RÈGLE PARTICULIÈRE SUR LA SÉCURITÉ LOGIQUE



Documents pareils
Politique de sécurité de l actif informationnel

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Guide de bonnes pratiques de sécurisation du système d information des cliniques

L hygiène informatique en entreprise Quelques recommandations simples

Chapitre 1 Windows Server

LIGNE DIRECTRICE SUR LA CONFORMITÉ

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

Politique de sécurité de l information

Projet de loi n o 94. Présentation. Présenté par Madame Kathleen Weil Ministre de la Justice

Politique de sécurité des actifs informationnels

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

AVIS CONCERNANT LE SYSTÈME DE GESTION DES DEMANDES D ÉVALUATION DU BUREAU D ÉVALUATION MÉDICALE DU MINISTÈRE DU TRAVAIL DOSSIER

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Règlement sur l utilisation et la gestion des actifs informationnels

APPEL A CANDIDATURES

Guide de la demande d autorisation pour administrer un régime volontaire d épargneretraite

La classification des actifs informationnels au Mouvement Desjardins

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Solutions informatiques (SI) Semestre 1

Guide d inscription en ligne

Évolution et révolution en gestion des identités et des accès (GIA)

RÈGLEMENT SUR LE COMITÉ D'INSPECTION PROFESSIONNELLE DU COLLÈGE DES MÉDECINS DU QUÉBEC

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

Ordonnance sur la gestion électronique des affaires dans l administration fédérale

Présenté par l Organisme d autoréglementation du courtage immobilier du Québec (OACIQ)

Intégration du Système d information de laboratoire de l Ontario et de ConnexionRGT

L informatisation des groupes de médecine de famille

La dématérialisation

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

Droits et obligations des travailleurs et des employeurs

Autorité de Certification OTU

Single Sign-on (Gestion des accès sécurisés)

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Authentification des citoyens et des entreprises dans le cadre du gouvernement électronique. Orientations et stratégie

Un poste à votre mesure!

CONSEIL STRATÉGIQUE. Services professionnels. En bref

Atelier à l intention des intervenants, partie 1 : Documents déposés par écrit Projet d agrandissement du réseau de Trans Mountain

UserLock Quoi de neuf dans UserLock? Version 8.5

Projet de loi n o 58. Loi regroupant la Commission administrative des régimes de retraite et d assurances et la Régie des rentes du Québec

COMMISSION D ACCÈS À L INFORMATION

Projet de loi n o 100 (2010, chapitre 20)

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

MÉTHODOLOGIE PROJET SYSTÈME D INFORMATION DÉCISIONNEL BI - BUSINESS INTELLIGENCE. En résumé :

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

POLITIQUE DE COMMUNICATION

Nom du distributeur Adresse du distributeur

Alerte regulatory Le dispositif de gouvernance et de contrôle interne des établissements bancaires Novembre 2014

Prestations d audit et de conseil 2015

Loi concernant l inspection environnementale des véhicules automobiles

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

INTERCONNEXION ENT / BCDI / E - SIDOC

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

DAS Canada Legal Protection Insurance Company Limited. («DAS Canada») CONVENTION DE COURTAGE

LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS

1 Avant-Propos 5 Remerciements. 9 Usages, contraintes et opportunités du mobile. 33 Site ou application : quelle solution choisir? Table des matières

Table des matières. Partie I CobiT et la gouvernance TI

LE QUÉBEC ADOPTE LA LOI SUR LES RÉGIMES VOLONTAIRES D ÉPARGNE-RETRAITE

Système d information des ressources humaines SIRH Réseau Social Interne. Catherine Voynnet Fourboul

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Opérations entre apparentés

PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d'utilisation du Portail Internet de la Gestion Publique

curité des TI : Comment accroître votre niveau de curité

Guide du requérant et du mandataire

BALISAGE PROCESSUS DE SOUTIEN EN MATIÈRE DE SERVICES TI

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

Evaluation de la conformité du Système de validation Vaisala Veriteq vlog à la norme 21 CFR Part 11

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL

Volume 2 Guide d ouverture et de gestion de compte

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

Table des matières PARTIE I : LES FONDAMENTAUX DU MARKETING DIGITAL

Administration de systèmes

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS

Ordonnance sur les services de certification électronique

Security Center Plate-forme de sécurité unifiée

ATTENDU QU un avis de motion AM a été dûment donné par Madame Sylvie Ménard lors de la séance régulière du 5 mai 2015;

T4E.fr présente SSRPM, son offre de reset de mot de passe en self service

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Standards d accès, de continuité, de qualité, d efficacité et d efficience

Palo Alto Networks Guide de l administrateur Panorama. Panorama 5.1

Politique d utilisation acceptable des données et des technologies de l information

Avant-projet de loi. Loi modifiant le Code civil et d autres dispositions législatives en matière d adoption et d autorité parentale

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. offres en architecture de l information cartographie. principes. objectifs.

Loi fédérale sur la surveillance des entreprises d assurance

Bilan de la sécurité des actifs informationnels

Les Audits. 3kernels.free.fr 1 / 10

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

Le rôle Serveur NPS et Protection d accès réseau

Déroulement de la présentation

ARRANGEMENT EN VUE DE LA RECONNAISSANCE MUTUELLE DES QUALIFICATIONS PROFESSIONNELLES DES ARCHITECTES ENTRE L'ORDRE DES ARCHITECTES DU QUÉBEC

Fonctionnalités HSE PILOT. Groupe QFI

MISE EN PLACE DU CONNECTEUR SACOCHE

Transcription:

1 2013-06-20 Pour information : dirigeantreseauinformation@msss.gouv.qc.ca RÈGLE PARTICULIÈRE SUR LA SÉCURITÉ LOGIQUE Loi sur la gouvernance et la gestion des ressources des organismes publics et des entreprises du gouvernement (L.R.Q., c. G-1.03, a. 10) Loi sur le ministère de la Santé et des Services sociaux (L.R.Q., c. M-19.2, a. 5.2) Loi concernant le partage de certains renseignements de santé (L.R.Q., c. P-9.0001, a. 4 et 5) PRÉAMBULE La présente règle particulière est définie par le dirigeant réseau de l information (DRI) du secteur de la santé et des services sociaux dans le cadre de la mise en œuvre de la Loi concernant le partage de certains renseignements de santé (LPCRS). SECTION I CHAMP D APPLICATION 1. Cette règle particulière s applique : 1 à un gestionnaire opérationnel d une banque de renseignements de santé d un domaine clinique; 2 à un gestionnaire opérationnel du registre d un domaine clinique; 3 au gestionnaire opérationnel du registre des refus; 4 au gestionnaire opérationnel du système de gestion des ordonnances électroniques de médicaments; 5 au gestionnaire opérationnel du registre des organismes; 6 à une personne ou une société qui héberge, opère ou exploite un actif informationnel visé par la LPCRS; 7 à la Régie de l assurance maladie du Québec; 8 à un établissement visé par la Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2);

2 2013-06-20 9 à une agence de la santé et des services sociaux visée par la Loi sur les services de santé et les services sociaux; 10 au Conseil cri de la santé et des services sociaux de la Baie James institué en vertu de la Loi sur les services de santé et les services sociaux pour les autochtones cris (L.R.Q., c. S-5). Les personnes ou sociétés mentionnées à cet article sont assujetties à la présente règle particulière à l égard des actifs informationnels auxquels s applique la LPCRS. SECTION II DÉFINITIONS 2. Dans la présente règle particulière, on entend par : 1 actif informationnel : un actif informationnel au sens de la LPCRS soit une banque d information, un système d information, un réseau de télécommunication, une infrastructure technologique ou un ensemble de ces éléments ainsi qu une composante informatique d un équipement médical spécialisé ou ultraspécialisé; 2 authentifiant : une information confidentielle détenue par une personne et permettant son authentification; 3 autorisation d accès minimum : une autorisation d accès restreinte de manière à ce que l utilisateur puisse n accomplir avec celle-ci que les seules tâches autorisées et nécessaires à l exercice de ses fonctions; 4 domaine de confiance : un ensemble d éléments d ordre juridique, humain, organisationnel et technologique, un cadre de gestion de la sécurité ou un ensemble d activités pertinentes à la sécurité qui sont tous assujettis à une politique de sécurité administrée par une seule autorité; 5 identifiant : une information associée à une personne, connue de celle-ci ou contenue sur un support informatique dont elle est la détentrice, et qui permet son identification; 6 mécanisme : fonction de protection particulière, logicielle ou matérielle, mise en vigueur dans le cadre d une politique de sécurité informatique; 7 périmètre de sécurité : une frontière logique délimitant l étendue d un domaine de confiance ou d une zone de sécurité;

3 2013-06-20 8 zone de sécurité : zone composée de segments du réseau qui partagent les mêmes conventions et règles de sécurité en termes d accès et de niveau de confidentialité des données stockées ou traitées. SECTION III DOMAINE DE CONFIANCE 3. Toute personne ou société visée à l article 1 doit mettre en place au moins un domaine de confiance ainsi que son architecture de sécurité de l information. 4. Un domaine de confiance doit être segmenté en plusieurs zones de sécurité possédant les mesures de sécurité adaptées aux actifs informationnels hébergés dans chacune de ces zones. 5. Les environnements technologiques de production, préproduction, acceptation ou essais doivent être séparés les uns des autres par des mécanismes appropriés. 6. Un périmètre de sécurité doit être conçu et géré de manière à : 1 contrôler les accès provenant de l externe du domaine de confiance; 2 contrôler les accès de l interne du domaine de confiance vers l externe; 3 contrôler les communications entrantes et sortantes des actifs informationnels; 4 surveiller les journaux associés aux mécanismes en place; 5 évaluer régulièrement l efficacité des mécanismes en place. 7. Toute personne ou société visée à l article 1 qui désire publier des services, notamment sur Internet, doit évaluer les risques et mettre en place les mécanismes appropriés permettant de limiter ceux-ci. 8. La sécurité dans les échanges d information à l aide des télécommunications doit être assurée, notamment pour toutes communications qui vont au-delà d un domaine de confiance. 9. Toute personne ou société visée à l article 1 doit mettre en œuvre des mesures visant à faire en sorte que les incidents ayant trait à la sécurité logique soient déclarés au DRI conformément à la Règle particulière sur l obligation de déclaration d un incident de sécurité et à ce que des mesures correctrices à court et à long terme soient adoptées en temps opportun.

4 2013-06-20 SECTION IV CONTRÔLE DES ACCÈS LOGIQUES 10. Toute personne ou société visée à l article 1 doit : 1 appliquer le principe de l autorisation d accès minimum lors de l attribution des autorisations d accès aux actifs informationnels et ses composantes technologiques; 2 établir une politique basée sur les meilleures pratiques de l industrie concernant la durée des sessions des accès aux actifs informationnels; 3 s assurer qu aucun renseignement de santé n est conservé en dehors des banques de renseignements et de leurs services de gestion associés et mettre en place les processus, mécanismes et outils permettant de protéger ces renseignements durant le traitement de l information; 4 établir une politique basée sur les meilleures pratiques de l industrie concernant le cycle de vie de la gestion des identifiants et des authentifiants; 5 mettre en place un processus permettant de s assurer de la révision des accès sur une base annuelle. SECTION V SURVEILLANCE ET EXPLOITATION DES INFRASTRUCTURES TECHNOLOGIQUES 11. Toute personne ou société visée à l article 1 doit mettre en place les processus, mécanismes, outils et ressources permettant de démontrer qu elle effectue l exploitation de ses infrastructures technologiques de façon sécuritaire. 12. Les processus, mécanismes et outils doivent permettre de : 1 protéger les infrastructures contre les logiciels malveillants; 2 empêcher l accès à des renseignements de santé à toute personne n étant pas habilitée à en prendre connaissance; 3 tenir à jour un registre des actifs informationnels, des composantes technologiques ainsi que leurs configurations; 4 assurer la prise de copie des données ainsi que la récupération de ces données, le cas échéant;

5 2013-06-20 5 assurer le traitement sécuritaire dans la manipulation des supports informatiques; 6 surveiller ses infrastructures et détecter les activités suspectes; 7 gérer les incidents de sécurité de l information en respectant notamment la Règle particulière sur l obligation de déclaration d un incident de sécurité; 8 effectuer des analyses de vulnérabilité et des audits de sécurité; 9 assurer la mise en place des correctifs de sécurité requis concernant les actifs informationnels et leurs composantes technologiques. 13. Toute personne ou société visée à l article 1 doit mettre en œuvre les meilleures pratiques de l industrie concernant la journalisation logique des actifs informationnels et : 1 identifier les éléments qui doivent être contenus dans les journaux; 2 journaliser l authentification aux actifs informationnels et ses composantes technologiques avec les éléments suivants : la date et l heure de l authentification, le nom de l identifiant utilisé, et le message de confirmation de la réussite ou de l échec de l authentification; 3 protéger les journaux administrateurs et d opérations contre les modifications non autorisées; 4 favoriser la séparation des tâches de vérification des journaux par une ressource distincte des administrateurs des actifs informationnels; 5 synchroniser les actifs informationnels à l une des sources de référence indiquées à la Règle particulière sur la journalisation; 6 conserver les journaux logiques des actifs informationnels et des composantes technologiques pour une période d un an. SECTION VI CONTINUITÉ DES ACTIVITÉS 14. Toute personne ou société visée à l article 1 doit prévoir un plan de continuité des activités permettant de réduire les risques possibles de perte de service et, si nécessaire, de favoriser une reprise des activités dans les plus brefs délais. Le plan de continuité des activités doit être adapté selon la catégorisation des actifs informationnels, les impacts sur le continuum des soins et, le cas échéant, les ententes de gestion opérationnelle.

6 2013-06-20 15. Le déclenchement des opérations de continuité des activités lors d une situation de crise est considéré comme un incident de sécurité. La personne ou société visée à l article 1 doit alors mettre en œuvre le processus de gestion des incidents de sécurité tel que spécifié à la Règle particulière sur l obligation de déclaration d un incident de sécurité. SECTION VII SÉCURITÉ APPLICATIVE 16. Toute personne ou société visée à l article 1 doit mettre en place les processus, mécanismes, outils et ressources permettant d assurer la sécurité : 1 dans les actifs informationnels durant tout leur cycle de vie; 2 dans le développement d application, notamment la mise en place d un cadre normatif traitant des pratiques sécuritaires de développement et assurant la prise en charge des exigences de sécurité lors du développement ou de l acquisition de solutions technologiques. SECTION VIII REDDITION DE COMPTES 17. Toute personne ou société visée à l article 1 doit transmettre au DRI, sur demande, une mise à jour de ses analyses de risques associés à la sécurité logique. SECTION IX DISPOSITIONS FINALES 18. La présente règle particulière a été approuvée par le Conseil du trésor le 21 mai 2013 (C.T. 212626). 19. La présente règle particulière entre en vigueur le 20 juin 2013.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back