Politique sur la sécurité de l`information

 POLITIQUE RELATIVE A LA SECURITE DE L’INFORMATION DIRECTION – SYSTÈMES TECHNOLOGIQUES
TECHNOLOGIES DE L’INFORMATION ADOPTÉE PAR LE CONSEIL D’ADMINISTRATION LE 12 DÉCEMBRE 2014 PAR VOIE DE RÉSOLUTION NO 14‐CA(AMT)‐272 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information TITRE DE LA POLITIQUE: Politique relative à la sécurité de l’information Date de l’approbation initiale au conseil d’administration : Entrée 2012‐10‐05 en vigueur : 2012‐10‐05 Date de l’approbation de la mise à jour, le cas échéant Entrée 2014‐12‐12 en vigueur : 2014‐12‐12 Document référence : Directive sur l’utilisation des technologies de l’information Directive sur les incidents liés à la sécurité de l’information Directive sur la sécurité de l’exploitation TI et des applications Directive sur la gestion des changements affectant les ressources informationnelles Directive sur la gestion des accès logiques et physiques Directive sur la sensibilisation à la sécurité de l’information Directive sur la sécurité des réseaux de télécommunication Directive sur les audits de sécurité de l’information Directive sur la classification des actifs informationnels Directive sur les incidents liés à l'exploitation TI Directive sur le commerce électronique Directive de reprise des technologies de l’information Directive sur la sécurité de l’information gouvernementale (Loi sur l’administration publique, RLRQ, c. A‐6.01, a. 66) Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (RLRQ, c. G‐1.03) Tous les employés de l’AMT ainsi que toute personne qui, par engagement contractuel ou autrement, qui utilise un actif informationnel de l’organisation ou y a accès. Les objectifs de l’AMT en matière de sécurité de l’information sont :  d’assurer la disponibilité, l’intégrité et la confidentialité à l’égard de l’utilisation des réseaux informatiques, de l’Internet et des actifs informationnels;  d’assurer la confidentialité des renseignements personnels, stratégiques, sensibles ou critiques ou provenant des partenaires d’affaires de l’AMT;  d’assurer la conformité aux lois et règlements applicables ainsi qu’aux directives, normes et orientations gouvernementales. Directeur principal des Technologies de l’information (TI) et Systèmes de transports intelligents (STI), Dirigeant sectoriel de l’information (DSI), Responsable organisationnel de la sécurité de l’information (ROSI) Personnes assujetties : Sommaire exécutif : Responsable de l’émission et mise à jour : Date 2012‐07‐31 2014‐11‐25 Version v1.0 V1.1 Historique des modifications Rédacteur Commentaire Sylvain Beaupré Version initiale Sylvain Beaupré Version révisée PAGE 1 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information TABLE DES MATIÈRES 1. 2. 3. 4. 5. 6. CHAPITRE 1 – CONTEXTE ...................................................................................... 3 CHAPITRE 2 – PORTÉE .......................................................................................... 3 CHAPITRE 3 – OBJECTIFS ...................................................................................... 4 CHAPITRE 4 – RESPECT DE LA POLITIQUE .............................................................. 4 CHAPITRE 5 – CADRE LEGAL ET ADMINISTRATIF ................................................... 5 CHAPITRE 6 – PRINCIPES DIRECTEURS .................................................................. 5 PROTECTION DES ACTIFS INFORMATIONNELS ............................................................................. 5 PROTECTION DES RENSEIGNEMENTS CONFIDENTIELS, SENSIBLES ET PERSONNELS ..................... 6 L’OBLIGATION DE RENDRE COMPTE ............................................................................................ 7 ÉVALUATION DES RISQUES ET DES MESURES DE SÉCURITÉ ......................................................... 7 CONTINUITÉ DES ACTIVITÉS DE L’AMT ........................................................................................ 7 SENSIBILISATION ET FORMATION ............................................................................................... 7 DROIT DE REGARD ...................................................................................................................... 7 SIGNALEMENT DES INCIDENTS .................................................................................................... 7 DROIT DE PROPRIÉTÉ INTELLECTUELLE ........................................................................................ 7 INTERNET, COURRIER ÉLECTRONIQUE ET AUTRES OUTILS DE TRAVAIL ........................................ 8 7. CHAPITRE 7 – REVISION ET EVALUATION .............................................................. 8 8. CHAPITRE 8 – ROLES ET RESPONSABILITES EN MATIERE DE SECURITE DE L’INFORMATION .......................................................................................................... 8 PRÉSIDENT DIRECTEUR GÉNÉRAL ................................................................................................ 8 VICE‐PRÉSIDENT ADMINISTRATION ET FINANCES........................................................................ 9 VICE‐PRÉSIDENT OPÉRATIONS .................................................................................................... 9 DIRECTEUR PRINCIPAL DES TI ET STI, DSI, ROSI ........................................................................... 9 RESPONSABLE DES SYSTÈMES TECHNOLOGIQUES AUX TI ET STI, COSI, COGI ............................... 9 UTILISATEURS D’ACTIFS INFORMATIONNELS .............................................................................. 9 PROPRIÉTAIRES DES ACTIFS INFORMATIONNELS ....................................................................... 10 TOUTE AUTRE VICE‐PRÉSIDENCE OU DIRECTION RELEVANT DU PDG .......................................... 10 DIRECTEUR DE L’AUDIT INTERNE ................................................................................................ 10 DIRECTEUR DES RESSOURCES HUMAINES .................................................................................. 10 COMITÉ D’AUDIT ....................................................................................................................... 11 9. CHAPITRE 10 – DATE D’ENTREE EN VIGUEUR ...................................................... 11 ANNEXE A : LEXIQUE ........................................................ ERREUR ! SIGNET NON DEFINI. ANNEXE B : LISTE DES DIRECTIVES DE SECURITE ......................................................... 12 PAGE 2 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information 1.
CHAPITRE 1 – CONTEXTE En vertu de la Loi sur l'Agence métropolitaine de transport (RLRQ, c. A‐7.02), l’AMT a pour mission de soutenir, développer, coordonner et promouvoir le transport collectif, dont les services spéciaux de transport pour les personnes handicapées, d'améliorer les services de trains de banlieue, d'en assurer le développement, de favoriser l'intégration des services entre les différents modes de transport et d'augmenter l'efficacité des corridors routiers. L’utilisation des technologies de l’information à l’AMT lui permet d’entreposer, de traiter et de communiquer l’information sous plusieurs formes afin de mener à bien sa mission. Cette information possède une valeur légale, économique et administrative et est essentielle aux activités de l’AMT. Pour ces raisons, la sécurité de l’information, dans l’organisation, revêt une importance stratégique. De plus, plusieurs lois et règlementations imposent des exigences en matière de sécurité de l’information, notamment sur la protection des renseignements personnels ainsi que sur l’accès aux documents des organismes publics. L’AMT est assujettie à ces lois et règlements et doit s’assurer du respect de ceux‐ci. En conséquence, l’AMT met en place la présente politique de sécurité de l’information qui oriente et détermine l’utilisation appropriée et sécuritaire de l’information et des technologies de l’information. Cette politique énonce les objectifs et les principes directeurs guidant la mise en place d’une structure de gouvernance de la sécurité de l’information au sein de l’AMT. Elle a de plus été élaborée conformément à la Directive de sécurité de l’information Gouvernementale, découlant de la « Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (RLRQ, c.G‐1.03) », ainsi que des meilleures pratiques de l’industrie, des lois, des règlements, et des autres directives de l’AMT. Les principes de base sur lesquels s’appuie la présente politique sont issus des normes ISO 27001 et 27002. 2.
CHAPITRE 2 – PORTÉE La présente politique s’applique à tous les employés de l’AMT ainsi que toute personne qui, par engagement contractuel ou autrement, qui utilise un actif informationnel de l’organisation ou y a accès. De plus, cette politique couvre l’ensemble des actifs informationnels suivants :  ceux appartenant à l’AMT et exploités par elle;  ceux appartenant à l’AMT et exploités ou détenus par un fournisseur de services ou un tiers;  ceux appartenant à un fournisseur de services ou à un tiers, exploités par lui, au profit de l’AMT. Finalement, cette politique s’applique à l’ensemble des activités d’utilisation, de collecte, d’enregistrement, de traitement, de conservation, de destruction et de diffusion des actifs PAGE 3 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information informationnels de l’AMT, que celles‐ci soient conduites dans ses locaux, dans un autre lieu ou à distance. Dans la présente directive, nous définissons un actif informationnel comme suit : banque d’information électronique, système d’information, réseau de télécommunications, technologie de l’information, installation ou ensemble de ces éléments ; un équipement ferroviaire peut comporter des composantes qui font partie des actifs informationnels, notamment lorsqu’il est relié de façon électronique à des actifs informationnels. S’ajoutent, dans le présent cadre de gestion, les documents imprimés ou non générés par les technologies de l’information. 3.
CHAPITRE 3 – OBJECTIFS La présente politique a pour objectif d’affirmer l’engagement de l’AMT à s’acquitter pleinement de ses obligations à l’égard de la sécurité de l’information, quel que soit son support ou son moyen de communication. Plus précisément, il s’agit d’assurer, tout au long du cycle de vie de l’information, sa disponibilité, son intégrité et sa confidentialité. La politique de sécurité de l’information exprime la position de l’AMT concernant les mesures de sécurité considérées comme essentielles à la protection de ses actifs informationnels. Elle vise à assurer le respect de toute législation à l’égard de l’usage des technologies de l’information et des télécommunications. L’objectif est, d’une part, d’atténuer les risques auxquels peuvent être exposés les actifs informationnels détenus et exploités par l’organisation et, d’autre part, de déployer les mesures de protection adéquates. Ainsi, les risques d’atteinte à la vie privée, d’attaque des systèmes de l’AMT, ou de vol de données sont réduits de façon à assurer la protection des renseignements personnels et confidentiels. Plus spécifiquement, cette politique est établie dans le but de mettre en place des mesures et des mécanismes administratifs et de contrôle afin d’assurer le respect des droits et des obligations des employés de l’AMT, de ses fournisseurs et partenaires d’affaires. Les objectifs de l’AMT en matière de sécurité de l’information sont :  d’assurer la disponibilité, l’intégrité et la confidentialité à l’égard de l’utilisation des réseaux informatiques et de l’ensemble des actifs informationnels de l’AMT;  d’assurer la confidentialité des renseignements personnels, stratégiques, sensibles ou critiques ou provenant des partenaires d’affaires de l’AMT;  d’assurer la conformité aux lois et règlements applicables ainsi qu’aux directives, normes et orientations gouvernementales. 4.
CHAPITRE 4 – RESPECT DE LA POLITIQUE Le respect de la présente politique est essentiel au bon fonctionnement des activités de l’AMT et permet à l’AMT de supporter ses efforts pour préserver la confidentialité, l’intégrité et la disponibilité de l’information. PAGE 4 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information Le non‐respect, par un utilisateur d’actif informationnel, de cette politique émise par l’AMT peut entrainer des mesures disciplinaires pouvant aller jusqu’au congédiement ou à la terminaison d’un contrat, sous réserve de tout autre recours légal. 5.
CHAPITRE 5 – CADRE LEGAL ET ADMINISTRATIF Les principales lois, énumérées ci‐dessous, servent de références à la présente politique de sécurité de l’information : 6.

les lois d’application générale notamment le Code civil du Québec, le Code criminel, la Loi concernant le cadre juridique des technologies de l’information (RLRQ, c.C‐1.1), la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A‐2.1), la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (RLRQ, c. G‐1.03); 
la loi d’application spécifique qui encadre la mission de l’AMT : Loi sur l’Agence Métropolitaine de Transport (RLRQ, c.A‐7.02). CHAPITRE 6 – PRINCIPES DIRECTEURS PROTECTION DES ACTIFS INFORMATIONNELS La mise en œuvre et la gestion de la sécurité de l’information tiennent compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande la mise en place d’un ensemble de mesures coordonnées. À cet égard, la protection des actifs informationnels de l’AMT doit s’effectuer conformément aux directives de sécurité de l’information émises par l’AMT et approuvées par le comité de direction de l’AMT, dont une liste se trouve à l’annexe A. Les mesures de protection s’appuient sur l’identification et l’évaluation annuelle des risques qui menacent la confidentialité, l’intégrité, la disponibilité des actifs informationnels de même que la continuité des activités, et ce conformément aux directives de sécurité énumérées en début de section. Ces mesures de protection doivent permettre de minimiser les risques et les impacts afin de les maintenir à un niveau acceptable pour l’organisation. En outre, une évaluation des risques doit être effectuée avant de procéder à une acquisition ou à un changement important au système d’information ou à l’infrastructure informationnelle. Les actifs informationnels sont assignés à un propriétaire d’actif informationnel : ils doivent être inventoriés et catégorisés, et ce conformément à la directive sur la classification des actifs informationnels. Le niveau de protection accordé aux actifs informationnels est fonction de leur sensibilité et des exigences qui y sont liées pour assurer leur sécurité. La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du processus menant à l’acquisition, au développement, à l’utilisation, au remplacement ou la destruction d’un actif informationnel par ou pour l’AMT, et ce conformément aux directives de sécurité énumérées en début de section. L’AMT s’assure du maintien de l’infrastructure technologique et prend les mesures appropriées pour assurer la sécurité des données, et ce conformément aux directives de sécurité énumérées en début de PAGE 5 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information section. Comme cette infrastructure est indispensable au bon fonctionnement de l’organisation, des moyens appropriés sont déployés afin de réduire à un niveau acceptable pour l’AMT les risques de pannes et offrir un environnement stable aux intervenants. Dans ce but, des mécanismes de surveillance sont prévus afin de détecter les défaillances des systèmes ainsi que toute opération non autorisée ou malveillante. L’AMT protège ses ressources informationnelles contre les menaces d’atteinte à la sécurité et les dangers potentiels pour son environnement tels que : incendie, inondation, survoltage, coupures de courant, accès illégal aux locaux. Des mesures de sécurité physique sont déployées selon la nature des lieux et des actifs informationnels à protéger. De manière à assurer la protection des informations, l’accès aux locaux et aux actifs informationnels doit être contrôlé pour empêcher tout accès non autorisé, tout dommage ou toute intrusion. Les contrôles d’accès sont mis en place pour permettre ou restreindre l’accès à des zones de l’organisation selon leur degré de sensibilité, et ce conformément à la directive sur la gestion des accès physiques et logiques. Ainsi, les accès aux actifs informationnels sont attribués à l’intervenant autorisé en fonction de ce qui lui est nécessaire pour l’exécution de ses tâches, et en fonction de son rôle et de ses responsabilités. Une révision annuelle des accès est prévue. Les ententes et contrats dont l’AMT est partie prenante doivent contenir des dispositions garantissant le respect des exigences en matière de sécurité et de protection de l’information, et ce conformément aux directives de sécurité énumérées en début de section. PROTECTION DES RENSEIGNEMENTS CONFIDENTIELS, SENSIBLES ET PERSONNELS Toute information considérée comme confidentielle ou sensible, conformément à la directive sur la classification des actifs informationnels, doit être protégée contre l’accès non autorisé ou illicite. Sont notamment considérées confidentielles les informations nominatives ainsi que les informations dont la divulgation aurait pour effet soit de réduire l’efficacité d’un dispositif de sécurité destiné à la protection d’un bien ou d’une personne, soit de rendre publics des éléments pouvant entraver la bonne marche des projets menés par l’AMT ou l’atteinte de ses objectifs stratégiques. L'accès aux renseignements personnels des utilisateurs, ou des partenaires d’affaires, par le personnel de l’AMT et toute autre personne physique ou morale qui accède les renseignements pour le compte de l’AMT doit : 1) Être autorisé et contrôlé. Chaque système doit prévoir des droits d'accès différents selon les responsabilités des utilisateurs ou partenaires d’affaires; 2) L’AMT doit obtenir le consentement préalable. Les renseignements personnels ne doivent être utilisés qu’aux fins pour lesquelles ils ont été recueillis ou obtenus. Finalement, les informations concernant les cartes de paiements/crédit et leurs détenteurs, doivent être protégées conformément à la directive sur le commence électronique. PAGE 6 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information L’OBLIGATION DE RENDRE COMPTE Toute personne ayant accès aux actifs informationnels de l’AMT assume des responsabilités spécifiques en matière de sécurité de l’information et est redevable de ses actions auprès de la direction de l’AMT. Toute personne œuvrant à l’AMT a l’obligation de protéger les actifs informationnels mis à sa disposition en les utilisant avec discernement et aux seules fins prévues, et ce conformément à la directive sur l’utilisation des technologies de l’information. ÉVALUATION DES RISQUES ET DES MESURES DE SÉCURITÉ Une évaluation annuelle des risques et des mesures de protection des actifs informationnels doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques ou menaces et les mesures de protection déployées. CONTINUITÉ DES ACTIVITÉS DE L’AMT L’AMT doit disposer de mesures d’urgence issues de son plan de continuité d’affaires, consignées par écrit, validées et mises à jour en vue d’assurer la mise en opération des systèmes d’information jugés essentiels en cas de sinistre majeur, et ce conformément à la directive de reprise des technologies de l’information. SENSIBILISATION ET FORMATION Un programme continu de sensibilisation et de formation à la sécurité de l’information doit être mis en place à l’intention du personnel de l'AMT. Le personnel doit être formé sur les procédures de sécurité de l’information et sur l’utilisation correcte des actifs informationnels afin de minimiser les risques d’un potentiel défaut de sécurité, et ce conformément à la directive sur la sensibilisation à la sécurité de l’information. DROIT DE REGARD Les actifs informationnels sont la propriété de l’AMT et, de ce fait, l’AMT a un droit de regard sur l’utilisation de ses actifs informationnels par son personnel, ses partenaires, ses fournisseurs, ses mandataires et ses clients. Les circonstances qui justifient le recours à ce droit de regard doivent être clairement définies et diffusées. SIGNALEMENT DES INCIDENTS Tout utilisateur d’actif informationnel a l’obligation de signaler sans tarder tout acte susceptible de représenter une violation réelle des règles de sécurité tel que vol, intrusion dans un réseau ou système, dommages délibérés, fraude, utilisation abusive ou inappropriée, conformément à la Politique et procédures de signalement en matière de fraudes et d’irrégularités adoptée par le conseil d’administration le 12 février 2010. Il doit de plus signaler les incidents conformément à la directive sur les incidents liés à la sécurité de l’information et à la directive sur les incidents liés à l’exploitation TI. DROIT DE PROPRIÉTÉ INTELLECTUELLE Les utilisateurs d’actifs informationnels doivent se conformer aux exigences légales sur l’utilisation de produits à l’égard desquels il pourrait y avoir des droits de propriété intellectuelle et sur l’utilisation de produits logiciels propriétaires. PAGE 7 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information INTERNET, COURRIER ÉLECTRONIQUE ET AUTRES OUTILS DE TRAVAIL L’AMT met à la disposition des utilisateurs d’actifs informationnels l’Internet, le courrier électronique et autres outils de gestion et d’échange d’information qui doivent être utilisés conformément au Code d’éthique et de déontologie des employés de l’AMT ainsi qu’à la directive sur l’utilisation des technologies de l’information. 7.
CHAPITRE 7 – REVISION ET EVALUATION La présente politique doit être révisée annuellement et modifiée lorsque nécessaire. Tout changement dans les normes, les systèmes ou toute recommandation suite à vérification ou incident majeur pourra entraîner une modification de ladite politique. 8.
CHAPITRE 8 – ROLES ET RESPONSABILITES EN MATIERE DE SECURITE DE L’INFORMATION Ci‐dessus est présentée la liste non exhaustive des intervenants impliqués dans cette politique:  Le Président directeur général (PDG);  Le Vice‐président Administration et Finances;  Le Vice‐président Opérations;  Le Directeur principal des Technologies de l’information (TI) et Systèmes de transports intelligents (STI), Dirigeant sectoriel de l’information (DSI), Responsable organisationnel de la sécurité de l’information (ROSI);  Le responsable des systèmes technologiques aux TI et STI, Conseiller organisationnel en sécurité de l’information (COSI), Coordonnateur organisationnel de gestion des incidents (COGI);  Les utilisateurs d’actifs informationnels;  Les propriétaires d’actifs informationnels;  Toute autre vice‐présidence ou direction relevant du PDG;  Le directeur de l’audit interne;  Le directeur des ressources humaines;  Le comité d’audit. PRÉSIDENT DIRECTEUR GÉNÉRAL Le président directeur général, en tant que responsable ultime, définit les valeurs et les orientations en matière de sécurité des actifs informationnels et assure le respect et l’application des lois et politiques relatives à la gestion de la sécurité au sein de l’AMT. PAGE 8 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information Il s’assure que les orientations prises en matière de sécurité sont cohérentes avec les politiques, les directives et autres dispositions décidées par le gouvernement du Québec à ce sujet. VICE‐PRÉSIDENT ADMINISTRATION ET FINANCES  d’assurer la coordination des projets de sécurité de l’information;  d’assurer une priorisation adéquate des dossiers de sécurité des actifs informationnels. VICE‐PRÉSIDENT OPÉRATIONS Le vice‐président opérations agit à titre de gestionnaire de la sécurité physique des lieux et des personnes. Il est responsable du contrôle des accès physiques aux immeubles et équipements de l’AMT. DIRECTEUR PRINCIPAL DES TI ET STI, DSI, ROSI Personne responsable de la sécurité de l’information de l’AMT, il est responsable de la mise en place, la communication, l’application et la révision des politiques et directives gouvernementales et organisationnelles en cette matière. Cette personne détient le rôle d’intervenant stratégique en situation de crise, en plus d’être responsable de l’alignement des TI et STI avec la mission de l’organisation. En tant que DSI, elle veille à l’application des règles de gouvernance et de gestion établies en matière de sécurité de l’information. À titre de ROSI, cet individu est le porte‐parole du dirigeant principal de l’information (Conseil du trésor) auprès de son organisation. RESPONSABLE DES SYSTÈMES TECHNOLOGIQUES AUX TI ET STI, COSI, COGI Relevant de la direction des technologies de l’information (TI) et Systèmes de transports intelligents (STI), personne ayant la responsabilité d’autoriser, lorsque nécessaire, les demandes de changement et d’accès reliées à la sécurité ou aux infrastructures informatiques. Le responsable détient le rôle d’intervenant tactique en situation de crise en plus d’élaborer des plans et solutions de relève de l’organisme. Il est responsable de la mise en application de la sécurité de l’information. Le COSI apporte son soutien au ROSI au niveau tactique. Par exemple la mise en œuvre des mesures de mitigation des risques et la mise en œuvre des processus formels de sécurité. Il est responsable de produire des bilans et des plans d’action de sécurité. Le COGI participe au réseau d’alerte gouvernementale, contribue à la mise en place du processus de gestion des incidents, contribue aux analyses de risque, élabore des guides portant sur la sécurité. Cette personne est responsable d’assurer le respect des directives gouvernementales et organisationnelles. UTILISATEURS D’ACTIFS INFORMATIONNELS Toute personne de l’organisation de quelque catégorie d’emploi, de statut d’employé ainsi que toute personne qui, par engagement contractuel ou autrement, utilise un actif informationnel de l’organisation ou y a accès. Le rôle des utilisateurs d’actifs informationnels est :  de prendre connaissance et d’adhérer à la politique de sécurité de l’information; PAGE 9 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information  d’utiliser les actifs informationnels en se limitant aux fins pour lesquelles ils sont destinés et dans le strict cadre des accès qui leur sont autorisés;  de se conformer aux directives établies, dans le respect des dispositions de la politique de sécurité de l’information de l’AMT. PROPRIÉTAIRES DES ACTIFS INFORMATIONNELS Personne ayant la responsabilité d’approuver, lorsque nécessaire, les demandes d’accès reliées aux solutions applicatives. Cette personne est également responsable de s’assurer que les consignes et règles d'utilisation des ressources informationnelles soient connues et respectées pour l'actif informationnel dont elle est la propriétaire. Le propriétaire est également responsable de conduire la revue des privilèges accordés aux utilisateurs des actifs informationnels. TOUTE AUTRE VICE‐PRÉSIDENCE OU DIRECTION RELEVANT DU PDG Les principales responsabilités des autres vice‐présidences à l’égard de la protection des actifs informationnels de l’AMT sont :  d’informer et de sensibiliser leur personnel quant aux dispositions de la politique de sécurité de l’information de l’AMT et des modalités de sa mise en œuvre;  de s’assurer que les ressources informationnelles sont utilisées en conformité avec les principes généraux et avec les exigences de la présente politique;  de répondre de l’utilisation des actifs informationnels de l’AMT faite par leur personnel. DIRECTEUR DE L’AUDIT INTERNE Le directeur de l’audit interne effectue des examens de conformité indépendants de l’efficacité des contrôles qui s’inscrivent dans les activités de la protection des actifs informationnels de l’AMT, et ce, dans un contexte de gestion intégrée des risques. Le directeur de l’audit interne joue un rôle clé dans la reddition de comptes en matière de sécurité de l’information, plus particulièrement au regard de l’identification, de l’évaluation et de la gestion des risques d’atteinte à la sécurité de l’information. À ce titre, il évalue, examine ou vérifie, notamment :  l’application, la validité et l’efficacité des règles, des mesures administratives et des moyens technologiques en matière de sécurité de l’information élaborés et mis en œuvre;  l’adéquation de l’intégration de la sécurité de l’information dans les processus d’affaires. DIRECTEUR DES RESSOURCES HUMAINES Cette personne, en collaboration avec les membres de l’équipe des ressources humaines, s’assure d’obtenir l’engagement des utilisateurs d’actifs informationnels quant au respect du Code d’éthique de l’AMT, de la politique relative à la sécurité de l’information et des directives liées à la sécurité de l’information, en plus de contribuer à la sensibilisation de ces derniers à la sécurité de l’information. PAGE 10 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information COMITÉ D’AUDIT Le comité d’audit a pour mission :  Veiller à ce que des mécanismes de contrôle interne soient mis en place et s’assurer qu’ils soient adéquats et efficaces;  S’assurer que soit mis en place un processus d’évaluation et de gestion des risques;  Passer en revue périodiquement les lignes directrices et les politiques guidant le traitement des principaux risques et des mesures prises par la direction pour surveiller et contrôler ces risques, y compris les risques liés à la fraude;  D’aviser par écrit le conseil d’administration dès qu’il découvre des opérations ou des pratiques de gestion qui ne sont pas saines ou qui ne sont pas conformes aux lois ou aux politiques. 9. CHAPITRE 10 – DATE D’ENTREE EN VIGUEUR La présente politique entre en vigueur à la date de son approbation par le conseil d’administration. PAGE 11 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information ANNEXE A : LISTE DES DIRECTIVES DE SECURITE
Ci‐dessus est présenté la liste des directives qui énoncées par l’AMT qui complémente la politique de sécurité de l’information de l’AMT :  Directive sur la classification des actifs informationnels : o
Proposer une méthode pour répertorier les actifs informationnels et leur assigner un niveau de confidentialité, d’intégrité ou de disponibilité.  Directive sur la gestion des accès physiques et logiques : o
Identifier les aspects à prendre en compte dans le cadre du contrôle de l’accès aux actifs informationnels.  Directive sur la reprise des technologies de l’information : o
Identifier les actions à mettre en place afin de protéger les processus cruciaux de l’organisation contre les effets des défaillances majeures ou des sinistres informatiques.  Directive sur les incidents liés à la sécurité de l’information : o
Présenter un mode de notification et gestion des évènements liés à la sécurité de l’information qui permette la mise en œuvre d’une action corrective dans des délais raisonnables.  Directive sur la sensibilisation à la sécurité de l’information : o
Énoncer les éléments à prendre en compte pour la formation et la sensibilisation des utilisateurs d’actifs informationnels sur la sécurité de l’information.  Directive sur l’utilisation des technologies de l’information : o
Définir les règles minimales que tout utilisateur d’actifs informationnels de l’AMT ou tout autre utilisateur d’actifs informationnels occasionnel doit respecter lors de l’utilisation des technologies de l’Information mises à sa disposition, ceci comprend la conduite raisonnable, responsable et respectueuse des règles d’éthique.  Directive sur la sécurité de l’exploitation TI et des applications: o
Documenter les éléments de sécurité à prendre en compte dans les activités de production et de traitement de l’information, telles que les procédures de démarrage/arrêt des infrastructures technologiques, la sauvegarde, la maintenance du matériel, la manipulation des supports, sécurité des infrastructures technologiques. PAGE 12 Agence Métropolitaine de Transport Politique relative à la sécurité de l’information  Directive sur les incidents liés à l'exploitation: o
Présenter un mode de notification des évènements liés aux incidents de l’exploitation qui permette la mise en œuvre d’une action corrective dans des délais raisonnables.  Directive sur la sécurité des réseaux de télécommunication : o
Exposer les mesures de protection des actifs informationnels sur les réseaux et la protection de l’infrastructure sur lesquels ils s’appuient.  Directive sur les audits de la sécurité de l’information : o
Préciser comment sera menée l’analyse périodique de la sécurité des actifs informationnels afin d'en dégager les points faibles et/ou non conformes, et de mener les actions correctives des écarts et dysfonctionnements constatés.  Directive sur la gestion des changements affectant les actifs informationnels : o
Présenter un processus de gestion des demandes de changements affectant les systèmes d’exploitation, bases de données, logiciels et applications.  Directive sur le commerce électronique o
Exposer les requis de sécurité de l’information de manière à protéger les informations de la clientèle de l’AMT dans le contexte de commerce électronique, et plus particulière en regard à la norme PCI‐DSS et les lois sur la protection des renseignements personnels. PAGE 13