Politique de sécurité de l information. Adoptée par le Conseil d administration



Documents pareils
Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Politique de sécurité de l information

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Politique de sécurité de l actif informationnel

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

Politique de gestion documentaire

RECUEIL POLITIQUE DES

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

Politique numéro 42 POLITIQUE DE GESTION DOCUMENTAIRE

Politique de gestion documentaire

La classification des actifs informationnels au Mouvement Desjardins

POLITIQUE DE GESTION LA GESTION DES DOCUMENTS ET DES ARCHIVES

L impact d un incident de sécurité pour le citoyen et l entreprise

SERVICES DU SECRÉTARIAT GÉNÉRAL POLITIQUE RELATIVE À LA GESTION DE DOCUMENTS

Projet. Politique de gestion des documents et archives. Service du greffe (Avril 2012)

Orientations pour la gestion documentaire des courriels au gouvernement du Québec

Règlement sur l utilisation et la gestion des actifs informationnels

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010)

POLITIQUE DE GESTION DES DOCUMENTS ADMINISTRATIFS

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

Politique sur l accès aux documents et sur la protection des renseignements personnels

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

MANUEL DES POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS

Édition : La Direction des communications du ministère de la Santé et des Services sociaux

Politique Utilisation des actifs informationnels

Comité conseil en matière de prévention et sécurité des personnes et des biens Octobre 2013

Politique relative au programme de gestion et de garde des documents semiactifs des professeurs et des organismes résidant

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Charte d audit du groupe Dexia

POLITIQUE DE GESTION DES DOCUMENTS

Politique de gestion des documents administratifs et des archives

GESTION DES DOCUMENTS

Charte du Bureau de l ombudsman des clients de la Banque Nationale

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

POLITIQUE DE GESTION DES DOCUMENTS ADMINISTRATIFS

Cahier des Clauses Techniques Particulières

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

SCARM Direction de l approvisionnement Ville de Montréal Mars 2013

Lignes directrices à l intention des praticiens

Université du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r.

RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

Politique de sécurité des actifs informationnels

L application doit être validée et l infrastructure informatique doit être qualifiée.

POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS

6.1 L UNIVERSITÉ RECHERCHE

LICENCE SNCF OPEN DATA

LIGNE DIRECTRICE SUR LA CONFORMITÉ

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

CONDITIONS GENERALES

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

CHARTE D UTILISATION DU SITE

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

POLITIQUE ET PROCÉDURES DE GESTION DOCUMENTAIRE

DIRECTIVES ET NORMES EN MATIÈRE DE PRINCIPE

Opérations entre apparentés

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Université de Lausanne

RÈGLEMENT. sur la collaboration avec les intermédiaires

SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION

3.1 Politique de gestion et de conservation des documents (Résolution : C.C )

CHARTE DU COMITÉ DES RESSOURCES HUMAINES ET DE RÉMUNÉRATION DU CONSEIL D ADMINISTRATION DE TIM HORTONS INC.

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS

Politique relative à la gestion des documents actifs, semiactifs

GUIDE DE SOUMISSION D UN PROJET DE RECHERCHE

Politique concernant la sécurité de l information. Version 1.1

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Recommandation pour la gestion des archives

Plan de travail du Bureau de l audit et de la surveillance du FIDA pour 2011

Le b.a.-ba de la gestion des archives pour les organismes publics décentralisés et pour les sociétés à but non lucratif

GESTION DU DOSSIER SCOLAIRE DE L ÉLÈVE. Adoption le Amendement le Mise en vigueur le 6 mai 2004 Résolution #

Banque Zag. Troisième pilier de Bâle II et III Exigences de divulgation. 31 décembre 2013

Gestion Administration

Politique en matière de traitement des demandes d'information et des réclamations

Programme d appui à la prévention et la prise en charge de la malnutrition aigüe sévère au Mali

Conseil de recherches en sciences humaines du Canada

IFAC Board. Prise de position définitive. Mars Norme internationale d audit (ISA)

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

Conditions générales concernant la fourniture de prestations informatiques par HMS Hauri Micro Solutions - Backup et restauration - "Conditions MSP"

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

GUIDE POUR ÉLABORER LE PORTRAIT DOCUMENTAIRE D'UN POSTE DE CLASSEMENT DES DOCUMENTS ADMINISTRATIFS

Les principes du professionnalisme

CONDITIONS GENERALES D ACHAT

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

CONDITIONS PARTICULIERES

GLOSSAIRE DU SOUTIEN EN CAS DE RECOURS EN JUSTICE

Management de la sécurité des technologies de l information

Qu est-ce qu un système d Information? 1

Charte de Qualité sur l assurance vie

CODE DE CONDUITE ET D ÉTHIQUE DES ADMINISRATEURS

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

AVIS CONCERNANT LE SYSTÈME DE GESTION DES DEMANDES D ÉVALUATION DU BUREAU D ÉVALUATION MÉDICALE DU MINISTÈRE DU TRAVAIL DOSSIER

PAGE : 1 POLITIQUE GÉNÉRALE DE DONS CHAPITRE : II SECTION : 2.7

Transcription:

Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011

Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8 4. CADRE LÉGISLATIF ET RÉGLEMENTAIRE... 9 Politique de sécurité de l information - HEC Montréal Page 2

Préambule Les opérations de HEC Montréal dépendent en grande partie de l information qui est traitée, produite et communiquée. Cette information est très vaste et peut exister sur support papier ou technologique. Elle comprend, entre autres, les renseignements personnels des étudiants et des membres du personnel, la propriété intellectuelle produite par les enseignants et les chercheurs, ainsi que la documentation interne stratégique et administrative. Comme toute autre institution d enseignement supérieur, HEC Montréal fait face à une multitude de menaces pouvant porter atteinte à la confidentialité, l intégrité et la disponibilité de son information. Ces menaces, dont la nature est en constante évolution, comprennent, entre autres, le vol d identité et d information confidentielle, la fraude, l espionnage industriel et le vol de propriété intellectuelle, l utilisation, la divulgation et la destruction d information, les défaillances techniques, les événements naturels et l erreur humaine. Par ailleurs, l École est soumise à plusieurs exigences légales, réglementaires, contractuelles ou découlant de ses propres politiques touchant à la sécurité de l information. Le respect de ces exigences et le lien de confiance qui existe envers l École de la part des membres du personnel, des enseignants, des étudiants et du public en général sont essentiels au maintien de sa réputation. Il est donc impératif que l École protège adéquatement l information qu elle possède ou qui lui est confiée. 1. Généralités Objectif Cette politique constitue un des éléments clés permettant d assurer la réalisation de la mission et des objectifs d affaires de l École, de maintenir sa réputation et de se conformer aux exigences légales, réglementaires et contractuelles applicables. L objectif principal de cette politique est de communiquer la détermination et l engagement de l École de gérer avec efficacité et efficience les risques à la sécurité de l information. L approche préconisée vise l identification des intervenants et la définition de leurs rôles, la sensibilisation des utilisateurs aux risques et la conception et l implantation de mesures qui assurent efficacement la sécurité des actifs informationnels. Portée La sécurité de l information est l affaire de tous. Cette politique s applique à tous les utilisateurs des ressources informationnelles de l École qui incluent, entre autres, les membres de la haute direction, les gestionnaires, les membres du personnel, les enseignants, les étudiants et les assistants de recherche, ainsi que les sous-traitants, fournisseurs et partenaires de HEC Montréal. Cette politique s applique à toute l information que détient HEC Montréal dans l exercice de ses fonctions ou dont elle a la garde, durant tout son cycle de vie, peu importe sa forme, son support et son emplacement. Principes directeurs Les principes qui orientent la démarche de l École, la répartition des responsabilités et la nature des actions et des moyens mis de l avant sont les suivants : Politique de sécurité de l information - HEC Montréal Page 3

a. Imputabilité Chaque direction ou service administratif est imputable de la gestion des risques à la sécurité de l information en sa qualité de propriétaire de l information. Cette imputabilité s applique aux actifs informationnels, aux processus et aux systèmes sous sa responsabilité ou son contrôle, incluant ceux délégués à un tiers. b. Proportionnalité Des mesures raisonnables sont mises en place pour garantir la confidentialité, l intégrité et la disponibilité des actifs informationnels, à un coût proportionnel à la sensibilité de l information et aux risques sousjacents, différents types d information pouvant nécessiter des niveaux de protection différents. D autre part, les mesures mises en place pour protéger les actifs informationnels ne doivent pas nuire à la mission de l École. c. Conformité La gestion des risques à la sécurité de l information est faite en conformité avec les exigences légales, réglementaires et contractuelles applicables ainsi qu avec les politiques et règlements de HEC Montréal. d. Sensibilisation Des mesures adéquates sont mise en place pour sensibiliser et faire participer activement tous les utilisateurs et intervenants à la protection de l actif informationnel de l École et favoriser une utilisation responsable des ressources. 2. Rôles et responsabilités La présente politique et son application relèvent de différents intervenants à qui les mandats suivants sont attribués : Conseil d administration - Approuve la politique ainsi que ses mises à jour; - Supervise le processus de gestion des risques à la sécurité de l information, par l intermédiaire du Comité d audit. Comité d audit - Recommande au Conseil d administration l adoption de la politique ainsi que ses mises à jour; - Supervise le processus de gestion des risques à la sécurité de l information et l application de la politique; - Rend compte, au besoin, au Conseil d administration. Direction - Valide la politique ainsi que ses mises à jour et recommande au comité d audit son adoption par le Conseil d administration; - S assure de l application de la politique par les gestionnaires de HEC Montréal; - S assure que le programme de sécurité de l information dispose des ressources financières et logistiques appropriées. Politique de sécurité de l information - HEC Montréal Page 4

Conseiller à la sécurité de l information - Élabore la politique et ses mises à jour et coordonne sa mise en œuvre; - Assiste les directions et les services administratifs dans l évaluation et la gestion des risques à la sécurité de l information, tout en leur permettant d atteindre leurs objectifs d affaires; - Identifie et maintient la liste des propriétaires d information; - Fournit des directives, propose des solutions, coordonne leur mise en place et facilite la conformité en matière de sécurité de l information; - Communique à la communauté HEC leurs responsabilités concernant la sécurité de l information; - Élabore et met en œuvre le programme de sensibilisation à la sécurité de l information pour les membres du personnel, en collaboration avec la direction des technologies de l information et la gestion des connaissances et de la direction des ressources humaines; - Maintient le registre des incidents à la sécurité de l information et gère le processus hiérarchique et de résolution de problème dans ce domaine; - Effectue le suivi des observations et des recommandations des vérificateurs en matière de sécurité de l information; - Intervient en tout temps pour confirmer l existence ou le bon fonctionnement d une mesure de sécurité ou pour émettre des recommandations, si les actifs informationnels de HEC Montréal sont jugés à risque; - Communique les risques à la sécurité de l information et rend compte de l application de la présente politique au Comité de direction; - Prend les actions appropriées suite à un incident majeur touchant à la sécurité de l information, en collaboration avec la direction des technologies de l information et gestion des connaissances; Direction ou service administratif - Évalue et gère les risques à la sécurité de l information; - S assure que des mesures de protection adéquates et raisonnables sont mises en place; - Assigne un propriétaire de l information pour chaque processus d affaire, activité importante, système ou catégorie d information; - Conserve la responsabilité de la protection de l information lorsque cette dernière est déléguée à un tiers; - Gère les contrats et la relation avec les fournisseurs pour tout aspect touchant à la sécurité de l information, en collaboration avec le conseiller à la sécurité de l information et la direction des approvisionnements ; - Maintient la classification de sécurité de l information; - Informe et sensibilise toute personne sous sa responsabilité de l importance de la sécurité de l information et de l existence de la présente politique et des autres directives applicables; - Communique au conseiller à la sécurité de l information tout risque important à la sécurité de l information. Propriétaire de l information - Agit en tant que responsable désigné par son unité administrative en appliquant les dispositions de la présente politique; Politique de sécurité de l information - HEC Montréal Page 5

- Effectue la classification de sécurité de l information selon les directives et standards de HEC Montréal, et communique les résultats au conseiller à la sécurité de l information; - Établit et révise périodiquement les profils d accès des utilisateurs et les communique aux intervenants pertinents; - Identifie les exigences légales, réglementaires et contractuelles applicables à la sécurité de l information en collaboration avec le service des affaires juridiques et le conseiller à la sécurité de l information; - Effectue l évaluation des risques à la sécurité de l information et communique les résultats au conseiller à la sécurité de l information; - Accepte, au nom de son unité administrative, les risques résiduels à la sécurité de l information; Direction des ressources humaines - Vérifie, au besoin, les antécédents des candidats à l embauche et des membres du personnel impliqués dans la sécurité de l information; - S assure que les responsabilités des intervenants concernant la sécurité de l information et le respect de la présente politique sont inscrites dans les descriptions de tâches des membres du personnel; - Appuie le conseiller en sécurité de l information lors de l élaboration et de la mise en œuvre du programme de sensibilisation à la sécurité de l information pour les membres du personnel; - Intervient auprès des membres du personnel concernés en cas d atteinte à la sécurité de l information, en collaboration avec le conseiller à la sécurité de l information et les autres intervenants; - Prend action, fait le suivi et impose les sanctions appropriées lors de violation des politiques, règlements et code de conduite touchant à la sécurité de l information, en collaboration avec le supérieur immédiat; - Informe les intervenants concernés d une embauche, d un changement de fonctions, du transfert et de la fin d emploi d une personne, afin de mettre à jour les accès aux actifs informationnels. Affaires juridiques Les mesures mises de l avant prévoient que le responsable des affaires juridiques: - Interprète les lois et règlements pouvant avoir un impact sur la sécurité de l information; - Communique les exigences légales, réglementaires et contractuelles applicables au conseiller à la sécurité de l information, au propriétaire de l information et aux autres intervenants, au besoin; - Valide les clauses contractuelles touchant à la sécurité de l information, en collaboration avec le conseiller à la sécurité de l information; - S assure que des mesures contractuelles adéquates sont prévues afin de protéger l information et de se conformer à la présente politique, en collaboration avec la direction des approvisionnements et le conseiller à la sécurité de l information; - Élabore et diffuse, en collaboration avec le conseiller à la sécurité de l information et les autres intervenants, les politiques concernant la vie privée, la protection des renseignements personnels et la sécurité de l information. Politique de sécurité de l information - HEC Montréal Page 6

Service de la gestion des documents et des archives - Assiste les unités administratives dans l identification et la mise en œuvre de modes sécuritaires de gestion de l information; - Met en place les mesures de sécurité adéquates et raisonnables pour la gestion des documents semiactifs, des archives de HEC Montréal et de certaines archives privées, en conformité avec la présente politique; - Assure la destruction sécuritaire de l information sous sa garde, lorsque requis par la finalité de l information ou à la demande des directions et services administratifs. Service de sécurité - Contrôle l accès physique aux locaux de l École; - Gère les moyens d accès physique (clefs, cartes magnétiques, codes d accès, biométrie, etc.) aux locaux à accès restreint (salles informatiques, archives institutionnelles, entreposage, etc.); - Contrôle la circulation des équipements sortant des locaux de l École; - Collabore avec le conseiller à la sécurité de l information et les autres intervenants aux activités de sensibilisation à la sécurité de l information. Direction des technologies de l information et gestion des connaissances - Développe et met en œuvre les directives, processus, standards et procédures touchant à la sécurité des actifs informationnels, touchant notamment à la gestion des accès, la gestion des incidents et l intégrité de l information; - Effectue une évaluation de risques initiale, et des évaluations périodiques au besoin, et communique les résultats au conseiller à la sécurité de l information et aux propriétaires de l information; - Assure la sécurité des actifs informationnels, durant tout leur cycle de vie, en déployant les mesures de sécurité appropriées et approuvées par le propriétaire de l information ; - Développe, intègre et maintient des mesures de sécurité correspondant au niveau de sensibilité de l information et autres exigences d affaires, légales, réglementaires ou contractuelles applicables; - Appuie le conseiller en sécurité de l information dans l élaboration et la mise en ouvre du programme de la sensibilisation à la sécurité de l information pour les membres du personnel; - Informe le conseiller à la sécurité de l information de tout risque important à la sécurité de l information; - Élabore et s assure du respect d un code d éthique pour tous les employés spécialisés en technologies de l information, notamment les développeurs et les administrateurs de réseau. Utilisateur - Prend connaissance et adhère aux politiques, règlements, codes de conduite et autres directives pertinentes de HEC Montréal touchant à la sécurité de l information qui le concernent; - S informe et participe activement à la mise en œuvre de la politique; - Utilise les actifs informationnels en se limitant aux fins pour lesquelles ils sont destinés et à l intérieur des accès qui lui sont accordés. Politique de sécurité de l information - HEC Montréal Page 7

3. Définitions Pour l application de la présente politique : Actif informationnel L information elle-même, peu importe son support, ainsi que les systèmes utilisés pour son traitement, utilisation, stockage, conservation et communication. La perte, le vol ou la destruction d un tel actif pourrait causer un préjudice à HEC Montréal. Des exemples d actifs informationnels sont le dossier étudiant et les dossiers des membres du personnel. Cycle de vie Période correspondant à la durée de vie de l information, de sa création ou son acquisition, en passant par son traitement, stockage, transmission, utilisation, jusqu à sa restitution, destruction ou archivage. Gestion des risques à la sécurité de l information Approche systématique permettant aux gestionnaires de prendre des décisions éclairées en contexte d incertitude, en considérant les enjeux importants liés aux risques à la sécurité de l information. Information Renseignement consigné sur un support quelconque (papier ou électronique) ou communiqué dans un but de transmission des connaissances. À titre d exemple, l information comprend les fichiers structurés (bases de données) et non structurés (fichiers Word, Excel, PowerPoint, PDF, etc.), les courriels, les messages texte, les communications et les messages vocaux, photos, dessins, télécopies, originaux et copies de documents papier, rapports informatisés ainsi que les copies de sauvegarde et les archives. Intervenant Tout individu, service ou organisation ayant un rôle défini dans la présente politique ou un tiers ayant des responsabilités spécifiques en matière de sécurité de l information. Propriétaire de l information Le propriétaire de l information est la personne désignée par le directeur d une unité administrative. Il s assure notamment : qu une classification hiérarchique, selon le degré de risque, est établie et est adéquate pour l information traitée. que le classement de toute l information stockée est effectué selon les catégories établies et qu un inventaire de chacune des catégories d information est tenu. que des mesures de protection adéquates sont mises en place pour chaque type d information. qu une vérification périodique est faite pour s assurer que l information continue d être classifiée adéquatement et que les mesures de protection demeurent valides et efficaces. Risques à la sécurité de l information Tout événement, comportant un degré d incertitude, qui pourrait porter atteinte à la confidentialité, l intégrité ou la disponibilité de l information et causer un préjudice à HEC Montréal. Politique de sécurité de l information - HEC Montréal Page 8

Risques résiduels Le risque résiduel est le risque qui subsiste après avoir répondu à un risque donné en prenant différentes mesures. Le risque résiduel est aussi la partie du risque que l École entend conserver volontairement ou qu elle doit supporter. 4. Cadre législatif et réglementaire Les exigences concernant la sécurité de l information sont présentes dans plusieurs lois, règlements et ententes contractuelles applicables à HEC Montréal. De plus, plusieurs documents normatifs (politiques, énoncés, codes, guides, etc.) imposent également des exigences en matière de sécurité de l information. Charte des droits et libertés de la personne (art. 5) Code civil du Québec (art. 3, 35 à 37) Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels Loi et Politique-cadre sur la gouvernance et la gestion des technologies de l information Loi concernant le cadre juridique des technologies de l information (art. 1 à 46) Guide en matière de protection des renseignements personnels dans le développement des systèmes d information, à l intention des ministères et organismes publics (art. 8) Énoncé de politique des trois Conseils: Éthique de la recherche avec des êtres humains (EPTC2), 2010 (ch. 5) Guide des politiques et des programmes, Fondation canadienne pour l innovation, 2010 (Ch. 5.1.3) Code de conduite des étudiants, HEC Montréal (art. 1) Politique sur la protection des renseignements personnels des étudiants de HEC Montréal Règlement relatif à l utilisation des ressources informationnelles Politique relative à la gestion des documents actifs, semi-actifs et inactifs, HEC Montréal (art. VI, E) Politique de sécurité de l information - HEC Montréal Page 9

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back