Transcription of Cadre de gestion des risques et des incidents à portée ...
1 Cadre de gestion des risques et des incidents port e gouvernementaleS curit de l informationAvis au lecteur sur l accessibilit : Ce document est conforme au standard du gouvernement du Qu bec SGQRI 008-02 (SGQRI 008-03, multim dia : capsules d information et de sensibilisation vid o) afin d tre accessible toute personne handicap e ou non. Toutes les notices entre accolades sont des textes de remplacement pour des images, des abr viations ou pour d crire toute autre information transmise par une perception sensorielle qui communique une information , indique une action, sollicite une r ponse ou distingue un l ment vous prouvez des difficult s techniques, veuillez communiquer avec Louise Doucet de la Direction de l encadrement de la s curit de l information par t l phone au num ro suivant.
2 418 643-0875, poste 5511 option document a t cr par le Sous Secr tariat du Dirigeant principal de l information pour le Secr tariat du Conseil du tr de gestion des risques et des incidents port e gouvernementaleS curit de l informationCette publication a t r alis e par le Sous-secr tariat du dirigeant principal de l information et produite par la Direction des pouvez obtenir de l information au sujet du Conseil du tr sor et de son Secr tariat en vous adressant la Direction des communications ou en consultant son site Web. Direction des communications Secr tariat du Conseil du tr sor 5e tage, secteur 500 875, Grande All e Est Qu bec (Qu bec) G1R 5R8T l phone : 418 643-1529 Sans frais : 1 866 p t l gal 2014 Biblioth que et Archives nationales du Qu becISBN 978-2-550-70288-7 (en ligne)Tous droits r serv s pour tous les pays.
3 Gouvernement du Qu bec - Juin 2014iTable des mati res1. Sommaire _____12. Introduction _____53. Positionnement sur la port e des risques et des incidents en s curit de l information Contexte de la gestion des risques et des incidents Analyse de la situation actuelle l ments normatifs et m thodologiques Vigie internationale et nationale Contexte gouvernemental qu b cois Positionnement sur les risques et les incidents port e gouvernementale Identification des risques port e gouvernementale Synth se et d finition du risque port e gouvernementale D finition de l incident port e gouvernementale Exemples de risques et d incidents port e gouvernementale _____204.
4 gestion des risques port e gouvernementale Approche volutive et it rative Pr sentation du mod le D tail des activit s de gestion des risques port e gouvernementale S lection d un organisme public tude du contexte organisationnel tablissement des sc narios de risques Entrevue avec l organisme public Production d un projet de rapport sur les risques port e gouvernementale Validation Production du rapport final Intervention Suivi du risque Relation avec la gestion des risques au sein des organismes publics _____285. gestion des risques au sein des organismes publics Pr sentation du mod le Description des activit s de gestion des risques au sein d un organisme public tablissement et analyse du contexte organisationnel Identification du risque Analyse du risque valuation du risque Traitement du risque Suivi et revue du risque Communication et concertation _____346.
5 Positionnement en mati re d incidents port e gouvernementale Contexte de la gestion des incidents Positionnement sur les incidents port e gouvernementale _____377. gestion des incidents port e gouvernementale Structure gouvernementale d intervention R les et responsabilit s des intervenants Coordination gouvernementale Organismes publics Fournisseurs _____43iii8. gestion des incidents au sein des organismes publics Pr vention D tection R action Transmission de l information au palier hi rarchique sup rieur R tablissement Suivi _____489. Conclusion _____49 AcronymesCAU Centre d assistance aux utilisateur CERT/AQ quipe de r ponse aux incidents de s curit de l information de l Administration qu b coise (Computer Emergency Response Team de l Administration qu b coise)
6 CERT Computer Emergency Response TeamCobiT Control Objectives for information and related TechnologyCOGI Coordonnateur organisationnel de gestion des incidentsCOSI Conseiller organisationnel en s curit de l informationCSPQ Centre de services partag s du Qu becDPI Dirigeant principal de l informationERI quipe de r ponse aux incidentsFISIC Federal information Security Incident CenterIPG information port e gouvernementaleISO Organisation internationale de normalisationITIL information Technology Infrastructure LibraryMSP Minist re de la S curit publiqueOCDE Organisation de coop ration et de d veloppement conomiquesPNSC Plan national de s curit civileRAIPRP Responsable de l acc s l information et de la protection des renseignements personnelsRCS Responsable de la continuit des servicesROSI Responsable organisationnel de la s curit de l informationRPG risque port e gouvernementaleRSP Responsable de la s curit physiqueSQ S ret du Qu becTIC Technologies de l information et de la communication1.
7 Sommaire3 Cadre de gestion des risques et des incidents port e gouvernementaleS curit de l informationLe Cadre de gestion des risques et des incidents port e gouvernementale en mati re de s curit de l information , adopt en vertu de l article 21 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre ), pr sente une approche novatrice visant am liorer la fa on de g rer certains v nements li s au cycle de vie de l information gouvernementale. Ce Cadre est applicable aux minist res, ainsi qu la plupart des organismes publics, y compris ceux du r seau de la sant et des services sociaux, du r seau de l ducation et du r seau de l enseignement sup risque port e gouvernementale (RPG)
8 Est un risque d atteinte la disponibilit , l int grit ou la confidentialit de l information gouvernementale, qui peut avoir des cons quences sur la prestation de services la population, sur la vie, la sant ou le bien- tre des personnes, sur le respect de leurs droits fondamentaux la protection des renseignements personnels qui les concernent et au respect de leur vie priv e, sur l image du gouvernement ou sur la prestation de services d autres entit s gouvernementales. L incident de s curit de l information port e gouvernementale (IPG) est, quant lui, la cons quence observable de la concr tisation d un risque , produisant un effet n gatif sur le gouvernement, qui n cessite une saine gestion des risques et des incidents doit faire partie de tout processus int gr de gestion de la s curit de l information au sein des organisations.
9 Le Cadre pr sent s appuie sur les processus minist riels et apporte un niveau additionnel de gouvernance, garantissant ainsi une identification continue des situations de risques potentiels et, dans certains cas, une r ponse appropri e lorsqu un risque se transforme en un incident port e plus, l avantage de contrer les risques et les incidents qui pourraient tre en lien avec la r alisation de l une ou l autre des missions attribu es en mati re de s curit civile est pr sent dans le document. En cas de sinistre majeur, r el ou imminent, certains organismes publics pourraient, en effet, tre appel s poser des actions qui vont au-del des activit s qu ils r alisent habituellement, dans le but d assurer la s curit de la Qu bec doit tre pr t r pondre ad quatement tous les types de sinistres.
10 La coordination en mati re de s curit civile a d ailleurs t mise l preuve lors de la crise du verglas en 1998, des inondations au Saguenay en 1996, de la pr paration la pand mie de grippe A (H1N1) en 2009 et, plus r cemment, lors des v nements tragiques au Lac-M gantic et l Isle-Verte. Il existe actuellement une possibilit d attribuer au dirigeant principal de l information (DPI) une responsabilit en mati re de s curit civile qui est en lien avec la gestion des risques et des incidents port e gouvernementale. Le DPI pourrait, dans le Cadre des processus mettre en place pour g rer les RPG et les IPG, apporter son soutien et son expertise afin de garantir la disponibilit de l information lorsqu elle est n cessaire au bon fonctionnement des diff rentes missions pr vues dans le Plan national de s curit civile (PNSC).
