus servant à assurer la qualité des dnnées sumises (p. ex., inventaire de la terminlgie). La présente plitique ne s applique pas aux dépsitaires de renseignements sur la santé, à leurs mandataires u à leurs furnisseurs de services électrniques qui n utilisent pas la [slutin DSE]. Glssaire [Slutin DSE] : La [slutin DSE] et les systèmes de sutien destinés au stckage et à la cnsultatin par vie électrnique de certains renseignements persnnels sur la santé prvenant des systèmes des dépsitaires de renseignements sur la santé (parfis indispnibles dans les services d archives prvinciaux u réginaux prévus) en vue de servir de guichet unique et de réduire la charge des systèmes surces. Ce terme n englbe pas les systèmes d infrmatin et les technlgies de l infrmatin des dépsitaires de renseignements sur la santé participants. Équipe des pératins en matière de prtectin de la vie privée et de sécurité : L Équipe des pératins en matière de prtectin de la vie privée et de sécurité se cmpse de mandataires de la [slutin DSE] qui s ccupent des mesures, des initiatives et des prcessus liés à la cnfidentialité et à la sécurité de la slutin.. Cmité de prtectin de la vie privée et de sécurité : Le Cmité de prtectin de la vie privée et de sécurité est frmé de mandataires des dépsitaires de renseignements sur la santé participants et appuie la structure de gestin de la cnfidentialité et de la sécurité de l infrmatin. Cmité directeur : Le Cmité directeur se cmpse de cadres supérieurs qui supervisent tus les aspects liés à la [slutin DSE]. Furnisseur de services électrniques : Une persnne qui furnit des biens u des services en vue de permettre à un dépsitaire de renseignements sur la santé, par vie électrnique, de recueillir, d utiliser, de mdifier, de divulguer, de cnserver u d éliminer des renseignements persnnels sur la santé, ntamment le furnisseur d un réseau d infrmatin sur la santé. Sécurité de l infrmatin : Prtectin des renseignements, des systèmes d infrmatin et des technlgies de l infrmatin cntre les accès nn autrisés et cntre la cllecte, l utilisatin, la divulgatin, le transfert, la perturbatin, la mdificatin et l éliminatin nn autrisés de dnnées. Système d infrmatin : Ensemble indépendant de technlgies de l infrmatin servant à la cllecte, au traitement, à la tenue à jur, à l utilisatin, à la divulgatin u à l éliminatin de dnnées. Pint(s) d accès de dnnées de cntributin : La technlgie et les prcessus afférents qui prduisent des dnnées versées au Répertire de dnnées cliniques u interrgées pur btenir un aperçu de la situatin clinique. Habituellement, il s agit de systèmes d infrmatin (p. ex., système d infrmatin d hôpital, de labratire, de clinique, etc.) ayant une cnnexin directe à la [slutin DSE] afin d accéder aux dnnées cliniques. Services d identificatin : Technlgie et tut service de sutien, plitique, prcessus et prcédure afférent explité pur créer, cnserver, sécuriser, valider, vérifier et gérer l identificatin électrnique à la [slutin DSE]. Technlgie de l infrmatin : Tut bien (matériel u lgique) servant à l acquisitin, au stckage, à la manipulatin, à la gestin, au transfert, au cntrôle, à l affichage, à la cmmutatin, à l échange, à la transmissin u Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 2

6 à la réceptin autmatiques de dnnées u de renseignements. Il peut s agir par exemple de matériel, de lgiciels, de micrlgiciels, d équipement auxiliaire u de ressurces cnnexes. Dit/divent : Ces termes indiquent des exigences nn facultatives. Préférable u devrait/devraient : Ces termes snt emplyés lrsque les utilisateurs, dans certains cas, peuvent avir des raisns valables de ne pas respecter l exigence. Tutefis, le respnsable de la mise en œuvre dit être cnscient des cnséquences de ce geste et envisager d instaurer des mesures de cntrôle cmpensatires. Peut/peuvent : L exigence n est en fait qu une recmmandatin, u une liste d exemples qui ne se veut pas exhaustive. Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 3

7 Plitique 1. Principes Utilisatin acceptable des dnnées et des technlgies de l infrmatin 1.1. Les respnsables de la [slutin DSE] et les dépsitaires de renseignements sur la santé divent définir les exigences en matière d utilisatin acceptable des dnnées et des technlgies de l infrmatin que divent respecter les mandataires et les furnisseurs de services électrniques de la [slutin DSE], ainsi que les dépsitaires de renseignements sur la santé, leurs mandataires et leurs furnisseurs de services électrniques ayant accès à la [slutin DSE]. Cnsultez à ce sujet la Plitique d utilisatin acceptable des dnnées et des technlgies de l infrmatin. Frmatin sur la sécurité de l infrmatin 1.2. Les respnsables de la [slutin DSE] et les dépsitaires de renseignements sur la santé divent favriser une culture de sécurité de l infrmatin. Pur ce faire, ils peuvent mettre en œuvre un prgramme de sensibilisatin et d éducatin destiné à aider tus les utilisateurs de la [slutin DSE] à cmprendre leurs bligatins dans ce dmaine. Cnsultez à ce sujet la Privacy and Security Training Plicy. Gestin des risques Cryptgraphie 1.3. Les respnsables de la [slutin DSE] divent évaluer les risques assciés à la sécurité de l infrmatin pur la [slutin DSE], en faire un suivi, et les atténuer u les accepter fficiellement Les dépsitaires de renseignements sur la santé devraient évaluer les risques assciés à la sécurité de l infrmatin pur les services d identificatin et les indicateurs de résultat de dnnées de cntributin. Cnsultez à ce sujet la Plitique sur la gestin du risque (en anglais) Les respnsables de la [slutin DSE] divent chiffrer la slutin de cnnexin pur prtéger la cnfidentialité et l intégrité des renseignements persnnels sur la santé, le cas échéant, et vérifier l identité des auteurs des cmmunicatins Les dépsitaires de renseignements sur la santé divent chiffrer leurs systèmes d infrmatin pertinents pur prtéger la cnfidentialité et l intégrité des renseignements persnnels sur la santé accessibles par l intermédiaire de la [slutin DSE]. Cnsultez à ce sujet la Plitique sur la cryptgraphie (en anglais). Gestin de l infrmatin et des biens Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 4

8 1.7. Les respnsables de la [slutin DSE] divent catégriser et définir les exigences en matière de prtectin des renseignements persnnels sur la santé se truvant dans la [slutin DSE] de manière à prtéger la cnfidentialité, l intégrité et la dispnibilité de ces dnnées en frmat papier et électrnique tut au lng de leur cycle de vie. Cnsultez à ce sujet la Plitique sur la gestin des incidents en lien avec la sécurité (en anglais). Cntrôle d accès et gestin de l identité pur l accès au niveau du système 1.8. Les respnsables de la [slutin DSE] et les dépsitaires de renseignements sur la santé divent instaurer des mesures de cntrôle apprpriées pur gérer l accès et l identité des utilisateurs et des systèmes d infrmatin qui se cnnectent à la [slutin DSE]. Ces mesures de cntrôle divent permettre : de définir les respnsabilités relatives à la sécurité de l infrmatin de tus les utilisateurs de la [slutin DSE]; de veiller à ce que seules les persnnes autrisées aient accès à la [slutin DSE] et d assurer la respnsabilisatin individuelle; de veiller à ce que seuls les systèmes d infrmatin autrisés aient accès à la [slutin DSE]; de furnir aux utilisateurs u aux systèmes d infrmatin autrisés seulement les drits nécessaires à l exécutin de leurs tâches, sans leur dnner la pssibilité d utrepasser leurs puvirs. Cnsultez à ce sujet la Plitique de cntrôle des accès et de gestin de l identité pur l accès au niveau du système (en anglais). Jurnalisatin et surveillance 1.9. Les respnsables de la [slutin DSE] divent cnsigner et surveiller tus les accès à la [slutin DSE], ainsi que les activités des systèmes d infrmatin dans la slutin Les dépsitaires de renseignements sur la santé divent cnsigner et surveiller tus leurs accès au Prtail de la [slutin DSE] pur les furnisseurs et ceux de leurs mandataires u furnisseurs de services électrniques, ainsi que les pints d accès aux dnnées de cntributin. Cnsultez à ce sujet la Plitique sur la cnsignatin et la vérificatin des dnnées liées à la sécurité (en anglais). Réseau et fnctinnement Les respnsables de la [slutin DSE] divent mettre en place des mesures de cntrôle pur sécuriser leur infrastructure réseau et établir des prcédures pur sécuriser la gestin et le fnctinnement cntinus de la [slutin DSE] Les dépsitaires de renseignements sur la santé divent mettre en place des mesures de cntrôle pur sécuriser leur infrastructure réseau et établir des prcédures pur sécuriser la gestin et le fnctinnement cntinus des services d identificatin et des pints d accès aux dnnées de cntributin. Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 5

9 Cnsultez à ce sujet la Plitique sur le réseau et sn explitatin (en anglais). Cycle de dévelppement de système Les respnsables de la [slutin DSE] divent définir les exigences au chapitre du dévelppement de systèmes d infrmatin et de la gestin du changement, et veiller à ce que les activités de dévelppement visant la [slutin DSE] sient cnfrmes à ces exigences Les dépsitaires de renseignements sur la santé devraient définir les exigences au chapitre du dévelppement de systèmes d infrmatin et de la gestin du changement, et veiller à ce que les activités de dévelppement visant les services d identificatin et les pints d accès aux dnnées de cntributin sient cnfrmes à ces exigences. Cnsultez à ce sujet la Plitique sur le cycle de vie du dévelppement d un système (en anglais). Furnisseurs de services électrniques Les respnsables de la [slutin DSE] divent vérifier si les furnisseurs de services électrniques qui aurnt accès à la slutin, u qui gèrent u sutiennent cette slutin, dispsent de mesures de cntrôle adéquates en matière de sécurité de l infrmatin pur préserver la cnfidentialité, l intégrité et la dispnibilité des renseignements Les dépsitaires de renseignements sur la santé divent vérifier si les furnisseurs de services électrniques qui aurnt accès aux services d identificatin u aux pints d accès aux dnnées de cntributin, u qui gèrent u sutiennent ces systèmes, dispsent de mesures de cntrôle adéquates en matière de sécurité de l infrmatin pur préserver la cnfidentialité, l intégrité et la dispnibilité des renseignements. Cnsultez à ce sujet la Plitique sur les furnisseurs de services électrniques (en anglais). Sécurité physique Les respnsables de la [slutin DSE] divent mettre en place des mesures de cntrôle visant à prtéger la [slutin DSE] cntre les risques d accès physique nn autrisé et de dmmages à l envirnnement Les dépsitaires de renseignements sur la santé divent mettre en place des mesures de cntrôle visant à prtéger les services d identificatin et les pints d accès aux dnnées de cntributin cntre les risques d accès physique nn autrisé et de dmmages à l envirnnement. Cnsultez à ce sujet la Plitique sur la sécurité physique (en anglais). Cntinuité des activités Les respnsables de la [slutin DSE] divent instaurer les prcédures requises pur veiller à ce que la [slutin DSE] : demeure accessible, en particulier en cas de catastrphe; puisse être récupéré en cas de perturbatin du fnctinnement. Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 6

10 1.20. Les dépsitaires de renseignements sur la santé devraient élabrer des plans de cntinuité des activités pur veiller à ce que les services d identificatin et les pints d accès aux dnnées de cntributin : demeurent accessibles, en particulier en cas de catastrphe; puisse être récupéré en cas de perturbatin du fnctinnement. Cnsultez à ce sujet la Plitique sur la cntinuité des activités (en anglais). Gestin des incidents liés à la sécurité de l infrmatin Les respnsables de la [slutin DSE] et les dépsitaires de renseignements sur la santé divent mettre en place un prcessus de gestin visant à déceler et à régler rapidement et efficacement les prblèmes relatifs à la sécurité de la [slutin DSE] u de l infrmatin de la [slutin DSE], et ce, tut en réduisant leur incidence et les risques que la situatin se reprduise. Cnsultez à ce sujet la Plitique sur la gestin des incidents en lien avec la sécurité (en anglais). Assurance de prtectin de la vie privée et de sécurité Les dépsitaires de renseignements sur la santé divent cerner et atténuer les risques en matière de prtectin de la vie privée et de sécurité, ainsi que les cas de nn-cnfrmité relatifs à la [slutin DSE], ntamment au myen d autévaluatins de l état de préparatin à la prtectin de la vie privée et à la sécurité, et de mesures d audit, de cntrôle et d assurance de la cnfrmité des mandataires et des furnisseurs de services électrniques Les respnsables de la [slutin DSE] divent cerner et atténuer les risques en matière de prtectin de la vie privée et de sécurité, ainsi que les cas de nn-cnfrmité relatifs à la [slutin DSE], ntamment au myen d évaluatins d incidence sur la prtectin de la vie privée, d évaluatins de risque, d autévaluatins de l état de préparatin à la prtectin de la vie privée et à la sécurité, d autévaluatins des activités pératinnelles de prtectin de la vie privée et de sécurité, et de mesures d audit, de cntrôle et d assurance de la cnfrmité des mandataires, des furnisseurs de services électrniques et des tierces parties. Cnsultez à ce sujet la Privacy and Security Harmnized Assurance Plicy (en anglais). 2. Dérgatins aux exigences en matière de sécurité de l infrmatin 2.1. Les exigences snt bligatires pur tus. Tute dérgatin à une exigence énncée dans les plitiques, les nrmes u les dcuments à l appui relatifs à la sécurité de l infrmatin de la [slutin DSE] dit être appruvée par le Cmité directeur Les demandes de dérgatin aux exigences en matière de sécurité de l infrmatin divent être évaluées par l Équipe des pératins en matière de prtectin de la vie privée et de sécurité, puis par le Cmité de prtectin de la vie privée et de sécurité, qui recmmandera leur apprbatin u leur rejet. Enfin, elles sernt sumises à l apprbatin du Cmité directeur. Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 7

11 2.3. Les respnsables de la [slutin DSE] divent cnsigner tutes les demandes de dérgatin aux exigences en matière de sécurité de l infrmatin Les dérgatins peuvent être de n imprte quelle durée. Cependant, l Équipe des pératins en matière de prtectin de la vie privée et de sécurité dit les examiner au mins tus les deux ans pur vérifier si le niveau de risque s est accru u si de nuveaux risques snt apparus. Si c est le cas, la dérgatin dit alrs être sumise de nuveau à l apprbatin du Cmité directeur Le Cmité de prtectin de la vie privée et de sécurité a le drit d annuler les dérgatins aux exigences en matière de sécurité de l infrmatin. Il dit tutefis accrder au mins six mis aux dépsitaires de renseignements sur la santé pur leur laisser le temps de se cnfrmer à la plitique. Cnsultez à ce sujet l Annexe A : Demandes de dérgatin aux exigences en matière de sécurité de l infrmatin. 3. Rôles et respnsabilités Cmité de prtectin de la vie privée et de sécurité Cmité directeur 3.1. Le Cmité de prtectin de la vie privée et de sécurité dit : passer en revue, cmmenter et entériner tutes les plitiques liées à la sécurité de l infrmatin de la [slutin DSE]; recmmander l apprbatin u le rejet des demandes de dérgatin aux exigences en matière de sécurité de l infrmatin Le Cmité directeur dit : appruver les plitiques relatives à la sécurité de l infrmatin; appruver u rejeter les demandes de dérgatin aux exigences en matière de sécurité de l infrmatin; le cas échéant, tenir les mandataires de la [slutin DSE], les furnisseurs de services électrniques et les dépsitaires de renseignements sur la santé respnsables de l accès inapprprié u nn autrisé à la [slutin DSE], aux renseignements persnnels sur la santé u à l infrmatin assciée à la [slutin DSE], ainsi que de la cllecte, de l utilisatin, de la divulgatin, de la mdificatin et du bruillage inapprpriés u nn autrisés des renseignements persnnels sur la santé u de l infrmatin assciée à la [slutin DSE]. Équipe des pératins en matière de prtectin de la vie privée et de sécurité 3.3. L Équipe des pératins en matière de prtectin de la vie privée et de sécurité dit : Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 8

12 furnir du leadership et de l rientatin en matière de sécurité de l infrmatin aux dépsitaires de renseignements sur la santé; élabrer, mettre en œuvre et tenir à jur un prgramme de sécurité de l infrmatin qui établira des mesures de gestin, des stratégies et un cadre stratégique pur les dépsitaires de renseignements sur la santé et les furnisseurs de services externes; créer, instaurer et tenir à jur des plitiques, des nrmes et des dcuments à l appui qui permettent de sutenir et de dévelpper les principes énncés dans la présente plitique; ffrir de l rientatin aux dépsitaires de renseignements sur la santé cncernant la frmatin et les activités de sensibilisatin relatives à la sécurité de l infrmatin; surveiller les mesures de sécurité de l infrmatin, les incidents dans ce dmaine et l état et l efficacité du prgramme cnnexe, les signaler au Cmité de prtectin de la vie privée et de sécurité et lui recmmander des mesures u des améliratins; examiner les dérgatins aux plitiques de sécurité de l infrmatin et présenter des recmmandatins à ce sujet au Cmité de prtectin de la vie privée et de sécurité et au Cmité directeur. Dépsitaires de renseignements sur la santé 3.4. Tus les dépsitaires de renseignements sur la santé divent : élabrer, mettre en œuvre et tenir à jur une plitique de sécurité de l infrmatin pur leur rganisme, laquelle appuie les principes énncés dans la présente plitique et les autres plitiques, nrmes et dcuments à l appui applicables dans ce dmaine; nmmer un respnsable de la sécurité de l infrmatin qui aura pur mandat d assurer le respect des principes définis dans la présente plitique. Ce respnsable peut être la persnneressurce nmmée cnfrmément à l article 15 de la Li de 2004 sur la prtectin des renseignements persnnels sur la santé (LPRPS), u la persnne-ressurce de l établissement indiquée dans l accrd de participatin; infrmer adéquatement les mandataires et les furnisseurs de services électrniques ayant accès aux services de la [slutin DSE] de leurs respnsabilités en matière de sécurité de l infrmatin; faire signer un cntrat d utilisateur final cmprenant des clauses de cnfidentialité aux mandataires et aux furnisseurs de services électrniques avant de leur dnner accès à la [slutin DSE]; tenir les mandataires et les furnisseurs de services électrniques respnsables de l accès inapprprié u nn autrisé à la [slutin DSE] u aux renseignements, ainsi que de la cllecte, de l utilisatin, de la divulgatin, de l éliminatin, de la mdificatin et du bruillage inapprpriés u nn autrisés des renseignements; Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 9

13 Dérgatins Tute dérgatin à la présente plitique dit être appruvée par le Cmité directeur de la [slutin DSE], qui l autrisera seulement si elle est clairement justifiée et n a que la prtée nécessaire pur satisfaire le besin. Vir l Annexe A : Demandes de dérgatin aux exigences en matière de sécurité de l infrmatin de la présente Plitique de sécurité de l infrmatin. Applicatin Tus les cas de nn-cnfrmité divent être examinés par le Cmité de prtectin de la vie privée et de sécurité, lequel purra recmmander des mesures apprpriées au Cmité directeur de la [slutin DSE]. Le Cmité directeur de la [slutin DSE] a le puvir d impser des sanctins, allant jusqu à la révcatin du privilège d accès des mandataires u de l accrd de participatin cnclu avec les dépsitaires de renseignements sur la santé u les furnisseurs de services électrniques, ainsi que des mesures crrectives. Dcuments liés au dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin Plitique d utilisatin acceptable des dnnées et des technlgies de l infrmatin Plitique de cntrôle des accès et de gestin de l identité pur l accès au niveau du système (en anglais) Plitique sur les pratiques d inscriptin des autrités lcales d enregistrement (en anglais) Plitique et nrmes de cybersanté Ontari au sujet des prestataires qui assurent la gestin fédérée de l identité (en anglais) Plitique sur la cntinuité des activités (en anglais) Plitique sur la cryptgraphie (en anglais) Plitique sur les furnisseurs de services électrniques (en anglais) Plitique sur la gestin des incidents en lien avec la sécurité (en anglais) Plitique sur la gestin des actifs et de l infrmatin (en anglais) Plitique sur le réseau et sn explitatin (en anglais) Plitique sur la cnsignatin et la vérificatin des dnnées liées à la sécurité (en anglais) Plitique sur le cycle de vie du dévelppement d un système (en anglais) Plitique sur la sécurité physique (en anglais) Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 10

14 Plitique sur la gestin du risque (en anglais) Harmnized Privacy Prtectin Plicies (en anglais) Infrute Santé du Canada Infrute Santé du Canada, Dssier de santé électrnique (DSE) Exigences en matière de prtectin de la cnfidentialité et de sécurité (versin 1.1, révisée le 7 février 2005) Autre référence Cmmissaire à l infrmatin et à la prtectin de la vie privée de l Ontari, Directives cncernant la sécurité des transmissins par télécpieur (janvier 2003) Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 11

15 Annexe A : Demandes de dérgatin aux exigences en matière de sécurité de l infrmatin Étape Respnsabilité Descriptin 1 Mandataire u furnisseur de services électrniques de la [slutin DSE] - OU Remplir la sectin 1 du Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin et envyer le frmulaire à l Équipe des pératins en matière de prtectin de la vie privée et de sécurité. Dépsitaire de renseignements sur la santé, sn mandataire u sn furnisseur de services électrniques («demandeur») 2 Équipe des pératins en matière de prtectin de la vie privée et de sécurité 3 Cmité de prtectin de la vie privée et de sécurité Étudier le cntenu du Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin et remplir la sectin 2 1. Envyer le frmulaire au Cmité de prtectin de la vie privée et de sécurité. Examiner la demande et recmmander l une des ptins suivantes : Appruver la demande. Appruver la demande sus certaines cnditins. Rejeter la demande. 4 Cmité directeur Examiner la demande et prendre l une des mesures suivantes : Appruver la demande. Appruver la demande sus certaines cnditins. Rejeter la demande. 1 Cette sectin est remplie en cnsultatin avec le demandeur; il s agit habituellement d un prcessus cyclique. Par exemple, une fis que l Équipe des pératins en matière de prtectin de la vie privée et de sécurité a cnsulté le demandeur, ce dernier peut cnsentir à adpter d autres mesures de cntrôle cmpensatires. Le frmulaire sera alrs mis à jur, et les risques résiduels purraient être réduits. Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 12

16 5 Équipe des pératins en matière de prtectin de la vie privée et de sécurité Cnsigner la décisin du Cmité directeur. Infrmer le demandeur de la décisin du Cmité directeur et envyer au dépsitaire de renseignements sur la santé une cpie du Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin. Stcker le Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin. Vici le prcessus de révisin et, s il y a lieu, de réapprbatin des dérgatins aux exigences en matière de sécurité de l infrmatin appruvées initialement pur plus de deux ans. Étape Respnsabilité Descriptin 1 Équipe des pératins en matière de prtectin de la vie privée et de sécurité Passer en revue le Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin appruvé pur déterminer si le niveau de risque établi dit être mdifié. S il n y a pas de nuveaux risques et que le niveau de risque ne s est pas accru : Mettre à jur le registre des demandes de dérgatin aux exigences en matière de sécurité de l infrmatin pur signaler qu un examen a été réalisé, mais qu il n y avait pas de nuveaux risques et que le niveau de risque initial n avait pas augmenté. Aviser le demandeur du renuvellement de la dérgatin. Cnsigner le renuvellement. (Le prcessus se termine ici.) Si de nuveaux risques nt été décelés u que le niveau de risque initial s est accru : L Équipe des pératins en matière en matière de prtectin de la vie privée et de sécurité met à jur le Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin et infrme le demandeur de la mdificatin du risque évalué. 2 Demandeur Examiner le frmulaire mis à jur et y inscrire tute mesure de cntrôle cmpensatire instaurée u qui le sera pur gérer les risques supplémentaires u accrus. 3 Équipe des pératins en matière de prtectin de la vie privée et de sécurité Passer en revue le frmulaire mis à jur et ajuster l évaluatin de risques résiduels s il y a lieu. Envyer le frmulaire au Cmité de prtectin de la vie privée et de sécurité. 4 Cmité de prtectin de la vie Examiner la demande et recmmander l une des ptins suivantes : Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 13

17 privée et de sécurité Appruver la demande. Appruver la demande sus certaines cnditins. Rejeter la demande. 5 Cmité directeur Examiner la demande et prendre l une des mesures suivantes : Renuveler la dérgatin. Renuveler la dérgatin sus certaines cnditins. Annuler la dérgatin. 6 Équipe des pératins en matière de prtectin de la vie privée et de sécurité Cnsigner la décisin du Cmité directeur. Infrmer le demandeur de la décisin du Cmité directeur et envyer au dépsitaire de renseignements sur la santé une cpie du Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin. Stcker le Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin. Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 14

18 Frmulaire de demande de dérgatin aux exigences en matière de sécurité de l infrmatin Remplissez ce frmulaire pur demander une dérgatin aux exigences en matière de sécurité de l infrmatin. Instructins 1. Remplissez tus les champs seln les indicatins. Les champs bligatires snt marqués d un astérisque (*). Le frmulaire vus sera returné s il n est pas cmplet. Indiquez «Ne s applique pas» u «S.O.» si un champ ne s applique pas. 2. Une fis le frmulaire dûment rempli, veuillez l envyer par curriel à l Équipe des pératins en matière de prtectin de la vie privée et de sécurité. 3. Si vus avez des questins cncernant le présent frmulaire, veuillez cmmuniquer avec le crdnnateur de la [slutin DSE] de l établissement u l Équipe des pératins en matière de prtectin de la vie privée et de sécurité. ASTUCES POUR REMPLIR LE FORMULAIRE : λ À l uverture du frmulaire, le pinteur se truvera dans le premier champ. Cmmencez à entrer les renseignements. λ Servez-vus de la tuche de tabulatin de vtre clavier pur passer au champ suivant. λ Pur revenir au champ précédent, utilisez les tuches SHIFT et de tabulatin. λ Cliquez sur le butn gauche de la suris pur ccher des cases. SECTION 1 : Demande (à remplir par le demandeur) Prénm* Renseignements sur le demandeur Nm de famille* Titre* (p. ex., directeur général, directeur de l infrmatique) Téléphne au travail* (indiquer le pste) ( ) Adresse de curriel au travail* Nm de l rganisme, de l établissement u de l hôpital (p. ex., Hôpital ABC) Nm de la plitique, de la nrme u du dcument à l appui ù se truvent les exigences visées par la demande de dérgatin* : Numér de la u des exigences* : Exigence(s)* : Mtif(s) du nn-respect de ces exigences* : Liste des systèmes d infrmatin u des technlgies de l infrmatin qui sernt visés par la dérgatin* : Nature et degré de cnfidentialité des dnnées cncernées* : Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 15

19 Plan prpsé pur la gestin u l atténuatin des risques assciés au nn-respect des exigences u liste des mesures de cntrôle cmpensatires mises en place* : Durée prévue de la dérgatin* : Renseignements supplémentaires : Apprbatin à l interne (p. ex., directeur de l infrmatique du dépsitaire de renseignements sur la santé) : Veuillez inscrire le nm cmplet de l apprbateur et sn titre (p. ex., Jhn Smith, directeur de l infrmatin) et jindre un curriel de l apprbateur lrsque vus enverrez le frmulaire par curriel aux respnsables de la [slutin DSE]. SECTION 2 : Évaluatin (à remplir par l Équipe des pératins en matière de prtectin de la vie privée et de sécurité) Prénm* Renseignements sur le vérificateur de la [slutin DSE] Nm de famille* Titre* (p. ex., analyste de la sécurité) Numér au travail* (indiquer le pste) ( ) Descriptin des risques pur la [slutin DSE] u la slutin de cnnexin* Adresse de curriel au travail* Niveau de risque résiduel* (p. ex., élevé, mdéré u faible) Recmmandatin de l Équipe des pératins en matière de prtectin de la vie privée et de sécurité* (N. B. : Vici les ptins pssibles : 1) appruver la demande telle quelle, 2) appruver la demande sus certaines cnditins (énumérer les cnditins), OU 3) rejeter la demande.) SECTION 3 : Apprbatin (à remplir par l Équipe des pératins en matière de prtectin de la vie privée et de sécurité) Apprbatin de la recmmandatin du Cmité de prtectin de la vie privée et de sécurité* (N. B. : Vici les ptins pssibles : 1) appruver la demande telle quelle, 2) appruver la demande sus certaines cnditins (énumérer les cnditins), OU 3) rejeter la demande.) Preuve d apprbatin* Preuve d apprbatin* (Un curriel du président du Cmité de prtectin de la vie privée et de sécurité u une cpie du prcès-verbal est une preuve acceptable. Veuillez jindre la preuve dans l espace ci-dessus [p. ex., en insérant un fichier.msg u un fichier PDF dans le dcument en tant qu bjet]. N. B. : Pur ce faire, vus devez d abrd déverruiller le fichier du frmulaire.) SECTION 4 : Décisin (à remplir par l Équipe des pératins en matière de prtectin de la vie privée et de Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 16

20 sécurité) Décisin du Cmité directeur* Date d apprbatin* (N. B. : Vici les ptins pssibles : 1) appruver la demande telle quelle, 2) appruver la demande sus certaines cnditins (énumérer les cnditins), OU 3) rejeter la demande.) Preuve de la décisin* (Un curriel du président du Cmité directeur u une cpie du prcès-verbal est une preuve acceptable. Veuillez jindre la preuve dans l espace ci-dessus [p. ex., en insérant un fichier.msg u PDF dans le dcument en tant qu bjet]. N. B. Pur ce faire, vus devez d abrd déverruiller le fichier du frmulaire.) Plitique sur le dssier de santé électrnique de cybersanté Ontari Plitique de sécurité de l infrmatin 17