Politique

Transcription

Politique

Seule modification à la politique : réseau intégré de télécommunications multimédia (RITM)
Cote
DRI-13-01
Réservé à la Direction générale
Politique
Titre :
Politique de sécurité des actifs informationnels
Destinataires :
bénévoles
Membres du conseil d’administration, médecins, personnel cadre, personnel,
Émetteur :
Martin St-Amour, directeur des ressources informationnelles et responsable de
la sécurité des actifs informationnels
Date d’adoption : 26-11-2006
Dernière date de révision :
Approuvé par :
CA
13-06-2013
Comité de régie
Cote :
DRI-13-01
Titre de la politique : Politique de sécurité des actifs informationnels
Contexte / historique
La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les
établissements, de s’échanger des informations de façon rapide et sécuritaire. C’est dans cette
optique que le réseau s’est doté en 1999 du réseau intégré de télécommunications multimédia
(RITM) qui relie plus de 1 650 sites au sein de plus de 400 établissements. Dans la perspective d’un
volume accru d’échanges d’information et afin de s’assurer du respect des lois, règlements et
directives gouvernementales en matière de sécurité de l’information, en 2002 le ministère de la
Santé et des Services sociaux (MSSS) a élaboré un Cadre global de la sécurité des actifs
informationnels. Le Volet sur la sécurité précise les orientations et les obligations que doivent
respecter les établissements du réseau de la santé et des services sociaux en matière de sécurité
de l’information.
Le rôle ainsi que les divers pouvoirs et devoirs des établissements, des agences régionales et du
ministère de la Santé et des Services sociaux sont précisés dans la Loi sur les services de santé et les
services sociaux (L.R.Q., chapitre S-4.2). De plus, pour réaliser leur mandat, ces organisations du
réseau de la santé et des services sociaux sont tributaires d'un certain nombre de banques
d'informations électroniques, de systèmes d'informations et de technologies de l'information
qu'elles utilisent pour la production de services ; tous ces éléments constituent des actifs
informationnels et gèrent en fait des renseignements nominatifs unitaires et d'autres informations
non nominatives, comportant une valeur légale, administrative, économique ou patrimoniale
certaine.
À cet égard, des obligations de base s'appliquent à l'ensemble de l'information, peu importe son
support, dont disposent les établissements du réseau de la santé et des services sociaux. Ces
obligations sont fixées notamment par le Code civil (art. 35 à 41), la Loi sur les services de santé et les
services sociaux, la Loi sur les archives (L.R.Q., chapitre A-21.1) et la Loi sur l'accès aux documents des
organismes publics et sur la protection des renseignements personnels (L.R.Q., chapitre A-2.1).
En conséquence, le CSSS de Bordeaux-Cartierville–Saint-Laurent met en place la présente politique de
sécurité des actifs informationnels. Cette politique oriente et détermine l’utilisation appropriée et
sécuritaire de l’information et des technologies de l’information dans le respect des droits des
usagers, tel que stipulé dans la Loi sur les services de santé et les services sociaux, la Loi sur les
archives, la Charte des droits et liberté de la personne, la Loi sur l’accès aux documents des
organismes publics et sur la protection des renseignements personnels.
Page 2 sur 17
Cote :
DRI-13-01
TABLE DES MATIÈRES
1. Objectifs de la politique ................................................................................................................... 4
2. Respect de la politique ..................................................................................................................... 4
3. Domaine d’application ..................................................................................................................... 4
4. Principes directeurs ......................................................................................................................... 5
5. Rôles et responsabilités ................................................................................................................... 6
5.1 Le conseil d’administration...............................................................................................................6
5.2 Le directeur général ..........................................................................................................................6
5.3 Le responsable de la sécurité des actifs informationnels (RSAI) ......................................................6
5.4 Les détenteurs d'actifs informationnels ...........................................................................................7
5.5 Le responsable de la protection des renseignements personnels (RPRP) .......................................7
5.6 Les utilisateurs ..................................................................................................................................8
5.7 Le professionnel en sécurité de l’information (PSI) .........................................................................8
5.8 Les gestionnaires ..............................................................................................................................8
5.9 Les pilotes de systèmes ....................................................................................................................8
5.10 La direction des ressources informationnelles ...............................................................................8
5.11 La Direction des ressources humaines et du développement organisationnel .............................9
5.12 Le comité de sécurité des actifs informationnels (CSAI) ................................................................9
6. Entrée en vigueur de la politique ..................................................................................................... 9
Annexe 1 – Recueil des directives de sécurité des actifs informationnels.......................................... 10
Annexe 2. Fondements juridiques ....................................................................................................... 11
Annexe 3. Lexique ................................................................................................................................ 12
Page 3 sur 17
Cote :
DRI-13-01
1. Objectifs de la politique
La présente politique vise à assurer le respect de toute législation à l'égard de l'usage et du
traitement de l'information et de l'utilisation des technologies de l'information et des
télécommunications et de l’Internet. Plus spécifiquement, elle a pour objectifs :
•
d’assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l’utilisation des
réseaux informatiques, du réseau intégré de télécommunications multimédia (RITM)
et d’Internet, et de l’utilisation de tous les actifs informationnels détenus par le CSSS
de Bordeaux-Cartierville–Saint-Laurent.
•
d’assurer le respect de la vie privée des individus, notamment, la confidentialité des
renseignements à caractère nominatif relatifs aux usagers et au personnel du réseau
de la santé et des services sociaux.
•
d’assurer la conformité aux lois et règlements applicables ainsi que les directives et
orientations gouvernementales.
Cette politique sera suivie de directives et de procédures afin de préciser les obligations qui en
découlent.
2. Respect de la politique
Le directeur général désigne l’officier de la sécurité informatique responsable de l’application
de la présente politique.
Le CSSS de Bordeaux-Cartierville–Saint-Laurent exige de tout employé, qui utilise les actifs
informationnels de l'établissement ou qui a/aura accès à de l’information, de se conformer
aux dispositions de la présente politique ainsi qu'aux directives et procédures qui s’y
rattachent.
Le non-respect de cette obligation envers les actifs informationnels peut entraîner des
mesures disciplinaires pouvant aller jusqu’au congédiement immédiat tout en respectant les
lois du travail et les conventions collectives.
3. Domaine d’application
La présente politique s’applique :
•
à l’ensemble du personnel du CSSS de Bordeaux-Cartierville–Saint-Laurent. De plus,
elle s’étend à toute personne physique ou morale qui utilise ou qui accède pour le
compte de l’établissement, ou non, à des informations confidentielles, ou non, quel
que soit le support sur lequel elles sont conservées ;
Page 4 sur 17
Cote :
DRI-13-01
•
à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de
l’établissement, tels que les banques d’information électronique, les informations et
les données sans égard aux médiums de support (fixe ou portable), les réseaux, les
systèmes d’information, les logiciels, les équipements informatiques ou centres de
traitement utilisés par l’établissement ;
•
à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et de
diffusion des actifs informationnels de l’établissement.
4. Principes directeurs
•
Toute personne au sein de l’établissement ayant accès aux actifs informationnels
assume des responsabilités spécifiques en matière de sécurité et est redevable de ses
actions auprès du dirigeant de l’établissement.
•
La mise en œuvre et la gestion de la sécurité reposent sur une approche globale et
intégrée. Cette approche tient compte des aspects humains, organisationnels,
financiers, juridiques et techniques, et demande, à cet égard, la mise en place d’un
ensemble de directives coordonnées.
•
Les directives de protection, de prévention, de détection, d’assurance et de correction
doivent permettre d'assurer la confidentialité, l’intégrité, la disponibilité,
l'authentification et l'irrévocabilité des actifs informationnels de même que la
continuité des activités. Elles doivent notamment empêcher les accidents, l'erreur, la
malveillance ou la destruction d’information sans autorisation.
•
Les directives de protection des actifs informationnels doivent permettre de respecter
les prescriptions du Cadre global de gestion des actifs informationnels appartenant aux
établissements du réseau de la santé et des services sociaux – Volet sur la sécurité, de
même que les lois existantes en matière d’accès, de diffusion et de transmission
d’information, et les obligations contractuelles de l’établissement de même que
l’application des règles de gestion interne.
•
Les actifs informationnels doivent faire l’objet d’une identification et d’une
classification.
•
Une évaluation périodique des risques et des directives de protection des actifs
informationnels doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre
les risques, les menaces et les directives de protections déployées.
•
La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du
processus menant à l’acquisition, au développement, à l’utilisation, au remplacement
ou la destruction d’un actif informationnel par ou pour l’établissement.
•
Un programme continu de sensibilisation et de formation à la sécurité informatique
doit être mis en place à l’intention du personnel de l'établissement.
Page 5 sur 17
Cote :
DRI-13-01
•
L'accès aux renseignements personnels des utilisateurs par le personnel de
l’établissement doit être autorisé et contrôlé. Chaque système doit prévoir des droits
d'accès différents selon les catégories de personnel.
•
Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour
lesquelles ils ont été recueillis ou obtenus.
•
Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution
d’accès aux informations. Les accès aux actifs informationnels sont attribués à
l’utilisateur autorisé en fonction de ce qui lui est strictement nécessaire pour
l’exécution de ses tâches.
•
Les ententes et contrats dont l’établissement fait partie doivent contenir des
dispositions garantissant le respect des exigences en matière de sécurité et de
protection de l’information.
5. Rôles et responsabilités
5.1 Le conseil d’administration
Le conseil d’administration du CSSS de Bordeaux-Cartierville–Saint-Laurent approuve la
présente politique, et doit s’assurer de sa mise en œuvre et faire le suivi de son application.
5.2 Le directeur général
Le directeur général est le premier responsable de la sécurité des actifs informationnels au
sein de l’établissement. Il s’assure de l’application de la politique dans l’établissement ; il en
approuve les directives et soumet le bilan annuel concernant l’application de la politique au
conseil d’administration ; exerce son pouvoir d’enquête et
applique les sanctions prévues à la présente politique, lorsque nécessaire. Pour le représenter
en cette matière dans l’organisation et pour la réalisation de l’ensemble des directives
précitées, il nomme un responsable de la sécurité des actifs informationnels.
5.3 Le responsable de la sécurité des actifs informationnels (RSAI)
À titre de représentant délégué du directeur général en matière de sécurité des actifs
informationnels, le RSAI gère et coordonne la sécurité des actifs informationnels au sein de
l’établissement. Il veille à l’application de la politique sur la sécurité adoptée par
l’établissement. Dans cette perspective, il collabore avec tous les gestionnaires et détenteurs
d’actifs informationnels et, en particulier, avec le gestionnaire qui est en charge des
technologies de l’information. Plus précisément, le responsable de la sécurité des actifs
informationnels :
•
élabore les directives de sécurité et les procédures découlant de cette politique. Les
directives de sécurité sont des énoncés permettant d’indiquer quels sont les standards
Page 6 sur 17
Cote :
DRI-13-01
de l’établissement en matière de sécurité pour chacun des domaines ; il veille à leur
application dans l’ensemble de l’établissement en collaboration avec les gestionnaires
et les détenteurs d’actifs informationnels ;
•
s’informe des besoins en matière de sécurité auprès des détenteurs d’actifs
informationnels et des gestionnaires, leur propose des solutions et coordonne la mise
en place de ces solutions ;
•
gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et
procède à des évaluations de la situation en matière de sécurité ;
•
suit la mise en œuvre de toute recommandation découlant d’une vérification ou d’un
audit ;
•
produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des
actifs informationnels appartenant à l’établissement en s’assurant que l’information
sensible à diffusion restreinte est traitée de manière confidentielle.
5.4 Les détenteurs d'actifs informationnels
Les détenteurs :
•
assurent la sécurité d’un ou de plusieurs actifs informationnels qui leur sont confiés par
le directeur général de l’établissement ou un tiers mandaté ;
•
s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment
l’évaluation des risques, la détermination du niveau de protection visé, l’élaboration
des contrôles non informatiques et, finalement, la prise en charge des risques
résiduels ;
•
s’assurent que les directives de sécurité appropriées sont élaborées, approuvées, mises
en place et appliquées systématiquement en plus de s’assurer que leur nom et les
actifs dont ils assument la responsabilité sont consignés dans le registre des autorités ;
•
déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec
l’appui du responsable de la sécurité des actifs informationnels de l’organisme.
5.5 Le responsable de la protection des renseignements personnels (RPRP)
À titre de responsable de l’application de la Loi sur l’accès aux documents des établissements
publics et sur la protection des renseignements personnels, le RPRP a un rôle de conseiller
et/ou de valideur - approbateur auprès du responsable de la sécurité des actifs
informationnels afin de s’assurer que les mécanismes de sécurité mis en place permettent de
respecter les exigences de cette loi.
Page 7 sur 17
Cote :
DRI-13-01
5.6 Les utilisateurs
Chaque membre du personnel utilisateur est responsable de respecter la présente politique,
les directives et les procédures en vigueur en matière de sécurité de l'information, et
d’informer le responsable de la sécurité des actifs informationnels de toute violation des
directives de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant
nuire à la protection des actifs informationnels.
5.7 Le professionnel en sécurité de l’information (PSI)
Le rôle du professionnel de la sécurité de l’information est de conseiller le RSAI sur les aspects
technologiques et méthodologiques concernant la sécurité. Il coordonne les travaux reliés à
l’implantation et aux contrôles des directives de sécurité. Également, il coordonne et/ou
réalise les tâches de sécurité opérationnelles qui lui sont confiées par le RSAI.
5.8 Les gestionnaires
Le gestionnaire s’assure que tous ses employés sont au fait de leurs obligations découlant de
la présente politique. Il les informe précisément des directives et procédures de sécurité en
vigueur.
Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer
que les moyens de sécurité sont utilisés de façon à protéger effectivement l’information
utilisée par son personnel.
Il communique au RSAI tout problème d’importance en matière de sécurité de l'information.
5.9 Les pilotes de systèmes
Les pilotes des systèmes ont la responsabilité d’assurer le fonctionnement sécuritaire d’un
actif informationnel dès sa mise en exploitation, de contrôler et d’autoriser l’accès logique à
tout actif informationnel dont ils ont la responsabilité d’utilisation. Les pilotes doivent
également informer les utilisateurs de leurs obligations face à l’utilisation des systèmes
d’information dont ils sont responsables lors de l’attribution des accès. Ils communiquent à
leurs gestionnaires tout problèmes d’importance en matière de sécurité de l’information.
5.10 La direction des ressources informationnelles
Le rôle de la Direction des ressources informationnelles à l’égard de la sécurité des actifs
informationnels est d'agir en tant que fournisseur de service. Elle fournit et maintient en état
les moyens techniques de sécurité et s’assure de leur conformité aux besoins de sécurité
déterminés par le détenteur. Ce rôle trouve son complément dans l’assistance et le conseil en
vue d’une meilleure utilisation de ces moyens.
Page 8 sur 17
Cote :
DRI-13-01
5.11 La Direction des ressources humaines et du développement organisationnel
La Direction des ressources humaines est responsable d'informer tout nouvel employé de ses
obligations découlant de la présente politique ainsi que des directives et procédures en
vigueur en matière de sécurité de l’information.
5.12 Le comité de sécurité des actifs informationnels (CSAI)
Le comité joue avant tout un rôle conseil auprès du RSAI. Il constitue un mécanisme de
coordination et de concertation qui, par sa vision globale, est en mesure de proposer des
orientations et d’émettre des recommandations en regard de l’élaboration, la mise en œuvre et la
mise à jour des directives prévues au plan directeur. Il est aussi en mesure d’évaluer les incidences
sur la sécurité de l’organisation que les nouveaux projets pourraient avoir.
6. Entrée en vigueur de la politique
La présente politique doit faire l’objet d’une révision tous les quatre (4) ans ou lorsque des
modifications législatives ou réglementaires le requièrent. Toute révision de la présente politique
entre en vigueur le jour de son adoption par le conseil d’administration de l’établissement.
Advenant le cas qu’aucune révision n’intervienne dans le délai imparti, pour quelque raison que
ce soit, la politique demeure néanmoins en vigueur.
Page 9 sur 17
Cote :
DRI-13-01
Annexe 1 – Recueil des directives de sécurité des actifs informationnels
Page 10 sur 17
Cote :
DRI-13-01
Annexe 2. Fondements juridiques
Cette annexe présente les principales lois, règlements, directives et autres références encadrant la
présente politique :
Le Cadre global sur la sécurité des actifs informationnels du réseau de la santé et des services sociaux –
Volet sur la sécurité (ministère de la Santé et des Services sociaux, septembre 2002)
Architecture gouvernementale de la sécurité de l’information (septembre 2001)
Charte des droits et libertés de la personne (L.R.Q., c.C-12)
Charte canadienne des droits et libertés (1982, c. 11)
Directive sur la sécurité de l’information et des échanges électroniques dans l’administration
gouvernementale (février 2000)
Directive sur le traitement et la destruction de tout renseignement, registre, donnée, logiciel, système
d’exploitation ou autre bien protégé par un droit d’auteur, emmagasiné sur un équipement microinformatique ou un support amovible (octobre 1999)
Loi sur les archives (L.R.Q., ch. A-21.1)
Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements
personnels (L.R.Q., ch. A-2.1)
Loi sur l’administration publique (PL 82)
Loi sur les services de santé et les services sociaux
Loi concernant le cadre juridique des technologies de l’information (PL 161)
Certaines dispositions pertinentes du Code civil du Québec (C.C.Q)
Certains articles du Code criminel du Canada (C.C.C)
Loi sur la protection des renseignements personnels et les documents électroniques (C-6)
Loi canadienne sur le droit d’auteur (L.R. 1985, ch. C-42)
Loi sur la propriété intellectuelle et les marques de commerce (L.R. 1985 ch. T-13)
Directives en matière d’acquisition, d’utilisation et de gestion des droits d’auteur des documents
détenus par le gouvernement et les ministères et établissements désignés (novembre 2000)
Page 11 sur 17
Cote :
DRI-13-01
Annexe 3. Lexique
Actif informationnel : banque d’informations électroniques, système d’informations, réseau de
télécommunications, technologie de l’information, installation ou ensemble de ces éléments ; un équipement
médical spécialisé ou ultra-spécialisé peut comporter des composantes qui font partie des actifs
informationnels, notamment lorsqu’il est relié de façon électronique à des actifs informationnels. (Réf. : Loi sur
les services de santé et les services sociaux, art. 520.1). S’ajoutent, dans le présent cadre de gestion, les
documents imprimés générés par les technologies de l’information.
Altération : toute modification qui a pour effet de changer les caractéristiques ou la nature d’une information.
Archivage de l’information : action de classer l’information dans les archives.
Audit : évaluation périodique basée sur des critères définis permettant de vérifier si les directives de
l’ensemble ou d’une partie du Cadre global de gestion des actifs informationnels appartenant aux organismes
du réseau de la santé et des services sociaux – Volet sur la sécurité sont appliquées.
Authentifiant : renseignement unique à l’utilisateur et connu de lui seul, qui permet d’établir la validité de
l’identité d’une personne, d’un dispositif ou d’une autre entité.
Authentification : fonction de contrôle de l’accès aux actifs informationnels permettant d'établir la validité de
l'identité d'une personne, d'un dispositif ou d'une autre entité au sein d'un système d'information ou de
communication.
Autorisation : attribution par une autorité de droits d’accès aux actifs informationnels qui consiste en un
privilège d’accès accordé à une personne, à un dispositif ou à une entité.
Banque d’informations électroniques : collection d’informations électroniques relatives à un domaine défini,
regroupées et organisées de façon à en permettre l’accès.
Biclé : ensemble constitué d'une clé publique et d'une clé privée mathématiquement liées entre elles, formant
une paire unique et indissociable pour le chiffrement et le déchiffrement des données, et appartenant à une
seule entité.
Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des
services sociaux – Volet sur la sécurité : ensemble de textes encadrant la sécurité des actifs informationnels et
comprenant la Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du
réseau de la santé et des services sociaux, les rôles et responsabilités des acteurs en matière de sécurité, les
directives en matière de sécurité des actifs informationnels et le répertoire des procédures optionnelles en
cette matière. Ce cadre a été officialisé par monsieur Pierre Gabriel, sous-ministre au ministère de la Santé et
des Services sociaux, le 24 septembre 2002.
Chiffrement : opération qui consiste à rendre une information inintelligible, de façon qu’elle ne puisse être lue
par une personne qui ne possède pas le dispositif permettant de la ramener à sa forme initiale.
Clé privée : composante de la biclé, laquelle composante est connue de son unique propriétaire et utilisée par
lui seul pour déchiffrer un message dont il est le destinataire ou pour signer un message dont il est l'émetteur.
Page 12 sur 17
Cote :
DRI-13-01
Clé publique : composante de la biclé, laquelle composante est stockée dans un répertoire accessible à tous
les membres d'un réseau ou d'une organisation et permet de transmettre en toute confidentialité des
messages à son unique propriétaire ou d'authentifier à l'arrivée des messages émis par ce dernier.
CNPRPS : Comité national de protection des renseignements personnels et de sécurité.
Code d’identification : type d’identifiant. Groupe alphanumérique, unique et normalisé permettant d’identifier
l’utilisateur d’un actif informationnel.
Collecte d’information : action de rassembler des informations variables destinées à un traitement.
Confidentialité : propriété que possède une donnée ou une information dont l’accès et l'utilisation sont
réservés à des personnes ou entités désignées et autorisées.
Conservation de l’information : action de maintenir l’information intacte.
Copie de sécurité : copie d'un fichier ou d'un ensemble de fichiers mise à jour à intervalles réguliers en vue
d'assurer la restauration des données en cas de perte.
Coupe-feu ou garde-barrière ou bastion de sécurité : dispositif informatique qui permet le passage sélectif des
flux d'information entre un réseau interne et un réseau public ainsi que la neutralisation des tentatives de
pénétration en provenance du réseau public.
Cryptographie : discipline qui comprend les principes, les moyens et les méthodes de transformation des
données afin d’en dissimuler le contenu, d’en prévenir les modifications non détectées ou d’en éviter
l’utilisation non autorisée.
Cycle de vie de l’information : période de temps couvrant toutes les étapes d’existence de l’information, dont
celles (selon la terminologie) de la définition, de la création, de l’enregistrement, du traitement, de la diffusion,
de la conservation et de la destruction.
Déchiffrement : action de rendre sa forme originale à une information précédemment chiffrée.
Destruction de l’information : action de faire disparaître l’information.
Détenteur : personne à qui, par délégation d’un dirigeant d’organisme, est assignée la responsabilité d’assurer
la sécurité d’un ou de plusieurs actifs informationnels, qu’ils soient détenus par le dirigeant d’organisme ou un
tiers mandaté.
Directives : énoncés généraux émanant de la direction d’une organisation et indiquant ce qui doit être
appliqué relativement à la sécurité des actifs informationnels.
Disponibilité : propriété qu’ont les données, l’information et les systèmes d’information et de communication
d’être accessibles et utilisables en temps voulu et de la manière adéquate par une personne autorisée.
Donnée : élément de base constitutif d’un renseignement, d’une information.
Page 13 sur 17
Cote : DRI-13-01
Donnée confidentielle : donnée qui ne peut être communiquée ou rendue accessible qu’aux personnes ou
autres entités autorisées.
Donnée nominative : information relative à une personne physique identifiée ou identifiable.
Donnée publique : donnée ne faisant pas l’objet de restriction d’accès.
Donnée sensible : donnée dont la divulgation, l’altération, la perte ou la destruction risque de paralyser ou de
mettre en péril soit un service, soit l’organisation elle-même qui, de ce fait, devient vulnérable.
Droit d’auteur : droit exclusif que détient un auteur ou son représentant d’exploiter une œuvre pendant une
durée déterminée.
Équipement informatique : ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de travail informatisés et
leurs unités ou accessoires périphériques de lecture, d’emmagasinage, de reproduction, d’impression, de
communication, de réception et de traitement de l’information, et tout équipement de télécommunications.
Exploitation informatique : unité administrative qui a comme tâche d’assurer le bon fonctionnement, le
développement et l’entretien des services informatiques de l’organisme.
Fournisseur : corporation, société, coopérative ou personne physique faisant affaires et étant en mesure de
contracter avec le gouvernement, unité administrative d’un organisme ou tout fonds spécial qui fournit des
services ou des biens à un détenteur, à un utilisateur ou à un autre fournisseur.
Identifiant : renseignement sur l’utilisateur, lequel renseignement est connu de l’organisme et permet à cet
utilisateur d’avoir accès à des actifs informationnels.
Identification : fonction du contrôle de l’accès aux actifs informationnels permettant d’attribuer un code
d’identification, ou identifiant, à un utilisateur, à un dispositif ou à une autre entité.
Incident : événement ayant pu mettre ou ayant mis en péril la sécurité d’un ou de plusieurs actifs
informationnels.
Information : élément de connaissance descriptif d’une situation ou d’un fait, résultant de la réunion de
plusieurs données.
Information électronique : information sous toute forme (textuelle, symbolique, sonore ou visuelle), dont
l’accès et l’utilisation ne sont possibles qu’au moyen des technologies de l’information.
Infrastructure commune : ensemble des composantes matérielles, logicielles, technologiques et
organisationnelles partagées en tout ou en partie par le ministère de la Santé et des Services sociaux et les
organismes du réseau de la santé et des services sociaux.
Installation : ensemble des objets, appareils, bâtiments et autres éléments installés en vue de l’utilisation
d’une technologie de l’information.
Intégrité : propriété d’une information ou d’une technologie de l’information de n’être ni modifiée, ni altérée,
ni détruite sans autorisation.
Page 14 sur 17
Cote :
DRI-13-01
Interrogation de l’information : question ou ensemble des questions posées à une banque d’information.
Irrévocabilité : propriété d’un acte d’être définitif et clairement attribué à la personne qui l’a accompli ou au
dispositif avec lequel il a été accompli.
Journal : relevé chronologique des opérations informatiques, constituant un historique de l'utilisation des
programmes et des systèmes sur une période donnée.
Journalisation : enregistrement dans un journal de tous les accès fructueux et infructueux à un ordinateur et
aux données, de l’utilisation de certains privilèges spéciaux relatifs à l’accès et des changements apportés aux
actifs informationnels, en vue d’une vérification ultérieure.
Logiciel : ensemble des programmes, des procédures et des règles ainsi que de la documentation qui leur est
associée, nécessaires à la mise en œuvre d'un système de traitement de l'information.
Logiciel d’application : logiciel conçu pour répondre à un ensemble de besoins dans un domaine donné.
LSSSS : Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2).
Matériel : ensemble des éléments physiques employés pour le traitement de l’information.
Mécanisme : agencement ou ensemble de processus et de ressources humaines, matérielles et autres disposé
de façon à obtenir un résultat donné.
Modification de l’information : action de faire des changements dans l’information.
Mot de passe : authentifiant prenant la forme d'un code alphanumérique attribué à un utilisateur, permettant
à ce dernier d'obtenir l'accès à un ordinateur en ligne et d'y effectuer l'opération désirée. Cet authentifiant
représente une liste secrète de caractères qui, combinée à un code d’utilisateur public, forme un identificateur
unique désignant un utilisateur particulier.
Non-répudiation : voir irrévocabilité.
Organisme : le ministère de la Santé et des Services sociaux, les régies régionales et les établissements du
réseau de la santé et des services sociaux.
Personne : une personne physique ou une personne morale de droit public ou de droit privé.
Personnel : ensemble des ressources humaines, rémunérées ou non, qui assument la mission de l’organisme.
Plan de reprise après sinistre : document qui prévoit toutes les circonstances entraînant une interruption de
service des actifs informationnels ainsi que toutes les directives applicables afin d’assurer, sur site ou hors site,
les services essentiels.
Plan de sauvegarde : plan contenant les règles détaillées et strictes relatives à tous les aspects de la
sauvegarde informatique (responsabilité, exhaustivité, cohérence, fichiers stratégiques, nombre de
générations, cycles de rotation, confection, supports, transport, lieu d’entreposage, durée d’entreposage,
accessibilité, exploitabilité, contrôles et validation).
Page 15 sur 17
Cote :
DRI-13-01
Politique de sécurité : énoncé général émanant de la direction d’une organisation et indiquant la ligne de
conduite adoptée relativement à la sécurité, à sa mise en œuvre et à sa gestion.
Progiciel : ensemble complet de programmes informatiques munis de documents, conçus pour être fournis à
plusieurs utilisateurs et commercialisés en vue d'une même application ou d’une même fonction.
Programme informatique : série de fonctions et de définitions en langage machine ou dans un langage plus
évolué.
Renseignement : synonyme d’information.
Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu accessible qu’aux
personnes ou autres entités autorisées.
Renseignement personnel ou nominatif : tout renseignement qui concerne une personne physique et qui
permet de l’identifier.
Répertoire des procédures optionnelles : ensemble des recommandations et des suggestions relatives à la
mise en place des procédures visant à assurer la sécurité des actifs informationnels.
Réseau étendu : réseau local qui devient une partie d’un réseau étendu lorsqu’une liaison est établie (par
l’intermédiaire de modems, d’aiguilleurs distants, de lignes téléphoniques, de satellites ou d’autres
connexions) avec un gros système, un réseau de données public ou un autre réseau local.
Réseau informatique : ensemble des composantes et des équipements informatiques reliés par voie de
télécommunications, soit pour accéder à des ressources ou à des services informatisés, soit pour en partager
l’accès.
Réseau local : réseau informatique de taille réduite et, le plus souvent, à l’intérieur d’un organisme.
Réseau privé : réseau appartenant à une seule organisation.
Réseau public : réseau partagé par plusieurs organisations et appartenant généralement à un fournisseur de
services de télécommunications.
RSSS : réseau de la santé et des services sociaux.
RITM : réseau intégré de télécommunications multimédia.
Sceau électronique : bloc de données dont le contenu est le résultat d'un calcul complexe effectué à partir
d'un message à transmettre, qui est ajouté à ce message par l'expéditeur, et dont un nouveau calcul à l'arrivée
permet de vérifier l'origine et l'intégrité du message auquel il a été attaché.
Scellement : action qui consiste à adjoindre à un message à transmettre un sceau électronique permettant de
garantir l'origine et l'intégrité de ce message.
Page 16 sur 17
Cote :
DRI-13-01
Signature numérique ou signature électronique : données annexées à un document électronique qui
permettent à la personne qui reçoit ce document de connaître la source des données, d'en attester l'intégrité,
et de s'assurer de l'adhésion de l'émetteur au contenu de ce document. On emploie parfois l’expression
signature électronique sécurisée.
Système d’information : ensemble organisé de moyens mis en place pour recueillir, emmagasiner, traiter,
communiquer, protéger ou éliminer l’information en vue de répondre à un besoin déterminé, y incluant
notamment les technologies de l’information et les procédés utilisés pour accomplir ces fonctions.
Technologie de l’information : tout logiciel ou matériel électronique et toute combinaison de ces éléments
utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information sous toute
forme (textuelle, symbolique, sonore ou visuelle).
Télécommunication : ensemble des procédés électroniques de transmission d’information à distance.
Traitement de l’information ou traitement des données : ensemble des opérations effectuées
automatiquement sur des données afin d’en extraire certains renseignements qualitatifs ou quantitatifs.
Transaction : opération impliquant une modification de l’information.
Transmission d’information : action de transporter une information d’un émetteur vers un récepteur.
Utilisateur : personne, groupe ou entité administrative qui fait usage d'un ou de plusieurs actifs
informationnels appartenant aux organismes publics du réseau de la santé et des services sociaux.
Utilisation : terme qui recouvre, le cas échéant, l’ensemble des événements constituant le cycle de vie de
l’information électronique, entre autres la création, la collecte, le traitement, la conservation, l’interrogation,
la communication, la modification, l’archivage et la destruction.
Vérification : évaluation ciblée d’une situation problématique ou jugée à risque et ne visant que les actifs
informationnels en cause.
Virus : programme inséré dans un système informatique afin de causer des dommages nuisibles et néfastes.
Page 17 sur 17

Politique

Transcription

Documents pareils

Gérer ses flux d`information

Quelle stratégie de communication pour les projets

M. Dubois Gilles - Université Jean Moulin Lyon 3

Informations, conflits et médias

Politique de sécurité de l`information

Politique sur l`accès, la sécurité de l`information et la protection des

Information, TIC et mutualisation - Université Jean Moulin Lyon 3

Appel EDC41 Architecture de l`information