Politique
Transcription
Politique
Seule modification à la politique : réseau intégré de télécommunications multimédia (RITM) Cote DRI-13-01 Réservé à la Direction générale Politique Titre : Politique de sécurité des actifs informationnels Destinataires : bénévoles Membres du conseil d’administration, médecins, personnel cadre, personnel, Émetteur : Martin St-Amour, directeur des ressources informationnelles et responsable de la sécurité des actifs informationnels Date d’adoption : 26-11-2006 Dernière date de révision : Approuvé par : CA 13-06-2013 Comité de régie Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Contexte / historique La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les établissements, de s’échanger des informations de façon rapide et sécuritaire. C’est dans cette optique que le réseau s’est doté en 1999 du réseau intégré de télécommunications multimédia (RITM) qui relie plus de 1 650 sites au sein de plus de 400 établissements. Dans la perspective d’un volume accru d’échanges d’information et afin de s’assurer du respect des lois, règlements et directives gouvernementales en matière de sécurité de l’information, en 2002 le ministère de la Santé et des Services sociaux (MSSS) a élaboré un Cadre global de la sécurité des actifs informationnels. Le Volet sur la sécurité précise les orientations et les obligations que doivent respecter les établissements du réseau de la santé et des services sociaux en matière de sécurité de l’information. Le rôle ainsi que les divers pouvoirs et devoirs des établissements, des agences régionales et du ministère de la Santé et des Services sociaux sont précisés dans la Loi sur les services de santé et les services sociaux (L.R.Q., chapitre S-4.2). De plus, pour réaliser leur mandat, ces organisations du réseau de la santé et des services sociaux sont tributaires d'un certain nombre de banques d'informations électroniques, de systèmes d'informations et de technologies de l'information qu'elles utilisent pour la production de services ; tous ces éléments constituent des actifs informationnels et gèrent en fait des renseignements nominatifs unitaires et d'autres informations non nominatives, comportant une valeur légale, administrative, économique ou patrimoniale certaine. À cet égard, des obligations de base s'appliquent à l'ensemble de l'information, peu importe son support, dont disposent les établissements du réseau de la santé et des services sociaux. Ces obligations sont fixées notamment par le Code civil (art. 35 à 41), la Loi sur les services de santé et les services sociaux, la Loi sur les archives (L.R.Q., chapitre A-21.1) et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., chapitre A-2.1). En conséquence, le CSSS de Bordeaux-Cartierville–Saint-Laurent met en place la présente politique de sécurité des actifs informationnels. Cette politique oriente et détermine l’utilisation appropriée et sécuritaire de l’information et des technologies de l’information dans le respect des droits des usagers, tel que stipulé dans la Loi sur les services de santé et les services sociaux, la Loi sur les archives, la Charte des droits et liberté de la personne, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Page 2 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels TABLE DES MATIÈRES 1. Objectifs de la politique ................................................................................................................... 4 2. Respect de la politique ..................................................................................................................... 4 3. Domaine d’application ..................................................................................................................... 4 4. Principes directeurs ......................................................................................................................... 5 5. Rôles et responsabilités ................................................................................................................... 6 5.1 Le conseil d’administration...............................................................................................................6 5.2 Le directeur général ..........................................................................................................................6 5.3 Le responsable de la sécurité des actifs informationnels (RSAI) ......................................................6 5.4 Les détenteurs d'actifs informationnels ...........................................................................................7 5.5 Le responsable de la protection des renseignements personnels (RPRP) .......................................7 5.6 Les utilisateurs ..................................................................................................................................8 5.7 Le professionnel en sécurité de l’information (PSI) .........................................................................8 5.8 Les gestionnaires ..............................................................................................................................8 5.9 Les pilotes de systèmes ....................................................................................................................8 5.10 La direction des ressources informationnelles ...............................................................................8 5.11 La Direction des ressources humaines et du développement organisationnel .............................9 5.12 Le comité de sécurité des actifs informationnels (CSAI) ................................................................9 6. Entrée en vigueur de la politique ..................................................................................................... 9 Annexe 1 – Recueil des directives de sécurité des actifs informationnels.......................................... 10 Annexe 2. Fondements juridiques ....................................................................................................... 11 Annexe 3. Lexique ................................................................................................................................ 12 Page 3 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels 1. Objectifs de la politique La présente politique vise à assurer le respect de toute législation à l'égard de l'usage et du traitement de l'information et de l'utilisation des technologies de l'information et des télécommunications et de l’Internet. Plus spécifiquement, elle a pour objectifs : • d’assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l’utilisation des réseaux informatiques, du réseau intégré de télécommunications multimédia (RITM) et d’Internet, et de l’utilisation de tous les actifs informationnels détenus par le CSSS de Bordeaux-Cartierville–Saint-Laurent. • d’assurer le respect de la vie privée des individus, notamment, la confidentialité des renseignements à caractère nominatif relatifs aux usagers et au personnel du réseau de la santé et des services sociaux. • d’assurer la conformité aux lois et règlements applicables ainsi que les directives et orientations gouvernementales. Cette politique sera suivie de directives et de procédures afin de préciser les obligations qui en découlent. 2. Respect de la politique Le directeur général désigne l’officier de la sécurité informatique responsable de l’application de la présente politique. Le CSSS de Bordeaux-Cartierville–Saint-Laurent exige de tout employé, qui utilise les actifs informationnels de l'établissement ou qui a/aura accès à de l’information, de se conformer aux dispositions de la présente politique ainsi qu'aux directives et procédures qui s’y rattachent. Le non-respect de cette obligation envers les actifs informationnels peut entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement immédiat tout en respectant les lois du travail et les conventions collectives. 3. Domaine d’application La présente politique s’applique : • à l’ensemble du personnel du CSSS de Bordeaux-Cartierville–Saint-Laurent. De plus, elle s’étend à toute personne physique ou morale qui utilise ou qui accède pour le compte de l’établissement, ou non, à des informations confidentielles, ou non, quel que soit le support sur lequel elles sont conservées ; Page 4 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels • à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de l’établissement, tels que les banques d’information électronique, les informations et les données sans égard aux médiums de support (fixe ou portable), les réseaux, les systèmes d’information, les logiciels, les équipements informatiques ou centres de traitement utilisés par l’établissement ; • à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et de diffusion des actifs informationnels de l’établissement. 4. Principes directeurs • Toute personne au sein de l’établissement ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès du dirigeant de l’établissement. • La mise en œuvre et la gestion de la sécurité reposent sur une approche globale et intégrée. Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande, à cet égard, la mise en place d’un ensemble de directives coordonnées. • Les directives de protection, de prévention, de détection, d’assurance et de correction doivent permettre d'assurer la confidentialité, l’intégrité, la disponibilité, l'authentification et l'irrévocabilité des actifs informationnels de même que la continuité des activités. Elles doivent notamment empêcher les accidents, l'erreur, la malveillance ou la destruction d’information sans autorisation. • Les directives de protection des actifs informationnels doivent permettre de respecter les prescriptions du Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux – Volet sur la sécurité, de même que les lois existantes en matière d’accès, de diffusion et de transmission d’information, et les obligations contractuelles de l’établissement de même que l’application des règles de gestion interne. • Les actifs informationnels doivent faire l’objet d’une identification et d’une classification. • Une évaluation périodique des risques et des directives de protection des actifs informationnels doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les menaces et les directives de protections déployées. • La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du processus menant à l’acquisition, au développement, à l’utilisation, au remplacement ou la destruction d’un actif informationnel par ou pour l’établissement. • Un programme continu de sensibilisation et de formation à la sécurité informatique doit être mis en place à l’intention du personnel de l'établissement. Page 5 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels • L'accès aux renseignements personnels des utilisateurs par le personnel de l’établissement doit être autorisé et contrôlé. Chaque système doit prévoir des droits d'accès différents selon les catégories de personnel. • Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquelles ils ont été recueillis ou obtenus. • Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution d’accès aux informations. Les accès aux actifs informationnels sont attribués à l’utilisateur autorisé en fonction de ce qui lui est strictement nécessaire pour l’exécution de ses tâches. • Les ententes et contrats dont l’établissement fait partie doivent contenir des dispositions garantissant le respect des exigences en matière de sécurité et de protection de l’information. 5. Rôles et responsabilités 5.1 Le conseil d’administration Le conseil d’administration du CSSS de Bordeaux-Cartierville–Saint-Laurent approuve la présente politique, et doit s’assurer de sa mise en œuvre et faire le suivi de son application. 5.2 Le directeur général Le directeur général est le premier responsable de la sécurité des actifs informationnels au sein de l’établissement. Il s’assure de l’application de la politique dans l’établissement ; il en approuve les directives et soumet le bilan annuel concernant l’application de la politique au conseil d’administration ; exerce son pouvoir d’enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire. Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des directives précitées, il nomme un responsable de la sécurité des actifs informationnels. 5.3 Le responsable de la sécurité des actifs informationnels (RSAI) À titre de représentant délégué du directeur général en matière de sécurité des actifs informationnels, le RSAI gère et coordonne la sécurité des actifs informationnels au sein de l’établissement. Il veille à l’application de la politique sur la sécurité adoptée par l’établissement. Dans cette perspective, il collabore avec tous les gestionnaires et détenteurs d’actifs informationnels et, en particulier, avec le gestionnaire qui est en charge des technologies de l’information. Plus précisément, le responsable de la sécurité des actifs informationnels : • élabore les directives de sécurité et les procédures découlant de cette politique. Les directives de sécurité sont des énoncés permettant d’indiquer quels sont les standards Page 6 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels de l’établissement en matière de sécurité pour chacun des domaines ; il veille à leur application dans l’ensemble de l’établissement en collaboration avec les gestionnaires et les détenteurs d’actifs informationnels ; • s’informe des besoins en matière de sécurité auprès des détenteurs d’actifs informationnels et des gestionnaires, leur propose des solutions et coordonne la mise en place de ces solutions ; • gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et procède à des évaluations de la situation en matière de sécurité ; • suit la mise en œuvre de toute recommandation découlant d’une vérification ou d’un audit ; • produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels appartenant à l’établissement en s’assurant que l’information sensible à diffusion restreinte est traitée de manière confidentielle. 5.4 Les détenteurs d'actifs informationnels Les détenteurs : • assurent la sécurité d’un ou de plusieurs actifs informationnels qui leur sont confiés par le directeur général de l’établissement ou un tiers mandaté ; • s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment l’évaluation des risques, la détermination du niveau de protection visé, l’élaboration des contrôles non informatiques et, finalement, la prise en charge des risques résiduels ; • s’assurent que les directives de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées systématiquement en plus de s’assurer que leur nom et les actifs dont ils assument la responsabilité sont consignés dans le registre des autorités ; • déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui du responsable de la sécurité des actifs informationnels de l’organisme. 5.5 Le responsable de la protection des renseignements personnels (RPRP) À titre de responsable de l’application de la Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements personnels, le RPRP a un rôle de conseiller et/ou de valideur - approbateur auprès du responsable de la sécurité des actifs informationnels afin de s’assurer que les mécanismes de sécurité mis en place permettent de respecter les exigences de cette loi. Page 7 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels 5.6 Les utilisateurs Chaque membre du personnel utilisateur est responsable de respecter la présente politique, les directives et les procédures en vigueur en matière de sécurité de l'information, et d’informer le responsable de la sécurité des actifs informationnels de toute violation des directives de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs informationnels. 5.7 Le professionnel en sécurité de l’information (PSI) Le rôle du professionnel de la sécurité de l’information est de conseiller le RSAI sur les aspects technologiques et méthodologiques concernant la sécurité. Il coordonne les travaux reliés à l’implantation et aux contrôles des directives de sécurité. Également, il coordonne et/ou réalise les tâches de sécurité opérationnelles qui lui sont confiées par le RSAI. 5.8 Les gestionnaires Le gestionnaire s’assure que tous ses employés sont au fait de leurs obligations découlant de la présente politique. Il les informe précisément des directives et procédures de sécurité en vigueur. Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que les moyens de sécurité sont utilisés de façon à protéger effectivement l’information utilisée par son personnel. Il communique au RSAI tout problème d’importance en matière de sécurité de l'information. 5.9 Les pilotes de systèmes Les pilotes des systèmes ont la responsabilité d’assurer le fonctionnement sécuritaire d’un actif informationnel dès sa mise en exploitation, de contrôler et d’autoriser l’accès logique à tout actif informationnel dont ils ont la responsabilité d’utilisation. Les pilotes doivent également informer les utilisateurs de leurs obligations face à l’utilisation des systèmes d’information dont ils sont responsables lors de l’attribution des accès. Ils communiquent à leurs gestionnaires tout problèmes d’importance en matière de sécurité de l’information. 5.10 La direction des ressources informationnelles Le rôle de la Direction des ressources informationnelles à l’égard de la sécurité des actifs informationnels est d'agir en tant que fournisseur de service. Elle fournit et maintient en état les moyens techniques de sécurité et s’assure de leur conformité aux besoins de sécurité déterminés par le détenteur. Ce rôle trouve son complément dans l’assistance et le conseil en vue d’une meilleure utilisation de ces moyens. Page 8 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels 5.11 La Direction des ressources humaines et du développement organisationnel La Direction des ressources humaines est responsable d'informer tout nouvel employé de ses obligations découlant de la présente politique ainsi que des directives et procédures en vigueur en matière de sécurité de l’information. 5.12 Le comité de sécurité des actifs informationnels (CSAI) Le comité joue avant tout un rôle conseil auprès du RSAI. Il constitue un mécanisme de coordination et de concertation qui, par sa vision globale, est en mesure de proposer des orientations et d’émettre des recommandations en regard de l’élaboration, la mise en œuvre et la mise à jour des directives prévues au plan directeur. Il est aussi en mesure d’évaluer les incidences sur la sécurité de l’organisation que les nouveaux projets pourraient avoir. 6. Entrée en vigueur de la politique La présente politique doit faire l’objet d’une révision tous les quatre (4) ans ou lorsque des modifications législatives ou réglementaires le requièrent. Toute révision de la présente politique entre en vigueur le jour de son adoption par le conseil d’administration de l’établissement. Advenant le cas qu’aucune révision n’intervienne dans le délai imparti, pour quelque raison que ce soit, la politique demeure néanmoins en vigueur. Page 9 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Annexe 1 – Recueil des directives de sécurité des actifs informationnels Page 10 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Annexe 2. Fondements juridiques Cette annexe présente les principales lois, règlements, directives et autres références encadrant la présente politique : Le Cadre global sur la sécurité des actifs informationnels du réseau de la santé et des services sociaux – Volet sur la sécurité (ministère de la Santé et des Services sociaux, septembre 2002) Architecture gouvernementale de la sécurité de l’information (septembre 2001) Charte des droits et libertés de la personne (L.R.Q., c.C-12) Charte canadienne des droits et libertés (1982, c. 11) Directive sur la sécurité de l’information et des échanges électroniques dans l’administration gouvernementale (février 2000) Directive sur le traitement et la destruction de tout renseignement, registre, donnée, logiciel, système d’exploitation ou autre bien protégé par un droit d’auteur, emmagasiné sur un équipement microinformatique ou un support amovible (octobre 1999) Loi sur les archives (L.R.Q., ch. A-21.1) Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements personnels (L.R.Q., ch. A-2.1) Loi sur l’administration publique (PL 82) Loi sur les services de santé et les services sociaux Loi concernant le cadre juridique des technologies de l’information (PL 161) Certaines dispositions pertinentes du Code civil du Québec (C.C.Q) Certains articles du Code criminel du Canada (C.C.C) Loi sur la protection des renseignements personnels et les documents électroniques (C-6) Loi canadienne sur le droit d’auteur (L.R. 1985, ch. C-42) Loi sur la propriété intellectuelle et les marques de commerce (L.R. 1985 ch. T-13) Directives en matière d’acquisition, d’utilisation et de gestion des droits d’auteur des documents détenus par le gouvernement et les ministères et établissements désignés (novembre 2000) Page 11 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Annexe 3. Lexique Actif informationnel : banque d’informations électroniques, système d’informations, réseau de télécommunications, technologie de l’information, installation ou ensemble de ces éléments ; un équipement médical spécialisé ou ultra-spécialisé peut comporter des composantes qui font partie des actifs informationnels, notamment lorsqu’il est relié de façon électronique à des actifs informationnels. (Réf. : Loi sur les services de santé et les services sociaux, art. 520.1). S’ajoutent, dans le présent cadre de gestion, les documents imprimés générés par les technologies de l’information. Altération : toute modification qui a pour effet de changer les caractéristiques ou la nature d’une information. Archivage de l’information : action de classer l’information dans les archives. Audit : évaluation périodique basée sur des critères définis permettant de vérifier si les directives de l’ensemble ou d’une partie du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité sont appliquées. Authentifiant : renseignement unique à l’utilisateur et connu de lui seul, qui permet d’établir la validité de l’identité d’une personne, d’un dispositif ou d’une autre entité. Authentification : fonction de contrôle de l’accès aux actifs informationnels permettant d'établir la validité de l'identité d'une personne, d'un dispositif ou d'une autre entité au sein d'un système d'information ou de communication. Autorisation : attribution par une autorité de droits d’accès aux actifs informationnels qui consiste en un privilège d’accès accordé à une personne, à un dispositif ou à une entité. Banque d’informations électroniques : collection d’informations électroniques relatives à un domaine défini, regroupées et organisées de façon à en permettre l’accès. Biclé : ensemble constitué d'une clé publique et d'une clé privée mathématiquement liées entre elles, formant une paire unique et indissociable pour le chiffrement et le déchiffrement des données, et appartenant à une seule entité. Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité : ensemble de textes encadrant la sécurité des actifs informationnels et comprenant la Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux, les rôles et responsabilités des acteurs en matière de sécurité, les directives en matière de sécurité des actifs informationnels et le répertoire des procédures optionnelles en cette matière. Ce cadre a été officialisé par monsieur Pierre Gabriel, sous-ministre au ministère de la Santé et des Services sociaux, le 24 septembre 2002. Chiffrement : opération qui consiste à rendre une information inintelligible, de façon qu’elle ne puisse être lue par une personne qui ne possède pas le dispositif permettant de la ramener à sa forme initiale. Clé privée : composante de la biclé, laquelle composante est connue de son unique propriétaire et utilisée par lui seul pour déchiffrer un message dont il est le destinataire ou pour signer un message dont il est l'émetteur. Page 12 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Clé publique : composante de la biclé, laquelle composante est stockée dans un répertoire accessible à tous les membres d'un réseau ou d'une organisation et permet de transmettre en toute confidentialité des messages à son unique propriétaire ou d'authentifier à l'arrivée des messages émis par ce dernier. CNPRPS : Comité national de protection des renseignements personnels et de sécurité. Code d’identification : type d’identifiant. Groupe alphanumérique, unique et normalisé permettant d’identifier l’utilisateur d’un actif informationnel. Collecte d’information : action de rassembler des informations variables destinées à un traitement. Confidentialité : propriété que possède une donnée ou une information dont l’accès et l'utilisation sont réservés à des personnes ou entités désignées et autorisées. Conservation de l’information : action de maintenir l’information intacte. Copie de sécurité : copie d'un fichier ou d'un ensemble de fichiers mise à jour à intervalles réguliers en vue d'assurer la restauration des données en cas de perte. Coupe-feu ou garde-barrière ou bastion de sécurité : dispositif informatique qui permet le passage sélectif des flux d'information entre un réseau interne et un réseau public ainsi que la neutralisation des tentatives de pénétration en provenance du réseau public. Cryptographie : discipline qui comprend les principes, les moyens et les méthodes de transformation des données afin d’en dissimuler le contenu, d’en prévenir les modifications non détectées ou d’en éviter l’utilisation non autorisée. Cycle de vie de l’information : période de temps couvrant toutes les étapes d’existence de l’information, dont celles (selon la terminologie) de la définition, de la création, de l’enregistrement, du traitement, de la diffusion, de la conservation et de la destruction. Déchiffrement : action de rendre sa forme originale à une information précédemment chiffrée. Destruction de l’information : action de faire disparaître l’information. Détenteur : personne à qui, par délégation d’un dirigeant d’organisme, est assignée la responsabilité d’assurer la sécurité d’un ou de plusieurs actifs informationnels, qu’ils soient détenus par le dirigeant d’organisme ou un tiers mandaté. Directives : énoncés généraux émanant de la direction d’une organisation et indiquant ce qui doit être appliqué relativement à la sécurité des actifs informationnels. Disponibilité : propriété qu’ont les données, l’information et les systèmes d’information et de communication d’être accessibles et utilisables en temps voulu et de la manière adéquate par une personne autorisée. Donnée : élément de base constitutif d’un renseignement, d’une information. Page 13 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Donnée confidentielle : donnée qui ne peut être communiquée ou rendue accessible qu’aux personnes ou autres entités autorisées. Donnée nominative : information relative à une personne physique identifiée ou identifiable. Donnée publique : donnée ne faisant pas l’objet de restriction d’accès. Donnée sensible : donnée dont la divulgation, l’altération, la perte ou la destruction risque de paralyser ou de mettre en péril soit un service, soit l’organisation elle-même qui, de ce fait, devient vulnérable. Droit d’auteur : droit exclusif que détient un auteur ou son représentant d’exploiter une œuvre pendant une durée déterminée. Équipement informatique : ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de travail informatisés et leurs unités ou accessoires périphériques de lecture, d’emmagasinage, de reproduction, d’impression, de communication, de réception et de traitement de l’information, et tout équipement de télécommunications. Exploitation informatique : unité administrative qui a comme tâche d’assurer le bon fonctionnement, le développement et l’entretien des services informatiques de l’organisme. Fournisseur : corporation, société, coopérative ou personne physique faisant affaires et étant en mesure de contracter avec le gouvernement, unité administrative d’un organisme ou tout fonds spécial qui fournit des services ou des biens à un détenteur, à un utilisateur ou à un autre fournisseur. Identifiant : renseignement sur l’utilisateur, lequel renseignement est connu de l’organisme et permet à cet utilisateur d’avoir accès à des actifs informationnels. Identification : fonction du contrôle de l’accès aux actifs informationnels permettant d’attribuer un code d’identification, ou identifiant, à un utilisateur, à un dispositif ou à une autre entité. Incident : événement ayant pu mettre ou ayant mis en péril la sécurité d’un ou de plusieurs actifs informationnels. Information : élément de connaissance descriptif d’une situation ou d’un fait, résultant de la réunion de plusieurs données. Information électronique : information sous toute forme (textuelle, symbolique, sonore ou visuelle), dont l’accès et l’utilisation ne sont possibles qu’au moyen des technologies de l’information. Infrastructure commune : ensemble des composantes matérielles, logicielles, technologiques et organisationnelles partagées en tout ou en partie par le ministère de la Santé et des Services sociaux et les organismes du réseau de la santé et des services sociaux. Installation : ensemble des objets, appareils, bâtiments et autres éléments installés en vue de l’utilisation d’une technologie de l’information. Intégrité : propriété d’une information ou d’une technologie de l’information de n’être ni modifiée, ni altérée, ni détruite sans autorisation. Page 14 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Interrogation de l’information : question ou ensemble des questions posées à une banque d’information. Irrévocabilité : propriété d’un acte d’être définitif et clairement attribué à la personne qui l’a accompli ou au dispositif avec lequel il a été accompli. Journal : relevé chronologique des opérations informatiques, constituant un historique de l'utilisation des programmes et des systèmes sur une période donnée. Journalisation : enregistrement dans un journal de tous les accès fructueux et infructueux à un ordinateur et aux données, de l’utilisation de certains privilèges spéciaux relatifs à l’accès et des changements apportés aux actifs informationnels, en vue d’une vérification ultérieure. Logiciel : ensemble des programmes, des procédures et des règles ainsi que de la documentation qui leur est associée, nécessaires à la mise en œuvre d'un système de traitement de l'information. Logiciel d’application : logiciel conçu pour répondre à un ensemble de besoins dans un domaine donné. LSSSS : Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2). Matériel : ensemble des éléments physiques employés pour le traitement de l’information. Mécanisme : agencement ou ensemble de processus et de ressources humaines, matérielles et autres disposé de façon à obtenir un résultat donné. Modification de l’information : action de faire des changements dans l’information. Mot de passe : authentifiant prenant la forme d'un code alphanumérique attribué à un utilisateur, permettant à ce dernier d'obtenir l'accès à un ordinateur en ligne et d'y effectuer l'opération désirée. Cet authentifiant représente une liste secrète de caractères qui, combinée à un code d’utilisateur public, forme un identificateur unique désignant un utilisateur particulier. Non-répudiation : voir irrévocabilité. Organisme : le ministère de la Santé et des Services sociaux, les régies régionales et les établissements du réseau de la santé et des services sociaux. Personne : une personne physique ou une personne morale de droit public ou de droit privé. Personnel : ensemble des ressources humaines, rémunérées ou non, qui assument la mission de l’organisme. Plan de reprise après sinistre : document qui prévoit toutes les circonstances entraînant une interruption de service des actifs informationnels ainsi que toutes les directives applicables afin d’assurer, sur site ou hors site, les services essentiels. Plan de sauvegarde : plan contenant les règles détaillées et strictes relatives à tous les aspects de la sauvegarde informatique (responsabilité, exhaustivité, cohérence, fichiers stratégiques, nombre de générations, cycles de rotation, confection, supports, transport, lieu d’entreposage, durée d’entreposage, accessibilité, exploitabilité, contrôles et validation). Page 15 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Politique de sécurité : énoncé général émanant de la direction d’une organisation et indiquant la ligne de conduite adoptée relativement à la sécurité, à sa mise en œuvre et à sa gestion. Progiciel : ensemble complet de programmes informatiques munis de documents, conçus pour être fournis à plusieurs utilisateurs et commercialisés en vue d'une même application ou d’une même fonction. Programme informatique : série de fonctions et de définitions en langage machine ou dans un langage plus évolué. Renseignement : synonyme d’information. Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu accessible qu’aux personnes ou autres entités autorisées. Renseignement personnel ou nominatif : tout renseignement qui concerne une personne physique et qui permet de l’identifier. Répertoire des procédures optionnelles : ensemble des recommandations et des suggestions relatives à la mise en place des procédures visant à assurer la sécurité des actifs informationnels. Réseau étendu : réseau local qui devient une partie d’un réseau étendu lorsqu’une liaison est établie (par l’intermédiaire de modems, d’aiguilleurs distants, de lignes téléphoniques, de satellites ou d’autres connexions) avec un gros système, un réseau de données public ou un autre réseau local. Réseau informatique : ensemble des composantes et des équipements informatiques reliés par voie de télécommunications, soit pour accéder à des ressources ou à des services informatisés, soit pour en partager l’accès. Réseau local : réseau informatique de taille réduite et, le plus souvent, à l’intérieur d’un organisme. Réseau privé : réseau appartenant à une seule organisation. Réseau public : réseau partagé par plusieurs organisations et appartenant généralement à un fournisseur de services de télécommunications. RSSS : réseau de la santé et des services sociaux. RITM : réseau intégré de télécommunications multimédia. Sceau électronique : bloc de données dont le contenu est le résultat d'un calcul complexe effectué à partir d'un message à transmettre, qui est ajouté à ce message par l'expéditeur, et dont un nouveau calcul à l'arrivée permet de vérifier l'origine et l'intégrité du message auquel il a été attaché. Scellement : action qui consiste à adjoindre à un message à transmettre un sceau électronique permettant de garantir l'origine et l'intégrité de ce message. Page 16 sur 17 Cote : DRI-13-01 Titre de la politique : Politique de sécurité des actifs informationnels Signature numérique ou signature électronique : données annexées à un document électronique qui permettent à la personne qui reçoit ce document de connaître la source des données, d'en attester l'intégrité, et de s'assurer de l'adhésion de l'émetteur au contenu de ce document. On emploie parfois l’expression signature électronique sécurisée. Système d’information : ensemble organisé de moyens mis en place pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information en vue de répondre à un besoin déterminé, y incluant notamment les technologies de l’information et les procédés utilisés pour accomplir ces fonctions. Technologie de l’information : tout logiciel ou matériel électronique et toute combinaison de ces éléments utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information sous toute forme (textuelle, symbolique, sonore ou visuelle). Télécommunication : ensemble des procédés électroniques de transmission d’information à distance. Traitement de l’information ou traitement des données : ensemble des opérations effectuées automatiquement sur des données afin d’en extraire certains renseignements qualitatifs ou quantitatifs. Transaction : opération impliquant une modification de l’information. Transmission d’information : action de transporter une information d’un émetteur vers un récepteur. Utilisateur : personne, groupe ou entité administrative qui fait usage d'un ou de plusieurs actifs informationnels appartenant aux organismes publics du réseau de la santé et des services sociaux. Utilisation : terme qui recouvre, le cas échéant, l’ensemble des événements constituant le cycle de vie de l’information électronique, entre autres la création, la collecte, le traitement, la conservation, l’interrogation, la communication, la modification, l’archivage et la destruction. Vérification : évaluation ciblée d’une situation problématique ou jugée à risque et ne visant que les actifs informationnels en cause. Virus : programme inséré dans un système informatique afin de causer des dommages nuisibles et néfastes. Page 17 sur 17