Politique d utilisation acceptable des données et des technologies de l information



Documents pareils
Politique de sécurité de l information

La protection de la vie privée et les appareils mobiles

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Politique de sécurité de l actif informationnel

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

Téléphone : Télécopieur : ATS : info@ipc.on.ca

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

Règlement sur l utilisation et la gestion des actifs informationnels

ISO/CEI 27001:2005 ISMS -Information Security Management System

Genworth MI Canada Inc.

SERVICES EN LIGNE DES SUBVENTIONS ET DES CONTRIBUTIONS

Conditions régissant les demandes en ligne de RBC Banque Royale

GEWISS FRANCE S.A.S. CODE D ETHIQUE INFORMATIQUE

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme

Securité de l information :

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

Réseau ONE Network. Sommaire de l évaluation de l impact sur la vie privée

Politique de confidentialité

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Réglement intérieur. Supélec Rézo

Rapport de certification

CHARTE INFORMATIQUE LGL

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

Concours $ de prix en argent offerts par le Programme d assurance automobile et habitation CIBC (le «Concours»)

Lignes directrices à l intention des praticiens

GLOSSAIRE DU SOUTIEN EN CAS DE RECOURS EN JUSTICE

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION

CHARTE WIFI ET INTERNET

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

STOCKAGE ET CONSERVATION DE L INFORMATION RELATIVE AUX CARTES DE CRÉDIT

LE VOL D IDENTITÉ ET VOUS

POLITIQUE DE GESTION LA GESTION DES DOCUMENTS ET DES ARCHIVES

Programme des Obligations d épargne du Canada. Guide d utilisation du serveur FTPS. Version 2.4

FORMULAIRE DE DEMANDE D INSCRIPTION À TITRE DE TRAVAILLEUSE OU TRAVAILLEUR SOCIAL

Atelier n 12 : Assistance à distance

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS

Rapport de certification

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

Toute utilisation du site doit respecter les présentes conditions d utilisation.

Information sur les programmes d autorisation préalable, de pharmacie désignée et de gestion des dossiers médicaux. Autorisation préalable

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

Club informatique Mont-Bruno Séances du 08 et 20 novembre 2013 Présentateur : Guy Bélanger Co-auteur : Réjean Côté

Comment protéger ses systèmes d'information légalement et à moindre coût?

S inscrire et ouvrir une session sur le site Web du nouveau FamilySearch

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

CESSATION DES OPÉRATIONS D ASSURANCE AU CANADA DES SOCIÉTÉS D ASSURANCES ÉTRANGÈRES

Sécurité. Tendance technologique

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Rapport de certification

DIRECTIVES ET NORMES EN MATIÈRE DE PRINCIPE

Guide pratique pour les clubs

Conditions Générales d Utilisation de l Espace adhérent

Accès réseau Banque-Carrefour par l Internet Version /06/2005

1. Étape: Activer le contrôle du compte utilisateur

NiceLabel pour Services Microsoft Windows Terminal Serveur et Citrix MetaFrame

Rapport de certification

Information sur l accés sécurisé aux services Baer Online Monaco

Skype est-il su r pour les juges?

Intégration du Système d information de laboratoire de l Ontario et de ConnexionRGT

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Obtenir le titre de prêteur. agréé. La clé qui ouvre de nouvelles portes AU CŒUR DE L HABITATION

MO-Call pour les Ordinateurs. Guide de l utilisateur

Banque a distance - 10 re flexes se curite

Rapport de certification

Les définitions suivantes ne s appliquent qu aux présentes Conditions d utilisation du Site API de Preva :

ISO/IEC Comparatif entre la version 2013 et la version 2005

Pour commencer à utiliser votre nouvel appareil LG G3

BANQUE À DISTANCE 10 RÉFLEXES SÉCURITÉ. N 4 LES GUIDES SÉCURITÉ BANCAIRE MAI 2015

CONSULTATION SUR PLACE

DIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN V.1.

Créer et partager des fichiers

SÉCURITÉ DES MOYENS D ACCÈS ET DE PAIEMENT

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

Rapport de certification

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

MANUEL DES POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

LETTRE D ENVOI POUR LES PORTEURS D ACTIONS DE HOMBURG INVEST INC.

Systèmes de communications Aastra Poste Aastra Guide de l utilisateur

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Guide d accompagnement à l intention des entreprises de services monétaires Demande de permis d exploitation

DAS Canada Legal Protection Insurance Company Limited. («DAS Canada») CONVENTION DE COURTAGE

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Outil d évaluation aux fins de la notification en cas d atteinte à la vie privée

Conditions générales d affaires concernant l utilisation du portail GastroSocial@net (CGA)

Pourquoi choisir ESET Business Solutions?

Fonds de capital-risque étranger ou de capital-investissement important Formulaire de demande pour investisseur admissible

Internet haute vitesse - Guide de l utilisateur. Bienvenue. haute vitesse

Je me familiarise avec le courrier électronique

Hébergement de base de données MySQL. Description du service (D après OGC - ITIL v3 - Service Design- Appendix F : Sample SLA and OLA)

OCRCVM Règles des courtiers membres Règle 2800 (auparavant le Principe directeur n o 5 de l ACCOVAM)

Généralités sur le courrier électronique

Bienvenue au service de Téléphonie résidentielle Cogeco

Transcription:

Politique d utilisation acceptable des données et des technologies de l information Connexion région du Grand Toronto (ConnexionRGT) Version 1.0

Avis de droit d auteur cybersanté Ontario, 2014. Tous droits réservés Il est interdit de reproduire le présent document, en totalité ou en partie, de quelque manière que ce soit, y compris en le photocopiant ou en le transférant en format électronique sur un ordinateur, sans d abord obtenir une autorisation écrite de cybersanté Ontario. Les renseignements présentés dans le présent document sont la propriété de cybersanté Ontario, et il est interdit de les utiliser ou de les divulguer, sauf autorisation écrite expresse de cybersanté Ontario. Marques de commerce Les autres noms de produits mentionnés dans le présent document peuvent être des marques de commerce ou des marques de commerce déposées, et sont ici reconnus comme étant la propriété de leurs entreprises respectives. Politique d utilisation acceptable des données et des technologies de l information 1.0 i

Gestion du document La version électronique du présent document est considérée comme la seule version valide. Historique des approbations APPROBATEURS DATE D APPROBATION Comité de protection de la vie privée et de sécurité de ConnexionRGT 2013-11-28 Historique des modifications NUMÉRO DE VERSION DATE RÉSUMÉ DES CHANGEMENTS AUTEUR DES CHANGEMENTS 1.0 2013-11-28 Approbation de la version par le Comité de protection de la vie privée et de sécurité de ConnexionRGT Comité de protection de la vie privée et de sécurité de ConnexionRGT Numéro d identification du document Degré de confidentialité du document Politique d utilisation acceptable des données et des technologies de l information 1.0 ii

1 Objectif La présente politique vise à définir les exigences en matière d utilisation visant les mandataires et les fournisseurs de services électroniques de la solution Connexion région du Grand Toronto (ConnexionRGT), ainsi que les dépositaires de renseignements sur la santé, leurs mandataires et leurs fournisseurs de services électroniques ayant accès à ConnexionRGT. Ces exigences visent à protéger la confidentialité, l intégrité et la disponibilité des renseignements personnels sur la santé stockés ou traités dans ConnexionRGT. 2 Portée La présente politique s applique : aux mandataires et aux fournisseurs de services électroniques de ConnexionRGT; aux dépositaires de renseignements sur la santé, à leurs mandataires et à leurs fournisseurs de services électroniques ayant accès à ConnexionRGT. La présente politique ne s applique pas : aux dépositaires de renseignements sur la santé, à leurs mandataires ou à leurs fournisseurs de services électroniques n ayant pas accès à ConnexionRGT. 3 Politique 3.1 Exigences visant les dépositaires de renseignements sur la santé, leurs mandataires et leurs fournisseurs de services électroniques Les dépositaires de renseignements sur la santé, leurs mandataires et leurs fournisseurs de services électroniques («tous les utilisateurs») doivent respecter les exigences suivantes : 3.1.1 Toujours se servir du nom d utilisateur et du mot de passe qui leur ont été assignés pour accéder à ConnexionRGT. 3.1.2 Ne jamais laisser une autre personne se servir de leur nom d utilisateur pour se connecter à ConnexionRGT. Tous les utilisateurs sont responsables des actions exécutées sur ConnexionRGT à l aide de leur nom d utilisateur. 3.1.3 Accéder à ConnexionRGT uniquement si leurs fonctions l exigent, s ils y sont expressément autorisés, s il est nécessaire de le faire (p. ex., pour fournir des soins de santé ou faciliter leur prestation), et conformément aux politiques de confidentialité liées à ConnexionRGT ou celles de leurs dépositaires de renseignements sur la santé respectifs. 3.1.4 Ne jamais désactiver ou outrepasser les mesures de contrôle de la sécurité de l information de ConnexionRGT. 3.1.5 Ne jamais tenter d exploiter des failles de sécurité potentielles de ConnexionRGT, même pour vérifier si elles existent vraiment, à moins cela ne fasse partie des tâches et responsabilités qui leur sont assignées dans le cadre de leur travail et que ConnexionRGT les y ait expressément autorisés. Politique d utilisation acceptable des données et des technologies de l information 1.0 1

3.1.6 Ne jamais réaliser sciemment une action qui nuira au fonctionnement normal de ConnexionRGT, ou tenter de perturber la solution en la rendant intentionnellement indisponible ou en portant atteinte à l intégrité des données qui y sont stockées ou traitées. 3.1.7 Respecter les modalités d utilisation de la solution ConnexionRGT. Envoi de renseignements personnels sur la santé par courriel 1 3.1.8 Envoyer des renseignements personnels sur la santé à ConnexionRGT par courriel uniquement si c est nécessaire pour offrir des soins de santé ou faciliter leur prestation ou dans le cadre du fonctionnement de ConnexionRGT, et si c est acceptable selon les politiques ou procédures relatives à ConnexionRGT ou celles de leurs dépositaires de renseignements sur la santé respectifs. 3.1.9 Chiffrer les courriels contenant des renseignements personnels sur la santé, utiliser une solution de transfert de fichiers sécuritaire ou se servir d un système de courriel sécuritaire et approuvé par leurs dépositaires de renseignements sur la santé respectifs ou ConnexionRGT. 3.1.10 Ne jamais envoyer de renseignements personnels sur la santé provenant de ConnexionRGT à l aide de comptes de courriel externes (p. ex., Hotmail ou Gmail), ou les faire envoyer à ce type de comptes. Création et protection de mots de passe 2 Tous les utilisateurs devraient respecter les exigences suivantes : 3.1.11 Utiliser des phrases (p. ex., «Ja1meLaP!zza») comme mots de passe pour accéder à ConnexionRGT. 3.1.12 Toujours créer des mots de passe composés de huit caractères minimum, lesquels entrent dans au moins trois des catégories suivantes : Chiffre Lettre majuscule Lettre minuscule Caractère spécial 3.1.13 Ne jamais créer de mots de passe qui comportent : une partie ou la totalité de leur nom d utilisateur; des renseignements personnels faciles à obtenir (p. ex., nom de membres de la famille ou d animaux de compagnie, dates de naissance, anniversaires, passe-temps); trois caractères consécutifs (p. ex., AAA). 3.1.14 Choisir des mots de passe facilement mémorisables, mais difficiles à deviner par d autres personnes. 3.1.15 Ne jamais modifier les mots de passe de manière facilement prévisible (p. ex., changer «Ja1meLaP!zza1» pour «Ja1meLaP!zza2»). 3.1.16 Employer des mots de passe différents de ceux d autres comptes (p. ex., compte de courriel de l établissement ou compte bancaire personnel). 1 Cette section ne s applique qu à l envoi par courriel de renseignements personnels sur la santé à ConnexionRGT. Elle ne vise pas les pratiques d envoi de courriel à l interne des dépositaires de renseignements sur la santé. 2 Cette section ne s applique qu aux mots de passe permettant d accéder directement à ConnexionRGT. Politique d utilisation acceptable des données et des technologies de l information 1.0 2

3.1.17 Mémoriser les mots de passe servant à accéder à ConnexionRGT. Les utilisateurs doivent éviter de tenir un registre de leurs mots de passe (p. ex., les inscrire sur une feuille ou dans un fichier), sauf : si ceux-ci peuvent être stockés de manière sécuritaire; si le nom d utilisateur n est pas indiqué ou s il s agit du mot de passe de la solution de connexion. 3.1.18 Garder secrets les mots de passe permettant d accéder à ConnexionRGT et ne jamais les révéler à quiconque, pas même à un administrateur du système, à un employé d un service de dépannage ou à un gestionnaire. 3.1.19 Changer immédiatement le mot de passe servant à accéder à ConnexionRGT s ils soupçonnent ou découvrent que celui-ci a été divulgué ou compromis. 3.1.20 Ne pas intégrer le nom d utilisateur ou le mot de passe permettant d accéder à ConnexionRGT dans un processus de connexion automatique (p. ex., macro-instruction ou touche de gestion programmable). 3.1.21 Toujours modifier le mot de passe initial fourni pour la première connexion à ConnexionRGT. Travail à distance 3.1.22 Utiliser une solution d accès à distance approuvée par ConnexionRGT ou les dépositaires de renseignements sur la santé (p. ex., réseau privé virtuel ou terminal) pour se connecter à distance à ConnexionRGT. 3.1.23 Suivre la procédure de déconnexion adéquate lors d un accès à distance à ConnexionRGT (p. ex., si la solution d accès à distance dispose d une fonction de déconnexion, utiliser cette dernière au lieu de simplement fermer l application). 3.1.24 Ne jamais accéder à ConnexionRGT dans un lieu où les personnes aux alentours peuvent voir les renseignements affichés à l écran (p. ex., cafés Internet, transports publics et autres lieux publics). Signalement des incidents liés à la sécurité de l information de ConnexionRGT 3.1.25 Signaler immédiatement les incidents présumés ou constatés relativement à la sécurité de l information de ConnexionRGT au premier point de contact responsable (p. ex., service de dépannage ou responsable de la protection de la vie privée). Sinon, le dépositaire de renseignements sur la santé peut demander aux mandataires de signaler l incident à leur gestionnaire ou superviseur, lequel avisera ensuite le premier point de contact. Voici des exemples d incidents liés à la sécurité de l information : Divulgation non autorisée de renseignements personnels sur la santé. Vol ou perte de technologies de l information contenant des renseignements personnels sur la santé ou ayant accès à ConnexionRGT (même si elles sont chiffrées). Contamination par virus ou logiciel malveillant d un appareil qui a accès à ConnexionRGT. Tentatives (réussies ou ratées) d accès non autorisé à ConnexionRGT. Mot de passe compromis (c est-à-dire qu une autre personne connaît votre mot de passe permettant d accéder à ConnexionRGT). 3.1.26 Offrir leur entière collaboration à ConnexionRGT, à ses mandataires ou à ses fournisseurs de services électroniques dans le cadre de toute enquête sur des incidents liés à la sécurité de l information. Politique d utilisation acceptable des données et des technologies de l information 1.0 3

3.2 Mandataires et fournisseurs de services électroniques de ConnexionRGT Les mandataires et les fournisseurs de services électroniques de ConnexionRGT («tous les utilisateurs») doivent respecter les exigences suivantes : 3.2.1 Toujours se servir du nom d utilisateur et du mot de passe qui leur ont été assignés pour accéder à ConnexionRGT. 3.2.2 Ne jamais laisser une autre personne se servir de leur nom d utilisateur pour se connecter à ConnexionRGT. Tous les utilisateurs sont responsables des actions exécutées sur ConnexionRGT à l aide de leur nom d utilisateur. 3.2.3 Accéder à ConnexionRGT uniquement si leurs fonctions l exigent, s ils y sont expressément autorisés, s il est nécessaire de le faire (p. ex., pour fournir des soins de santé ou faciliter leur prestation), et conformément aux politiques de confidentialité liées à ConnexionRGT. 3.2.4 Ne jamais désactiver ou outrepasser les mesures de contrôle de la sécurité de l information (p. ex., désactiver le logiciel antivirus de leur poste de travail). 3.2.5 Utiliser uniquement des appareils approuvés par ConnexionRGT pour accéder à ConnexionRGT. 3.2.6 Ne jamais tenter d exploiter des failles de sécurité potentielles, même pour vérifier si elles existent vraiment, à moins que cela ne fasse partie des tâches et responsabilités qui leur sont assignées dans le cadre de leur travail et que ConnexionRGT les y ait expressément autorisés. 3.2.7 Ne jamais réaliser sciemment une action qui nuira au fonctionnement normal de ConnexionRGT, ou tenter de perturber la solution en la rendant intentionnellement indisponible ou en portant atteinte à l intégrité des données qui y sont stockées ou traitées. 3.2.8 Respecter les modalités d utilisation de la solution ConnexionRGT. Protection des renseignements personnels sur la santé 3.2.9 Ne jamais discuter de renseignements personnels sur la santé avec une personne n ayant pas besoin de savoir ou qui n est pas autorisée à connaître ces renseignements. 3.2.10 Ne jamais discuter de renseignements personnels sur la santé dans des aires publiques, comme les ascenseurs, car la conversation pourrait facilement être entendue par des personnes n ayant pas besoin de savoir. 3.2.11 Garder les renseignements personnels sur la santé sous clé (p. ex., en plaçant les documents ou les supports de stockage amovibles dans une armoire qui ferme à clé) lorsqu ils sont laissés sans surveillance dans une aire non sécurisée, en particulier lorsque personne n est présent dans le bureau ou l aire en question. 3.2.12 Toujours fermer ou verrouiller la session des ordinateurs ou postes de travail laissés sans surveillance pour empêcher des personnes non autorisées de consulter les renseignements personnels sur la santé. 3.2.13 Stocker les renseignements personnels sur la santé uniquement sur des appareils ou réseaux de stockage approuvés par ConnexionRGT, et ne stocker que les renseignements nécessaires sur les supports de stockage amovibles chiffrés. 3.2.14 Toujours déchiqueter les documents papier contenant des renseignements personnels sur la santé ou les placer dans des boîtes sécurisées pour le déchiquetage lorsqu ils ne sont plus requis. 3.2.15 Respecter la procédure interne d élimination adéquate et sécuritaire des technologies de l information pouvant contenir des renseignements personnels sur la santé. Politique d utilisation acceptable des données et des technologies de l information 1.0 4

Envoi de renseignements personnels sur la santé par courriel 3.2.16 Envoyer des renseignements personnels sur la santé par courriel uniquement si c est nécessaire pour offrir des soins de santé ou faciliter leur prestation ou dans le cadre du fonctionnement de ConnexionRGT, et si c est acceptable selon les politiques ou procédures relatives à ConnexionRGT. 3.2.17 Chiffrer les courriels contenant des renseignements personnels sur la santé, utiliser une solution de transfert de fichiers sécuritaire ou se servir d un système de courriel sécuritaire et approuvé par ConnexionRGT. 3.2.18 Ne jamais envoyer de renseignements personnels à l aide de comptes de courriel externes (p. ex., Hotmail ou Gmail), ou les faire envoyer à ce type de comptes. Création et protection de mots de passe Tous les utilisateurs devraient respecter les exigences suivantes : 3.1.18 Utiliser des phrases (p. ex., «Ja1meLaP!zza») comme mots de passe. 3.2.19 Toujours créer des mots de passe composés de huit caractères minimum, lesquels entrent dans au moins trois des catégories suivantes : Chiffre Lettre majuscule Lettre minuscule Caractère spécial 3.2.21 Ne jamais créer de mots de passe qui comportent : une partie ou la totalité de leur nom d utilisateur; des renseignements personnels faciles à obtenir (p. ex., nom de membres de la famille ou d animaux de compagnie, dates de naissance, anniversaires, passe-temps); trois caractères consécutifs (p. ex., AAA). 3.2.22 Choisir des mots de passe facilement mémorisables, mais difficiles à deviner par d autres personnes. 3.2.23 Ne jamais modifier les mots de passe de manière facilement prévisible (p. ex., changer «Ja1meLaP!zza1» pour «Ja1meLaP!zza2»). 3.2.24 Employer des mots de passe différents de ceux d autres comptes (p. ex., compte de messagerie courriel de l établissement ou compte bancaire personnel). 3.2.25 Mémoriser les mots de passe. Les utilisateurs doivent éviter de tenir un registre de leurs mots de passe (p. ex., les inscrire sur une feuille ou dans un fichier), sauf : si ceux-ci peuvent être stockés de manière sécuritaire; si le nom d utilisateur n est pas indiqué, ou si le système d information ou la technologie de l information n est pas précisé. 3.2.26 Garder les mots de passe secrets et ne jamais les révéler à quiconque, pas même à un administrateur du système, à un employé d un service de dépannage ou à un gestionnaire. 3.2.27 Changer immédiatement le mot de passe s ils soupçonnent ou découvrent que celui-ci a été divulgué ou compromis. 3.2.28 Ne pas intégrer le nom d utilisateur ou le mot de passe dans un processus de connexion automatique (p. ex., macro-instruction ou touche de gestion programmable). 3.2.29 Toujours modifier le mot de passe initial fourni pour la première connexion. Politique d utilisation acceptable des données et des technologies de l information 1.0 5

Travail à distance 3.2.30 Utiliser une solution de connexion d accès à distance approuvée par ConnexionRGT (p. ex., réseau privé virtuel ou terminal) pour se connecter à distance à ConnexionRGT. 3.2.31 Suivre la procédure de déconnexion adéquate lors d un accès à distance (p. ex., si la solution d accès à distance dispose d une fonction de déconnexion, utiliser cette dernière au lieu de simplement fermer l application). 3.2.32 Ne jamais accéder à ConnexionRGT dans un lieu où les personnes aux alentours peuvent voir les renseignements affichés à l écran (p. ex., cafés Internet, transports publics et autres lieux publics). 3.2.33 Ne jamais laisser un appareil informatique mobile pouvant se connecter à ConnexionRGT sans surveillance dans un endroit public. 3.2.34 Lorsqu il est nécessaire de laisser un appareil informatique mobile dans un véhicule, le garder sous clé dans le coffre ou le placer hors de vue avant de partir. Sinon, il est préférable que vous l apportiez avec vous. Signalement des incidents liés à la sécurité de l information 3.2.35 Signaler immédiatement les incidents présumés ou constatés relativement à la sécurité de l information au premier point de contact responsable de ConnexionRGT (p. ex., un service de dépannage). Sinon, les mandataires peuvent signaler l incident à leur gestionnaire ou superviseur, lequel avisera ensuite le premier point de contact. Voici des exemples d incidents liés à la sécurité de l information : Divulgation non autorisée de renseignements personnels sur la santé. Vol ou perte de technologies de l information contenant des renseignements personnels sur la santé (même si elles sont chiffrées). Contamination par virus ou logiciel malveillant d un appareil qui a accès à ConnexionRGT. Tentatives (réussies ou ratées) d accès non autorisé à ConnexionRGT. Mot de passe compromis (c est-à-dire qu une autre personne connaît votre mot de passe). 3.2.36 Offrir leur entière collaboration à ConnexionRGT, à ses mandataires ou à ses fournisseurs de services électroniques dans le cadre de toute enquête sur des incidents liés à la sécurité de l information. 4 Dérogations Toute dérogation à la présente politique doit être approuvée par le Comité directeur, qui l autorisera seulement si elle est clairement justifiée et n a que la portée nécessaire pour satisfaire le besoin. (Le processus de demande de dérogation est décrit à l annexe A [Demandes de dérogation aux exigences en matière de sécurité de l information] de la Politique de sécurité de l information.) 5 Application Tous les cas de non-conformité doivent être examinés par le Comité de protection de la vie privée et de sécurité, lequel peut recommander des mesures appropriées au comité directeur. Le Comité directeur a le pouvoir d imposer des sanctions (allant jusqu à la révocation du privilège d accès des mandataires ou de l accord de participation conclu avec les dépositaires de renseignements sur la santé) ainsi que des mesures correctives. Politique d utilisation acceptable des données et des technologies de l information 1.0 6

6 Glossaire ConnexionRGT Le Répertoire ConnexionRGT des données cliniques et les systèmes de soutien destinés au stockage et à la consultation par voie électronique de certains renseignements personnels sur la santé provenant des systèmes des dépositaires de renseignements sur la santé (parfois indisponibles dans les services d archives provinciaux ou régionaux prévus) en vue de servir de guichet unique et de réduire la charge des systèmes sources. Ce terme n englobe pas les systèmes d information et les technologies de l information des dépositaires de renseignements sur la santé participants. Fournisseur de services électroniques Une personne ou une entité qui fournit des biens ou des services en vue de permettre à un dépositaire de renseignements sur la santé, par voie électronique, de recueillir, d utiliser, de modifier, de divulguer, de conserver ou d éliminer des renseignements personnels sur la santé, notamment le fournisseur d un réseau d information sur la santé. Technologie de l information Tout bien (matériel ou logique) servant à l acquisition, au stockage, à la manipulation, à la gestion, au transfert, au contrôle, à l affichage, à la commutation, à l échange, à la transmission ou à la réception automatiques de données ou de renseignements. Il peut s agir par exemple de matériel, de logiciels, de micrologiciels, d équipement auxiliaire ou de ressources connexes. Doit/doivent Ces termes indiquent des exigences non facultatives. Préférable ou devrait/devraient Ces termes sont employés lorsque les utilisateurs, dans certains cas, peuvent avoir des raisons valables de ne pas respecter l exigence. Toutefois, le responsable de la mise en œuvre doit être conscient des conséquences de ce geste et envisager d instaurer des mesures de contrôle compensatoires. Peut/peuvent L exigence n est en fait qu une recommandation, ou une liste d exemples qui ne se veut pas exhaustive. 7 Références et documents connexes Lois Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) Règlement de l Ontario 329/04, art. 6 Normes internationales ISO/CEI 27001:2005, Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences ISO/CEI 27002:2005, Technologies de l information Techniques de sécurité Code de bonne pratique pour le management de la sécurité de l information ISO/CEI 27005:2008, Technologies de l information Techniques de sécurité Gestion des risques liés à la sécurité de l information ISO 27799:2008, Informatique de santé Management de la sécurité de l information relative à la santé en utilisant l ISO/CEI 27002 Politique d utilisation acceptable des données et des technologies de l information 1.0 7

Documents liés à ConnexionRGT Politique de sécurité de l information Access Control and Identity Management Policy o o Local Registration Authority Procedures Identity Federation Standard Business Continuity Policy Cryptography Policy Electronic Service Providers Policy Information Security Incident Management Policy Information and Asset Management Policy Network and Operations Policy Security Logging and Monitoring Policy Systems Development Lifecycle Policy Physical Security Policy Threat Risk Management Policy Harmonized Privacy Protection Policies End User Agreement Conceptual Privacy Impact Assessment Conceptual Threat Risk Assessment Summary Privacy and Security Conceptual Architecture Inforoute Santé du Canada Autre Inforoute Santé du Canada, Dossier de santé électronique (DSE) Exigences en matière de protection de la confidentialité et de sécurité, version 1.1, révisé le 7 février 2005. Commissaire à l information et à la protection de la vie privée de l Ontario, Directives concernant la sécurité des transmissions par télécopieur, janvier 2003. 8 Gestion du document Numéro de la politique ConnexionRGT.PSPOL.102 Version 1.0 Politique d utilisation acceptable des données et des technologies de l information 1.0 8

Historique des versions Version 1.0 Approbation de la publication initiale Date d entrée en vigueur 20 janvier 2014 Date de la dernière révision 22 novembre 2013 Date de la prochaine révision Chaque année ou à la fréquence établie par le comité de la confidentialité et de la sécurité Politique d utilisation acceptable des données et des technologies de l information 1.0 9

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back