Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

Transcription

1 Code : CA Page 1 de 14 DOCUMENT DE GESTION Type de document : Politique Révision prévue : 2008 Adopté par : Conseil d'administration du CSSSNL Document(s) remplacé(s) : Adopté le : 28 mars 2007 Entré en vigueur le : 28 mars 2007 Révisé le : Politique administrative relative à la sécurité des actifs informationnels et de télécommunication et à la protection des données et des renseignements confidentiels du CLSC de Joliette Politique administrative relative à la sécurité des actifs informationnels et de télécommunication et à la protection des données et des renseignements confidentiels du CLSC d'autray Sécurité de l'information électronique (Matawinie) Politique sur la sécurité des systèmes informationnels (Matawinie) Politique sur la sécurité des actifs informationnels CHRDL Direction émettrice : Direction Générale Responsable(s) de son application : Direction Générale Destinataire(s) : Tous les intervenants du CSSSNL Lieu d application : Partout Règlement(s), politique(s) et procédure(s) associé(es) : Politique d'accès à l'information et protection des renseignements personnels Procédure d'escalade en gestion des incidents de sécurité Procédure sur l'utilisation de l'interurbain Procédure sur l'utilisation du télécopieur Procédure d utilisation du système informatique Procédure d'utilisation du courrier électronique Procédure d'utilisation d'internet en milieu de travail Procédure d utilisation du Télé Accès Procédure de partage des banques de données Procédure d octroi de profil d accès à l information clinique Procédure d octroi de profil d accès à l information concernant les ressources humaines Procédure d octroi de profil d accès à l information financière. Autres documents de gestion pour lesquels cette politique servira de référence.

2 Page 2 de ÉNONCÉ DE PRINCIPE Le Centre de santé et de services sociaux du Nord de Lanaudière (CSSSNL) reconnaît que l'information est essentielle à ses opérations courantes et de ce fait, qu'elle doit faire l'objet d'une évaluation, d'une utilisation appropriée et d'une protection adéquate. Le ministère de la Santé et des Services sociaux a élaboré un Cadre global de la sécurité des actifs informationnels auquel tous les organismes doivent se conformer. Cette politique vise à assurer la sécurité des actifs informationnels du CSSSNL en s'appuyant sur le cadre législatif et les directives du réseau de la santé et des services sociaux. 1.1 Principes généraux Toute personne au sein du CSSSNL ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès de la Direction Générale. La mise en œuvre et la gestion de la sécurité reposent sur une approche globale et intégrée. Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et technologiques, et demande, à cet égard, la mise en place d un ensemble de mesures coordonnées. Les mesures de protection, de prévention, de détection et de correction doivent permettre d'assurer la confidentialité, l intégrité, la disponibilité, l'authentification et l'irrévocabilité des actifs informationnels de même que la continuité des activités. Elles doivent notamment empêcher les accidents, l'erreur, la malveillance ou la destruction d information sans autorisation. Les mesures de protection des actifs informationnels doivent permettre de respecter les prescriptions du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux Volet sur la sécurité, de même que les lois existantes en matière d accès, de diffusion et de transmission d information et les obligations contractuelles du CSSSNL de même que l application des règles de gestion interne. Les actifs informationnels du CSSSNL sont réservés exclusivement à un usage purement professionnel. Ces actifs sont mis à la disposition des utilisateurs pour l'exécution de leurs tâches. Aucun utilisateur ne devrait, dans le cours de l'exécution d'une tâche pour le compte du CSSSNL, utiliser ou espérer utiliser à des fins personnelles les actifs informationnels du CSSSNL.

3 Page 3 de Organisation de la sécurité Des procédures et mesures de sécurité doivent être élaborées et mises en place afin d assurer une sécurisation appropriée des actifs et de respecter les énoncés de la présente politique. Les actifs informationnels doivent faire l objet d une identification, d'un inventaire et d'une catégorisation. Une évaluation périodique des risques et des mesures de protection des actifs informationnels doit être effectuée afin d obtenir l assurance qu il y a adéquation entre les risques, les menaces et les mesures de protection déployées. La gestion de la sécurité de l information doit être incluse et appliquée tout au long du processus menant à l acquisition, au développement, à l utilisation, au remplacement ou à la destruction d un actif informationnel par ou pour le CSSSNL. Un programme continu de sensibilisation et de formation à la sécurité des actifs informationnels doit être mis en place à l intention des intervenants du CSSSNL. Les intervenants doivent recevoir la formation relative à la sécurité des actifs informationnels du CSSSNL et doivent s'engager à respecter la politique, ses procédures et mesures par voie de signature du formulaire d'engagement. 1.3 Sécurité logique et exploitation L'accès aux renseignements personnels par les intervenants du CSSSNL doit être autorisé et contrôlé de manière à respecter la politique portant sur l'accès à l information et protection des renseignements personnels en vigueur au CSSSNL. Les renseignements personnels ne doivent être utilisés et ne servir qu aux fins pour lesquels ils ont été recueillis ou obtenus. Le principe du «droit d accès minimal» est appliqué en tout temps lors de l attribution d accès aux informations. Les accès aux actifs informationnels sont attribués à l utilisateur autorisé en fonction de ce qui lui est strictement nécessaire pour l exécution des tâches reliées à l'exercice de ses fonctions. Tout utilisateur peut uniquement employer les codes d accès (mots de passe ou autres mécanismes d authentification) pour lesquels il a obtenu l autorisation. Il doit protéger et ne pas partager ses codes d accès, car ils sont confidentiels. Il est responsable de toutes les actions posées par une autre personne en possession de ses codes d accès, suite à une négligence de sa part.

4 Page 4 de 14 Tout ajout, suppression, modification ou mise à jour à un actif informationnel (matériel, logiciel, système d exploitation ou autres) du CSSSNL doit respecter les procédures, mesures de sécurité ainsi que les standards généralement reconnus. De plus, ces modifications doivent être coordonnées et réalisées par l équipe des ressources informationnelles ou une entité autorisée par le CSSSNL. 1.4 Sécurité physique Tout actif informationnel, serveur, équipement central (unité de disque et de sauvegarde), équipement de télécommunication, etc. doit être protégé par des mécanismes selon les procédures et mesures de sécurité du CSSSNL, et ce, en fonction de la catégorisation de cet actif. Tout raccordement ou débranchement au réseau doit être effectué par une personne autorisée par le CSSSNL et doit suivre les procédures et mesures appropriées. Tout utilisateur d un équipement portatif approuvé et conforme est autorisé à raccorder ou débrancher son équipement portatif au réseau. Tous les locaux contenant des actifs informationnels sensibles doivent être protégés par des mécanismes, notamment au niveau de l accès physique. La protection des installations informatiques organisationnelles relève exclusivement de la Direction des ressources informationnelles. A cet effet, ce dernier doit instaurer des mesures de contrôle et de sécurité appropriées pour protéger adéquatement les installations sous sa responsabilité. Parallèlement, la protection des autres équipements informatiques et bio médicaux incombe aux services qui en sont les utilisateurs. Ceux-ci doivent mettre en place les mesures de contrôle et de sécurité appropriées pour protéger adéquatement les actifs informationnels qu'elles utilisent. 1.5 Confidentialité et propriété intellectuelle Conformément à la Loi sur les services de santé et les services sociaux ainsi qu à la Loi sur l accès aux documents des organismes publics et sur la protection des renseignements personnels, tout renseignement nominatif relatif aux personnes, contenu dans quelque élément des actifs informationnels du CSSSNL est confidentiel. Les renseignements personnels ou confidentiels ne doivent être utilisés et ne servir qu aux fins pour lesquelles ils ont été recueillis ou obtenus. Personne ne doit, autrement que dans le cadre de ses fonctions, consulter, divulguer, modifier, détruire ou rendre accessible aux tiers une information confidentielle. L accès aux informations confidentielles doit être contrôlé par des mesures de sécurité adéquates, notamment par des mesures d'authentification.

5 Page 5 de 14 Toute information générée par les utilisateurs est la propriété exclusive du CSSSNL. Toute information qui circule ou réside sur quelque actif informationnel du CSSSNL et qui n'a pas été spécifiquement identifiée comme étant la propriété exclusive d'une tierce partie est réputée appartenir au CSSSNL. Le CSSSNL protège adéquatement toute information qui lui est confiée par une tierce partie ainsi que ses marques de commerce et autres biens couverts par les lois appropriées en matière de propriété intellectuelle. La «Loi concernant le droit d auteur» doit être respectée. Les reproductions de logiciels, de progiciels, de marques de commerce ou d'objets numérisés ne sont autorisées qu'à des fins de copies de sauvegarde et selon les termes des licences d'utilisation qui les régissent. 1.6 Continuité et copie de sécurité Les actifs informationnels catégorisés critiques se doivent d être adéquatement protégés et être couverts par un plan de relève ou de continuité fonctionnel. Toute donnée d un actif informationnel jugée importante ou confidentielle doit être sauvegardée selon la procédure définie par le CSSSNL. Un plan de sauvegarde et de récupération des données doit être mis en place. Toute information contenue sur les actifs informationnels du CSSSNL qui n est plus utile doit être détruite selon les procédures et/ou le calendrier de conservation du CSSSNL en vertu des lois et règlements applicables. Le CSSSNL doit disposer de mesures d'urgence consignées par écrit et éprouvées pour assurer la remise en opération des systèmes d'information institutionnels essentiels en cas de panne majeure. Tout service responsable de la tenue ou de la mise à jour d'un système d'information institutionnel doit disposer de mesures de secours afin d'assurer les services essentiels en cas de panne majeure locale. 1.7 Relations avec les tiers Les ententes et contrats dont le CSSSNL fait partie doivent contenir des dispositions garantissant le respect des exigences en matière de sécurité et de protection de l information. Tout fournisseur de services ou tiers qui doit accéder au réseau informatique ou aux actifs informationnels du CSSSNL devra s engager à respecter la présente politique, les procédures et les mesures de sécurité du CSSSNL.

6 Page 6 de OBJECTIFS La politique vise à assurer le respect de la législation à l'égard de l'usage et du traitement de l'information et de l'utilisation des technologies de l'information, des télécommunications et des équipements bio médicaux. Plus spécifiquement, les objectifs du CSSSNL en matière de sécurité des actifs informationnels sont : D assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l utilisation des actifs informationnels. D assurer le respect de la vie privée des individus, notamment, la confidentialité des renseignements à caractère nominatif relatifs aux utilisateurs et aux intervenants. D assurer la conformité aux lois et règlements applicables ainsi que les directives, normes et orientations gouvernementales. 3. DÉFINITIONS Dans ce document, on entend par : Accident: une action ou une situation survenue au cours de la prestation de services à un usager où le risque se réalise et qui est ou pourrait être à l origine de conséquences sur l état de santé ou le bien-être de cet usager. Actif informationnel : une banque d information électronique, un système d information, un réseau de télécommunication, une technologie de l information, une installation ou un ensemble de ces éléments; un équipement spécialisé ou ultra-spécialisé peut comporter des composantes qui font partie des actifs informationnels, notamment lorsqu il est relié de façon électronique à des actifs informationnels. [Source : Loi sur les services de santé et services sociaux]. S ajoutent, dans la présente politique, les documents imprimés générés par les technologies de l information et les boîtes vocales du système téléphonique. Cadre global de gestion sur la sécurité des actifs informationnels du RSSS: un ensemble de documents encadrant la sécurité et comprenant la politique nationale sur la sécurité, les rôles et les responsabilités des intervenants en matière de sécurité, les normes en matière de sécurité des actifs informationnels et le guide opérationnel. Confidentialité : propriété que possède une donnée ou une information dont la divulgation, la prise de connaissance et l'utilisation sont réservées à des personnes ou entités désignées et autorisées. [Source : Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux Volet sur la sécurité, MSSS, Septembre 2002]. Cycle de vie de l'information: La période de temps couvrant toutes les étapes d'existence de l'information dont celles de la définition, de la création, de l'enregistrement, du traitement, de la diffusion, de la conservation et de la destruction de cette information.

7 Page 7 de 14 Détenteur: une personne à qui, par délégation du directeur général, est assignée la responsabilité d'assurer la sécurité d'un ou de plusieurs actifs informationnels qu'ils soient détenus par le directeur général ou par un tiers mandaté. Disponibilité : propriété qu ont les données, l information et les systèmes d information et de communication d être accessibles et utilisables en temps voulu et de la manière requise par une personne autorisée. [Source : Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux Volet sur la sécurité, MSSS, Septembre 2002]. Document : un document est constitué d'information portée par un support. L'information y est délimitée et structurée, de façon tangible ou logique selon le support qui la porte, et elle est intelligible sous forme de mots, de sons ou d'images. L'information peut être rendue au moyen de tout mode d'écriture, y compris d'un système de symboles transcriptibles sous l'une de ces formes ou en un autre système de symboles. Incident: une action ou une situation qui n'entraîne pas de conséquences sur l'état de santé ou le bien-être d'un usager, du personnel, d'un professionnel concerné ou d'un tiers mais dont le résultat est inhabituel et qui, en d'autres occasions, pourrait entraîner des conséquences. Intégrité : propriété que les données ou l information n ont pas été modifiées ou altérées de manière non autorisée. [Source : Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux Volet sur la sécurité, MSSS, Septembre 2002]. Irrévocabilité: propriété d'un acte d'être définitif et qui est clairement attribué à la personne qui l'a posé ou au dispositif avec lequel cet acte a été accompli. Politique de sécurité: Énoncé général émanant du conseil d'administration et indiquant la ligne de conduite adoptée relativement à la sécurité, à sa mise en œuvre et à sa gestion. Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu accessible qu aux personnes ou autres entités autorisées. [Source : Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux Volet sur la sécurité, MSSS, Septembre 2002]. Renseignement personnel: Dans un document, sont personnels les renseignements qui concernent une personne physique et qui permettent de l identifier. [Source : Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels]. RTSS: Réseau de télécommunication socio sanitaire. Technologie de l'information: Tout logiciel, matériel électronique ou combinaison de ces éléments utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer de l'information sous toute forme. Tiers: Toute personne ou organisme autre que ceux nommés dans la présente politique.

8 Page 8 de CONDITIONS ET LIMITES D'APPLICATION Cette politique concerne tout actif informationnel appartenant au CSSSNL, peu importe sa localisation ou tout autre actif informationnel ne lui appartenant pas mais utilisé dans ses locaux ainsi qu'à l ensemble des activités de collecte, d enregistrement, de traitement, de diffusion et de disposition des actifs informationnels du CSSSNL. D'autre part, la politique de sécurité de l'information électronique s'applique également à toute information traitée ou emmagasinée à l'aide d'équipements, de système ou autre moyen électronique dont le CSSSNL a besoin pour ses activités de gestion, de services et de recherche. 5. SÉQUENCE ET DESCRIPTION DES ACTIVITÉS Toute personne œuvrant pour le CSSSNL ou un tiers qui a accès à des données confidentielles et aux actifs informationnels, sous la responsabilité du CSSSNL, doit signer un formulaire d engagement au respect de la confidentialité et à la sécurité des actifs informationnels Par la signature de ce formulaire (en annexe), les intervenants s engagent à respecter la présente politique de même que la politique d accès à l information et protection des renseignements personnels. 6. RESPONSABILITÉS Le Conseil d'administration du CSSSNL Le conseil d'administration du CSSSNL a la responsabilité d'adopter la présente politique, de s'assurer de sa mise en œuvre et de faire le suivi de son application. La direction générale Le directeur général est le responsable de la sécurité des actifs informationnels au sein du CSSSNL. Il s'assure que les valeurs et les orientations en matière de sécurité soient partagées par l ensemble des gestionnaires et des intervenants du CSSSNL. À cette fin, il s assure de l application de la politique dans l organisation, apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et l application de la présente politique, exerce son pouvoir d enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire. Pour le représenter en cette matière dans l organisation et pour la réalisation de l ensemble des mesures précitées, il nomme un responsable de la sécurité des actifs informationnels.

9 Page 9 de 14 Le responsable de la sécurité des actifs informationnels (RSAI) À titre de représentant délégué du directeur général en matière de sécurité des actifs informationnels, le RSAI est une ressource de niveau cadre qui gère et coordonne la sécurité au sein du CSSSNL. Il doit donc harmoniser l action des divers acteurs dans l élaboration, la mise en place, le suivi et l évaluation de la sécurité des actifs informationnels. Cette responsabilité exige une vision globale de la sécurité au sein du CSSSNL. Le responsable de la sécurité des actifs informationnels veille à l élaboration et à l application de la politique sur la sécurité adoptée par le CSSSNL. Dans cette perspective, il collabore avec tous les gestionnaires. Plus précisément, le responsable de la sécurité des actifs informationnels du CSSSNL: o Élabore la politique sur la sécurité des actifs informationnels qui sera adoptée par le CSSSNL et soumet cette politique au comité de direction pour approbation. o Met en place et préside le comité de sécurité informationnelle. o Identifie, en collaboration avec les gestionnaires, les détenteurs d actifs informationnels dans leur secteur respectif. o S informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions et coordonne la mise en place de ces solutions. o Élabore et maintient à jour les mesures de sécurité qui décrivent les obligations découlant de la présente politique. Il gère les aspects relatifs aux incidents et accidents impliquant un manquement à la sécurité des actifs informationnels et de télécommunications et procède à des évaluations de la situation en matière de sécurité. o Le RSAI doit faire enquête sur tout manquement à la sécurité informationnelle et appliquer les mesures correctrices qui s imposent au niveau informatique. Il doit aussi faire rapport au supérieur immédiat de l utilisateur, selon des modalités prédéterminées et approuvées par le CSSSNL, et à la direction des ressources humaines qui prendront les mesures administratives ou disciplinaires pour toute contravention à la politique ou pour toute mauvaise utilisation des réseaux d informations du CSSSNL. o Suit la mise en œuvre de toute recommandation découlant d une vérification ou d un audit. o Diffuse aux instances internes concernées des bilans et rapports aux fréquences requises. o Produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels appartenant au CSSSNL en s assurant que l information sensible à diffusion restreinte est traitée de manière confidentielle et, après approbation de la direction générale et du conseil d administration, les soumet au coordonnateur régional de la sécurité des actifs informationnels.

10 Page 10 de 14 Le professionnel en sécurité de l information (PSI) Le rôle du professionnel de la sécurité de l information est de conseiller le RSAI sur les aspects technologiques et méthodologiques concernant la sécurité. Il coordonne les travaux reliés à l'implantation et aux contrôles des mesures de sécurité. Il coordonne et/ou réalise les tâches de sécurité opérationnelles qui lui sont confiées par le RSAI Le comité de sécurité Il constitue un mécanisme de coordination et de concertation qui, par sa vision globale, est en mesure de proposer des orientations et de faire des recommandations au regard de l'élaboration, la mise en œuvre et la mise à jour des mesures. Il est aussi en mesure d'évaluer les incidences sur la sécurité de l organisation que les nouveaux projets pourraient avoir. Le comité de sécurité a pour mandat de : soulever et discuter des préoccupations en matière de sécurité des actifs informationnels; s assurer que les politiques nationales en matière de sécurité sont respectées; faire la promotion de l importance de la sécurité informationnelle à tous les intervenants. Composition Le comité de sécurité des actifs informationnels est composé des membres suivants : o RSAI ou son représentant; o PSI; o un(e) archiviste; o le chef de service du génie biomédical o un membre de la Direction des ressources humaines, représentant le responsable l'accès aux documents des organismes publics (dossiers employés); o un membre de la Direction des services professionnels et des affaires médicales représentant le responsable de l'accès aux documents des organismes publics (dossiers des usagers); o un membre de la Direction de la planification et de l'organisation des programmes cliniques et de la gestion qualité-risques; o un membre de la Direction des soins infirmiers et direction administrative des programmes de santé physique. o deux membres représentant la Direction administrative des services multidisciplinaires et Direction des programmes santé mentale, famille enfance jeunesse, déficience intellectuelle, troubles envahissants du développement et dépendances; la Direction administrative des programmes services généraux, santé publique, organisation communautaire et la Direction administrative des programmes perte d'autonomie liée au vieillissement, déficience physique et soutien à domicile.

11 Page 11 de 14 Les détenteurs d actifs informationnels Assurent la sécurité d un ou de plusieurs actifs informationnels, qui leur sont confiés. S impliquent dans l ensemble des activités relatives à la sécurité, notamment l évaluation des risques, la détermination du niveau de protection visé, l élaboration des contrôles non informatiques et, finalement, la prise en charge des risques. S assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées systématiquement en plus de s assurer que leur nom et les actifs dont ils assument la responsabilité sont consignés dans le registre des autorités. Déterminent les règles d accès aux actifs dont ils assument la responsabilité et les proposent au Comité de sécurité des actifs informationnels et de protection des renseignements personnels du CSSSNL pour approbation. Ils assument leurs responsabilités au niveau des procédures qui découlent de la politique de sécurité. Le responsable de la protection des renseignements personnels (RPRP) Il est responsable du développement, de la mise en œuvre et de l évolution de la politique et des procédures relatives à l accès à l information et à la protection des renseignements personnels. À titre de responsable de l application de la Loi sur l accès aux documents des établissements publics et sur la protection des renseignements personnels, le RPRP a un rôle de conseiller et/ou de valideur - approbateur auprès du responsable de la sécurité des actifs informationnels afin de s assurer que les mécanismes de sécurité mis en place permettent de respecter les exigences de la Loi sur l accès aux documents des établissements publics et sur la protection des renseignements personnels. Cette responsabilité se manifeste aussi dès le début d un développement d un nouveau système où le RPRP doit introduire les préoccupations et les exigences relatives à la protection des renseignements personnels. La Direction des ressources humaines La Direction des ressources humaines est responsable d'informer tout nouvel employé de ses obligations découlant de la présente politique ainsi que des mesures et procédures en vigueur en matière de sécurité de l information. À l arrivée d un nouvel employé, la direction des Ressources humaines fait signer un formulaire d engagement au respect de la confidentialité et à la sécurité des actifs informationnels, de même qu aux tiers qui effectuent des tâches pour le CSSSNL.

12 Page 12 de 14 La Direction des services professionnels La Direction des services professionnels est responsable d'informer tout nouveau médecin, dentiste ou pharmacien de ses obligations découlant de la présente politique ainsi que des mesures et procédures en vigueur en matière de sécurité de l information. Service informatique Le rôle du service informatique à l égard de la sécurité de l'information est d'agir en tant que fournisseur de services. Il fournit et maintient en état les moyens techniques de sécurité et s assure de leur conformité aux besoins de sécurité déterminés par le détenteur. Ce rôle trouve son complément dans l assistance et le conseil en vue d une meilleure utilisation de ces moyens. Gestionnaires Le gestionnaire s assure que tous ses employés sont au fait de leurs obligations découlant de la présente politique. Il les informe précisément des mesures et procédures de sécurité en vigueur et s'assurer de leur formation à cet effet. Il informe et sensibilise ses intervenants à l importance des enjeux de sécurité. Il doit s assurer que les moyens de sécurité sont utilisés de façon à protéger effectivement l information utilisée par ses intervenants. Il communique au RSAI tout problème d importance en matière de sécurité de l'information. Il s'assure que les déclarations d'incidents et d'accidents parviennent à la Direction de la planification et de l'organisation des programmes cliniques et de la gestion qualité-risques. Pilotes de systèmes Tout service responsable de la tenue ou de la mise à jour d'un système d'information doit désigner une personne responsable du système. Cette personne doit, entre autres, être répondante à l'égard de la sécurité informatique dudit système sous la gouvernance du Comité de sécurité informatique. Les pilotes de systèmes ont la responsabilité d assurer le fonctionnement sécuritaire d un actif informationnel dès sa mise en exploitation, de contrôler et d autoriser l accès logique à tout actif informationnel dont ils ont la responsabilité d utilisation (en fonction des profils établis par le Comité de sécurité des actifs informationnels et de protection des renseignements personnels). Les pilotes doivent également informer les utilisateurs de leurs obligations face à l utilisation des systèmes d information dont ils sont responsables lors de l attribution des accès. Intervenants Chaque intervenant est responsable de respecter la présente politique, mesures et procédures en vigueur en matière de sécurité des actifs informationnels et d informer le responsable de la sécurité des actifs informationnels de toute violation des mesures de sécurité dont il pourrait être témoin ou de toute anomalie décelée pouvant nuire à la protection des actifs informationnels. Lorsqu un intervenant constate un manquement à la politique de sécurité, il doit suivre les étapes de déclaration énoncées dans la procédure de gestion des risques.

13 Page 13 de CLIENTÈLE VISÉE La présente politique s applique : À l ensemble des intervenants du CSSSNL. De plus, elle s étend à toute personne physique ou morale qui utilise ou qui accède pour le compte du CSSSNL, ou non, à des informations confidentielles, ou non, quel que soit le support sur lequel elles sont conservées. À tout organisme qui loue des espaces de bureaux dans les locaux du CSSSNL et qui utilise le réseau informatique du CSSSNL. 8. SANCTIONS Tout manquement à la politique de sécurité fait l'objet d'une vérification afin de rendre compte de la situation au responsable concerné et d'appliquer les mesures correctrices. Lorsque la situation le justifie, les sanctions prévues aux lois et règlements en vigueur sont appliquées. Tout contrevenant à la présente politique et à la réglementation qui en découle est passible, en plus des pénalités prévues par la Loi, des sanctions suivantes: Annulation des droits d'accès: aux services informatiques offerts par le CSSSNL, aux équipements informatiques appartenant au CSSSNL ou n'appartenant pas au CSSSNL mais utilisés dans ses locaux. Remboursement au CSSSNL de toute somme que cette dernière serait dans l'obligation de défrayer suite à une utilisation non autorisée, frauduleuse ou illicite de ses services ou actifs informationnels. Mesures disciplinaires ou autres sanctions prévues dans le règlement sur la déontologie ou imposées conformément aux conventions collectives de travail et aux protocoles en vigueur.

14 Page 14 de 14 ANNEXE ENGAGEMENT À LA CONFIDENTIALITÉ ET À LA SÉCURITÉ DES ACTIFS INFORMATIONNELS Je déclare : Avoir été informé qu en vertu de la Loi sur les services de santé et les services sociaux (art. 19) et de la Loi sur l accès aux documents des organismes publics et sur la protection des renseignements personnels (art. 53) toutes les informations concernant les usagers sont confidentielles; Avoir pris connaissance de la Politique de sécurité des actifs informationnels et de la Politique sur la protection des renseignements personnels du CSSSNL. Je m engage à : Respecter les politiques de même que les mesures et procédures établies relativement à la protection des renseignements personnels et à la sécurité des actifs informationnels. Je dois en tout temps prendre toutes les mesures mises à ma disposition afin de respecter ces politiques dans l exercice de mes fonctions; Ne jamais prendre connaissance de ce qui n est pas essentiel à mon travail; Ne jamais divulguer à des personnes non concernées les renseignements obtenus ou non dans l exercice de mes fonctions; Informer immédiatement mon supérieur immédiat de tout événement susceptible de compromettre la confidentialité des renseignements personnels et à caractère confidentiel et la sécurité concernant l utilisation des actifs informationnels du CSSSNL; Ne jamais divulguer, prêter ou afficher mon code d authentification (mot de passe) me permettant d avoir accès aux données informatisées; Je suis consciente(e) que le CSSSNL peut utiliser des logiciels de sécurité qui peuvent enregistrer, pour des fins de gestion, le contenu du courrier électronique, les adresses Internet des sites que je visite et conserver un dossier de toute activité réalisée sur ces réseaux informatiques au cours de laquelle je transmets ou reçois quelque document que ce soit lorsque j utilise les systèmes informatiques et les ressources du CSSSNL. J autorise le CSSSNL à utiliser ces logiciels de sécurité pour des fins de gestion. Je comprends qu en plus de m exposer à des poursuites, je suis passible de sanctions si je contreviens aux dispositions légales. Nom : (en lettres moulées) Signature : Date : Numéro d employé : Numéro d utilisateur : À CLASSER AU DOSSIER DE L INTERVENANT