Transcription of Guide de catégorisation de l’information
1 Avis au lecteur sur l accessibilit : C e document est confor me au standar d du gouver nement du Qu bec SGQRI 008-02 ( SGQR I 008-03, multi m dia : capsul es d infor mation et de sensibilisation vi d o) afi n d tr e accessi ble toute personne handicap e ou non. Toutes les notices entre accol ades sont des textes de r empl acement pour des i mages, des abr vi ations ou pour d crire toute autr e i nformati on transmise par une percepti on sensoriell e qui communiq ue une infor mation, indique une acti on, sollicite une r ponse ou disting ue un l ment visuel . Si vous prouvez des difficult s techniq ues, veuill ez communiquer avec Louise Doucet de la Direction de l encadrement de la s curit de l infor mation par t l phone au num r o sui vant : 418 643-0875, poste 5511 option 4 Ce document a t cr par le Sous Secr tari at du Dirigeant pri ncipal de l informati on pour le Secr tari at du Conseil du tr s or.
2 Si vous prouvez des difficult s techniq ues, veuill ez communiquer avec Louise Doucet de la Direction de l encadrement de la s curit de l infor mation par t l phone au num r o sui vant : 418 643-0875, poste 5511 option 4 Ce document a t cr par le Sous Secr tari at du Dirigeant pri ncipal de l informati on pour le Secr tari at du Conseil du tr sor. Pratique recommand e en s curit de l information PR-0 57 Version Guide de cat gorisation de l information Guide de cat gorisation de l information Cette publication a t r alis e par le Sous-secr tariat du dirigeant principal de l information et produite en collaboration avec la Direction des communications.
3 Vous pouvez obtenir de l information au sujet du Conseil du tr sor et de son Secr tariat en vous adressant la Direction des communications ou en consultant son site Web. Direction des communications Secr tariat du Conseil du tr sor 2e tage, secteur 800 875, Grande All e Est Qu bec (Qu bec) G1R 5R8 T l phone : 418 643-1529 Sans frais : 1 866 552-5158 D p t l gal juillet 2016 Biblioth que et Archives nationales du Qu bec ISBN 978-2-550-71120-9 (en ligne) Tous droits r serv s pour tous les pays. Gouvernement du Qu bec 2016 V Table des mati res TABLE DES FIGURES _____ VII SIGLES ET acronymes _____ VIII REMERCIEMENTS _____ IX QUIPE DE R ALISATION _____ IX GROUPE DE TRAVAIL INTERMINIST RIEL _____ IX NOTES L INTENTION DU LECTEUR _____ IX 1.
4 INTRODUCTION _____ 1 MISE EN CONTEXTE _____ 1 PORT E 2 PUBLIC CIBLE _____ 2 CADRE L GAL ET NORMATIF _____ 2 PRINCIPAUX CHANGEMENTS _____ 2 2. EXEMPLES DE CAS D UTILISATION DES R SULTATS DE LA CAT GORISATION ___ 3 3. CONCEPTS UTILIS S _____ 4 CRIT RES DE S CURIT _____ 4 NIVEAUX D IMPACT _____ 5 NIVEAU DE GRANULARIT _____ 7 FACTEURS D INFLUENCE SUR LES NIVEAUX D IMPACT _____ 7 REGISTRE DE CAT GORISATION _____ 8 4. PROCESSUS DE CAT GORISATION _____ 9 TAPE 1 : TUDE PR LIMINAIRE _____ 10 TAPE 2 : PR PARATION DE L EXERCICE DE CAT GORISATION _____ 10 PHASE 1- ORGANISATION DU PROJET DE CAT GORISATION _____ 11 PHASE 2 - ANALYSE DE CONTEXTE _____ 11 PHASE 3 - D FINITION DES NIVEAUX D IMPACT SUR LE PLAN DE LA DIC _____ 12 PHASE 4 - D FINITION DE L TENDUE DE L EXERCICE DE CAT GORISATION ____ 12 TAPE 3.
5 EXERCICE DE CAT GORISATION _____ 13 PHASE 1 - CHOIX DU NIVEAU DE GRANULARIT _____ 14 VI PHASE 2 - IDENTIFICATION DES OBJETS DE CAT GORISATION _____ 15 PHASE 3 - ATTRIBUTION DES NIVEAUX D IMPACT AUX OBJETS DE CAT GORISATION _____ 16 PHASE 4 - VALIDATION DES R SULTATS DE LA CAT GORISATION _____ 22 TAPE 4 : MAINTIEN DU REGISTRE DE CAT GORISATION _____ 22 5. OUTIL DE CAT GORISATION _____ 24 R F RENCES _____ 25 ANNEXE I D FINITIONS _____ 26 ANNEXE II CADRE L GAL ET NORMATIF _____ 28 ANNEXE III EXPLICATIONS DES NIVEAUX D IMPACT _____ 29 ANNEXE IV EXEMPLE D ATTRIBUTION DE NIVEAUX D IMPACT SUR LE PLAN DE LA DIC _____ 30 ANNEXE V ORGANISATION ET PLANIFICATION DU PROJET DE CAT GORISATION34 ANNEXE VI FORMULAIRE D IDENTIFICATION DES OBJETS DE CAT GORISATION 37 ANNEXE VII FICHE JUSTIFICATIVE D ATTRIBUTION DES NIVEAUX D IMPACT ___ 38 ANNEXE VIII R GLES D IDENTIFICATION DES OBJETS DE CAT GORISATION ___ 39 ANNEXE IX QUESTIONNAIRE D VALUATION DES NIVEAUX D IMPACT SUR
6 LE PLAN DE LA DIC _____ 41 ANNEXE X FORMULAIRE DE VALIDATION DES R SULTATS DE CAT GORISATION46 ANNEXE XI REGISTRE DE CAT GORISATION _____ 47 ANNEXE XII TUDE DE CAS _____ 48 TAPE 1 : TUDE PR LIMINAIRE _____ 49 TAPE 2 : PR PARATION DE L EXERCICE DE CAT GORISATION _____ 53 TAPE 3 : EXERCICE DE CAT GORISATION _____ 58 TAPE 4 : MAINTIEN DU REGISTRE DE CAT GORISATION _____ 62 VII Table des figures Figure 1 : Exemples de cas d'utilisation des r sultats du processus de cat gorisation _____ 3 Figure 2 : Grille de niveaux d impact _____ 5 Figure 3 : Niveaux d impact exprim s sur le plan de la DIC _____ 6 Figure 4 : tapes du processus de cat gorisation _____ 9 Figure 5 : tape 2 du processus de cat gorisation _____ 11 Figure 6 : Fiche de description de l tendue du projet de cat gorisation _____ 13 Figure 7 : tape 3 du processus de cat gorisation _____ 13 Figure 8 : Exemple d'objets de cat gorisation _____ 14 Figure 9 : Approche d identification des objets de cat gorisation _____ 15 Figure 10 : Attribution des niveaux d'impact aux objets de cat gorisation _____ 17 Figure 11 : Structure fonctionnelle d un projet de cat gorisation _____ 34 Figure 12.
7 Organigramme de l organisme (exemple) _____ 48 VIII Sigles et acronymes acronymes DIC : disponibilit , int grit , confidentialit ROSI : responsable organisationnel de la s curit de l information Sigles RADPRP : responsable de l acc s aux documents et de la protection des renseignements personnels IX Remerciements Le Secr tariat du Conseil du tr sor remercie l quipe de r alisation et le groupe de travail interminist riel pour leur participation et le travail accompli. quipe de r alisation Mohamed Darabid, coordonnateur Secr tariat du Conseil du tr sor Roza Lami, charg e de projet Secr tariat du Conseil du tr sor Groupe de travail interminist riel Daniel Landry S ret du Qu bec Jacques Blouin R gie de l assurance-maladie du Qu bec Catherine Thibault Minist re du Conseil ex cutif Javier Betancour Contr leur des finances Dany Michaud Commission de protection du territoire agricole du Qu bec Denyse Roussel Minist re du Conseil ex cutif Claude C t Commission des transports du Qu bec Marthe-Ana s Kambou Minist re de la Sant et des Services sociaux Daniel Guimont Commission des l sions professionnelles Pierre Bonhomme Minist re de l ducation.
8 Du Loisir et du Sport Mario Trudel Soci t de l'assurance automobile du Qu bec Notes l intention du lecteur Note 1 : Cette version du Guide ne pr sente que des modifications mineures par rapport la version diffus e en 2014, lesquelles ne portent aucunement sur le processus de cat gorisation. Note 2 : Pour ne pas alourdir le texte, le masculin est utilis comme g n rique dans le pr sent document. Note 2 : Le terme organisme public ou organisme d signe un minist re ou un organisme, qu il soit budg taire ou autre que budg taire, ainsi que tout organisme du r seau de l ducation, du r seau de l enseignement sup rieur ou du r seau de la sant et des services sociaux.
9 [Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement]. Note 3 : Bien que les l ments du pr sent Guide soient applicables la plupart des organismes publics, il convient pour chaque organisme public de les adapter son contexte et aux risques qui lui sont propres. Note 4 : Certains termes ou acronymes sont d finis leur premi re apparition dans le texte. Ces d finitions sont galement pr sent es l annexe A acronymes , sigles et d finitions. Guide de cat gorisation de l information 1 1. Introduction L information constitue une ressource essentielle qui doit tre prot g e tout au long de son cycle de vie1.
10 Cependant, les l ments d'information qu une organisation d tient n ont pas tous la m me valeur et ne n cessitent pas tous le m me niveau de protection. La cat gorisation des actifs informationnels2 en s curit de l information est un processus permettant l organisme d valuer le degr de sensibilit de son information, dans le but d en d terminer le niveau de protection eu gard aux risques encourus en mati re de disponibilit , d int grit et de confidentialit (DIC). Un organisme pourra ainsi tenir compte du degr de sensibilit d termin pour mettre en place les mesures lui permettant de se conformer ses obligations l gales, d viter des pertes financi res, d atteindre ses objectifs en ce qui a trait son niveau de services et de rehausser la confiance des citoyens et des entreprises l gard des services publics.
