ASIQ-201405

Transcription

ASIQ-201405

NOUVEAU CADRE DE GOUVERNANCE
DE LA SÉCURITÉ DE L’INFORMATION
13 mai 2014
Sous-secrétariat du dirigeant principal de l’information
Direction de l’encadrement de la sécurité de l’information
TABLE DES MATIÈRES
Introduction
Définition de la gouvernance
Cadre légal
Comparaison – Ancienne directive versus nouvelle directive
Composantes du nouveau cadre de gouvernance
Directive sur la sécurité de l’information
Cadre gouvernemental de gestion de la sécurité de l’information
Cadre de gestion des risques et des incidents à portée gouvernementale
Approche stratégique gouvernementale 2014-2017 en sécurité de
l’information
Gestion du changement
Stratégie et leviers de transformation
INTRODUCTION
GOUVERNANCE DE LA SÉCURITÉ DE L’INFORMATION
DÉFINITION
«
Établissement et mise en œuvre d’un processus de
gestion intégrée et d’amélioration continue de la sécurité de
l’information où les rôles et les responsabilités en cette
matière sont clairement attribués à tous les niveaux de
l’organisation. »
4
CADRE LÉGAL
5
Loi concernant le cadre juridique des technologies de l'information
Loi sur l’accès aux documents des organismes publics et sur la protection des
renseignements personnels
Loi sur la gouvernance et la gestion des ressources informationnelles des
organismes publics et des entreprises du gouvernement (adoptée en juin 2011)
Établit les règles de gouvernance et de gestion en matière de ressources
informationnelles, incluant la sécurité de l’information (Champ d’application, acteurs clés
et nouvelles fonctions, règles de gouvernance des RI)
Politique-cadre sur la gouvernance et la gestion des ressources informationnelles
des organismes publics (adoptée en décembre 2010)
Met l’emphase sur la révision de la directive en vigueur et sur la réalisation de trois
documents structurants permettant d’en faciliter la mise en œuvre (cadre gouvernemental
de gestion de la sécurité de l’information, cadre de gestion des risques et des incidents à
portée gouvernementale, approche stratégique triennale)
COMPARAISON
ANCIENNE DIRECTIVE VS
NOUVELLE DIRECTIVE
COMPARAISON
ANCIENNE DIRECTIVE VERSUS NOUVELLE DIRECTIVE
Directive 2006
7
Directive 2014
• Non conforme aux champs d’application de la LGGRI
• Alignée sur le champ d’application de la LGGRI
• Énoncés trop généraux et sujets à interprétations diverses
• Énoncés identifiant clairement les exigences, et conformes aux
bonnes pratiques de sécurité de l’information
• Édicte des obligations ainsi que des rôles et des
responsabilités
• Édicte des obligations seulement. Les rôles et responsabilités
sont intégrés dans le cadre gouvernemental de gestion de la
sécurité de l’information
• Limite la gestion des risques à l’échelle d’un ministère ou
organisme
• Instaure une gestion des risques prenant en compte les
risques ayant un impact à l’échelle gouvernementale
• Absence d’obligation en matière de cybersécurité et de
gestion des incidents. Les incidents sont déclarés au
Centre de services partagés du Québec (CERT/AQ)
sur une base volontaire
• Instaure un processus de coordination et de concertation,
advenant un incident ayant un impact à l’échelle
gouvernementale
• Instaure une déclaration obligatoire des incidents à portée
gouvernementale
• Exige la désignation d’un RSI
• Exige la désignation d’un ROSI, lequel doit être de niveau cadre
• Est appuyée par une approche stratégique 2005-2009,
limitée à la définition de grands axes d’intervention
• Est appuyée par une approche stratégique triennale, basée sur
les bilans gouvernementaux et sur les tendances de l’heure en
matière de sécurité de l’information définissant les objectifs, et
les cibles a atteindre et les indicateurs de performance.
COMPOSANTES DU NOUVEAU
CADRE DE GOUVERNANCE
9
QUATRE DOCUMENTS STRUCTURANTS
Directive sur la sécurité de l’information gouvernementale
Fixe les objectifs à atteindre, énonce les principes directeurs devant être appliqués et établit les
obligations du dirigeant principal de l’information (DPI) et des organismes publics afin d’assurer la
sécurité de l’information gouvernementale tout au long de son cycle de vie
Cadre gouvernemental de gestion de la sécurité de l’information
Vise à compléter les dispositions de la directive en précisant l’organisation fonctionnelle de la sécurité
de l’information au sein de l’appareil gouvernemental ainsi que les rôles et les responsabilités en cette
matière
Cadre de gestion des risques et des incidents à portée gouvernementale
Présente une approche d’identification et de suivi du traitement des risques et des incidents
susceptibles d'avoir des conséquences sur la prestation de services à la population, sur la vie, la
santé ou le bien-être des personnes, sur le respect de leurs droits fondamentaux à la protection des
renseignements personnels qui les concernent et au respect de leur vie privée, sur l’image du
gouvernement, ou sur la prestation de services fournie par d’autres organismes publics
Approche stratégique gouvernementale 2014-2017 en sécurité de l’information
Permet d’établir la vision gouvernementale et de définir les objectifs stratégiques pour les trois années
à venir
DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION
GOUVERNEMENTALE
10
Obligations du dirigeant principal de l’information
Conseiller le CT en matière de gouvernance de la sécurité de l’information
Déposer au CT un rapport bisannuel sur l’état de situation gouvernemental et un rapport
annuel sur les risques à portée gouvernementale
Définir et mettre en œuvre, conjointement avec le CERT/AQ, un processus de gestion
des incidents à portée gouvernementale
Proposer au CT des services communs de sécurité de l’information à rendre obligatoires
pour l’Administration gouvernementale
Mettre en place les instances de concertation gouvernementales de sécurité de
l’information
GOUVERNEMENTALE (SUITE)
11
OBLIGATIONS DU CSPQ - CERT/AQ
Présenter au DPI, conjointement avec le ministère de la Sécurité publique et la
Sûreté du Québec, un rapport annuel sur les incidents à portée gouvernementale
Informer le DPI de tout incident de sécurité de l’information à portée
gouvernementale
OBLIGATION DU CONTRÔLEUR DES FINANCES
Veiller à l’intégrité du système comptable du gouvernement et informer, le cas échéant,
le DPI des situations ayant des incidences sur la sécurité de l’information
gouvernementale
12
Obligations des organismes publics
Adopter et mettre en œuvre une politique et un cadre de gestion de la sécurité de
l’information
Présenter au DPI une planification et un bilan de sécurité de l’information
Définir et mettre en œuvre, de façon formelle, les processus de gestion des risques, de
gestion des incidents et de gestion de l’accès à l’information
Déclarer, au CERT/AQ, les incidents de sécurité de l’information à portée gouvernementale
Réaliser des audits et des tests d’intrusion
Mettre en place un registre d’autorité
Intégrer aux ententes de service et aux contrats les clauses garantissant le respect des
exigences de sécurité de l’information
Déclarer au DPI les risques de sécurité de l’information à portée gouvernementale
Utiliser les services communs de sécurité de l’information
Désigner les principaux intervenants en sécurité de l’information (ROSI, COGI)
Définir et mettre en place un programme formel de formation et de sensibilisation
13
Obligations des réseaux de l’éducation et de la santé
Les établissements des réseaux sont assujettis aux obligations faites aux organismes
publics en matière de respect de bonnes pratiques de sécurité de l’information
Le DRI présente au DPI une synthèse des bilans et des plans d’action des
établissements de chaque réseau
Chaque réseau désigne un ROSI et un COGI
CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE
L’INFORMATION
Organisation fonctionnelle de la sécurité de
l’information
Structure gouvernementale
de sécurité de l’information
Organisme public
14
L’INFORMATION
l’information
15
CCGSI
Organisme public
Conseil du trésor
Instances
gouvernementales
de concertation
EIMSG
Table des ROSI
Réseau des COSI
Dirigeant principal de
l’information
Comité de crise
gouvernemental
Organismes publics à
portée horizontale
MSP
BAnQ
MJQ
CF
MCE -SIDPC
SQ
- CSPQ
- CERT /AQ
Réseau d’alerte
gouvernemental
L’INFORMATION
l’information
Organisme public
Structure sectorielle de
Dirigeant d’un
organisme public
Instances
gouvernementales
de concertation
CCGSI
ROSI
Conseil du trésor
DRI
DSI
Comité de
continuité des
services
EIMSG
Table des ROSI
Réseau des COSI
COGI
l’information
COSI
Détenteurs de
l’information
Autres
intervenants
Comité de crise
gouvernemental
portée horizontale
MSP
BAnQ
MJQ
SQ
C MCE-SIDPC
- CSPQ
F
- CERT/AQ
Comité de crise
ministériel
Réseau d’alerte
gouvernemental
Comité chargé
de la sécurité
de l’information
- RASI - RGD
- RCS - RSP
- RDASI - RE
- RVI
- RGTI
- RAIPRP
L’INFORMATION
l’information
Organisme public
Structure sectorielle de
Conseil du trésor
Instances
gouvernementales
de concertation
CCGSI
Dirigeant d’un
organisme public
Comité de crise
ministériel
EIMSG
ROSI
Table des ROSI
Réseau des COSI
l’information
COGI
COSI
DRI
DSI
Comité de
continuité des
services
Détenteurs de
l’information
Comité de crise
gouvernemental
Autres
intervenants
portée horizontale
Comité chargé
de la sécurité
de l’information
MSP
BAnQ
MJQ
CF
MCE -SIDPC
SQ
- CSPQ
- CERT /AQ
Réseau d’alerte
gouvernemental
- RASI - RGD
- RCS - RSP
- RDASI - RE
- RVI
- RGTI
- RAIPRP
CADRE GOUVERNEMENTAL DE GESTION DE LA
SÉCURITÉ DE L’INFORMATION (SUITE)
18
Responsable organisationnel de la sécurité de l’information (ROSI)
Joue un rôle transversal à l’ensemble des systèmes de mission de l’organisation [De
ce fait, et sans qu’il soit mis dans une situation de conflit d’intérêt, le ROSI doit bénéficier d’une
marge de manœuvre qui dépend essentiellement de son positionnement hiérarchique, d’où
l’avantage de son rapprochement du pouvoir décisionnel, voire son rattachement auprès de la
haute direction]
Assure la coordination et la cohérence des actions de sécurité de l’information
menées au sein de son organisation
S’assure de la contribution de son organisation au processus de gestion des risques
et des incidents de sécurité de l’information à portée gouvernementale
Représente le dirigeant d’organisme en matière de déclaration des incidents à
portée gouvernementale
Est le principal interlocuteur du comité chargé de la sécurité de l’information de
l’organisation
19
Conseiller organisationnel en sécurité de
l’information (COSI)
Met en œuvre les orientations internes et les priorités d’actions, notamment celles portant
sur l’instauration de processus formels de sécurité de l’information et le suivi de leur mise
en œuvre
Collabore étroitement avec le ROSI et lui apporte le soutien nécessaire dans la prise en
charge des exigences de sécurité de l’information
Assiste les détenteurs dans la catégorisation de l’information relevant de leur
responsabilité et dans la réalisation des analyses de risques de sécurité de l’information
Participe aux négociations des ententes de service et des contrats et formule des
recommandations quant à l’intégration de dispositions garantissant le respect des
exigences de sécurité de l’information
Produire les bilans et les plans d’action de sécurité de l’information
20
Conseiller organisationnel en gestion des
incidents (COGI)
Participe au réseau d’alerte gouvernemental dont la coordination est assurée par le CERT/AQ
Est l’interlocuteur officiel de son organisation auprès du CERT/AQ
Assure la coordination de l’équipe de réponse aux incidents de son organisation, et du
déploiement des stratégies de réaction appropriées
Apporte au ROSI et au COSI le soutien technique nécessaire dans l’exercice de leurs
responsabilités
Contribue à la mise en place du processus de gestion des incidents de son organisation
Le COGI contribue à la mise en œuvre du processus gouvernemental de gestion des
incidents
21
Autres intervenants
Détenteurs de l’information
Responsable de l’architecture de sécurité de l’information
Responsable de la continuité des services
Responsable de la sécurité physique
Responsable de la gestion des technologies de l’information
Responsable de la vérification interne
Responsable de la gestion documentaire
Responsable de l’accès à l’information et de la protection des renseignements personnels
Responsable du développement ou de l’acquisition de systèmes d’information
Responsable de l’éthique
22
INSTANCES DE COORDINATION ET DE CONCERTATION
Comité de crise gouvernemental : centre de coordination de la réaction et de la
décision lorsqu’un incident de sécurité de l’information à portée gouvernementale n’est
pas maîtrisé en dépit des stratégies palliatives mises en œuvre.
Table des ROSI : exerce un rôle-conseil auprès du dirigeant principal de l’information
dans la définition, la mise en œuvre et le suivi de l’application des politiques, des
directives et des orientations gouvernementales de sécurité de l’information
Comité de coordination gouvernementale de la sécurité de l’information (CCGSI) :
est constitué de représentants des organismes publics ayant les responsabilités
horizontales. Il voit à la coordination des actions découlant de ces responsabilités
horizontales des OP membres et qui seraient d’intérêt pour l’ensemble des organismes
publics
Réseau des COSI : constitue une plateforme d’échanges et de partage des
connaissances en sécurité de l’information
Réseau d’alerte gouvernemental : animé par le CERT/AQ, ce réseau constitue une
plateforme de partage de l’information entre les coordonnateurs organisationnels de
gestion des incidents
CADRE DE GESTION DES RISQUES ET DES
INCIDENTS À PORTÉE GOUVERNEMENTALE
23
Risque de sécurité de l’information à portée gouvernementale (RPG)
Risque d'atteinte à la disponibilité, à l’intégrité ou à la confidentialité de
l’information gouvernementale et qui peut avoir des conséquences sur la
prestation de services à la population, sur la vie, la santé ou le bien-être des
personnes, sur le respect de leurs droits fondamentaux à la protection des
renseignements personnels qui les concernent et au respect de leur vie privée,
sur l’image du gouvernement, ou sur la prestation de services fournie par
d’autres organismes publics
Incident de sécurité de l’information à portée gouvernementale (IPG)
Conséquence observable de la concrétisation d’un risque de sécurité de
l’information à portée gouvernementale et qui nécessite une intervention
concertée au plan gouvernemental
24
CADRE DE GESTION DES RISQUES ET DES
INCIDENTS À PORTÉE GOUVERNEMENTALE (SUITE)
Le DPI assure la mise en œuvre et la coordination de la stratégie de gestion des RPG.
Il doit :
Identifier, de concert avec les organismes publics, les RPG inhérents aux activités
stratégiques
Analyser les RPG et les mesures d’atténuation mises en place
Apprécier le niveau de risque résiduel et juger de son acceptabilité au niveau
gouvernemental
Formuler des recommandations de prise en charge du RPG, si nécessaire, à
l’organisme public concerné.
Élaborer un rapport annuel sur les RPG à l’intention du CT
En matière de réponse aux IPG, le DPI, conjointement avec le CERT/AQ
Assure la coordination du processus gouvernemental de gestion d’un IPG
Soutient les organismes publics dans le rétablissement de la situation après incident
Effectue le suivi d’un IPG auprès des organismes publics
APPROCHE STRATÉGIQUE GOUVERNEMENTALE
2014-2017 EN SÉCURITÉ DE L’INFORMATION
25
DÉTERMINATION DES OBJECTIFS STRATÉGIQUES
Parties prenantes
(Tables de concertation,
groupes de validation
interministériels, réseau
d’expertise et de vigie)
Environnement interne
(Rapport du VG, état de situation
gouvernemental)
Objectifs
stratégiques
Environnement externe
(Préoccupations et tendances
observées au plan national et
International)
2014-2017 EN SÉCURITÉ DE L’INFORMATION (SUITE)
26
Niveau de maturité cible : Un niveau de maturité en sécurité de l’information, convenable pour un
organisme public (niveau 3), est atteint, notamment, lorsque ses processus de sécurité de
l’information sont normalisés, intégrés, documentés et implémentés et lorsque l’information qu’elle
détient est sécurisée, conformément aux bonnes pratiques de sécurité de l’information.
27
ORIENTATIONS GOUVERNEMENTALES
Orientation 1 : Renforcer l’encadrement de la sécurité de l’information
Orientation 2 : Atteindre un niveau de maturité adéquat en sécurité
Orientation 3 : Renforcer la cybersécurité
Orientation 4 : Développer l’offre de service d’authentification gouvernementale
Orientation 5 : Développer et maintenir les compétences en sécurité de l’information
28
CIBLES À L’ENDROIT DES ORGANISMES PUBLICS
Adopter une politique et un cadre de gestion
Désigner les principaux intervenants en sécurité de l’information
Participer aux activités gouvernementales de concertation
Identifier les actifs critiques et mettre en place les mesures de sécurité associées
Définir et mettre en œuvre, de façon formelle, les processus de gestion des risques, de gestion
des incidents et de gestion des droits d’accès
Effectuer un audit de sécurité et des tests d’intrusion
Adopter une architecture de sécurité de l’information
Mettre en place un registre d’autorité
Intégrer les clauses contractuelles dans les ententes de service et les contrats
Participer activement au réseau d’alerte gouvernemental
Augmenter le nombre de prestations électroniques arrimées aux services d’authentification
gouvernementaux (clicSÉQUR, ICPG)
Élaborer un plan de formation et de sensibilisation
GESTION DU CHANGEMENT
30
STRATÉGIE DE GESTION DU CHANGEMENT
Vise l’adhésion des acteurs impliqués, la transformation des pratiques et
l’évolution de la sécurité de l’information gouvernementale vers un niveau de
maturité adéquat
Leviers de transformation
Communication : plateforme de collaboration des DI, plateforme dédiée à la
sécurité de l’information, communauté d’intérêt en sécurité de l’information
Formation : formations dispensées par le CSPQ/CLDC, réflexion en cours sur
une nouvelle stratégie de formation
Sensibilisation : colloques, séminaires et conférences organisés par des
associations et forums exerçant des activités en SI ou dans des domaines
connexes
Accompagnement et soutien : réalisation de guides de bonnes pratiques,
soutien dans le cadre d’un service de première ligne, mise en œuvre du cadre de
gestion des RPG, mise en place d’un processus gouvernemental de gestion des
incidents
Pilotage du changement : mise en place de comités de travail interministériels
et des instances gouvernementales de coordination et de concertation
31
LES GRANDS JALONS
31 mai 2014, collecte des bilans et des plans d’actions des
organismes publics
30 septembre 2014, collecte des bilans et des plans d’actions
consolidés des réseaux
31 octobre 2014, dépôt au Conseil du trésor du rapport annuel sur
les risques à portée gouvernementale
30 novembre 2014, dépôt au Conseil du trésor du rapport bisannuel
sur l’état de situation gouvernemental en sécurité de l’information
CONCLUSION
AM
ÉL
IO
RA
TI
Risque
3
2
32
ON
1
CO
NT
IN
UE
0
1
2
Confiance
3
MERCI
Mohamed Darabid
[email protected]
ANNEXE
GUIDES DE BONNES PRATIQUES
35
Guides réalisés (7)
Politique de sécurité de l’information
Cadre de gestion en sécurité de l’information
Critères de désignation des principaux intervenants en SI (ROSI, COSI et COGI)
Tests d’intrusions et de vulnérabilités
Catégorisation de l’information
Processus de gestion des risques de sécurité de l’information
Suivi de la reddition de comptes (tableau de bord)
Guides à venir (10)
Plan d’action ministériel de sécurité de l’information (en cours)
Registre d’autorité de la sécurité de l’information (en cours)
Méthode d’analyse des risques Méhari (en cours)
Audit de sécurité de l’information (en cours)
Mise en œuvre du cadre de gestion des risques à portée gouvernementale (en cours)
Gestion des incidents à portée sectorielle et gouvernementale (à venir)
Sensibilisation à la sécurité de l’information (à venir)
Prise en charge des exigences de SCPRP (à venir)
Utilisation sécuritaire des assistants numériques personnels (à venir)
Processus de gestion des accès logiques (à venir)
Retour
36
EXEMPLES DE RISQUES ET INCIDENTS À
PORTÉE GOUVERNEMENTALE
Au gouvernement du Québec
En 2007, un virus contamine le réseau informatique des établissements de santé du Québec,
causant des ralentissements ou des interruptions de service dans les hôpitaux, les CHSLD et
les CLSC
En 2012, lors du printemps étudiant, certains organismes publics voient leurs vitrines web
falsifiées, des tentatives d’intrusion des systèmes informatiques ou encore des attaques
massives rendant indisponibles des services en ligne gouvernementaux
Au gouvernement fédéral canadien
En 2011, le Conseil du trésor (CT) et le ministère des Finances sont l’objet de cyber-attaques
d’une grande ampleur, vraisemblablement d’origine chinoise, l’objectif étant le vol
d’informations
En avril 2014, la firme Codenomicon (spécialisée dans la cybersécurité) et Google Security
ont découvert une importante faille de sécurité, baptisée « Heartbleed », dans un logiciel de
chiffrement utilisé par plus des deux tiers des sites internet au monde (OpenSSL)
Au niveau du gouvernement français
En 2012, une cyber-attaque vise les services de la présidence du palais de l’Élysée,
L’objectif étant le vol d’informations
Retour
GESTION DES RISQUES
METTRE EN ŒUVRE UN PROCESSUS FORMEL DE GESTION DES
RISQUES DE SÉCURITÉ DE L’INFORMATION
Le processus de gestion des risques est clairement défini et connu des
intervenants concernés
L’analyse du contexte organisationnel (enjeux de sécurité de l’information)
est réalisée
L’identification des risques de sécurité de l’information est réalisée
L’analyse et l’évaluation des risques sont réalisées
Les traitements des risques identifiés sont planifiés ou réalisés
Un suivi et une revue périodiques des risques sont prévus et mis en œuvre
Retour
GESTION DES INCIDENTS
METTRE EN ŒUVRE UN PROCESSUS FORMEL DE GESTION DES
INCIDENTS DE SÉCURITÉ DE L’INFORMATION
Le processus de gestion des incidents est clairement défini et connu des
Les activités de prévention des incidents sont en place
Les activités de détection des incidents sont en place
Les activités de réaction aux incidents sont prévues
Les activités de rétablissement après incident sont prévues
Les activités de suivi des incidents (documentation et recommandations)
sont prévues
Retour
GESTION DE L’ACCÈS À L’INFORMATION
METTRE EN ŒUVRE UN PROCESSUS FORMEL DE GESTION DE
L’ACCÈS À L’INFORMATION
Le processus de gestion des accès est clairement défini et connu des
Les droits d’accès et les privilèges spéciaux sont attribués et mis à jour
de façon formelle
Les activités de contrôle des accès sont clairement définies et mises
en œuvre
Les droits d’accès et privilèges spéciaux sont révisés périodiquement
ou à la suite d’un changement majeur
Retour
AUDIT DE SÉCURITÉ DE L’INFORMATION
RÉALISER UN AUDIT DE SÉCURITÉ DE L’INFORMATION
Le plan d’audit est clairement défini
La collecte de données est effectuée
L’analyse des données est effectuée
Le rapport d’audit est rédigé et les recommandations sont formulées
Les priorités d’actions et les échéanciers sont définis
Le rapport d’audit date de moins de 2 ans
Un audit est réalisé suite à des changements majeurs susceptibles d’avoir
des conséquences sur la sécurité de l’information
Retour
TESTS D’INTRUSIONS ET DE
VULNÉRABILITÉS
RÉALISER DES TESTS D’INTRUSIONS ET DE VULNÉRABILITÉS
Le plan de tests d’intrusions et de vulnérabilités est clairement défini
La phase de découverte des vulnérabilités est réalisée
La phase d’exploitation des vulnérabilités (tests d’intrusion) est réalisée
Le rapport des tests d’intrusions et des vulnérabilités est rédigé et les
recommandations sont formulées
Les priorités d’actions et les échéanciers sont définis
Le rapport des tests date de moins d’une année
Des tests d’intrusions et de vulnérabilités sont réalisés suite à des
changements majeurs susceptibles d’avoir des conséquences sur la SI
Retour
ARCHITECTURE DE SÉCURITÉ
ADOPTER UNE ARCHITECTURE DE SÉCURITÉ
Une architecture de sécurité documentée existe
Un cadre d’architecture de SI et une méthodologie sont utilisés
Les travaux d’architecture de la conception à l’implémentation sont
intégrés au programme de sécurité de l’OP ou à la planification triennale
des travaux de sécurité
L’architecture de sécurité est arrimée au processus d’amélioration
continue de la sécurité de l’OP
Les orientations, les principes, les normes et les standards de sécurité en
usage découlent de l’architecture de sécurité
Les mesures de sécurité découlent des orientations, des principes, des
normes et des standards définis dans l’architecture
Retour
POURQUOI RÉVISER LA GOUVERNANCE DE
LA SÉCURITÉ DE L’INFORMATION ?
43
Améliorer l’état de la sécurité de l’information gouvernementale en tenant compte du bilan des
organismes publics
Répondre à l’obligation d’évaluer la directive en vigueur cinq années après son adoption
Se conformer au champ d’application de la Loi sur la gouvernance et la gestion des ressources
informationnelles des organismes publics et des entreprises du gouvernement (LGGRI) et aux
énoncés de la politique cadre
Mieux s’outiller pour contrer les cyber-attaques
Assurer une gestion intégrée des risques et des incidents, au plan sectoriel et gouvernemental
S’assurer de l’application de bonnes pratiques de sécurité de l’information par les organismes
publics
Se doter d’une planification stratégique définissant la vision gouvernementale, les objectifs et les
cibles a atteindre pour les trois prochaines années
Continuer à accompagner les organismes publics et leur apporter le soutien nécessaire dans la
prise en charge des exigences de sécurité de l’information
Retour

ASIQ-201405

Transcription

Documents pareils

Priorité à la jeunesse : Passons du discours à l`action

Loi sur le développement durable - Vision développement Durable

Agence Suédoise de Développement

Dépliant sur la Loi sur le développement durable

Plan d`action de développement durable

Royaume du Maroc Ministère de l`équipement, du transport et de la

Formation - La Chambre

Loi n° 12-03 relative aux études d`impact sur l`environnement