Le Centre jeunesse Gaspésie/Les Îles Normes et directives de sécurité des actifs informationnels Version: 0.9, le 03 octobre 2006
PRODUCTION Monsieur Simon Rochefort, Responsable de la sécurité des actifs informationnels AUTRES COLLABORATEURS NOTE AU LECTEUR Le genre masculin utilisé dans le texte désigne aussi bien les hommes que les femmes et n est utilisé qu aux seules fins d alléger le texte. 2
CONTEXTE Le présent document Normes et Directives de sécurité des Actifs Informationnels, ciaprès appelé «Normes de sécurité», doit se lire et s interpréter en lien avec la Politique de sécurité des actifs informationnels du Centre jeunesse Gaspésie/Les Îles. Ces Normes de sécurité sont conçues pour aider les utilisateurs autorisés à exploiter de façon optimale les actifs informationnels ainsi que pour leur donner des directives concernant l utilisation des moyens techniques mis à leur disposition et ce, dans le but de protéger lesdits actifs informationnels. Les présentes Normes de sécurité répondent aux préoccupations de l établissement en matière de protection des renseignements personnels, remplacent le Code de conduite informatique du Centre jeunesse Gaspésie/Les Îles et complètent la Politique de sécurité des actifs informationnels du Centre jeunesse Gaspésie/Les Îles. L objectif premier des présentes Normes de sécurité est de baliser l utilisation et la gestion des technologies de l information et des télécommunications et d établir le cadre les réglementant. 3
PORTÉE Les présentes Normes de sécurité s appliquent: à l ensemble du personnel du Centre jeunesse Gaspésie/Les Îles. Elles touchent également toute personne 1 physique ou morale qui accède à des informations confidentielles ou non, qui est appelée à utiliser les équipements informatiques ou de télécommunication ou tout autre support pouvant contenir ces informations; à tout traitement d information appartenant au Centre jeunesse Gaspésie/Les Îles ou sous sa responsabilité; à tout actif informatique et de télécommunication appartenant au Centre jeunesse Gaspésie/Les Îles ou utilisé dans ses locaux; à toute donnée saisie, produite, traitée, transférée, imprimée, emmagasinée, ou détruite à l aide d équipements, de systèmes ou autres moyens exploitant des technologies de l information ou des télécommunications que le Centre jeunesse Gaspésie/Les Îles utilise pour les activités de gestion administrative et/ou clinique liées à sa mission. 1 le terme «personne» désigne ici autant le personnel, les tiers, un groupe, un contractuel ou un stagiaire. 4
NORMES DÉCOULANT DES PRINCIPES DIRECTEURS Les principes directeurs de la Politique de sécurité s énoncent concrètement à travers les normes de sécurité suivantes : 1. Toute personne travaillant au sein du Centre jeunesse Gaspésie/Les Îles et ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès de la directrice générale de l établissement. Tout accès ou tentative d'accès non autorisé aux actifs informationnels du Centre jeunesse Gaspésie/Les Îles constitue une violation de la Politique de sécurité; Un utilisateur, faisant des actifs informationnels et des informations qui y sont contenues, une utilisation non conforme à la Politique de sécurité, se voit retirer tout accès aux ressources permettant l accès auxdits actifs; Les utilisateurs d'actifs informationnels doivent assumer la responsabilité de la disponibilité, de l'intégrité, de la confidentialité de l'information et des traitements effectués sur les équipements qu'ils utilisent. Ils doivent protéger la confidentialité des renseignements qu'ils peuvent détenir, soit dans le cadre de leurs fonctions à titre de membre du personnel, soit dans le cadre d'une entente formelle avec le Centre jeunesse Gaspésie/Les Îles à titre de client ou fournisseur, soit privément à titre personnel et s'il y a lieu, en protéger l'accès par un mot de passe; Seuls les utilisateurs dûment autorisés à intervenir au nom du Centre jeunesse Gaspésie/Les Îles auprès des médias ou pour des assemblées publiques, peuvent le faire au niveau des «bavardages» et des «forums de discussion». Les autres utilisateurs peuvent participer à de tels groupes reliés à leur travail et touchant leur fonction, mais ils le font en leur nom propre en tant qu individu. Lors d une telle participation, si un utilisateur devient identifié au Centre jeunesse Gaspésie/Les Îles, il doit s abstenir de tout commentaire ou endossement non autorisé; Seuls les utilisateurs autorisés par leur supérieur immédiat à utiliser le télétravail ont accès aux services ou aux logiciels prévus. Le responsable de la sécurité des actifs informationnels s assurera de leur rendre disponibles; 5
Le contrôle de l utilisation du télétravail est fait par le Centre jeunesse Gaspésie/Les Îles, selon les exigences du responsable de la sécurité des actifs informationnels (RSAI) et du réseau de transmission de la Santé et des Services Sociaux (RTSS); Les reproductions de logiciels, de progiciels ou d'objets numérisés ne sont autorisées qu'à des fins de copies de sécurité ou selon la norme de la licence d'utilisation qui les régit. Le vol, le plagiat, la destruction et la modification de données informatiques appartenant à un tiers sont interdits sans son consentement; Seuls les logiciels dont le Centre jeunesse Gaspésie/Les Îles détient la propriété ou l'autorisation d'utilisation peuvent être installés sur les appareils par le personnel du Service informatique; Les textes et opinions émises et circulant sur les moyens de communication du Centre jeunesse Gaspésie/Les Îles n'engagent que la responsabilité de leur auteur; Tout utilisateur doit informer son supérieur immédiat ou le RSAI de toute violation ou situation dont il a connaissance pouvant contrevenir à la protection des actifs informationnels ou ne respectant pas les normes prévues à la Politique de sécurité; La modification du contenu d un message avant sa retransmission à un autre destinataire est interdite; L'établissement doit s assurer d avoir un processus formel de gestion des licences. Une documentation claire et à jour concernant chaque logiciel détenu par l'établissement doit être conservée dans un endroit sécuritaire; Lors d'une intervention du personnel du Service informatique sur les différents micro-ordinateurs de l'établissement, une vérification des logiciels installés peut être effectuée afin de détecter la présence illégale ou non approuvée de logiciels. 2. L information contenue dans les actifs informationnels et de télécommunication du Centre jeunesse Gaspésie/Les Îles est confidentielle lorsqu elle contient un renseignement nominatif ou un renseignement que le Centre jeunesse Gaspésie/Les Îles peut ou doit protéger en vertu d une loi, d un règlement, d un contrat ou d une entente de confidentialité. 6
Toute entente ou contrat doit spécifier les exigences du Centre jeunesse Gaspésie/Les Îles en matière de sécurité de l information des actifs informationnels. 3. Le Centre jeunesse Gaspésie/Les Îles prend tous les moyens à sa disposition afin que l ensemble des extrants issus de ses systèmes informatisés ou de télécommunication contenant de l information confidentielle soit conservé de façon sécuritaire et détruit selon les normes de sécurité, de confidentialité, et éventuellement d archivage, lorsque sa détention ou son utilisation n est plus nécessaire, le tout conformément aux lois qui les régissent. Seules les personnes autorisées par la direction générale peuvent, pour la réalisation de la mission de l établissement, fournir une information considérée confidentielle par le Centre jeunesse Gaspésie/Les Îles; Le responsable de la sécurité des actifs informationnels détermine les procédures concernant la création, la conservation, la récupération et la destruction des copies de sécurité, des ententes et des contrats concernant les ressources utilisées pour conserver ou exploiter lesdits actifs; À cet effet, il doit instaurer des mesures de contrôle et de sécurité appropriées pour protéger adéquatement les données qui sont enregistrées via les copies de sécurité; Tout extrant issu de systèmes informatisés ou de télécommunication et contenant de l'information confidentielle doit être conservé de façon sécuritaire et détruit selon les normes de sécurité, de confidentialité, et éventuellement d'archivage, lorsque sa détention ou son utilisation n'est plus nécessaire; Le Centre jeunesse Gaspésie/Les Îles doit disposer de mesures d'urgence, consignées par écrit et éprouvées, pour assurer la remise en opération des installations informatiques et de télécommunication considérées comme essentielles en cas de panne majeure (ex. incendie, panne électrique prolongée, inondation, terrorisme, etc.); Un inventaire informatique des actifs informationnels doit être effectué et maintenu à jour par les employés du Service informatique. Un détenteur doit être désigné pour chacun des actifs informationnels et une liste de ces détenteurs doit être créée et maintenue à jour; Les documents contenant des informations critiques ou nominatives doivent être immédiatement récupérés de l'imprimante suite à leur impression. 7
4. Le Centre jeunesse Gaspésie/Les Îles met en place les mesures de sécurité nécessaires afin d assurer la protection des informations nominatives et des renseignements à caractère confidentiel relativement à leur garde et leur transmission. Les privilèges d'accès aux actifs informationnels sont attribués par les propriétaires de ces actifs, le tout conformément au respect de la Politique de sécurité; Tout utilisateur qui reçoit un privilège d accès ne doit pas divulguer les renseignements nominatifs à caractère confidentiel dont il a pu prendre connaissance; Personne ne doit modifier ou détruire les données originales, la documentation originale et les systèmes d'information du Centre jeunesse Gaspésie/Les Îles sans autorisation; Tout système d'information, qu il soit administratif ou clientèle, doit être protégé au minimum par un processus d'accès nécessitant un mécanisme d'identification et d'authentification de l'utilisateur; Personne ne doit modifier ou détruire les logiciels, les progiciels et les équipements informatiques du Centre jeunesse Gaspésie/Les Îles sans autorisation; La protection des installations informatiques relève du personnel du Service informatique. À cet effet, il doit instaurer des mesures de contrôle et de sécurité appropriées pour protéger adéquatement les installations sous sa responsabilité; La protection des équipements informatiques locaux et de leur contenu incombe aux chefs des points de service qui en sont les utilisateurs. Ceux-ci doivent s assurer du respect des mesures de contrôle et de la prise de copie de sécurité de leurs données; Seules les personnes dûment autorisées peuvent utiliser les équipements informatiques et de télécommunication du Centre jeunesse Gaspésie/Les Îles; Tout accès ou tentative d'accès non autorisé aux actifs informatiques et de télécommunication du Centre jeunesse Gaspésie/Les Îles constitue une violation de la Politique de sécurité; Un utilisateur ne peut utiliser que l identifiant, les codes d'accès et/ou les mots de passe pour lesquels il a obtenu une autorisation d'usage; 8
L utilisateur est responsable des activités résultant de l'usage de son identifiant, de ses codes d'accès et/ou mots de passe; Règle générale, les mots de passe des utilisateurs sont confidentiels. Cependant, en cas d exception, ils ne doivent être divulgués qu aux personnes dûment mandatées par le RSAI; L utilisateur doit prendre des mesures raisonnables afin de protéger son identifiant, ses codes d'accès, ses mots de passe ainsi que l'intégrité et la confidentialité des actifs informationnels utilisés; Lorsqu'un utilisateur s'absente pour une période de plus de six semaines ou quitte définitivement l'établissement, ses privilèges d'accès doivent être suspendus ou révoqués; Chaque code d'accès ne doit être attribué qu'à une seule personne à des fins d'imputabilité et de piste de vérification; Une période d'expiration d'activation du code d'accès doit être implantée pour les employés temporaires, les contractuels, les fournisseurs ou tous les autres utilisateurs ne nécessitant pas un code d'accès permanent; L'utilisateur qui doute que son mot de passe soit compromis doit le changer immédiatement et, si nécessaire, avertir son supérieur immédiat et le responsable de la sécurité; En aucun cas, les mots de passe ne doivent être inscrits à un endroit susceptible d'être découvert pas un autre utilisateur; Les fichiers qui contiennent des codes d'accès et des mots de passe doivent être protégés et encodés; Tout utilisateur des réseaux informatiques du Centre jeunesse Gaspésie/Les Îles ne peut utiliser un modem sur un poste de travail sans l approbation du RSAI; Le gestionnaire de système, désigné par la directrice générale du Centre jeunesse Gaspésie/Les Îles, qui administre le système de courrier électronique doit fixer des règles concernant son utilisation. Les utilisateurs doivent les respecter; L accès aux boîtes de courrier doit être restreint et protégé par un mot de passe; Le RSAI doit mettre en place les mesures de sécurité nécessaires afin d assurer la protection des informations nominatives à caractère confidentiel. De plus, il doit mettre en place les mécanismes nécessaires pour assurer une gestion adéquate de l utilisation d Internet, du courrier électronique, des 9
réseaux informatiques du Centre jeunesse Gaspésie/Les Îles et du RTSS, le tout en conformité avec la présente politique et les directives du ministère; Un plan de sauvegarde et de récupération des données doit être établi et révisé périodiquement. Il définit, entre autres, la fréquence des copies de sauvegarde, le calendrier de rotation des médias, le lieu d'entreposage de ces médias et les personnes responsables des activités susmentionnées; Afin d assurer la confidentialité du dossier informatique de l usager, il est nécessaire que l intervenant responsable de sa garde s assure de la fermeture du système lorsqu il n est pas en mesure de vérifier l utilisation de son ordinateur; Au moment de la fermeture des dossiers, ceux-ci sont retournés au secrétariat du point de service concerné pour y être classés dans le dossier centralisé. Le système clientèle a prévu l archivage des dossiers semi-actifs et la responsabilité en est confiée aux secrétaires des points de service pour le Centre jeunesse Gaspésie/Les Îles. Aucun dossier ou document original y étant contenu ne peut être transmis à un autre établissement. Seulement une copie, respectant les règles d accès prévues à la Loi sur les services de santé et les services sociaux, peut être transmise; La personne en possession d un dossier est réputée en avoir la garde; elle devra donc fournir des explications et rendre compte de tout délai de retour au secrétariat ou perte; Toute transmission d information nominative au sujet d un usager doit être soumise aux normes de traitement de demande d accès telles qu elles s appliquent au Centre jeunesse Gaspésie/Les Îles. 5. Toute transmission de renseignements confidentiels doit se faire de manière à assurer la sécurité maximale de ces informations et ce, en utilisant tous les moyens mis à la disposition du personnel à cet égard. Tout utilisateur autorisé, qui désire préserver le caractère confidentiel ou privé du contenu des courriers électroniques qu'il transmet, doit utiliser des programmes ou autres techniques de cryptage ou d'encodage sur le poste dont il se sert pour transmettre son courrier électronique. Il doit également être conscient que les courriers électroniques qu'il envoie peuvent, à son insu, être redirigés, imprimés, sauvegardés ou affichés sur des médias ou des systèmes informatiques de tiers; 10
Toute personne qui achemine un document contenant des informations à caractère confidentiel par télécopieur doit en assurer la confidentialité; Tous les télécopieurs doivent être installés dans un endroit surveillé et non accessible au public; de même, ils ne doivent être utilisés que par les personnes autorisées; Avant la transmission d'un document, l'utilisateur doit vérifier si les renseignements nominatifs et/ou confidentiels qu'il contient peuvent en être extraits; L'utilisateur doit remplir un formulaire d'accompagnement indiquant le nom, l'adresse et le numéro de téléphone du destinataire ainsi que le numéro de téléphone de l'expéditeur; L'utilisateur doit d'abord utiliser le «carnet de téléphone» du télécopieur si le numéro y est présent. S'il n'y est pas présent, après avoir composé le numéro du télécopieur du destinataire, l'utilisateur doit vérifier dans la fenêtre du télécopieur si le numéro correspond et annuler en cas d'erreur; L'utilisateur est responsable de vérifier le rapport de transmission à la fin de la communication; En cas de transmission de renseignements personnels, l utilisateur doit vérifier l'urgence de communiquer des renseignements personnels, indiquer visiblement leur caractère confidentiel, aviser le destinataire de l'heure de la transmission et s'assurer qu'il sera présent au moment de la réception, obtenir une confirmation de la réception par la personne autorisée à les recevoir et conserver les documents de confirmation de transmission; Les documents, sous forme papier, constituant le dossier de l usager sont tenus dans des endroits verrouillés. Ils ne peuvent être transportés hors des lieux de travail du Centre jeunesse sans l autorisation et l enregistrement de la sortie du dossier par le chef de service concerné. Cette information confidentielle doit être transportée avec soin dans un support verrouillé ou scellé (même sous forme électronique); L autorisation de sortie du dossier par le chef de service peut être donnée pour les raisons suivantes : Le dossier qui doit être apporté devant le tribunal; La destruction du dossier; Un transfert entre points de service; Pour répondre, dans le cadre de leurs responsabilités, à une demande de services professionnels ou d une autre direction (par exemple : évaluation, recherche, enquête lors d une plainte et d une insatisfaction, demande d accès) pour discussion de cas avec le Service du contentieux et autres; 11
Dans le cadre d une consultation par un professionnel collaborateur interne à l établissement participant au plan d intervention ou au plan de services individualisé du jeune. L acheminement des dossiers se fait par courrier sécuritaire. Lors de la réception de documents physiques au Centre administratif pour destruction, ces derniers devront être entreposés sous clé, sans délais, dans un local à cet effet. 6. L utilisation des actifs informatiques du Centre jeunesse Gaspésie/Les Îles est un privilège et non un droit. Ce privilège peut être révoqué en tout temps, à tout utilisateur autorisé qui ne se conforme pas à la Politique de sécurité. Tous les équipements informatiques doivent être dédiés et réservés à la réalisation des activités liées à la mission du Centre jeunesse Gaspésie/Les Îles. Cependant, l'établissement reconnaît qu occasionnellement, les membres du personnel peuvent faire usage de certains actifs aux fins de leur vie privée, par exemple, pour le traitement d'informations qui leur sont propres et qui ont un caractère confidentiel, qu'il s'agisse de courriels ou de traitements informatiques; Aucun actif informationnel de type logiciel ne peut être installé par un utilisateur, sauf s il en a eu l autorisation de la personne désignée par le RSAI; Le RSAI, ou toute autre personne qu il désigne à cet effet, peut réviser, suspendre ou révoquer un privilège d accès lorsque jugé nécessaire par ce dernier, en conformité avec la Politique de sécurité; Des vérifications sont normalement effectuées à l'initiative du RSAI ou à la suite de demandes qui lui sont formulées; Sauf en cas d'urgence manifeste, une vérification des systèmes et des actifs informationnels pour des raisons techniques, qui nécessiterait la lecture des informations personnelles et privées d'un utilisateur autorisé, ne peut être effectuée que par des personnes autorisées dans le cadre de leurs fonctions et ce, après avoir prévenu la personne concernée et lui avoir donné l'opportunité de préserver ces informations; Une vérification des informations personnelles d'un utilisateur autorisé, ou de l'utilisation des actifs par celui-ci, ne peut être effectuée sans le consentement de ce dernier, à moins que le Centre jeunesse Gaspésie/Les Îles ait des raisons sérieuses de croire que cette personne utilise les actifs, 12
équipements, systèmes ou réseaux en contravention avec la Politique de sécurité. La vérification est alors faite par le RSAI; Tout membre du personnel qui contrevient à la Politique de sécurité est passible, en plus des pénalités prévues aux différentes législations, de remboursement au Centre jeunesse Gaspésie/Les Îles de toute somme que ce dernier serait dans l'obligation de défrayer à la suite d une utilisation non autorisée, frauduleuse ou illicite de ses services ou de ses actifs informationnels et de télécommunication; Les ordinateurs portatifs sortis à l'extérieur de l'établissement ne doivent jamais être laissés sans surveillance ou dans un endroit non sécuritaire. Cette circulation d information sur portable à l extérieur de l établissement doit préalablement avoir été autorisée par le supérieur immédiat. Toutes les mesures de protection nécessaires doivent être prises pour éviter les pertes ou les divulgations accidentelles d informations; Un mot de passe au démarrage doit être configuré sur tous les ordinateurs portatifs. Les utilisateurs sont responsables de contacter le personnel informatique pour des précisions ou de l'aide additionnelle; Un registre de prêt des ordinateurs portatifs et des canons de projections doit être maintenu par le détenteur des ordinateurs portatifs. 7. Le Centre jeunesse Gaspésie/Les Îles interdit à quiconque d utiliser ses facilités d accès à Internet à des fins de harcèlement sexuel, dans le but de tenir un discours public non autorisé, d exercer des moyens de pression, de soutenir de tels moyens ou d inciter à des fins de manifestation ou encore dans le but de détourner ou de voler la propriété intellectuelle ainsi qu en tenant toute autre activité constituant une infraction. Le Centre jeunesse Gaspésie/Les Îles peut, en tout temps, analyser et évaluer l'utilisation d'internet, du RTSS et des réseaux informatiques; à cette fin, il peut utiliser des logiciels permettant de contrôler, enregistrer et analyser toute utilisation; L affichage de tout document ou tout graphique sexuellement explicite, haineux, raciste et socialement inacceptable est interdit. De plus, de tels documents ne doivent pas être archivés, enregistrés, distribués ou édités à l aide du réseau du Centre jeunesse Gaspésie/Les Îles; Le Centre jeunesse Gaspésie/Les Îles s engage à coopérer face à toute requête en provenance des forces de l ordre ou tout autre organisme mandaté à cet effet; 13
Tout logiciel ou document téléchargé à l aide d Internet ou du RTSS vers les réseaux informatiques du Centre jeunesse Gaspésie/Les Îles devient la propriété de celui-ci. Il doit être utilisé en accord avec sa licence et copyright; Aucun utilisateur ne peut jouir des facilités d accès à Internet ou du RTSS pour télécharger ou distribuer des données ou des logiciels piratés, ni ne peut profiter des facilités d accès à Internet pour propager un virus sur les réseaux informatiques; Aucun utilisateur ne peut se servir des facilités d accès à Internet ou au RTSS ou tout autre moyen pour rendre inutilisable ou surcharger les ordinateurs et le réseau ou contourner tout système mis en place pour protéger la vie privée ou la sécurité des autres utilisateurs; Aucun utilisateur ne peut se servir des facilités d accès à Internet ou au RTSS ou tout autre actif informationnel pour faire du harcèlement psychologique; Tout utilisateur, employant les facilités d accès à Internet à des fins personnelles à l extérieur des heures de travail, doit s identifier clairement et entièrement quand il participe à des «bavardages» et à des «forums de discussion» ou quand il ouvre un compte sur des systèmes externes; L utilisation des facilités d accès à Internet du Centre jeunesse Gaspésie/Les Îles pour commettre des infractions telles qu un usage abusif des actifs informationnels et de télécommunication, du harcèlement sexuel, la tenue d un discours public non autorisé, l'exercice de moyens de pression, le soutien de tels moyens ou l'incitation à des fins de manifestation et le détournement ou le vol de la propriété intellectuelle est interdite; Aucun utilisateur ne peut télécharger des émissions de radio ou de télévision, en continu ou de films, à moins d'y être dûment autorisé et que cette utilisation soit reliée à la mission du Centre jeunesse Gaspésie/Les Îles; L usage du courrier électronique pour participer à une chaîne de lettres, pour effectuer de la publicité ou de la vente pyramidale ou encore, pour faire des envois massifs de messages sans autorisation est interdit. 8. Un programme de formation et de sensibilisation à la Politique de sécurité et aux normes et directives en découlant doit être mis en place à l intention du personnel qui utilisera les technologies dans ses fonctions. 14
Le Service des ressources humaines, en collaboration avec le responsable de la sécurité des actifs informationnels, a la responsabilité d informer, dès l embauche, chacun des membres du personnel de ses responsabilités et de la nécessité de protéger la confidentialité des données nominatives à caractère confidentiel et ce, afin d assurer la sécurité concernant l utilisation des actifs informationnels et de télécommunication; Un programme de sensibilisation doit être intégré à la session d'accueil des nouveaux employés. Ce programme doit être présenté par le Service des ressources humaines. 15
NORMES COMPLÉMENTAIRES Les locaux où sont situés les serveurs des réseaux locaux, le matériel de télécommunication et autres actifs informationnels doivent: Être aménagés de telle façon à éviter les dépôts de matières inflammables pouvant se trouver à proximité; Être adéquatement protégés contre les intrusions physiques, le vol, le feu, les inondations et autres catastrophes naturelles ou accidentelles; Disposer de systèmes de chauffage, de ventilation et de climatisation conformément aux mesures recommandées par les fournisseurs; Être munis de systèmes de détection; Un mécanisme de documentation et de suivi des entrées et sorties des locaux sécurisés doit être mis en place à l'aide d'un registre d'accès; Les fournisseurs, les visiteurs et le personnel d'entretien externe doivent être accompagnés en tout temps par un membre du personnel autorisé de l'établissement lorsqu'ils accèdent aux locaux sécurisés; Le personnel ayant accès aux salles informatiques doit questionner tout inconnu sur sa présence dans ces locaux sécurisés et la signaler au responsable de la salle informatique; Une procédure d'autorisation est obligatoire lorsqu'une personne doit sortir des équipements hors de l'établissement. On doit également s'assurer au préalable qu'ils sont exempts de renseignements nominatifs ou de nature sensible; Les dommages délibérés ou accidentels causés aux équipements de l'établissement doivent être signalés au responsable de la sécurité dans les meilleurs délais. 16
DÉFINITION DES TERMES Actif informationnel : document, banque d information électronique, système d information, réseau de télécommunication, technologie de l information, installation ou ensemble de ces éléments. Bavardage, Cyberbavardage, Bavardage-Clavier ou Clavardage (Chat) : conversation écrite, interactive et en temps réel entre des internautes du monde entier, et ceci, par clavier interposé. Confidentialité : propriété que possède une donnée ou une information dont l accès et l utilisation sont réservés à des personnes ou entités désignées et autorisées. Conservation de l information : action de maintenir l information intacte. Destruction de l information : action de faire disparaître l information. Détenteur : personne à qui le Centre jeunesse Gaspésie/Les Îles a donné la responsabilité d assurer la sécurité d un ou de plusieurs actifs informationnels. De facto, un cadre est considéré comme l ultime détenteur de tous les actifs informationnels et des systèmes d information de la direction ou du service dont il a la responsabilité. Disponibilité : propriété qu ont les données, l information et les systèmes d information et de communication d être accessibles et utilisables en temps voulu et de la manière adéquate par une personne autorisée. Document: un document est constitué d information portée par un support. L information y est délimitée et structurée, de façon tangible ou logique selon le support qui la porte, et elle est intelligible sous forme de mots, de sons ou d images - Loi concernant le cadre juridique des technologies de l information. Donnée : élément de base constitutif d un renseignement, d une information. Donnée confidentielle : donnée qui ne peut être communiquée ou rendue accessible qu aux personnes ou autres entités autorisées. Donnée nominative : information relative à une personne physique identifiée ou identifiable. Droit d auteur : droit exclusif que détient un auteur ou son représentant d exploiter une oeuvre pendant une durée déterminée. Équipement informatique : ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de travail informatisés et leurs unités ou accessoires périphériques de lecture, d emmagasinage, de reproduction, d impression, de communication, de réception et de traitement de l information, et tout équipement de télécommunications. Identification : fonction du contrôle de l accès aux actifs informationnels permettant d attribuer un code d identification ou identifiant, à un utilisateur, à un dispositif ou à une autre entité. Information : élément de connaissance descriptif d une situation ou d un fait résultant de la réunion de plusieurs données. Intégrité : propriété d une information ou d une technologie de l information de n être ni modifiée, ni altérée, ni détruite sans autorisation. 17
Internet ou réseau Internet : réseau informatique mondial constitué d un ensemble de réseaux nationaux, régionaux et privés, qui sont reliés par le protocole de communication TCP-IP et qui coopèrent dans le but d offrir une interface unique à leurs utilisateurs. Normes et pratiques : énoncés généraux émanant de la direction d une organisation et indiquant ce qui doit être appliqué relativement à la sécurité des actifs informationnels. Personnel : ensemble des ressources humaines, rémunérées ou non, oeuvrant pour l établissement. Politique de sécurité : énoncé général émanant de la direction d une organisation et indiquant la ligne de conduite adoptée relativement à la sécurité, à sa mise en oeuvre et à sa gestion. Renseignement : synonyme d information. Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu accessible qu aux personnes ou autres entités autorisées. Renseignement personnel ou nominatif : tout renseignement qui concerne une personne physique et qui permet de l identifier. Réseau informatique : ensemble des composantes et des équipements informatiques reliés par voie de télécommunications, soit pour accéder à des ressources ou à des services informatisés, soit pour en partager l accès. Réseau de télécommunication sociosanitaire (RTSS) : c est le principal véhicule d échange d information entre les organismes du réseau de la santé et des services sociaux. Système d information : ensemble organisé de moyens mis en place pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l information en vue de répondre à un besoin déterminé, y incluant notamment les technologies de l information et les procédés utilisés pour accomplir ces fonctions. Téléassistance : Service d assistance accessible à distance par le réseau RTSS et certains logiciels spécifiques. Télécopieur (Fax) : procédé de transmission de l ensemble d un texte écrit, ligne par ligne ( ). Les données sont transmises par ligne téléphonique à un autre télécopieur qui transforme le signal en image. Cette définition inclut le «Fax-modem» qui peut servir autant à la transmission de données qu à celle des télécopieurs. Télécommunication : ensemble des procédés électroniques de transmission d information à distance. Télétravail : travail effectué à distance. C'est le fait de travailler sans être sur son lieu de travail conventionnel. Traitement de l information ou traitement des données : ensemble des opérations effectuées automatiquement sur des données afin d en extraire certains renseignements qualitatifs ou quantitatifs. Transmission d information : action de transporter une information d un émetteur vers un récepteur. Usager : toute personne qui reçoit des services de santé et des services sociaux. Utilisateur : personne, groupe ou entité administrative qui fait usage d un ou de plusieurs actifs informationnels appartenant aux organismes publics du réseau de la santé et des services sociaux. Utilisateur autorisé: personne ou groupe de personnes, à l emploi du Centre jeunesse Gaspésie/Les Îles ou non, qui se voit attribuer par la directrice générale, ou une 18
personne dûment mandatée, des droits spécifiques à ses fonctions et/ou à ses tâches. Les dits droits peuvent être attribués de façon permanente, jusqu'à la fin de la période d'emploi, ou de façon ponctuelle. Utilisation : terme qui recouvre, le cas échéant, l ensemble des événements constituant le cycle de vie de l information électronique, entre autres la création, la collecte, le traitement, la conservation, l interrogation, la communication, la modification, l archivage et la destruction. 19
RÔLES ET RESPONSABILITÉS Cette section des Normes de sécurité définit les rôles et responsabilités de chacun des utilisateurs concernés du Centre jeunesse Gaspésie/Les Îles. La directrice générale La directrice générale est la première responsable de la sécurité des actifs informationnels de l établissement et doit: s assurer de la mise en oeuvre et de l application des Normes de sécurité au sein de l établissement; exercer son pouvoir d enquête et appliquer les sanctions prévues, lorsque nécessaire. Le responsable de la sécurité des actifs informationnels Le responsable de la sécurité des actifs informationnels, nommé par la directrice générale, doit: faire la promotion de l importance de l application des Normes de sécurité; s assurer de la bonne coordination des activités reliées à la sécurité des actifs informationnels, en collaboration avec les membres du Service informatique et son coordonnateur; participer à l élaboration et à la diffusion d un document et/ou d une présentation de la politique et des normes et des directives de sécurité afférentes et ce, auprès de tout le personnel de l établissement; Les gestionnaires Les gestionnaires doivent: faire la demande de droits d accès des utilisateurs de leur service auprès du responsable de la sécurité des actifs informationnels; faire respecter les Normes de sécurité en regard des actifs informationnels dont ils ont la responsabilité; communiquer au responsable de la sécurité des actifs informationnels toute situation contrevenant ou pouvant contrevenir à la Politique de sécurité et aux Normes de sécurité s y rattachant; 20
appliquer, avec la collaboration de la direction générale et du Service des ressources humaines, les sanctions jugées nécessaires lors d un manquement de la part d un employé sous leur responsabilité. Les membres du personnel Les membres du personnel doivent: respecter les normes, directives et procédures découlant de la Politique de sécurité; informer leur supérieur immédiat ou le responsable de la sécurité des actifs informationnels de toute violation ou situation pouvant contrevenir à la protection des actifs informationnels. Le Service des ressources humaines Le Service des ressources humaines doit: s assurer que tout nouveau membre du personnel, qu il soit permanent, temporaire, stagiaire ou contractuel, soit informé de la Politique de sécurité et des Normes de sécurité s y rattachant et signe la déclaration d engagement; collaborer à l application des sanctions jugées nécessaires lors d un manquement de la part d un ou de plusieurs membres du personnel. Le Comité de sécurité des actifs informationnels Le Comité de sécurité des actifs informationnels doit: conseiller le responsable de la sécurité des actifs informationnels dans la mise en oeuvre, le suivi et la mise à jour des Normes de sécurité; coordonner, au besoin, l évaluation des impacts que tout nouveau projet entraîne face à la sécurité des actifs informationnels; faire la promotion de l importance de la sécurité des actifs informationnels. 21
ENTRÉE EN VIGUEUR Les présentes normes et directives entrent en vigueur au moment de leur adoption par le Comité de direction du Centre jeunesse Gaspésie/Les Îles. MISE À JOUR DES NORMES ET DIRECTIVES Les présentes normes et directives doivent être évaluées annuellement afin de s ajuster aux nouvelles pratiques et technologies utilisées au Centre jeunesse Gaspésie/Les Îles. 22