POLITIQUE RELATIVE A LA SECURITE DE L INFORMATION



Documents pareils
ÉTAPES CLÉS DE LA RÉPONSE AUX VIOLATIONS DU RESPECT DE LA

GUIDE DU PROGRAMME DE VÉRIFICATION DE LA CONFORMITÉ ET DE L UTILISATION DES DONNÉES DU FICHIER CENTRAL DES SINISTRES AUTOMOBILES

POLITIQUE DE REMUNERATION

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires de réponse aux incidents de sécurité

LE TABLEAU DE BORD REMONTEE DES COMPTES. Outils de gestion prévisionnelle, d'analyse financière et du contrôle de gestion. TABLE DES MATIERES

Approche générale de l OCRCVM pour l évaluation des risques de crédit liés aux contreparties

FICHE DE POSTE Fonction : Chef de Division Contrôle des opérations Financières FONCTION : CHEF DE DIVISION CONTRÔLE DES OPÉRATIONS FINANCIÈRES

Le dispositif de qualification OPQIBI pour les audits énergétiques (réglementaires)

LA SÉCURITÉ DES DONNÉES PERSONNELLES

Service de mobilité interbancaire - Règlement

Division des Statistiques du Commerce Extérieur

ITIL V3. Les principes de la conception des services

Les conditions générales de vente du SERVICE ZADS CLOUD

Pour répondre au besoin de sécurité juridique et de prévisibilité, la Loi type devrait traiter des questions suivantes:

Article I - Objet. Article II - Conditions d'utilisation de la eboutique

GUIDE D ENTRETIEN POUR LA PHASE 1

A toutes les Directrices et à tous les Directeurs des établissements scolaires de l enseignement secondaire et secondaire technique

RÈGLEMENT DU CONCOURS

LOGICIELS ET BASES DE DONNÉES PROTECTION ET VALORISATION

GRILLE DE PLANIFICATION DE STAGE

Service de mobilité interbancaire - Règlement

Conditions d utilisation du site Internet

IDENTIFICATION DU POSTE. N de l emploi : Contractuel. Intitulé du poste : Chargé de mission FC

Délibération n 01/2014

Il y a du nouveau dans les lois anticorruption - Aspects pratiques

GUIDE DU CANDIDAT REPRESENTANT EN ASSURANCE DE DOMMAGES DES PARTICULIERS. Préparation aux examens de l AMF. Pour : DESJARDINS ASSURANCES GENERALES

Ville de Pierrefitte-sur-Seine Centre Technique Municipal

Coefficient 4. L ACRC est validé par le contrôle des compétences suivantes :

REGLEMENT COMPLET Tentez de gagner une tablette tactile

En collaboration avec la direction territoriale du MFA

OFFRE D EMPLOI TEMPORAIRES

Vente de Capacités de Stockage de gaz du 13 mai 2015

Charte de l Association Suisse de Portage des Bébés (ASPB)

DSP compétences professionnelles région NPC Groupe de travail n 1

MARCHES PUBLICS DE TRAVAUX. Lot : n 3 PEINTURE. Objet du marché : RENOVATION DES BUREAUX 411, 412 et 413 BLOC III / Niveau 4 INRA SITE DE THEIX

Règlement du concours de POCKET FILM organisé par le Département de la Haute-Vienne

Programme Eau, Climat et Développement pour l'afrique. Termes de référence pour le recrutement d un Expert Socio/agro-économiste

Scénario 2 : La promesse

Fiche de projet pour les institutions publiques

Chap I : Economie d'entreprises

QSE DEVELOPPEMENT. Formations 2015 Qualité Sécurité Environnement. Cœur de compétences d une entreprise durable

CONVENTION D ACCÈS ÉLECTRONIQUE

CONVENTION DEPARTEMENTALE POUR LA LUTTE CONTRE LE TRAVAIL ILLEGAL DANS LE SECTEUR DU BATIMENT ET DES TRAVAUX PUBLICS DU DEPARTEMENT DE L ARDÈCHE

2 ) LA RESIDENCE URBAINE DE FRANCE

Direction Générale Infrastructures et Logistique Direction C - Ressources L-2929 LUXEMBOURG UNITE CONTRATS ET MARCHES PUBLICS BRUXELLES

ACCORD SUR LE RECOUVREMENT AMIABLE EN CREDIT A LA CONSOMMATION

LIVRET SERVICE QUADRA EXPERT ON DEMAND

Restitution. Enquête FNOGEC auprès des principaux éditeurs de logiciels. Mise en conformité aux normes SEPA

PROTECTION DES VARIÉTÉS VÉGÉTALES EN ARGENTINE

Les Très petites entreprises (TPE) et les Petites et moyennes entreprises (PME) représentent une source importante d emplois et d innovations.

Cible de Sécurité - Blancco DataCleaner+ v4.8

Groupe ERAMET. MODIFICATION CGT - Rajouter avenant 1 et 2 Paris le 18 octobre Préambule. 1. Salariés bénéficiaires

Description de service Dell

MÉCANISME D ATTRIBUTION DES CONTRATS PAR APPELS D OFFRES PUBLICS DE LA COMMISSION SCOLAIRE DE MONTRÉAL

Guide pour la rédaction d une Spécification Technique de Besoin (STB)

Livre Blanc. Que signifie "Sécurité de l'information"? 2. Pourquoi dois-je protéger mes informations? 3. Pourquoi procéder à un audit de sécurité?

MAITRISE UNIVERSITAIRE D ETUDES AVANCEES EN MEDECINE DENTAIRE

Archivage et valeur probatoire. Livre blanc

Description de service Dell

MISSIONS COMMERCIALES

REGLEMENT COMPLET «3D World Koksijde»

CONTRAT DE SOUSCRIPTION CA CERTIFICAT

SAP SAP ERP SAP ERP FINANCIALS

I N A M I Institut National d Assurance Maladie-Invalidité

Pour l étude d un logiciel documentaire : o Mener une réflexion technique sur les ressources d un logiciel documentaire : Caractériser le logiciel

CONSOLIDATION DES COMPTES - PRINCIPES. Exposés des principes liés aux participations et aux contrôles des sociétés, Exercices corrigés, Synthèse.

République Française Services du Premier Ministre

Coalition énergie et construction durable

Résumé des modifications apportées (Jan 1, 2015)

Colloque Rapport de l'atelier 1

Symantec Data Protection.cloud

Consultant Informatique, Monétique et Retail

Projet de renouvellement de l infrastructure informatique de la Mairie de Châtel-Guyon. Cahier des charges

L'ANALYSE DU BILAN PATRIMONIAL EN VALEURS NETTES. Approfondir l'analyse du bilan financier : retraitements du bilan comptable.

Marché public de prestations intellectuelles ETUDE PRELIMINAIRE DANS LE CADRE DE LA CONSTRUCTION D UNE DECHETERIE A PLAISANCE DU TOUCH (31)

CONTRAT DE SYNDIC (classique)

Manuel des coordonnateurs sur la protection de l enfant en situation d urgence GROUPE DE TRAVAIL SUR LA PROTECTION DE L ENFANT

PROCEDURE POUR UN BESOIN DE SANTE PARTICULIER «PBSP»

STATUTS DE L ASSOCIATION SUISSE DES AMIS DES GRANDES ECOLES (ASAGE)

Club des Léopards de Rouen

LE RVER EN UN COUP D ŒIL

PROCESSUS DE CERTIFICATION DES MONITEURS JE NAGE INFORMATIONS POUR LES MAITRE ÉVALUATEURS

Communauté de Communes du Rhône aux Gorges de l'ardèche

Description de service Dell

Contrat de service et de licence de sauvegarde en ligne Lenovo version entreprise AVIS IMPORTANT

Demande d Information : Solution de messagerie et outils collaboratifs pour l État

CONTROLEUR DE GESTION (H/F) Alternance 24 mois à Béziers

CONTEXTE DRSI Paris12 - Site de Créteil

Développement Durable et Énergies Renouvelables

RÈGLEMENT DE PARTICIPATION DES BOURSES "COOPÉRATIVES CITOYENNES"

Amandine CUER INDUSTRIELS! GAGNEZ DU TEMPS DANS VOS ECHANGES AVEC VOS INFORMATIQUE - INTERNET - TELECOMMUNICATIONS LA LETTRE D INFORMATION - MAI 2011

Bourse Étienne-Beauclair Banque Nationale

CAHIER DES CHARGES. Jean-Philippe Bonardi

Chap 10 : L évaluation et la valorisation du potentiel de l équipe commerciale

CONSEIL NATIONAL D ÉVALUATIONS DE LA FORMATION PROFESSIONNELLE APPEL D OFFRES

Transcription:

POLITIQUE RELATIVE A LA SECURITE DE L INFORMATION DIRECTION SYSTÈMES TECHNOLOGIQUES TECHNOLOGIES DE L INFORMATION ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 12 DÉCEMBRE 2014 PAR VOIE DE RÉSOLUTION NO 14 CA(AMT) 272

TITRE DE LA POLITIQUE: Date de l apprbatin initiale au cnseil d administratin : 2012 10 05 Date de l apprbatin de la mise à jur, le cas échéant 2014 12 12 Entrée en vigueur : Entrée en vigueur : Histrique des mdificatins Date Versin Rédacteur Cmmentaire 2012 07 31 v1.0 Sylvain Beaupré Versin initiale 2014 11 25 V1.1 Sylvain Beaupré Versin révisée Agence Métrplitaine de Transprt 2012 10 05 2014 12 12 Dcument référence : Directive sur l utilisatin des technlgies de l infrmatin Directive sur les incidents liés à la sécurité de l infrmatin Directive sur la sécurité de l explitatin TI et des applicatins Directive sur la gestin des changements affectant les ressurces infrmatinnelles Directive sur la gestin des accès lgiques et physiques Directive sur la sensibilisatin à la sécurité de l infrmatin Directive sur la sécurité des réseaux de télécmmunicatin Directive sur les audits de sécurité de l infrmatin Directive sur la classificatin des actifs infrmatinnels Directive sur les incidents liés à l'explitatin TI Directive sur le cmmerce électrnique Directive de reprise des technlgies de l infrmatin Directive sur la sécurité de l infrmatin guvernementale (Li sur l administratin publique, RLRQ, c. A 6.01, a. 66) Li sur la guvernance et la gestin des ressurces infrmatinnelles des rganismes publics et des entreprises du guvernement (RLRQ, c. G 1.03) Persnnes assujetties : Tus les emplyés de l AMT ainsi que tute persnne qui, par engagement cntractuel u autrement, qui utilise un actif infrmatinnel de l rganisatin u y a accès. Smmaire exécutif : Les bjectifs de l AMT en matière de sécurité de l infrmatin snt : d assurer la dispnibilité, l intégrité et la cnfidentialité à l égard de l utilisatin des réseaux infrmatiques, de l Internet et des actifs infrmatinnels; d assurer la cnfidentialité des renseignements persnnels, stratégiques, sensibles u critiques u prvenant des partenaires d affaires de l AMT; d assurer la cnfrmité aux lis et règlements applicables ainsi qu aux directives, nrmes et rientatins guvernementales. Respnsable de l émissin et mise à jur : Directeur principal des Technlgies de l infrmatin (TI) et Systèmes de transprts intelligents (STI), Dirigeant sectriel de l infrmatin (DSI), Respnsable rganisatinnel de la sécurité de l infrmatin (ROSI) PAGE 1

Agence Métrplitaine de Transprt TABLE DES MATIÈRES 1. CHAPITRE 1 CONTEXTE... 3 2. CHAPITRE 2 PORTÉE... 3 3. CHAPITRE 3 OBJECTIFS... 4 4. CHAPITRE 4 RESPECT DE LA POLITIQUE... 4 5. CHAPITRE 5 CADRE LEGAL ET ADMINISTRATIF... 5 6. CHAPITRE 6 PRINCIPES DIRECTEURS... 5 PROTECTION DES ACTIFS INFORMATIONNELS... 5 PROTECTION DES RENSEIGNEMENTS CONFIDENTIELS, SENSIBLES ET PERSONNELS... 6 L OBLIGATION DE RENDRE COMPTE... 7 ÉVALUATION DES RISQUES ET DES MESURES DE SÉCURITÉ... 7 CONTINUITÉ DES ACTIVITÉS DE L AMT... 7 SENSIBILISATION ET FORMATION... 7 DROIT DE REGARD... 7 SIGNALEMENT DES INCIDENTS... 7 DROIT DE PROPRIÉTÉ INTELLECTUELLE... 7 INTERNET, COURRIER ÉLECTRONIQUE ET AUTRES OUTILS DE TRAVAIL... 8 7. CHAPITRE 7 REVISION ET EVALUATION... 8 8. CHAPITRE 8 ROLES ET RESPONSABILITES EN MATIERE DE SECURITE DE L INFORMATION... 8 PRÉSIDENT DIRECTEUR GÉNÉRAL... 8 VICE PRÉSIDENT ADMINISTRATION ET FINANCES... 9 VICE PRÉSIDENT OPÉRATIONS... 9 DIRECTEUR PRINCIPAL DES TI ET STI, DSI, ROSI... 9 RESPONSABLE DES SYSTÈMES TECHNOLOGIQUES AUX TI ET STI, COSI, COGI... 9 UTILISATEURS D ACTIFS INFORMATIONNELS... 9 PROPRIÉTAIRES DES ACTIFS INFORMATIONNELS... 10 TOUTE AUTRE VICE PRÉSIDENCE OU DIRECTION RELEVANT DU PDG... 10 DIRECTEUR DE L AUDIT INTERNE... 10 DIRECTEUR DES RESSOURCES HUMAINES... 10 COMITÉ D AUDIT... 11 9. CHAPITRE 10 DATE D ENTREE EN VIGUEUR... 11 ANNEXE A : LEXIQUE... ERREUR! SIGNET NON DEFINI. ANNEXE B : LISTE DES DIRECTIVES DE SECURITE... 12 PAGE 2

1. CHAPITRE 1 CONTEXTE Agence Métrplitaine de Transprt En vertu de la Li sur l'agence métrplitaine de transprt (RLRQ, c. A 7.02), l AMT a pur missin de sutenir, dévelpper, crdnner et prmuvir le transprt cllectif, dnt les services spéciaux de transprt pur les persnnes handicapées, d'amélirer les services de trains de banlieue, d'en assurer le dévelppement, de favriser l'intégratin des services entre les différents mdes de transprt et d'augmenter l'efficacité des crridrs rutiers. L utilisatin des technlgies de l infrmatin à l AMT lui permet d entrepser, de traiter et de cmmuniquer l infrmatin sus plusieurs frmes afin de mener à bien sa missin. Cette infrmatin pssède une valeur légale, écnmique et administrative et est essentielle aux activités de l AMT. Pur ces raisns, la sécurité de l infrmatin, dans l rganisatin, revêt une imprtance stratégique. De plus, plusieurs lis et règlementatins impsent des exigences en matière de sécurité de l infrmatin, ntamment sur la prtectin des renseignements persnnels ainsi que sur l accès aux dcuments des rganismes publics. L AMT est assujettie à ces lis et règlements et dit s assurer du respect de ceux ci. En cnséquence, l AMT met en place la présente plitique de sécurité de l infrmatin qui riente et détermine l utilisatin apprpriée et sécuritaire de l infrmatin et des technlgies de l infrmatin. Cette plitique énnce les bjectifs et les principes directeurs guidant la mise en place d une structure de guvernance de la sécurité de l infrmatin au sein de l AMT. Elle a de plus été élabrée cnfrmément à la Directive de sécurité de l infrmatin Guvernementale, déculant de la «Li sur la guvernance et la gestin des ressurces infrmatinnelles des rganismes publics et des entreprises du guvernement (RLRQ, c.g 1.03)», ainsi que des meilleures pratiques de l industrie, des lis, des règlements, et des autres directives de l AMT. Les principes de base sur lesquels s appuie la présente plitique snt issus des nrmes ISO 27001 et 27002. 2. CHAPITRE 2 PORTÉE La présente plitique s applique à tus les emplyés de l AMT ainsi que tute persnne qui, par engagement cntractuel u autrement, qui utilise un actif infrmatinnel de l rganisatin u y a accès. De plus, cette plitique cuvre l ensemble des actifs infrmatinnels suivants : ceux appartenant à l AMT et explités par elle; ceux appartenant à l AMT et explités u détenus par un furnisseur de services u un tiers; ceux appartenant à un furnisseur de services u à un tiers, explités par lui, au prfit de l AMT. Finalement, cette plitique s applique à l ensemble des activités d utilisatin, de cllecte, d enregistrement, de traitement, de cnservatin, de destructin et de diffusin des actifs PAGE 3

Agence Métrplitaine de Transprt infrmatinnels de l AMT, que celles ci sient cnduites dans ses lcaux, dans un autre lieu u à distance. Dans la présente directive, nus définissns un actif infrmatinnel cmme suit : banque d infrmatin électrnique, système d infrmatin, réseau de télécmmunicatins, technlgie de l infrmatin, installatin u ensemble de ces éléments ; un équipement ferrviaire peut cmprter des cmpsantes qui fnt partie des actifs infrmatinnels, ntamment lrsqu il est relié de façn électrnique à des actifs infrmatinnels. S ajutent, dans le présent cadre de gestin, les dcuments imprimés u nn générés par les technlgies de l infrmatin. 3. CHAPITRE 3 OBJECTIFS La présente plitique a pur bjectif d affirmer l engagement de l AMT à s acquitter pleinement de ses bligatins à l égard de la sécurité de l infrmatin, quel que sit sn supprt u sn myen de cmmunicatin. Plus précisément, il s agit d assurer, tut au lng du cycle de vie de l infrmatin, sa dispnibilité, sn intégrité et sa cnfidentialité. La plitique de sécurité de l infrmatin exprime la psitin de l AMT cncernant les mesures de sécurité cnsidérées cmme essentielles à la prtectin de ses actifs infrmatinnels. Elle vise à assurer le respect de tute législatin à l égard de l usage des technlgies de l infrmatin et des télécmmunicatins. L bjectif est, d une part, d atténuer les risques auxquels peuvent être expsés les actifs infrmatinnels détenus et explités par l rganisatin et, d autre part, de déplyer les mesures de prtectin adéquates. Ainsi, les risques d atteinte à la vie privée, d attaque des systèmes de l AMT, u de vl de dnnées snt réduits de façn à assurer la prtectin des renseignements persnnels et cnfidentiels. Plus spécifiquement, cette plitique est établie dans le but de mettre en place des mesures et des mécanismes administratifs et de cntrôle afin d assurer le respect des drits et des bligatins des emplyés de l AMT, de ses furnisseurs et partenaires d affaires. Les bjectifs de l AMT en matière de sécurité de l infrmatin snt : d assurer la dispnibilité, l intégrité et la cnfidentialité à l égard de l utilisatin des réseaux infrmatiques et de l ensemble des actifs infrmatinnels de l AMT; d assurer la cnfidentialité des renseignements persnnels, stratégiques, sensibles u critiques u prvenant des partenaires d affaires de l AMT; d assurer la cnfrmité aux lis et règlements applicables ainsi qu aux directives, nrmes et rientatins guvernementales. 4. CHAPITRE 4 RESPECT DE LA POLITIQUE Le respect de la présente plitique est essentiel au bn fnctinnement des activités de l AMT et permet à l AMT de supprter ses effrts pur préserver la cnfidentialité, l intégrité et la dispnibilité de l infrmatin. PAGE 4

Agence Métrplitaine de Transprt Le nn respect, par un utilisateur d actif infrmatinnel, de cette plitique émise par l AMT peut entrainer des mesures disciplinaires puvant aller jusqu au cngédiement u à la terminaisn d un cntrat, sus réserve de tut autre recurs légal. 5. CHAPITRE 5 CADRE LEGAL ET ADMINISTRATIF Les principales lis, énumérées ci dessus, servent de références à la présente plitique de sécurité de l infrmatin : les lis d applicatin générale ntamment le Cde civil du Québec, le Cde criminel, la Li cncernant le cadre juridique des technlgies de l infrmatin (RLRQ, c.c 1.1), la Li sur l accès aux dcuments des rganismes publics et sur la prtectin des renseignements persnnels (RLRQ, c. A 2.1), la Li sur la guvernance et la gestin des ressurces infrmatinnelles des rganismes publics et des entreprises du guvernement (RLRQ, c. G 1.03); la li d applicatin spécifique qui encadre la missin de l AMT : Li sur l Agence Métrplitaine de Transprt (RLRQ, c.a 7.02). 6. CHAPITRE 6 PRINCIPES DIRECTEURS PROTECTION DES ACTIFS INFORMATIONNELS La mise en œuvre et la gestin de la sécurité de l infrmatin tiennent cmpte des aspects humains, rganisatinnels, financiers, juridiques et techniques, et demande la mise en place d un ensemble de mesures crdnnées. À cet égard, la prtectin des actifs infrmatinnels de l AMT dit s effectuer cnfrmément aux directives de sécurité de l infrmatin émises par l AMT et appruvées par le cmité de directin de l AMT, dnt une liste se truve à l annexe A. Les mesures de prtectin s appuient sur l identificatin et l évaluatin annuelle des risques qui menacent la cnfidentialité, l intégrité, la dispnibilité des actifs infrmatinnels de même que la cntinuité des activités, et ce cnfrmément aux directives de sécurité énumérées en début de sectin. Ces mesures de prtectin divent permettre de minimiser les risques et les impacts afin de les maintenir à un niveau acceptable pur l rganisatin. En utre, une évaluatin des risques dit être effectuée avant de prcéder à une acquisitin u à un changement imprtant au système d infrmatin u à l infrastructure infrmatinnelle. Les actifs infrmatinnels snt assignés à un prpriétaire d actif infrmatinnel : ils divent être inventriés et catégrisés, et ce cnfrmément à la directive sur la classificatin des actifs infrmatinnels. Le niveau de prtectin accrdé aux actifs infrmatinnels est fnctin de leur sensibilité et des exigences qui y snt liées pur assurer leur sécurité. La gestin de la sécurité de l infrmatin dit être incluse et appliquée tut au lng du prcessus menant à l acquisitin, au dévelppement, à l utilisatin, au remplacement u la destructin d un actif infrmatinnel par u pur l AMT, et ce cnfrmément aux directives de sécurité énumérées en début de sectin. L AMT s assure du maintien de l infrastructure technlgique et prend les mesures apprpriées pur assurer la sécurité des dnnées, et ce cnfrmément aux directives de sécurité énumérées en début de PAGE 5

Agence Métrplitaine de Transprt sectin. Cmme cette infrastructure est indispensable au bn fnctinnement de l rganisatin, des myens apprpriés snt déplyés afin de réduire à un niveau acceptable pur l AMT les risques de pannes et ffrir un envirnnement stable aux intervenants. Dans ce but, des mécanismes de surveillance snt prévus afin de détecter les défaillances des systèmes ainsi que tute pératin nn autrisée u malveillante. L AMT prtège ses ressurces infrmatinnelles cntre les menaces d atteinte à la sécurité et les dangers ptentiels pur sn envirnnement tels que : incendie, inndatin, survltage, cupures de curant, accès illégal aux lcaux. Des mesures de sécurité physique snt déplyées seln la nature des lieux et des actifs infrmatinnels à prtéger. De manière à assurer la prtectin des infrmatins, l accès aux lcaux et aux actifs infrmatinnels dit être cntrôlé pur empêcher tut accès nn autrisé, tut dmmage u tute intrusin. Les cntrôles d accès snt mis en place pur permettre u restreindre l accès à des znes de l rganisatin seln leur degré de sensibilité, et ce cnfrmément à la directive sur la gestin des accès physiques et lgiques. Ainsi, les accès aux actifs infrmatinnels snt attribués à l intervenant autrisé en fnctin de ce qui lui est nécessaire pur l exécutin de ses tâches, et en fnctin de sn rôle et de ses respnsabilités. Une révisin annuelle des accès est prévue. Les ententes et cntrats dnt l AMT est partie prenante divent cntenir des dispsitins garantissant le respect des exigences en matière de sécurité et de prtectin de l infrmatin, et ce cnfrmément aux directives de sécurité énumérées en début de sectin. PROTECTION DES RENSEIGNEMENTS CONFIDENTIELS, SENSIBLES ET PERSONNELS Tute infrmatin cnsidérée cmme cnfidentielle u sensible, cnfrmément à la directive sur la classificatin des actifs infrmatinnels, dit être prtégée cntre l accès nn autrisé u illicite. Snt ntamment cnsidérées cnfidentielles les infrmatins nminatives ainsi que les infrmatins dnt la divulgatin aurait pur effet sit de réduire l efficacité d un dispsitif de sécurité destiné à la prtectin d un bien u d une persnne, sit de rendre publics des éléments puvant entraver la bnne marche des prjets menés par l AMT u l atteinte de ses bjectifs stratégiques. L'accès aux renseignements persnnels des utilisateurs, u des partenaires d affaires, par le persnnel de l AMT et tute autre persnne physique u mrale qui accède les renseignements pur le cmpte de l AMT dit : 1) Être autrisé et cntrôlé. Chaque système dit prévir des drits d'accès différents seln les respnsabilités des utilisateurs u partenaires d affaires; 2) L AMT dit btenir le cnsentement préalable. Les renseignements persnnels ne divent être utilisés qu aux fins pur lesquelles ils nt été recueillis u btenus. Finalement, les infrmatins cncernant les cartes de paiements/crédit et leurs détenteurs, divent être prtégées cnfrmément à la directive sur le cmmence électrnique. PAGE 6

Agence Métrplitaine de Transprt L OBLIGATION DE RENDRE COMPTE Tute persnne ayant accès aux actifs infrmatinnels de l AMT assume des respnsabilités spécifiques en matière de sécurité de l infrmatin et est redevable de ses actins auprès de la directin de l AMT. Tute persnne œuvrant à l AMT a l bligatin de prtéger les actifs infrmatinnels mis à sa dispsitin en les utilisant avec discernement et aux seules fins prévues, et ce cnfrmément à la directive sur l utilisatin des technlgies de l infrmatin. ÉVALUATION DES RISQUES ET DES MESURES DE SÉCURITÉ Une évaluatin annuelle des risques et des mesures de prtectin des actifs infrmatinnels dit être effectuée afin d btenir l assurance qu il y a adéquatin entre les risques u menaces et les mesures de prtectin déplyées. CONTINUITÉ DES ACTIVITÉS DE L AMT L AMT dit dispser de mesures d urgence issues de sn plan de cntinuité d affaires, cnsignées par écrit, validées et mises à jur en vue d assurer la mise en pératin des systèmes d infrmatin jugés essentiels en cas de sinistre majeur, et ce cnfrmément à la directive de reprise des technlgies de l infrmatin. SENSIBILISATION ET FORMATION Un prgramme cntinu de sensibilisatin et de frmatin à la sécurité de l infrmatin dit être mis en place à l intentin du persnnel de l'amt. Le persnnel dit être frmé sur les prcédures de sécurité de l infrmatin et sur l utilisatin crrecte des actifs infrmatinnels afin de minimiser les risques d un ptentiel défaut de sécurité, et ce cnfrmément à la directive sur la sensibilisatin à la sécurité de l infrmatin. DROIT DE REGARD Les actifs infrmatinnels snt la prpriété de l AMT et, de ce fait, l AMT a un drit de regard sur l utilisatin de ses actifs infrmatinnels par sn persnnel, ses partenaires, ses furnisseurs, ses mandataires et ses clients. Les circnstances qui justifient le recurs à ce drit de regard divent être clairement définies et diffusées. SIGNALEMENT DES INCIDENTS Tut utilisateur d actif infrmatinnel a l bligatin de signaler sans tarder tut acte susceptible de représenter une vilatin réelle des règles de sécurité tel que vl, intrusin dans un réseau u système, dmmages délibérés, fraude, utilisatin abusive u inapprpriée, cnfrmément à la Plitique et prcédures de signalement en matière de fraudes et d irrégularités adptée par le cnseil d administratin le 12 février 2010. Il dit de plus signaler les incidents cnfrmément à la directive sur les incidents liés à la sécurité de l infrmatin et à la directive sur les incidents liés à l explitatin TI. DROIT DE PROPRIÉTÉ INTELLECTUELLE Les utilisateurs d actifs infrmatinnels divent se cnfrmer aux exigences légales sur l utilisatin de prduits à l égard desquels il purrait y avir des drits de prpriété intellectuelle et sur l utilisatin de prduits lgiciels prpriétaires. PAGE 7

Agence Métrplitaine de Transprt INTERNET, COURRIER ÉLECTRONIQUE ET AUTRES OUTILS DE TRAVAIL L AMT met à la dispsitin des utilisateurs d actifs infrmatinnels l Internet, le currier électrnique et autres utils de gestin et d échange d infrmatin qui divent être utilisés cnfrmément au Cde d éthique et de déntlgie des emplyés de l AMT ainsi qu à la directive sur l utilisatin des technlgies de l infrmatin. 7. CHAPITRE 7 REVISION ET EVALUATION La présente plitique dit être révisée annuellement et mdifiée lrsque nécessaire. Tut changement dans les nrmes, les systèmes u tute recmmandatin suite à vérificatin u incident majeur purra entraîner une mdificatin de ladite plitique. 8. CHAPITRE 8 ROLES ET RESPONSABILITES EN MATIERE DE SECURITE DE L INFORMATION Ci dessus est présentée la liste nn exhaustive des intervenants impliqués dans cette plitique: Le Président directeur général (PDG); Le Vice président Administratin et Finances; Le Vice président Opératins; Le Directeur principal des Technlgies de l infrmatin (TI) et Systèmes de transprts intelligents (STI), Dirigeant sectriel de l infrmatin (DSI), Respnsable rganisatinnel de la sécurité de l infrmatin (ROSI); Le respnsable des systèmes technlgiques aux TI et STI, Cnseiller rganisatinnel en sécurité de l infrmatin (COSI), Crdnnateur rganisatinnel de gestin des incidents (COGI); Les utilisateurs d actifs infrmatinnels; Les prpriétaires d actifs infrmatinnels; Tute autre vice présidence u directin relevant du PDG; Le directeur de l audit interne; Le directeur des ressurces humaines; Le cmité d audit. PRÉSIDENT DIRECTEUR GÉNÉRAL Le président directeur général, en tant que respnsable ultime, définit les valeurs et les rientatins en matière de sécurité des actifs infrmatinnels et assure le respect et l applicatin des lis et plitiques relatives à la gestin de la sécurité au sein de l AMT. PAGE 8

Agence Métrplitaine de Transprt Il s assure que les rientatins prises en matière de sécurité snt chérentes avec les plitiques, les directives et autres dispsitins décidées par le guvernement du Québec à ce sujet. VICE PRÉSIDENT ADMINISTRATION ET FINANCES d assurer la crdinatin des prjets de sécurité de l infrmatin; d assurer une pririsatin adéquate des dssiers de sécurité des actifs infrmatinnels. VICE PRÉSIDENT OPÉRATIONS Le vice président pératins agit à titre de gestinnaire de la sécurité physique des lieux et des persnnes. Il est respnsable du cntrôle des accès physiques aux immeubles et équipements de l AMT. DIRECTEUR PRINCIPAL DES TI ET STI, DSI, ROSI Persnne respnsable de la sécurité de l infrmatin de l AMT, il est respnsable de la mise en place, la cmmunicatin, l applicatin et la révisin des plitiques et directives guvernementales et rganisatinnelles en cette matière. Cette persnne détient le rôle d intervenant stratégique en situatin de crise, en plus d être respnsable de l alignement des TI et STI avec la missin de l rganisatin. En tant que DSI, elle veille à l applicatin des règles de guvernance et de gestin établies en matière de sécurité de l infrmatin. À titre de ROSI, cet individu est le prte parle du dirigeant principal de l infrmatin (Cnseil du trésr) auprès de sn rganisatin. RESPONSABLE DES SYSTÈMES TECHNOLOGIQUES AUX TI ET STI, COSI, COGI Relevant de la directin des technlgies de l infrmatin (TI) et Systèmes de transprts intelligents (STI), persnne ayant la respnsabilité d autriser, lrsque nécessaire, les demandes de changement et d accès reliées à la sécurité u aux infrastructures infrmatiques. Le respnsable détient le rôle d intervenant tactique en situatin de crise en plus d élabrer des plans et slutins de relève de l rganisme. Il est respnsable de la mise en applicatin de la sécurité de l infrmatin. Le COSI apprte sn sutien au ROSI au niveau tactique. Par exemple la mise en œuvre des mesures de mitigatin des risques et la mise en œuvre des prcessus frmels de sécurité. Il est respnsable de prduire des bilans et des plans d actin de sécurité. Le COGI participe au réseau d alerte guvernementale, cntribue à la mise en place du prcessus de gestin des incidents, cntribue aux analyses de risque, élabre des guides prtant sur la sécurité. Cette persnne est respnsable d assurer le respect des directives guvernementales et rganisatinnelles. UTILISATEURS D ACTIFS INFORMATIONNELS Tute persnne de l rganisatin de quelque catégrie d empli, de statut d emplyé ainsi que tute persnne qui, par engagement cntractuel u autrement, utilise un actif infrmatinnel de l rganisatin u y a accès. Le rôle des utilisateurs d actifs infrmatinnels est : de prendre cnnaissance et d adhérer à la plitique de sécurité de l infrmatin; PAGE 9

Agence Métrplitaine de Transprt d utiliser les actifs infrmatinnels en se limitant aux fins pur lesquelles ils snt destinés et dans le strict cadre des accès qui leur snt autrisés; de se cnfrmer aux directives établies, dans le respect des dispsitins de la plitique de sécurité de l infrmatin de l AMT. PROPRIÉTAIRES DES ACTIFS INFORMATIONNELS Persnne ayant la respnsabilité d appruver, lrsque nécessaire, les demandes d accès reliées aux slutins applicatives. Cette persnne est également respnsable de s assurer que les cnsignes et règles d'utilisatin des ressurces infrmatinnelles sient cnnues et respectées pur l'actif infrmatinnel dnt elle est la prpriétaire. Le prpriétaire est également respnsable de cnduire la revue des privilèges accrdés aux utilisateurs des actifs infrmatinnels. TOUTE AUTRE VICE PRÉSIDENCE OU DIRECTION RELEVANT DU PDG Les principales respnsabilités des autres vice présidences à l égard de la prtectin des actifs infrmatinnels de l AMT snt : d infrmer et de sensibiliser leur persnnel quant aux dispsitins de la plitique de sécurité de l infrmatin de l AMT et des mdalités de sa mise en œuvre; de s assurer que les ressurces infrmatinnelles snt utilisées en cnfrmité avec les principes généraux et avec les exigences de la présente plitique; de répndre de l utilisatin des actifs infrmatinnels de l AMT faite par leur persnnel. DIRECTEUR DE L AUDIT INTERNE Le directeur de l audit interne effectue des examens de cnfrmité indépendants de l efficacité des cntrôles qui s inscrivent dans les activités de la prtectin des actifs infrmatinnels de l AMT, et ce, dans un cntexte de gestin intégrée des risques. Le directeur de l audit interne jue un rôle clé dans la redditin de cmptes en matière de sécurité de l infrmatin, plus particulièrement au regard de l identificatin, de l évaluatin et de la gestin des risques d atteinte à la sécurité de l infrmatin. À ce titre, il évalue, examine u vérifie, ntamment : l applicatin, la validité et l efficacité des règles, des mesures administratives et des myens technlgiques en matière de sécurité de l infrmatin élabrés et mis en œuvre; l adéquatin de l intégratin de la sécurité de l infrmatin dans les prcessus d affaires. DIRECTEUR DES RESSOURCES HUMAINES Cette persnne, en cllabratin avec les membres de l équipe des ressurces humaines, s assure d btenir l engagement des utilisateurs d actifs infrmatinnels quant au respect du Cde d éthique de l AMT, de la plitique relative à la sécurité de l infrmatin et des directives liées à la sécurité de l infrmatin, en plus de cntribuer à la sensibilisatin de ces derniers à la sécurité de l infrmatin. PAGE 10

Agence Métrplitaine de Transprt COMITÉ D AUDIT Le cmité d audit a pur missin : Veiller à ce que des mécanismes de cntrôle interne sient mis en place et s assurer qu ils sient adéquats et efficaces; S assurer que sit mis en place un prcessus d évaluatin et de gestin des risques; Passer en revue péridiquement les lignes directrices et les plitiques guidant le traitement des principaux risques et des mesures prises par la directin pur surveiller et cntrôler ces risques, y cmpris les risques liés à la fraude; D aviser par écrit le cnseil d administratin dès qu il décuvre des pératins u des pratiques de gestin qui ne snt pas saines u qui ne snt pas cnfrmes aux lis u aux plitiques. 9. CHAPITRE 10 DATE D ENTREE EN VIGUEUR La présente plitique entre en vigueur à la date de sn apprbatin par le cnseil d administratin. PAGE 11

Agence Métrplitaine de Transprt ANNEXE A : LISTE DES DIRECTIVES DE SECURITE Ci dessus est présenté la liste des directives qui énncées par l AMT qui cmplémente la plitique de sécurité de l infrmatin de l AMT : Directive sur la classificatin des actifs infrmatinnels : Prpser une méthde pur répertrier les actifs infrmatinnels et leur assigner un niveau de cnfidentialité, d intégrité u de dispnibilité. Directive sur la gestin des accès physiques et lgiques : Identifier les aspects à prendre en cmpte dans le cadre du cntrôle de l accès aux actifs infrmatinnels. Directive sur la reprise des technlgies de l infrmatin : Identifier les actins à mettre en place afin de prtéger les prcessus cruciaux de l rganisatin cntre les effets des défaillances majeures u des sinistres infrmatiques. Directive sur les incidents liés à la sécurité de l infrmatin : Présenter un mde de ntificatin et gestin des évènements liés à la sécurité de l infrmatin qui permette la mise en œuvre d une actin crrective dans des délais raisnnables. Directive sur la sensibilisatin à la sécurité de l infrmatin : Énncer les éléments à prendre en cmpte pur la frmatin et la sensibilisatin des utilisateurs d actifs infrmatinnels sur la sécurité de l infrmatin. Directive sur l utilisatin des technlgies de l infrmatin : Définir les règles minimales que tut utilisateur d actifs infrmatinnels de l AMT u tut autre utilisateur d actifs infrmatinnels ccasinnel dit respecter lrs de l utilisatin des technlgies de l Infrmatin mises à sa dispsitin, ceci cmprend la cnduite raisnnable, respnsable et respectueuse des règles d éthique. Directive sur la sécurité de l explitatin TI et des applicatins: Dcumenter les éléments de sécurité à prendre en cmpte dans les activités de prductin et de traitement de l infrmatin, telles que les prcédures de démarrage/arrêt des infrastructures technlgiques, la sauvegarde, la maintenance du matériel, la manipulatin des supprts, sécurité des infrastructures technlgiques. PAGE 12

Agence Métrplitaine de Transprt Directive sur les incidents liés à l'explitatin: Présenter un mde de ntificatin des évènements liés aux incidents de l explitatin qui permette la mise en œuvre d une actin crrective dans des délais raisnnables. Directive sur la sécurité des réseaux de télécmmunicatin : Expser les mesures de prtectin des actifs infrmatinnels sur les réseaux et la prtectin de l infrastructure sur lesquels ils s appuient. Directive sur les audits de la sécurité de l infrmatin : Préciser cmment sera menée l analyse péridique de la sécurité des actifs infrmatinnels afin d'en dégager les pints faibles et/u nn cnfrmes, et de mener les actins crrectives des écarts et dysfnctinnements cnstatés. Directive sur la gestin des changements affectant les actifs infrmatinnels : Présenter un prcessus de gestin des demandes de changements affectant les systèmes d explitatin, bases de dnnées, lgiciels et applicatins. Directive sur le cmmerce électrnique Expser les requis de sécurité de l infrmatin de manière à prtéger les infrmatins de la clientèle de l AMT dans le cntexte de cmmerce électrnique, et plus particulière en regard à la nrme PCI DSS et les lis sur la prtectin des renseignements persnnels. PAGE 13

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back