DIRECTIVE 2600-027. ADOPTION : Comité de direction Résolution : CD-2006-02-14-08 TABLE DES MATIÈRES



Documents pareils
Politique de sécurité de l actif informationnel

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Règlement sur l utilisation et la gestion des actifs informationnels

RÈGLEMENT N O 9. Règlement sur l utilisation des actifs informatiques et de télécommunication. du Cégep de l'abitibi-témiscamingue

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Section 3. Utilisation des ressources informatiques et du réseau de télécommunication

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

Politique de sécurité de l information

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

Politique de gestion documentaire

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010)

Politique de sécurité des actifs informationnels

MANUEL DES POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Politique Utilisation des actifs informationnels

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

CODE DE CONDUITE DES AGENTS IMMOBILIERS CHARTE DE DÉONTOLOGIE

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Charte d audit du groupe Dexia

Politique numéro 42 POLITIQUE DE GESTION DOCUMENTAIRE

CODE DE CONDUITE ET D ÉTHIQUE DES ADMINISRATEURS

Politique de gestion documentaire

Directive de la Direction 6.2. Utilisation d Internet, de la messagerie électronique, des réseaux sociaux, de la téléphonie et du poste de travail

Édition : La Direction des communications du ministère de la Santé et des Services sociaux

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE

PAGE : 1 POLITIQUE GÉNÉRALE DE DONS CHAPITRE : II SECTION : 2.7

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

Banque européenne d investissement. Charte de l Audit interne

1. À PROPOS DE COURTIKA

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

CHARTE DU CORRESPONDANT MODELE TYPE

GESTION DU DOSSIER SCOLAIRE DE L ÉLÈVE. Adoption le Amendement le Mise en vigueur le 6 mai 2004 Résolution #

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Règlement d INTERPOL sur le traitement des données

POLITIQUE INSTITUTIONNELLE SUR LES CONFLITS D INTÉRÊTS DANS LA RECHERCHE

RÉGIME GÉNÉRAL D ÉPARGNE ET D ACHAT DE TITRES DE LA BANQUE ROYALE DU CANADA

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

Projet. Politique de gestion des documents et archives. Service du greffe (Avril 2012)

POLITIQUE DE GESTION DES DOCUMENTS ADMINISTRATIFS

RÈGLEMENT FACULTAIRE SUR LA RECONNAISSANCE DES ACQUIS. Faculté des lettres et sciences humaines

RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION

RÈGLEMENTS, POLITIQUES ET PROCÉDURES

Projet de loi n o 30 (2003, chapitre 25)

6.1 L UNIVERSITÉ RECHERCHE

Comité conseil en matière de prévention et sécurité des personnes et des biens Octobre 2013

Annule : Politique relative à l utilisation des technologies de l information de la Commission scolaire. 1. TITRE CONTEXTE...

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Politique de gestion des documents administratifs et des archives

Règlement intérieur du Conseil de surveillance

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Politique d utilisation des médias sociaux et des technologies de l information

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS

Loi modifiant la Loi sur l Autorité des marchés financiers et d autres dispositions législatives

UNIVERSITÉ DU QUÉBEC À RIMOUSKI

COMMISSION D ACCÈS À L INFORMATION

Conditions d'utilisation de la plateforme Défi papiers

Service de Banque à Distance- Mascareignes Direct. Conditions générales. Banque des Mascareignes

Banque européenne d investissement. Politique de signalement

Avant-projet de loi. Loi modifiant le Code civil et d autres dispositions législatives en matière d adoption et d autorité parentale

LIGNE DIRECTRICE SUR LA CONFORMITÉ

Politique d utilisation acceptable des données et des technologies de l information

Catalogue d offre de services de télésanté

Politique sur l accès aux documents et sur la protection des renseignements personnels

RÈGLEMENT. sur la collaboration avec les intermédiaires

Sécurité. Tendance technologique

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

CODIFICATION ADMINISTRATIVE DU RÈGLEMENT NUMÉRO 697 CONCERNANT LES SYSTÈMES D ALARME SUR LE TERRITOIRE DE LA VILLE DE MASCOUCHE

ÉBAUCHE POUR COMMENTAIRE MODALITÉS RELATIVES AUX ADJUDICATIONS DES OBLIGATIONS À TRÈS LONG TERME DU GOUVERNEMENT DU CANADA

R E G L E M E N T G E N E R I Q U E DES F O R M A T I O N S E P D E S S P E C I A L I S E E S E N S O I N S

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

1. Procédure. 2. Les faits

Directive Lpers no 50.1

3.1 Politique de gestion et de conservation des documents (Résolution : C.C )

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

Directive de la Direction. Directive No 6.9 Fichiers informatiques et protection des données personnelles ou sensibles.

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

PRÉAMBULE. La version administrative reproduit l intégralité des Règles et Principes directeurs de l ACFM.

Proposition de règlement municipal concernant l installation et l exploitation d un pipeline terrestre dans le territoire d une municipalité

(Adopté le 29 février 2012) CODE DE CONDUITE APPLICABLE AU PERSONNEL DE LA BERD

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

CONVENTION COLLECTIVE DE TRAVAIL ENTRE L'UNIVERSITÉ DU QUÉBEC À CHICOUTIMI

Facultés: les Facultés, l Ecole des Sciences Humaines et Sociales, l Ecole de Droit, l Institut de Recherche en Sciences et Technologies du Langage.

Les textes en matière de santé et de sécurité au travail

AVIS CONCERNANT LE SYSTÈME DE GESTION DES DEMANDES D ÉVALUATION DU BUREAU D ÉVALUATION MÉDICALE DU MINISTÈRE DU TRAVAIL DOSSIER

Ce texte est une version provisoire. Seule la version qui sera publiée dans la Feuille officielle

Projet de loi n o 58. Loi regroupant la Commission administrative des régimes de retraite et d assurances et la Régie des rentes du Québec

NORME 5 NORMES ET PROCÉDURE D AUTO-ACCRÉDITATION

OCRCVM Règles des courtiers membres Règle 2800 (auparavant le Principe directeur n o 5 de l ACCOVAM)

ACCORD ENTRE LE GOUVERNEMENT DE LA PRINCIPAUTE DU LIECHTENSTEIN ET LE MATIERE FISCALE

CHARTE DU COMITÉ DES RESSOURCES HUMAINES ET DE RÉMUNÉRATION DU CONSEIL D ADMINISTRATION DE TIM HORTONS INC.

STOCKAGE ET CONSERVATION DE L INFORMATION RELATIVE AUX CARTES DE CRÉDIT

L ASSOCIATION DES TRAVAILLEURS SOCIAUX DU NOUVEAU-BRUNSWICK

CANADA PROVINCE DE QUÉBEC MUNICIPALITÉ DE SAINT-ÉPIPHANE

Règles concernant les avantages accessoires du secteur parapublic

CADRE DE TRAVAIL. Mai Autorité des marchés financiers - Mai 2008 Page 1

Transcription:

DIRECTIVE 2600-027 TITRE : ADOPTION : Comité de direction Résolution : CD-2006-02-14-08 ENTRÉE EN VIGUEUR : 14 février 2006 TABLE DES MATIÈRES Préambule... 2 1. Objet... 2 2. Cadre juridique... 2 3. Champ d application... 2 4. Définitions...3 5. Objectifs... 4 6. Principes...4 7. Privilèges et responsabilités des usagères et usagers... 4 8. Responsabilités de gestion en sécurité informatique... 5 9. Règles de sécurité informatique... 5 10. Procédures de dérogation... 6 11. Comité de coordination de la sécurité informatique... 6 12. Responsabilité de l application et de la diffusion de la directive... 6 13. Sanctions... 6 Directive 2600-027 Page 1

PRÉAMBULE Considérant le rôle croissant des technologies de l information et des communications dans les activités reliées à la mission de l Université, il est impératif que ses ressources informationnelles soient adéquatement protégées. Voilà la finalité première de la présente directive sur la sécurité informatique et des règles qui l accompagnent : favoriser la réalisation de la mission de l Université dans toutes ses sphères d activité. Ainsi, la présente directive vise à établir les conditions relatives à l utilisation sécuritaire par les usagères et usagers de l Université des équipements, des systèmes, des logiciels et du réseau de même que des données contenues ou véhiculées par eux. Pour ce faire, l approche préconisée privilégie la responsabilisation personnelle et collective des membres de la communauté universitaire afin de protéger les ressources informationnelles de l Université et celles utilisées sur une base sectorielle ou individuelle, d assurer la qualité des services informatiques dispensés, de favoriser l utilisation éthique de ces ressources et de sensibiliser chaque usagère et usager à la sécurité informatique. Par conséquent, la présente directive tente de concilier les besoins communs et individuels, étant entendu que la protection des actifs universitaires et collectifs a préséance sur les biens et comportements individuels. Plus particulièrement, la présente directive sur la sécurité informatique englobe la protection des ressources informationnelles, la confidentialité des données et la continuité des services. Elle ne s intéresse pas au classement des données ou des informations et à leur niveau de confidentialité. Enfin, la présente directive a été élaborée et sera appliquée avec le souci d harmoniser les processus de gestion des ressources informationnelles de l Université. 1. OBJET Ce document expose les normes et procédures de l Université de Sherbrooke en matière de sécurité informatique. Il énonce les objectifs, les principes, les privilèges et responsabilités des usagères et usagers et précise le rôle des responsables de la gestion de la sécurité informatique. 2. CADRE JURIDIQUE La présente directive est assujettie aux politiques, règlements et normes pertinents de l Université. Plus particulièrement, les dispositions à l égard de la sécurité informatique à l Université de Sherbrooke sont rattachées au Règlement 2575-001 : Utilisation des équipements et des ressources informatiques et de télécommunication. D autre part, le mandat du Service des technologies de l information (STI) précise qu il doit assurer la sécurité informatique des équipements sous sa juridiction, de même qu assister et conseiller les facultés et services en cette matière. Par conséquent, plusieurs éléments de la présente directive de même que les Règles de sécurité informatique présentées en annexe servent à opérationnaliser ce mandat. 3. CHAMP D APPLICATION Cette directive sur la sécurité informatique s applique à toutes les usagères et tous les usagers de l Université de Sherbrooke, y compris les locataires des Résidences étudiantes, de même qu à toutes les usagères et tous les usagers oeuvrant dans des organismes ou des entreprises associés à l Université de Sherbrooke et les fournisseurs de l Université de Sherbrooke qui utilisent ses équipements et ses ressources informatiques et de télécommunication. Directive 2600-027 Page 2

4. DÉFINITIONS Dans ce document, à moins que le contexte n impose un sens différent, les termes suivants signifient : 4.1. Confidentialité : protection de l information et des données contre la divulgation non autorisée. 4.2. Code d accès : représente le nom de l usagère ou de l usager, le numéro de compte, l identification de départ, ou tout mécanisme servant à s identifier auprès d un système pour y accéder. 4.3. Équipements et ressources informatiques et de télécommunication : comprend les serveurs informatiques, les ordinateurs, micro-ordinateurs, mini-ordinateurs, les postes de travail informatisés et leurs unités ou accessoires périphériques de lecture, d emmagasinage, de reproduction, d impression, de transmission, de réception et de traitement de l information et tout équipement de télécommunication, les logiciels, progiciels, didacticiels, les banques de données et d informations (textuelle, sonore, symbolique ou visuelle) placées dans un équipement ou sur un média informatique, système de courrier électronique et système de messagerie vocale, dont l Université est propriétaire ou locataire, ou sur lesquels elle possède un droit d utilisation. 4.4. Intégrité : notion associée à l intégralité et à l exactitude de l information. 4.5. Point de distribution : point d interconnexion d un ou de plusieurs réseaux locaux au réseau dorsal. 4.6. Réseau : tout réseau de communication accessible par l intermédiaire des équipements et des ressources informatiques et de télécommunication, contrôlé ou administré par l Université. 4.7. Réseau dorsal : le réseau central de l Université, relié à Internet et auquel sont reliés tous les points de distribution des différents secteurs. 4.8. Responsable administrative ou responsable administratif : la doyenne ou le doyen, l adjointe administrative à la doyenne ou au doyen, l adjoint administratif à la doyenne ou au doyen, la directrice ou le directeur de service ou toute autre personne responsable d une unité. 4.9. Responsable de secteur : personne qualifiée dans le domaine de l informatique nommée par la ou le responsable administratif et agissant comme personne référant auprès de l équipe de sécurité informatique du STI. Pour les services dont le soutien technique est assuré par le STI, une personne désignée par ce dernier agit comme responsable de secteur. 4.10. Ressource informationnelle : ressource utilisée par l Université, dans le cadre direct de ses activités de traitement de l information, pour mener à bien sa mission, pour la prise de décision, ou encore pour la résolution de problèmes; une ressource informationnelle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, l acquisition, au développement, à l entretien, à l exploitation, à l accès, à l utilisation, à la protection, à la conservation et à destruction des éléments d information. 4.11. Secteur : ensemble d appareils reliés au réseau partageant une plage d adresse ayant été déléguée à une entité (faculté, département, service, groupe de recherche ou autre) et gérée par une ou un responsable de secteur. 4.12. Usagères, usagers : membres du personnel de direction de l Université, professeures et professeurs, chargées et chargés de cours, membres du personnel professionnel et administratif, employées et employés de soutien, étudiantes et étudiants, assistantes et assistants de recherche, ainsi que toute personne physique ou morale appelée ou autorisée à utiliser les équipements et ressources informatiques et de télécommunication ou le réseau. Directive 2600-027 Page 3

5. OBJECTIFS La présente directive vise les objectifs suivants : 5.1. Assurer que les usagères et les usagers se servent le plus efficacement et de façon sécuritaire des ressources informationnelles pour la réalisation de la mission de l Université. 5.2. Assurer, lorsque nécessaire, la confidentialité, l'intégrité et la disponibilité des ressources informationnelles de l'université. 5.3. Assurer que l utilisation des infrastructures technologiques de l Université est conforme aux lois et règlements en vigueur de même qu aux règles des fournisseurs de services. 5.4. Assurer que l utilisation des ressources informationnelles contribue au bon fonctionnement des facultés, services et autres unités administratives de l Université. 5.5. Sensibiliser, faire participer activement les usagères et usagers à la protection des ressources informationnelles de l Université et favoriser une utilisation responsable et éthique de ces ressources. 5.6. Assurer la collecte d information nécessaire au respect des lois, politiques, et règlements pertinents ainsi que de la présente directive. 6. PRINCIPES De ces objectifs en matière de sécurité, découlent des principes qui orientent la démarche institutionnelle, la répartition des responsabilités et la nature des actions et des moyens qui seront mis de l avant. Ces principes sont les suivants : 6.1. La sécurité informatique est l affaire de toutes et tous; les usagères et les usagers doivent être dûment informés et participer activement à sa mise en oeuvre. 6.2. L acquisition de tout équipement informatique et de télécommunication, son intégration au réseau et l usage qui en est fait sont assujettis aux règles décrites dans le document Règles de sécurité informatique. 6.3. Lorsque cela est possible et bénéfique, des pratiques communes (normes, procédures, mécanismes) seront privilégiées de façon à intégrer efficacement et harmonieusement les différents secteurs. 6.4. La présente directive et les règles qui l accompagnent représentent des normes minimales; chaque secteur peut aller au-delà de ces directives et règles en fonction de ses besoins spécifiques. 6.5. La mise à jour de la présente directive et des règles qui l accompagnent doit se faire en tenant compte des besoins des différents secteurs. 7. PRIVILÈGES ET RESPONSABILITÉS DES USAGÈRES ET USAGERS 7.1. Privilèges Les usagères et usagers ont accès aux équipements, aux ressources informationnelles, selon leur fonction et dans les limites de l autorisation accordée par l Université. L Université offre aux usagères et usagers des accès à des services informatiques fiables et disponibles, dans les limites de ses ressources. L Université accorde un droit d utilisation personnelle de ses ressources informationnelles, conformément au Règlement 2575-001 : Utilisation des équipements et des ressources informatiques et de télécommunication. Directive 2600-027 Page 4

7.2. Responsabilités Les usagères et usagers s assurent que les ressources informationnelles sont utilisées de façon efficace, conformément aux lois en la matière, à la mission de l Université et à la présente directive et aux règles qui l accompagnent. Les usagères et usagers prennent toutes les précautions nécessaires pour protéger l intégrité et le caractère confidentiel des données utilisées. À cet égard, les codes d accès, mots de passe et toute autorisation qui ont été octroyés ne doivent pas être partagés. Les usagères et usagers prennent les actions appropriées pour corriger toute situation préjudiciable à la sécurité informatique et pour réduire les risques de récidive. Elles ou ils en informent la ou le responsable de son secteur ou l équipe de la sécurité du STI. 8. RESPONSABILITÉS DE GESTION EN SÉCURITÉ INFORMATIQUE 8.1. La responsable administrative ou le responsable administratif La ou le responsable administratif voit à la sécurité informatique de son secteur. Dans les secteurs ayant du personnel en informatique, elle ou il nomme une personne à titre de responsable de secteur qui possède les connaissances techniques requises pour réaliser les tâches décrites au paragraphe 8.4. 8.2. La section «sécurité informatique» du STI La section «sécurité informatique» du STI est responsable de la mise en place des mécanismes nécessaires pour assurer la sécurité du réseau universitaire (coupe-feu, détecteur d intrusions, passerelles antivirus, etc.) en collaboration avec la section «télécommunications» du STI et les responsables de secteur. Elle a la responsabilité de signaler toute situation qui pourrait compromettre la sécurité du réseau de l Université et émettre les consignes visant la résolution des problèmes. 8.3. La section «télécommunications» du STI La section «télécommunications» du STI a la responsabilité de développer, maintenir et préserver l intégrité du réseau dorsal de l Université ainsi que ses points de distribution (passerelles, commutateurs, câblage, etc.). Elle assiste les responsables de secteur dans l installation, la configuration et le bon fonctionnement des réseaux locaux. En collaboration avec la section «sécurité informatique» du STI et les responsables de secteur, elle prend les mesures nécessaires pour localiser, isoler et corriger les problèmes. 8.4. Les responsables de secteur Les responsables des différents secteurs sont chargés de la mise en place et de l application dans leurs secteurs respectifs des mesures décrites dans la présente directive et dans les règles qui l accompagnent. Les responsables de secteur signalent immédiatement tout événement particulier en rapport à la sécurité informatique à la section «sécurité informatique» du STI, avec qui elles ou ils collaborent étroitement, notamment par l application dans les meilleurs délais de mesures visant à la résolution des problèmes. 9. RÈGLES DE SÉCURITÉ INFORMATIQUE Le document Règles de sécurité informatique complète la présente cette directive. Ces Règles définissent les différents aspects de la sécurité informatique sur le réseau universitaire, par exemple la gestion des mots de passe, les audits, les règles à suivre pour le branchement de postes de travail ou de serveurs au réseau universitaire et l accès à des ressources à distance par réseau privé virtuel. En raison de l étroite collaboration de la Faculté de médecine et des sciences de la santé avec le réseau de la santé, le document Normes de sécurité sur le campus de la santé de Sherbrooke approuvé par le comité de direction de l Université se substitue entièrement au document Règles Directive 2600-027 Page 5

de sécurité informatique pour les usagères et tous les usagers du Campus de la santé (Fleurimont et Hôpital Hôtel-Dieu). 10. PROCÉDURES DE DÉROGATION Dans le cas où la présente directive et les règles qui l accompagnent entrent en conflit avec des activités ou un projet reliés à la mission de l Université, l usagère ou l usager peut demander une dérogation en formulant une demande écrite à la directrice ou au directeur du STI. En collaboration avec la ou le responsable de secteur et après analyse des motifs appuyant la demande de dérogation, la directrice ou le directeur du STI rend sa décision. En cas de désaccord avec la décision rendue, la requérante ou le requérant peut présenter une demande de révision auprès du membre du comité de direction responsable du STI. La directrice ou le directeur du STI maintient un registre des dérogations accordées et en informe le Comité de coordination sur la sécurité informatique. 11. COMITÉ DE COORDINATION DE LA SÉCURITÉ INFORMATIQUE Le comité conseille la directrice ou le directeur du STI en matière de sécurité informatique, notamment dans la perspective des changements à apporter à la présente directive et aux règles qui l accompagnent. Ce comité, présidé par la directrice ou le directeur du STI, est composé des personnes suivantes : l analyste responsable de la sécurité informatique; une ou un analyste de la section «Télécommunications» du STI; une ou un analyste du STI oeuvrant dans le domaine des serveurs administratifs ou institutionnels; cinq responsables de secteur provenant des facultés et des services gérant leurs ressources informationnelles, nommés par le membre du comité de direction responsable du STI. La présidente ou le président peut inviter toute personne à participer aux réunions du comité. 12. RESPONSABILITÉ DE L APPLICATION ET DE LA DIFFUSION DE LA DIRECTIVE Le membre du comité de direction responsable du STI assume la responsabilité générale de la diffusion, de l application et de la mise à jour de cette directive et des Règles de sécurité informatiques qui l accompagnent. Il appartient cependant à la doyenne ou au doyen de chaque faculté ainsi qu à la directrice ou au directeur de chaque institut, observatoire ou service de voir à ce que la présente directive et les Règles de sécurité informatique soient respectées dans les lieux et les activités relevant de son unité administrative. 13. SANCTIONS L usagère ou l usager qui contrevient aux dispositions de cette directive peut être l objet de sanctions conformément au Règlement 2575-001 : Utilisation des équipements et des ressources informatiques et de télécommunication. Directive 2600-027 Page 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back