Gestion des programmes

Sur cette page

• PM-01 Plan du programme de sécurité de l’information
• PM-02 Rôle de leadership du programme de sécurité de l’information
• PM-03 Ressources de sécurité et de protection de la vie privée de l’information
• PM-04 Processus du plan d’action et des jalons
• PM-05 Inventaire des systèmes et des programmes
• PM-06 Mesures du rendement
• PM-07 Architecture d’entreprise
• PM-08 Plan des infrastructures essentielles
• PM-09 Stratégie de gestion des risques
• PM-10 Processus d’autorisation
• PM-11 Définition des processus liés à la mission et aux activités
• PM-12 Programme de protection contre la menace interne
• PM-13 Personnel affecté à la sécurité et à la protection de la vie privée
• PM-14 Tests, formation et surveillance
• PM-15 Groupes et associations de sécurité et de protection de la vie privée
• PM-16 Programme de sensibilisation aux menaces
• PM-17 Protection de l’information contrôlée sur les systèmes externalisés
• PM-18 Plan du programme de protection de la vie privée
• PM-19 Rôle de leadership du programme de protection de la vie privée
• PM-20 Communication des principaux services de protection de la vie privée
• PM-21 Maintien d’un registre des divulgations
• PM-22 Gestion de la qualité des renseignements personnels
• PM-23 Comité de gouvernance des données
• PM-24 Comité de l’intégrité des données
• PM-25 Réduction des renseignements personnels utilisés aux fins de tests, de formation et de recherche
• PM-26 Gestion des plaintes
• PM-27 Génération de rapports concernant la protection de la vie privée
• PM-28 Cadrage des risques
• PM-29 Rôles de leadership pour le programme de gestion des risques
• PM-30 Stratégie de gestion des risques liés à la chaîne d’approvisionnement
• PM-31 Stratégie de surveillance continue
• PM-32 Établissement des objectifs

Dans sa suite de politiques, le SCT exige que les ministères et organismes du GC élaborent des programmes organisationnels de sécurité et de protection de la vie privée de l’information, les mettent en œuvre et en assure la surveillance pour garantir la protection de la vie privée, l’intégrité et la disponibilité de l’information du GC qui est traitée, stockée et transmise par les systèmes d’information du GC et pour protéger la vie privée des personnes. Les contrôles et les activités de gestion des programmes (PM pour Program Management) décrits dans la présente section sont mis en œuvre au niveau de l’organisation et ne visent pas des systèmes d’information en particulier.

PM-01 Plan du programme de sécurité de l’information

Activité

1. Élaborer et diffuser le plan d’un programme de sécurité de l’information panorganisationnel qui
   1. donne une vue d’ensemble des exigences liées au programme de sécurité et une description des contrôles de gestion du programme de sécurité et des contrôles communs qui ont été mis en place ou que l’on envisage de mettre en place en vue de satisfaire ces exigences
   2. comprend l’identification et la répartition des rôles, les responsabilités, l’engagement de la direction, la coordination au sein des entités organisationnelles et la conformité
   3. tient compte de la coordination parmi les entités responsables de la sécurité de l’information dans l’organisation
   4. est approuvé par une ou un cadre supérieur ayant les responsabilités et la reddition de comptes nécessaires pour le risque qui pèse sur les activités organisationnelles (ce qui comprend la mission, les fonctions, l’image et la réputation), les biens organisationnels, les individus, les autres organisations et le Canada
2. Passer en revue et mettre à jour le plan du programme de sécurité de l’information panorganisationnel [Affectation : fréquence définie par l’organisation] et à la suite de [Affectation : événements définis par l’organisation]
3. Protéger le plan du programme de sécurité de l’information contre les divulgations ou les modifications non autorisées

Discussion

Le plan du programme de sécurité de l’information est un document officiel qui donne une vue d’ensemble des exigences de sécurité du programme de sécurité de l’information panorganisationnel et décrit les contrôles de gestion du programme et les contrôles communs qui ont été mis en œuvre ou que l’on envisage de mettre en œuvre pour satisfaire ces exigences. Le plan d’un programme de sécurité de l’information peut être représenté dans un seul document ou un ensemble de documents. Les plans du programme de protection de la vie privée et les plans de gestion des risques liés à la chaîne d’approvisionnement sont abordés séparément dans les contrôles PM-18 et SR-02 respectivement.

Le plan d’un programme de sécurité de l’information documente les détails de la mise en œuvre de la gestion du programme et des contrôles communs. Le plan fournit de l’information sur les contrôles (y compris la spécification explicite ou par référence des paramètres d’affectation et de sélection) pour permettre une mise en œuvre clairement conforme à ses objectifs et la détermination des risques qu’il représente s’il est appliqué comme prévu. Les mises à jour apportées aux plans des programmes de sécurité de l’information comprennent des changements organisationnels et les problèmes relevés durant la mise en œuvre du plan ou les évaluations de contrôles.

Les contrôles de gestion des programmes peuvent être mis en œuvre au niveau de l’organisation, de la mission ou du processus opérationnel, et sont essentiels à la gestion du programme de sécurité de l’information de l’organisation. Les contrôles de gestion des programmes se distinguent des contrôles hybrides, courants et propres aux systèmes, puisqu’ils sont indépendants de tout système particulier. Ensemble, les plans de sécurité de l’information individuels et le plan du programme de sécurité de l’information panorganisationnel fournissent une couverture complète des contrôles de sécurité employés dans l’organisation.

Les contrôles communs dont les systèmes organisationnels peuvent hériter sont documentés dans une annexe du plan du programme de sécurité de l’information de l’organisation, à moins qu’ils ne soient compris dans le plan de sécurité distinct d’un système. Le plan du programme de sécurité de l’information panorganisationnel précise quels plans de sécurité distincts contiennent les descriptions des contrôles communs.

Les événements qui peuvent précipiter une mise à jour du plan du programme de sécurité de l’information comprennent, sans s’y limiter, les conclusions d’une évaluation ou d’une vérification pangouvernementale, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices.

Contrôles et activités connexes

PL-02, PM-18, PM-30, RA-09, SI-02, SI-12, SR-02.

Améliorations

Aucune.

Références

• Loi sur la protection des renseignements personnels
• SCT, Politique sur la protection de la vie privée
• SCT, Politique sur la sécurité du gouvernement
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Guide de gestion intégrée du risque

PM-02 Rôle de leadership du programme de sécurité de l’information

Contrôle

Nommer une ou un haut fonctionnaire de la gouvernance en matière de sécurité du ministère avec la mission et les ressources nécessaires pour coordonner, développer, mettre en œuvre et tenir à jour un programme de sécurité de l’information panorganisationnel.

Discussion

La ou le haut fonctionnaire de la gouvernance en matière de sécurité du ministère est une ou un agent responsable de l’organisation. Dans le cas des ministères et organismes du GC (tels que décrits par les lois, les décrets, la réglementation, les directives, les politiques et les normes applicables), on entend, par haut fonctionnaire, l’agente supérieure ou agent supérieur de la sécurité de l’information. Dans les organisations, on entend, par cadre supérieure ou supérieur, l’agente supérieure ou agent supérieur de la sécurité de l’information ou la dirigeante principale ou le dirigeant principal de la sécurité de l’information.

Contrôles et activités connexes

Aucun.

Améliorations

Aucune.

Références

• SCT, Politique sur la sécurité du gouvernement
• SCT, Directive sur la gestion de la sécurité

PM-03 Ressources de sécurité et de protection de la vie privée de l’information

Contrôle

1. Inclure les ressources nécessaires pour mettre en œuvre les programmes de sécurité et de protection de la vie privée de l’information dans les demandes de planification des immobilisations et des investissements et documenter toutes les exceptions à cette exigence
2. Préparer la documentation nécessaire pour tenir compte des programmes de sécurité et de protection de la vie privée de l’information dans les demandes de planification des immobilisations et des investissements conformément aux lois, aux décrets, aux directives, aux politiques, à la réglementation et aux normes applicables
3. Veiller à ce que les ressources liées à la sécurité et à la protection de la vie privée de l’information soient disponibles pour la dépense comme prévu

Discussion

L’organisation considère d’identifier des championnes et champions en sécurité et en protection de la vie privée de l’information et de mettre en place l’expertise et les ressources spécialisées nécessaires dans le cadre du processus d’affectation des ressources, le cas échéant. L’organisation peut désigner et habiliter un groupe pour gérer les aspects de la sécurité et de la protection de la vie privée de l’information dans le cadre du processus de planification des immobilisations et de contrôle des investissements.

Contrôles et activités connexes

PM-04 et SA-02.

Améliorations: Aucune.

Références

• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Ligne directrice sur les services et le numérique
• SCT, Directive sur la gestion de la sécurité – Annexe F : Procédures obligatoires relatives aux mesures de sécurité lors de l’octroi de contrats et d’autres ententes

PM-04 Processus du plan d’action et des jalons

Activité

1. Mettre en œuvre un processus visant à s’assurer que les plans d’action et les jalons associés au programme de sécurité et de protection de la vie privée de l’information, au programme de gestion des risques liés à la chaîne d’approvisionnement et aux systèmes organisationnels connexes
   1. sont élaborés et tenus à jour
   2. est approuvé par une ou un cadre supérieur ayant les responsabilités et la reddition de comptes nécessaires pour le risque qui pèse sur les activités organisationnelles (ce qui comprend la mission, les fonctions, l’image et la réputation), les biens organisationnels, les individus, les autres organisations et le Canada
   3. sont mentionnés conformément aux exigences liées à la production de rapports qui ont été établies
2. Passer en revue les plans d’action et les jalons pour veiller à ce qu’ils soient uniformes avec la stratégie de gestion des risques de l’organisation et les priorités panorganisationnelles en ce qui a trait aux mesures d’intervention liées aux risques

Discussion

Les organisations élaborent des plans d’action et des jalons avec une perspective panorganisationnelle, priorisant les mesures d’intervention liées aux risques et s’assurant qu’ils sont conformes avec leurs buts et leurs objectifs. Les mises à jour des plans d’action et des jalons sont basées sur les constatations des évaluations de contrôles et des activités de surveillance continue. Plusieurs plans d’action et jalons peuvent être mis en place au niveau du système d’information, au niveau de la mission ou du processus opérationnel et au niveau de l’organisation ou de la gouvernance. Bien que les plans d’action et les jalons soient obligatoires pour les organismes fédéraux, d’autres types d’organisations peuvent réduire les risques en documentant les mesures d’atténuation prévues et en assurant le suivi. Le contrôle CA-05 fournit des conseils propres aux plans d’action et aux jalons au niveau du système.

Discussion au sein du GC

Le Plan d’action et des jalons est un document organisationnel clé assujetti aux exigences établies par le SCT en matière de reddition de compte.

Contrôles et activités connexes

CA-05, CA-07, PM-03, RA-07 et SI-12.

Améliorations

Aucune.

Références

SCT, Cadre stratégique de gestion du risque

PM-05 Inventaire des systèmes et des programmes

Contrôle

Élaborer et tenir à jour [Affectation : fréquence définie par l’organisation] un inventaire des systèmes et des programmes organisationnels.

Discussion

Par inventaire des systèmes, on entend l’inventaire des systèmes dans l’ensemble de l’organisation, et non les composants de systèmes décrits au contrôle CM-08.

Contrôles et activités connexes

Aucun.

Améliorations

• (01) Inventaire des systèmes et des programmes : Inventaire des renseignements personnels
  • Réaliser, tenir et mettre à jour [Affectation : fréquence définie par l’organisation] un inventaire de tous les systèmes, programmes, applications et projets qui traitent des renseignements personnels.
  • Discussion : L’inventaire des systèmes, des programmes, des applications et des projets traitant des renseignements personnels soutient la mise en correspondance des actions de données. Il exige la confirmation de l’autorité légitime pour collecter et tenir à jour des renseignements personnels précis et pour limiter le traitement des renseignements personnels à moins qu’ils ne soient directement liés à un programme opérationnel ou à une activité de l’organisation. L’organisation peut utiliser cet inventaire pour s’assurer que les systèmes n’utilisent que les renseignements personnels nécessaires aux programmes et services opérationnels d’une institution, conformément aux normes approuvées de conservation de documents.
  • Discussion au sein du GC : Pour les organismes du GC, les renseignements personnels que l’on entend utiliser pour prendre des décisions administratives devraient également être pris en compte dans les FRP. Ces FRP peuvent être ordinaires ou propres à l’institution. Ils devraient également refléter de façon exhaustive tous les éléments des renseignements personnels. Les FRP décriront aussi l’autorité législative responsable de la collecte, les utilisations autorisées, les divulgations d’information et les normes en matière de conservation et d’élimination. Ils décriront les exigences relatives aux personnes qui veulent accéder à leurs renseignements personnels.
  • Contrôles et activités connexes : AC-03, CM-08, CM-12, CM-13, PL-08, PM-22, PT-03, PT-05, SI-12 et SI-18.

Références

• Loi sur la protection des renseignements personnels
• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• Info Source du GC : Exigences en matière de publication

PM-06 Mesures du rendement

Activité

Développer et surveiller les résultats des mesures du rendement de la sécurité et en faire rapport.

Discussion

Les mesures du rendement sont des mesures basées sur les résultats que l’organisation emploie pour mesurer l’efficacité ou l’efficience des programmes de sécurité et de protection de la vie privée de l’information et des contrôles utilisés pour soutenir le programme. Pour faciliter la gestion des risques liés à la sécurité et à la protection de la vie privée, l’organisation considère d’aligner les mesures du rendement sur sa tolérance au risque, comme il est indiqué dans la stratégie sur la gestion des risques.

Les mesures du rendement de la cybersécurité pourraient tenir compte du nombre de violations de la sécurité, de la réalisation des objectifs relatifs à l’état de préparation en matière de cybersécurité (OEPC), de la robustesse, de la mise en œuvre de changements après incident et des investissements en sécurité par rapport au budget associé aux poursuites judiciaires, aux recours collectifs, aux relations publiques et à la reprise après incident. Parmi les facteurs à considérer au moment d’évaluer les mesures du rendement de la protection de la vie privée, on retrouve le nombre de violations, les mesures liées aux plaintes fondées déposées au CPVP et l’achèvement des outils d’évaluation du respect de la vie privée pour les programmes et les services organisationnels.

Contrôles et activités connexes

CA-07 et PM-09.

Améliorations

Aucune.

Références

• Loi sur la protection des renseignements personnels
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe E : Procédures obligatoires relatives aux mesures de sécurité de la gestion de l’information

PM-07 Architecture d’entreprise

Activité

Développer une architecture d’entreprise en tenant compte de la sécurité et de la protection de la vie privée de l’information et du risque qui en résulte sur les activités et les biens organisationnels, les individus, les autres organisations et le Canada.

Discussion

L’intégration des exigences et des contrôles de sécurité et de protection de la vie privée à l’architecture d’entreprise permet de s’assurer que les facteurs à considérer en matière de sécurité et de protection de la vie privée sont pris en compte tout au long du cycle de vie des systèmes et qu’ils sont explicitement liés aux processus liés à la mission et aux activités de l’organisation. Le processus d’intégration des exigences de sécurité et de protection de la vie privée vise également l’architecture d’entreprise et les architectures de sécurité et de protection de la vie privée de l’organisation qui sont conformes à la stratégie organisationnelle de gestion des risques.

Pour le contrôle PM-07, les architectures de sécurité et de protection de la vie privée sont développées au niveau du système des systèmes, représentant ainsi tous les systèmes de l’organisation. Pour le contrôle PL-08, les architectures de sécurité et de protection de la vie privée sont développées à un niveau qui représente un système en particulier. Les architectures au niveau d’un système sont conformes aux architectures de sécurité et de protection de la vie privée définies pour l’organisation. Les exigences de sécurité et de protection de la vie privée et l’intégration des contrôles sont réalisées plus efficacement si on met rigoureusement en pratique les normes et les lignes directrices de la Série sur la gestion des risques liés à la cybersécurité et des risques d’atteinte à la vie privée : Une méthode axée sur le cycle de vie, ainsi que les normes et lignes directrices de sécurité connexes.

Discussion au sein du GC

Pour les ministères et organismes du GC, les exigences de sécurité et de protection de la vie privée et l’intégration des contrôles sont réalisées plus efficacement si on met rigoureusement en pratique, dans l’architecture du ministère, les exigences tirées de la Série sur la gestion des risques liés à la cybersécurité et des risques d’atteinte à la vie privée : Une méthode axée sur le cycle de vie, ainsi que les exigences de la suite de politiques de protection des renseignements personnels connexes imposées par le SCT, et si on tient compte des exigences établies par des lois, une réglementation et la jurisprudence.

Contrôles et activités connexes

AU-06, PL-02, PL-08, PM-11, RA-02, SA-03, SA-08 et SA-17.

Améliorations

• (01) Architecture d’entreprise : Déchargement
  • Décharger les [Affectation : fonctions ou services définis par l’organisation] sur d’autres systèmes, des composants de systèmes ou un fournisseur externe.
  • Discussion : Les fonctions ou les services fournis par un système ne sont pas tous essentiels aux fonctions liées à la mission ou aux activités de l’organisation. L’impression et la copie sont des exemples d’un service de soutien non essentiel pour une organisation. Dans la mesure du possible, de tels services ou fonctions de soutien non essentiels ne cohabitent pas avec les services et fonctions qui prennent en charge les fonctions liées à la mission ou aux activités de l’organisation. Maintenir de telles fonctions sur le même système ou un composant de système augmente la surface d’attaque des fonctions ou des services organisationnels essentiels à la mission. Déplacer des fonctions de soutien non essentielles vers un système non essentiel, un composant de système ou un fournisseur externe peut accroître l’efficacité en faisant en sorte que les fonctions et services en question se trouvent maintenant sous le contrôle de personnes ou de fournisseurs qui sont des spécialistes en la matière (EM) relativement à ces fonctions ou à ces services. Si un fournisseur externe a accès aux renseignements personnels, il est important de s’assurer que les contrôles de protection de la vie privée et les activités sont pris en compte dans les mécanismes de passation de marchés connexes.
  • Contrôles et activités connexes : SA-08.

Références

• SCT, Cadre de l’architecture intégrée du gouvernement du Canada
• Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037)
• Loi sur la protection des renseignements personnels
• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée

PM-08 Plan des infrastructures essentielles

Activité

Aborder les problèmes liés à la sécurité et à la protection de la vie privée de l’information qui touchent le développement, la documentation et la mise à jour d’un plan de protection visant les infrastructures essentielles et des ressources clés.

Discussion

Les stratégies de protection sont basées sur la hiérarchisation des biens et des ressources indispensables. L’obligation et l’orientation nécessaires pour définir les infrastructures essentielles et les principales ressources et pour préparer un plan de protection des infrastructures essentielles connexes sont mentionnées dans les lois, la jurisprudence, les décrets, les directives, les politiques, la réglementation, les normes et les lignes directrices applicables.

Contrôles et activités connexes

CP-02, CP-04, PE-18, PL-02, PM-09, PM-11, PM-18, RA-03 et SI-12.

Améliorations

Aucune.

Références

Sécurité publique Canada, Guide sur la gestion des risques pour les secteurs des infrastructures essentielles

PM-09 Stratégie de gestion des risques

Activité

1. Élaborer une stratégie complète de gestion
   1. des risques pour les activités et les biens organisationnels, les individus, les autres organisations et le Canada associés à l’exploitation et à l’utilisation des systèmes de l’organisation
   2. des risques d’atteinte à la vie privée qui pèsent sur les personnes dans le cadre du traitement autorisé des renseignements personnels
2. Mettre en place la stratégie de gestion des risques uniformément dans l’ensemble de l’organisation
3. Passer en revue et mettre à jour la stratégie de gestion des risques [Affectation : fréquence définie par l’organisation] ou au besoin pour tenir compte des changements organisationnels

Discussion

Une stratégie de gestion des risques panorganisationnelle comprend une expression de la tolérance de l’organisation aux risques liés à la sécurité et à la protection de la vie privée, les stratégies d’atténuation des risques liés à la sécurité et à la protection de la vie privée, les méthodes d’évaluation des risques acceptables, un processus pour l’évaluation des risques liés à la sécurité et à la protection de la vie privée dans l’organisation en ce qui a trait à sa tolérance aux risques et les approches à adopter pour surveiller le risque au fil du temps.

La ou le cadre supérieur responsable de la gestion des risques (chef du ministère ou haut responsable) s’assure que les processus de gestion de la sécurité de l’information s’alignent avec les processus de planification stratégique, opérationnelle et budgétaire. La fonction de gestion des risques exercée par la ou le cadre supérieur responsable de la gestion des risques peut faciliter une application uniforme de la stratégie de gestion des risques dans l’ensemble de l’organisation.

La stratégie de gestion des risques peut reposer sur des intrants liés à la sécurité et à la protection de la vie privée qui sont tirés d’autres sources internes et externes à l’organisation et permettent d’assurer une portée générale et complète de la stratégie. La stratégie de gestion des risques liés à la chaîne d’approvisionnement décrite au contrôle PM-30 peut également fournir de l’information utile sur la stratégie de gestion des risques panorganisationnelle.

Contrôles et activités connexes

AC-01, AU-01, AT-01, CA-01, CA-02, CA-05, CA-06, CA-07, CM-01, CP-01, IA-01, IR-01, MA-01, MP-01, PE-01, PL-01, PL-02, PM-02, PM-08, PM-18, PM-28, PM-30, PS-01, PT-01, PT-02, PT-03, RA-01, RA-03, RA-09, SA-01, SA-04, SC-01, SC-38, SI-01, SI-12, SR-01 et SR-02.

Améliorations

Aucune.

Références

• SCT, Cadre stratégique de gestion du risque
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Directive sur les services et le numérique
• SCT, Ligne directrice sur les services et le numérique
• SCT, Directive sur les pratiques relatives à la protection de la vie privée – Annexe C : Norme sur l’évaluation des facteurs relatifs à la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée

PM-10 Processus d’autorisation

Contrôle

1. Gérer l’état de sécurité et de protection de la vie privée des systèmes organisationnels et des environnements dans lesquels ces systèmes s’exécutent dans le cadre des processus d’autorisation
2. Désigner les personnes qui assumeront des rôles et des responsabilités, en particulier dans le processus de gestion des risques de l’organisation
3. Intégrer les processus d’autorisation au programme panorganisationnel de gestion des risques

Discussion

Les processus d’autorisation des systèmes organisationnels et des environnements d’exploitation exigent la mise en œuvre d’un processus de gestion des risques panorganisationnel, ainsi que des normes et des lignes directrices connexes en matière de sécurité et de protection de la vie privée. Parmi les rôles propres aux processus de gestion des risques, on retrouve une fonction de gestion des risques et des cadres supérieures et supérieurs désignés pour l’autorisation de chaque système organisationnel et d’un fournisseur de contrôles communs. Les processus d’autorisation de l’organisation sont intégrés à des processus de surveillance continue pour faciliter la compréhension et l’acceptation des risques liés à la sécurité et à la protection de la vie privée qui pèsent sur les activités, les individus et les biens liés à l’organisation, ainsi que les autres organisations et le Canada.

Contrôles et activités connexes

CA-06, CA-07 et PL-02.

Améliorations

Aucune.

Références

• SCT, Cadre stratégique de gestion du risque
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Ligne directrice sur les services et le numérique

PM-11 Définition des processus liés à la mission et aux activités

Activité

1. Développer des processus liés à la mission et aux activités de l’organisation en tenant compte de la sécurité et de la protection de la vie privée de l’information et du risque qui en résulte sur les activités et les biens organisationnels, les individus, les autres organisations et le Canada
2. Déterminer les besoins en matière de protection de l’information et de traitement des renseignements personnels qui découlent des processus liés à la mission et aux activités qui ont été définis
3. Examiner et revoir les processus liés à la mission et aux activités [Affectation : fréquence définie par l’organisation]

Discussion

Les besoins en matière de protection sont des capacités indépendantes de la technologie qui permettent de contrer les menaces qui ciblent les organisations, les individus, les systèmes et le Canada et d’éviter la compromission de l’information (c’est-à-dire, une atteinte à la protection de la vie privée, à l’intégrité, à la disponibilité ou à la vie privée). Les besoins en matière de protection de l’information et de traitement des renseignements personnels sont dérivés des besoins liés à la mission et aux activités qui ont été définis par les parties prenantes de l’organisation, les processus liés à la mission et aux activités mis en place pour répondre à ces besoins et la stratégie de gestion des risques de l’organisation.

Les besoins en matière de protection de l’information et de traitement des renseignements personnels déterminent les contrôles nécessaires à l’organisation et aux systèmes. Pour définir les besoins en matière de protection de l’information et de traitement des renseignements personnels, il est essentiel de comprendre les répercussions négatives qui pourraient découler d’une compromission ou d’une fuite d’information. On fait appel à ce processus de catégorisation pour déterminer les répercussions potentielles.

Les risques d’atteinte à la vie privée des individus peuvent être le résultat de la compromission de renseignements personnels, mais ils peuvent également survenir comme conséquences imprévues ou indirectes du traitement de renseignements personnels à n’importe quelle phase du cycle de vie de l’information. On utilise les EFVP pour relever les préjudices potentiels que pourrait causer le traitement des renseignements personnels. Ces évaluations des répercussions permettent de sélectionner les contrôles requis. Les définitions des processus liés à la mission et aux activités et les exigences connexes en matière de protection sont documentées conformément aux politiques et aux procédures de l’organisation.

Contrôles et activités connexes

CP-02, PL-02, PM-07, PM-08, RA-02, RA-03, RA-09 et SA-02.

Améliorations

Aucune.

Références

• SCT, Directive sur la gestion de la sécurité
• SCT, Ligne directrice sur les services et le numérique
• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée – Annexe C : Norme sur l’évaluation des facteurs relatifs à la vie privée

PM-12 Programme de protection contre la menace interne

Contrôle

Mettre en place un programme de protection contre la menace interne qui comprend une équipe multidisciplinaire de traitement des incidents liés à la menace interne.

Discussion

Les programmes d’atténuation des menaces internes peuvent tirer parti de l’existence d’équipes de traitement des incidents mises en place par l’organisation, comme les équipes d’intervention en cas d’incident lié à la sécurité informatique. Les dossiers de ressources humaines sont particulièrement importants à cet égard, car des preuves convaincantes démontrent que certains types de crimes commis à l’interne sont souvent précédés de comportements atypiques en milieu de travail, comme la manifestation continue de signes de mécontentement et des conflits avec des collègues de travail et d’autres collègues. Ces signes précurseurs peuvent guider les responsables de l’organisme dans des efforts de surveillance plus ciblés.

Cela dit, l’utilisation des dossiers des ressources humaines pourrait soulever des préoccupations importantes en matière de protection de la vie privée et de conformité à la Charte canadienne des droits et libertés. La participation d’une équipe juridique, y compris la consultation avec la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié, permet de s’assurer que les activités de surveillance sont menées conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.

Discussion au sein du GC

Il convient également de tenir compte des exigences relatives aux avis lors de la surveillance des réseaux et des dispositifs électroniques du GC. Ces exigences additionnelles sont abordées dans la politique, la directive et la ligne directrice sur les services et le numérique.

Contrôles et activités connexes

AC-06, AT-02, AU-06, AU-07, AU-10, AU-12, AU-13, CA-07, IA-04, IR-04, MP-07, PE-02, PM-16, PS-03, PS-04, PS-05, PS-07, PS-08, SC-07, SC-38, SI-04 et PM-14.

Améliorations

Aucune.

Références

• SCT, Politique sur les services et le numérique
• SCT, Directive sur les services et le numérique
• SCT, Ligne directrice sur les services et le numérique

PM-13 Personnel affecté à la sécurité et à la protection de la vie privée

Activité

Élaborer un programme de développement et de perfectionnement du personnel affecté à la sécurité et à la protection de la vie privée.

Discussion

Les programmes de développement et de perfectionnement du personnel affecté à la sécurité et à la protection de la vie privée visent à définir les connaissances, les compétences et les aptitudes nécessaires pour accomplir les tâches et les fonctions liées à la sécurité et à la protection de la vie privée, à développer des programmes de formation basés sur les rôles pour les personnes à qui on a confié des responsabilités et des rôles liés à la sécurité et à la protection de la vie privée, et à fournir les normes et les lignes directrices pour la mesure et l’élaboration des compétences attendues des titulaires de postes liés à la sécurité et à la protection de la vie privée et des candidates et candidats voulant occuper de tels postes. De tels programmes de développement et de perfectionnement du personnel peuvent également comprendre des parcours de carrière en sécurité et en protection de la vie privée pour encourager les professionnelles et professionnels de la sécurité et de la protection de la vie privée à se perfectionner dans le domaine et à occuper des postes exigeant de plus grandes responsabilités.

Les programmes incitent les organisations à pourvoir les postes liés à la sécurité et à la protection de la vie privée par du personnel qualifié. Les programmes de développement et de perfectionnement du personnel affecté à la sécurité et à la protection de la vie privée sont complémentaires aux programmes organisationnels de formation et de sensibilisation à la sécurité et mettent l’accent sur le développement et l’institutionnalisation des principales capacités du personnel en matière de sécurité et de protection de la vie privée qui sont nécessaires pour protéger les activités, les biens et le personnel de l’organisation. Une main-d’œuvre qualifiée mise sur des employées et employés qui ont les ressources, les outils, les relations, la formation, la sensibilisation et la supervision nécessaires pour leur permettre de mettre en pratique leurs connaissances et leurs compétences dans le cadre de leurs tâches quotidiennes.

Discussion au sein du GC

La Ligne directrice sur les services et le numérique du SCT propose des listes exhaustives des connaissances et des compétences recherchées, ainsi que des ressources de formation supplémentaires.

Contrôles et activités connexes

AT-02 et AT-03.

Améliorations

Aucune.

Références

• SCT, Politique sur les services et le numérique
• SCT, Directive sur les services et le numérique
• SCT, Ligne directrice sur les services et le numérique

PM-14 Tests, formation et surveillance

Activité

1. Mettre en place un processus visant à s’assurer que les plans organisationnels liés à la conduite des activités de mise à l’essai, de formation et de surveillance en matière de sécurité qui sont associées aux systèmes organisationnels
   1. sont élaborés et tenus à jour
   2. continuent d’être exécutés
2. Passer en revue les plans de mise à l’essai, de formation et de surveillance pour veiller à ce qu’ils soient uniformes avec la stratégie organisationnelle de gestion des risques en matière de sécurité et de protection de la vie privée, et les priorités panorganisationnelles en ce qui a trait aux mesures d’intervention liées aux risques.

Discussion

La mise en place d’un processus panorganisationnel pour les tests, la formation et la surveillance en matière de sécurité et de protection de la vie privée permet de s’assurer que l’organisation supervise et coordonne les activités de tests, de formation et de surveillance. Étant donné l’importance grandissante des programmes de surveillance continue, la mise en œuvre de la sécurité et de la protection de la vie privée de l’information à chacun des trois niveaux hiérarchiques de la gestion des risques et l’utilisation à grande échelle de contrôles communs, les organisations coordonnent et regroupent les activités de tests et de surveillance qui sont menées de façon régulière dans le cadre d’évaluations continues visant à soutenir une gamme de contrôles. Bien qu’elles mettent l’accent sur des systèmes et des rôles en particulier, les activités de formation en sécurité et en protection de la vie privée doivent être coordonnées pour tous les éléments de l’organisation. Les plans et les activités de tests, de formation et de surveillance reposent sur les évaluations des menaces et des vulnérabilités actuelles.

Contrôles et activités connexes

AT-02, AT-03, CA-07, CP-04, IR-03, PM-12 et SI-04.

Améliorations

Aucune.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe D : Procédures obligatoires relatives aux mesures de sécurité en matière de gestion de la continuité des activités
• SCT, Directive sur la gestion de la sécurité – Annexe E :Procédures obligatoires relatives aux mesures de sécurité de la gestion de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe H : Procédures obligatoires relatives aux mesures de sécurité dans la sensibilisation à la sécurité et la formation

PM-15 Groupes et associations de sécurité et de protection de la vie privée

Activité

Déterminer et institutionnaliser les contacts avec certains groupes et certaines associations de la collectivité de la sécurité pour

1. faciliter la formation continue de son personnel en matière de sécurité et de protection de la vie privée
2. se tenir au fait des pratiques, des techniques et des technologies recommandées en matière de sécurité et de protection de la vie privée
3. échanger de l’information à jour sur la sécurité et la protection de la vie privée, notamment sur les menaces, les vulnérabilités et les incidents

Discussion

Il est important de maintenir un contact continu avec les groupes et associations de sécurité et de protection de la vie privée dans un environnement où les technologies et les menaces évoluent rapidement. Par groupes et associations, on entend les groupes d’intérêts spéciaux, les associations professionnelles, les forums spécialisés, les groupes de nouvelles, les groupes d’utilisatrices et utilisateurs et les groupes de pairs professionnels de la sécurité et de la protection de la vie privée dans des organisations similaires. L’organisation sélectionne les groupes et les associations de sécurité et de protection de la vie privée selon les fonctions liées à sa mission et à ses activités. L’organisation échange de l’information sur les menaces, les vulnérabilités et les incidents, ainsi que du contexte, des techniques de conformité et des problèmes liés à la protection de la vie privée conformément aux lois, aux décrets, aux directives, aux politiques, à la réglementation, aux normes et aux lignes directrices applicables.

Contrôles et activités connexes

SA-11 et SI-05.

Améliorations

Aucune.

Références

Aucune.

PM-16 Programme de sensibilisation aux menaces

Contrôle

Mettre en œuvre un programme de sensibilisation aux menaces qui comprend une capacité d’échange d’information interorganisationnelle pour le renseignement sur les menaces.

Discussion

Comme les adversaires démontrent un degré de sophistication de plus en plus grand et en constant changement, en particulier pour ce qui a trait aux MPA, il peut être plus probable que les adversaires arrivent à s’introduire dans les systèmes d’une organisation et à les compromettre. Une des meilleures techniques pour aborder cette préoccupation passe par l’échange de renseignement sur les menaces entre les organisations, notamment les événements de menace (par exemple, des tactiques, techniques et procédures) que les organisations ont rencontrés, les mesures d’atténuation prises par les organisations qui se sont avérées efficaces contre certains types de menaces et le renseignement sur les menaces (par exemple, la présence d’indices et d’avertissements concernant les menaces). L’échange de renseignement sur les menaces peut être bilatéral ou multilatéral. L’échange bilatéral de renseignement sur les menaces comprend les coopérations entre le gouvernement et le secteur privé et les coopérations intergouvernementales. L’échange multilatéral s’effectue quant à lui entre des organisations qui font partie d’un consortium sur l’échange de renseignement sur les menaces. Le renseignement sur les menaces exige des ententes et des mesures de protection spéciales, ou peut être échangé librement.

Contrôles et activités connexes

IR-04 et PM-12.

Améliorations

• (01) Programme de sensibilisation aux menaces : Moyens automatisés pour l’échange de renseignement sur les menaces
  • Avoir recours à des mécanismes automatisés pour maximiser l’efficacité de l’échange de renseignement sur les menaces.
  • Discussion : Pour optimiser l’efficacité de la surveillance, il est important de savoir quelles données observables et quels indicateurs les capteurs devront rechercher. En utilisant des cadres d’applications, des services et des outils automatisés bien définis, les organisations sont mieux outillées pour échanger rapidement les signatures de détection des menaces pertinentes et de les intégrer aux outils de surveillance.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe I :Norme de signalement des événements de sécurité
• SCT, Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC)

PM-17 Protection de l’information contrôlée sur les systèmes externalisés

Contrôle

1. Établir la stratégie et les procédures nécessaires pour veiller à ce que les exigences relatives à la protection de l’information contrôlée qui est traitée, stockée ou transmise sur des systèmes externes, soient mises en œuvre conformément aux lois, aux décrets, aux directives, aux politiques, à la réglementation et aux normes applicables
2. Passer en revue et mettre à jour la stratégie et les procédures tous les [Affectation : fréquence définie par l’organisation]

Discussion

Aucune.

Discussion au sein du GC

L’information contrôlée comprend l’information PROTÉGÉ A, PROTÉGÉ B et l’information non classifiée relative aux marchandises contrôlées. L’information protégée est définie par le SCT dans la Directive sur la gestion de la sécurité − Annexe J : Norme sur la catégorisation de sécurité, en plus des exigences relatives à la protection et à la diffusion d’une telle information, et est codifiée dans la Politique sur la protection de la vie privée du SCT. La politique prescrit l’utilisation et les conditions particulières à mettre en œuvre selon les procédures de l’organisation, notamment dans le cadre des processus de passation des marchés de cette dernière. Le chapitre 6 du Manuel de la sécurité des contrats de SPAC est consacré au traitement et à la protection de l’information et des biens, et doit être consulté avec l’Annexe C, Lignes directrices sur la protection des renseignements et des biens. Les exigences relatives aux accords ou aux ententes d’échange de renseignements sont documentées dans le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels de SCT.

Contrôles et activités connexes

CA-06 et PM-10.

Améliorations

Aucune.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe J : Norme sur la catégorisation de sécurité
• SCT, Politique sur la protection de la vie privée
• SPAC, Manuel de la sécurité des contrats, Chapitre 6 : Manipulation et protection de renseignements et de biens
• SPAC, Manuel de la sécurité des contrats – Annexe C : Lignes directrices sur la protection des renseignements et des biens

PM-18 Plan du programme de protection de la vie privée

Activité

1. Élaborer et diffuser le plan du programme de protection de la vie privée panorganisationnel, qui offre une vue d’ensemble du programme de protection de la vie privée de l’organisation et
   1. comprend une description de la structure du programme de prestation des services en matière de protection de la vie privée et des ressources consacrées au programme de protection de la vie privée
   2. donne une vue d’ensemble des exigences liées au programme de protection de la vie privée et une description des contrôles de gestion du programme de protection de la vie privée et des contrôles communs qui ont été mis en place ou que l’on envisage de mettre en place en vue de satisfaire ces exigences
   3. comprend le rôle de la ou du haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié, décrit la délégation officielle des pouvoirs de l’administratrice générale ou de l’administrateur général, et établit et affecte les rôles et responsabilités des autres cadres supérieures et supérieurs en matière de protection de la vie privée et de leur personnel
   4. décrit l’engagement de la direction, les exigences relatives à la conformité, ainsi que les buts et les objectifs du programme de protection de la vie privée
   5. tient compte de la coordination parmi les entités organisationnelles responsables des différents aspects de la protection de la vie privée
   6. est approuvé par une ou un cadre supérieur ayant les responsabilités et la reddition de comptes nécessaires pour le risque qui pèse sur la protection de la vie privée des opérations organisationnelles (ce qui comprend la mission, les fonctions, l’image et la réputation), les biens organisationnels, les individus, les autres organisations et le Canada
2. Mettre à jour le plan [Affectation : fréquence définie par l’organisation] et tenir compte des changements apportés à l’application des lois fédérales en matière de respect de la vie privée en fonction de la jurisprudence, des changements stratégiques et organisationnels et des problèmes relevés au cours de la mise en œuvre du plan ou des évaluations de contrôle de la protection de la vie privée

27. S’assurer que le plan du programme de protection de la vie privée est communiqué et transmis au personnel responsable de sa mise en œuvre

Discussion

Le plan du programme de protection de la vie privée est un document formel qui offre une vue d’ensemble du programme de protection de la vie privée d’une organisation, notamment une description de la structure du programme de protection de la vie privée, les ressources consacrées au programme de protection de la vie privée, le rôle de la ou du haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié, les buts et objectifs stratégiques du programme de protection de la vie privée, de même que les contrôles de gestion des programmes et les contrôles communs qui ont été mis en place ou que l’on envisage de mettre en place pour répondre aux exigences de protection de la vie privée applicables et gérer les risques d’atteinte à la vie privée. Le plan des programmes de protection de la vie privée peut être représenté dans un seul document ou un ensemble de documents.

Il incombe à la ou au haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée d’établir les contrôles de protection de la vie privée qui seront traités par l’organisation comme des contrôles courants, hybrides, de gestion des programmes et propres aux systèmes. Les plans des programmes de protection de la vie privée fournissent suffisamment d’information sur les contrôles communs et de gestion des programmes de protection de la vie privée (y compris la spécification explicite ou par référence des paramètres d’affectation et de sélection) pour permettre une mise en œuvre clairement conforme à leurs objectifs et la détermination des risques qu’ils représentent, s’ils sont appliqués comme prévu.

Les contrôles de gestion des problèmes sont généralement mis en œuvre au niveau de l’organisation et sont essentiels à la gestion du programme de protection de la vie privée de l’organisation. Les contrôles de gestion des programmes se distinguent des contrôles hybrides, courants et propres aux systèmes, puisqu’ils sont indépendants de tout système d’information. Ensemble, les plans de protection de la vie privée individuels et le plan du programme de protection de la vie privée panorganisationnel fournissent une couverture complète des contrôles de protection de la vie privée employés dans l’organisation.

Les contrôles communs sont documentés dans une annexe du plan du programme de protection de la vie privée de l’organisation, à moins qu’ils ne soient compris dans le plan de protection de la vie privée distinct d’un système. Le plan du programme de protection de la vie privée panorganisationnel précise quels plans de protection de la vie privée distincts contiennent les descriptions des contrôles de protection de la vie privée.

Contrôles et activités connexes

PM-08, PM-09 et PM-19.

Améliorations

Aucune.

Références

• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• CPVP, Document d’orientation : Un programme de gestion de la protection de la vie privée : la clé de la responsabilité
• CPVP, Guide sur la protection de la vie privée à l’intention des entreprises

PM-19 Rôle de leadership du programme de protection de la vie privée

Contrôle

Désigner une ou un haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée et lui conférer les pouvoirs, la mission, les responsabilités et les ressources nécessaires pour coordonner, élaborer et mettre en place les exigences de protection de la vie privée applicables et pour gérer les risques d’atteinte à la vie privée dans le cadre du programme de protection de la vie privée panorganisationnel.

Discussion

L’agente ou agent à la protection des renseignements personnels est une ou un cadre supérieur de l’organisation.

Discussion au sein du GC

Dans le cas des ministères et organismes du GC – conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables –, ce cadre est nommé par la ou le chef d’une institution en tant que haut fonctionnaire ou cadre supérieure ou supérieur en matière de protection de la vie privée. Les organisations peuvent également utiliser le nom CPRP pour désigner cette personne. La ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée assume également des rôles au sein du comité de gouvernance des données (voir le contrôle PM-23) et du comité sur les données et l’information (voir le contrôle PM-24).

Contrôles et activités connexes

PM-18, PM-20, PM-23, PM-24 et PM-27.

Améliorations

Aucune.

Références

• Loi sur la protection des renseignements personnels
• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée

PM-20 Communication des principaux services de protection de la vie privée

Contrôle

Tenir à jour une page Web centrale des ressources sur le site Web principal public de l’organisation, qui sert de source centralisée d’information sur les services de protection de la vie privée de l’organisation et

1. permet de s’assurer que le public a accès à une liste des programmes et des services qui collectent et utilisent des renseignements personnels par l’entremise d’Info Source
2. veille à ce que les stratégies, les pratiques et les ressources organisationnelles en matière de protection de la vie privée soient publiées dans le Rapport annuel au Parlement sur l’administration de la LPRP
3. rend public des adresses courriel et des numéros de téléphone afin que le public puisse fournir une rétroaction et poser des questions aux bureaux de la protection des renseignements personnels concernant les pratiques en matière de respect de la vie privée

27. comprend les résumés des évaluations des facteurs relatifs à la vie privée qui ont été réalisées

54. fournit de l’orientation pour aider les personnes à soumettre une demande d’accès à leurs renseignements personnels, à soumettre une demande de correction officielle de leur dossier ou à déposer une plainte officielle si elles décident de le faire

Discussion

Aucune.

Discussion au sein du GC

Dans le cas des ministères et organismes fédéraux, la page Web centrale en ce qui a trait à la loi sur le respect de la vie privée se trouve au https://laws-lois.justice.gc.ca/. Les ministères et organismes fédéraux particuliers incluent généralement les coordonnées des CPRP, les résumés des EFVP, des publications comme le Rapport annuel au Parlement sur l’administration de la LPRP, le résumé des activités des programmes comme Info Source, des instructions pour les personnes qui veulent soumettre des demandes d’accès ou corriger leurs renseignements personnel, ainsi que les procédures à suivre pour déposer une plainte.

Contrôles et activités connexes

AC-03, PM-19, PT-05, PT-06, PT-07 et RA-08.

Améliorations

• (01) Communication des principaux services de protection de la vie privée : Politiques de protection de la vie privée pour les sites Web, les applications et les services numériques
  • Élaborer et diffuser les politiques de protection de la vie privée sur tous les sites Web externes, les applications mobiles et les autres services numériques si la vie privée des personnes qui visitent les sites Web est à risque S’assurer que les politiques
    1. sont rédigées dans un langage clair et organisées de manière à faciliter leur compréhension et leur consultation
    2. fournissent l’information dont le public a besoin pour prendre une décision éclairée sur la pertinence et la façon d’interagir avec l’organisation
    3. sont mises à jour chaque fois que l’organisation apporte des changements importants aux pratiques qu’elles visent à décrire et incluent l’estampille temporelle pour informer le public de la date des plus récents changements
  • Discussion : Les organisations élaborent et publient les politiques de protection de la vie privée sur tous les sites Web externes, les applications mobiles et les autres services numériques si la vie privée des personnes qui visitent les sites Web est à risque. Les organisations publient un lien vers la politique de protection de la vie privée pertinente sur tous les points d’entrée majeurs connus qui mènent au site Web, à une application ou à un service numérique. Les organisations peuvent être sujettes aux lois, aux directives, à la réglementation ou aux politiques applicables en vertu desquelles il convient de fournir des renseignements particuliers au public. Le personnel de l’organisation consulte la ou le haut fonctionnaire ou cadre supérieur et la conseillère ou le conseiller juridique en matière de protection de la vie privée concernant de telles exigences.
  • Contrôles et activités connexes : Aucun.

Références

• Loi sur la protection des renseignements personnels
• SCT, Politique sur la protection de la vie privée

PM-21 Maintien d’un registre des divulgations

Contrôle

1. Mettre en place les procédures relatives à la divulgation des renseignements personnels et au maintien d’un registre des divulgations, notamment
   1. la date et les détails de la divulgation
   2. le poste et l’adresse (ou autres coordonnées) de la personne ou de l’organisation à qui l’information a été divulguée
2. Conserver un registre des divulgations pour la période durant laquelle les renseignements personnels sont conservés ou conformément aux normes de gestion de l’information de l’organisation
3. Faire en sorte que le registre des divulgations soit accessible sur demande aux personnes à qui se rapportent les renseignements personnels dans la mesure où la divulgation respecte les exceptions citées dans la LPRP

27. Conclure un contrat, un accord d’échange de renseignements ou une entente d’échange de renseignements pour documenter les mesures de protection appropriées avant toute divulgation de renseignements personnels à un autre programme fédéral ou à une autre entité du secteur public ou privé

Discussion

L’objectif du registre des divulgations est de permettre aux personnes de savoir à qui leurs renseignements personnels ont été divulgués, de fournir une base pour aviser les autres destinataires des renseignements personnels corrigés ou annotés et d’offrir une piste de vérification pour les examens subséquents de la conformité de l’organisation aux conditions applicables aux divulgations.

La LPRPDE exige généralement que l’organisation obtienne le consentement des individus avant de divulguer leurs renseignements personnels. Il est permis ou interdit de divulguer les renseignements personnels selon l’objectif de la divulgation, conformément à ce qui est indiqué au paragraphe 5(3).

L’organisation peut utiliser n’importe quel système pour maintenir un registre des divulgations. Si elle peut bâtir un tel système, il conviendra d’utiliser un document dressant la liste de toutes les divulgations et d’y consigner toute l’information requise. Des mécanismes automatisés peuvent être utilisés par les organisations pour déterminer le moment où les renseignements personnels seront divulgués, y compris des services commerciaux qui fournissent des notifications et des alertes. On peut également avoir recours à des registres des divulgations pour aider les organisations à vérifier la conformité aux lois applicables sur la protection de la vie privée et aux politiques qui régissent la divulgation ou l’élimination de l’information, ainsi que les restrictions en matière d’élimination.

Discussion au sein du GC

Les ministères et organismes du GC sont tenus de conserver les registres des divulgations en vertu de la réglementation, des politiques et des directives applicables. Les institutions devraient consulter la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié concernant cette exigence et être au courant des exceptions prévues par les lois et des conseils du SCT en lien avec le provisionnement.

Contrôles et activités connexes

AC-03, AU-02 et PT-02.

Améliorations: Aucune.

Références

• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• Loi sur la protection des renseignements personnels
• Règlement sur la protection des renseignements personnels (DORS/83-508)
• Loi sur la protection des renseignements personnels et les documents électroniques
• SCT, Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels

PM-22 Gestion de la qualité des renseignements personnels

Contrôle

Élaborer et documenter les stratégies et les procédures panorganisationnelles pour

1. assurer l’exactitude, la pertinence, la rapidité et l’exhaustivité des renseignements personnels tout au long du cycle de vie de l’information
2. mettre en place un processus de correction des registres qui facilite la correction ou la suppression de renseignements personnels inexacts ou obsolètes
3. mettre en place un processus de correction des registres qui facilite la diffusion des avis de renseignements personnels corrigés lorsque de l’information erronée a été divulguée précédemment

27. s’assurer que les procédures de collecte respectent les exigences imposées par les lois applicables

54. documenter toute modification ou tout changement apporté aux renseignements, y compris la date et les sources du changement d’information

Discussion

La gestion de la qualité des renseignements personnels comprend les étapes prises par l’organisation pour confirmer l’exactitude et la pertinence des renseignements personnels tout au long du cycle de vie de l’information. Le cycle de vie des renseignements personnels comprend la création, la collecte, l’utilisation, la correction, la conservation, la divulgation et l’élimination des renseignements personnels.

Les stratégies et procédures organisationnelles relatives à la gestion des renseignements personnels sont importantes, puisque le maintien de renseignements personnels inexacts ou obsolètes par les organisations pourrait causer des problèmes aux personnes à qui appartiennent ces renseignements. L’organisation considère la qualité des renseignements personnels pris en compte dans les fonctions liées aux activités dans la mesure où l’inexactitude de tels renseignements pourrait donner lieu à des décisions défavorables ou à un refus des avantages et des services, ou lorsque la divulgation de tels renseignements pourrait mener à de la stigmatisation.

Dans certaines circonstances, des renseignements personnels erronés peuvent causer des problèmes aux individus qui surpassent les avantages que les organisations pourraient tirer du maintien de tels renseignements. Les organisations devraient envisager de mettre en place des stratégies et des procédures pour le retrait de ces renseignements personnels.

La ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié s’assure que des moyens et des mécanismes pratiques ont été mis en place et qu’ils sont accessibles aux personnes qui veulent corriger des renseignements personnels ou les supprimer, ainsi qu’à leurs représentantes et représentants autorisés. Les processus de correction ou de suppression des données sont clairement définis et accessibles au public.

Les organisations exercent un pouvoir discrétionnaire au moment de déterminer s’il convient de corriger ou de supprimer les données selon l’ampleur des demandes, les changements à apporter et l’incidence des changements. De plus, les processus doivent faire en sorte de fournir des réponses aux personnes appelées à décider s’il convient ou non de refuser les demandes de correction ou de suppression. Les réponses devraient comprendre les raisons des décisions, un moyen de consigner chacune des objections aux décisions, ainsi qu’un moyen de déposer une plainte auprès du CPVP si la personne veut pousser la question plus loin.

Les organisations informent les personnes, ou les représentantes ou représentants qu’elles ont désignés, une fois que les renseignements personnels sont corrigés ou supprimés pour offrir plus de transparence et confirmer que l’action a été effectuée. Étant donné la complexité des flux de données et du stockage, d’autres entités pourraient devoir être informées de la correction ou de la suppression. Les avis appuient une correction et une suppression uniformes des renseignements personnels dans tout l’écosystème des données.

Discussion au sein du GC

Les organismes ont l’obligation d’assurer l’exactitude des renseignements personnels utilisés dans le cadre d’un processus de prise de décisions. Cette obligation comporte des étapes à suivre pour confirmer l’exactitude des renseignements personnels tout au long de leur cycle de vie. Le paragraphe 6(2) de la LPRP stipule qu’une institution gouvernementale est tenue de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets.

La Directive sur les pratiques relatives à la protection de la vie privée fournit de plus amples détails, comme la collecte de renseignements personnels auprès de l’individu lui-même, sauf autorisation contraire de l’individu ou autres cas d’autorisation prévus au paragraphe 5(1) de la LPRP; la collecte de renseignements personnels depuis des sources fiables; et la validation et la vérification des renseignements avant leur utilisation dans le cadre d’un processus de prise de décision, le cas échéant. Au moment de valider l’exactitude des renseignements personnels, il convient de relever la description pertinente de la source ou de la technique utilisée aux fins des FRP, ce qui comprend la correspondance de données, lorsque cela est approprié.

Les organisations s’assurent que les individus ont la possibilité, dans la mesure du possible, de corriger les renseignements personnels inexacts avant que toute décision susceptible de les toucher ne puisse être prise. Il est important de mettre en place les stratégies et procédures organisationnelles nécessaires pour assurer l’exactitude des renseignements personnels afin de garantir l’intégrité de toute décision administrative prise au moyen de ces renseignements. L’inexactitude de tels renseignements pourrait donner lieu à des décisions défavorables ou à un refus des avantages et des services. Les organisations doivent trouver un équilibre en la nécessité de conserver les renseignements et le caractère invasif du processus pour les individus. Il convient de considérer les répercussions d’une compromission potentielle sur les renseignements. Les organisations devraient collaborer avec les responsables de la gestion de l’information pour déterminer le calendrier de conservation approprié des renseignements personnels.

Les organisations publient les normes de conservation dans leurs FRP pour assurer la transparence. Lorsque les renseignements sont supprimés conformément à la norme de conservation, les organisations peuvent choisir d’informer les individus de l’action ayant été effectuée.

Contrôles et activités connexes

PM-23 et SI-18.

Améliorations

Aucune.

Références

• Loi sur la protection des renseignements personnels
• Règlement sur la protection des renseignements personnels (DORS/83-508)
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Directive sur les demandes de renseignements personnels et de correction des renseignements personnels
• SCT, Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels

PM-23 Comité de gouvernance des données

Activité

Mettre en place un comité de gouvernance des données composé de [Affectation : rôles définis par l’organisation] avec [Affectation : responsabilités définies par l’organisation].

Discussion

Un comité de gouvernance des données peut aider à s’assurer que l’organisation dispose de stratégies cohérentes et est en mesure de trouver un équilibre entre l’utilité des données et les exigences de sécurité et de protection de la vie privée. Le comité de gouvernance des données met en place les stratégies, les procédures et les normes qui facilitent la gouvernance des données de manière à ce que ces données, dont les renseignements personnels, soient gérées et tenues à jour efficacement, conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.

Les responsabilités peuvent comprendre l’élaboration et la mise en œuvre des lignes directrices qui soutiennent les besoins pour des renseignements personnels en ce qui concerne la modélisation, la qualité, l’intégrité et la dépersonnalisation des données tout au long du cycle de vie de l’information. Le comité de gouvernance des données peut superviser l’examen et l’approbation des applications pour la diffusion de données à l’extérieur de l’organisation, l’archivage des applications et les données diffusées, ainsi que la surveillance postdiffusion afin d’assurer la validité des hypothèses émises lors de la diffusion des données.

Le comité de gouvernance des données peut également superviser l’utilisation des données, dont les renseignements personnels, dans les technologies comme l’analytique de pointe, l’automatisation et l’intelligence artificielle; procéder à des analyses statistiques pour relever et atténuer les biais systématiques dans les systèmes et les données des institutions; analyser les techniques de dépersonnalisation pour garantir une efficacité continue; et veiller à ce que les mécanismes de responsabilisation appropriés soient mis en place, mis à jour, compris et respectés.

Les membres comprennent généralement la ou le DPI, la ou le DPS et la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée, comme une ou un CPRP.

Contrôles et activités connexes

AT-02, AT-03, PM-19, PM-22, PM-24, PT-07, SI-04 et SI-19.

Améliorations

Aucune.

Références

Aucune.

PM-24 Comité de l’intégrité des données

Activité

Mettre en place un comité de l’intégrité des données pour

1. examiner les propositions visant à organiser un programme d’appariement statistique ou à y participer
2. procéder à un examen annuel de tous les programmes d’appariement statistique auxquels l’organisation a pris part

Discussion

Aucune.

Discussion au sein du GC

Un comité de l’intégrité des données est composé de hauts fonctionnaires désignées et désignés par la ou le chef d’un ministère ou d’un organisme du GC. Ses responsabilités consistent, entre autres, à passer en revue les propositions de l’organisme, à organiser un programme d’appariement statistique ou à y participer, et à procéder à l’examen annuel de tous les programmes d’appariement statistique auxquels l’organisme participe. En règle générale, un programme d’appariement statistique est une comparaison informatisée des dossiers sujets à la LPRP ou à la LPRPDE depuis deux systèmes automatisés de dossiers ou plus, ou d’un système automatisé de dossiers et de dossiers automatisés tenus à jour par un organisme non fédéral (ou l’agente ou agent de ce dernier).

Les ministères et organismes du GC peuvent mettre en place un comité sur les données et l’information des sous-ministres adjointes et adjoints (CDI SMA) afin de passer en revue les propositions sur toutes les utilisations de données effectuées par l’institution, ce qui comprend, sans s’y limiter, l’automatisation, l’analytique de pointe et l’intelligence artificielle. Le CDI SMA doit, à tout le moins, comprendre la dirigeante principale ou le dirigeant principal des données (DPD), la ou le DPI, la ou le DPS, ainsi que la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée désigné.

Contrôles et activités connexes

AC-04, PM-19, PM-23, PT-02 et PT-08.

Améliorations

Aucune.

Références

• SCT, Ligne directrice sur les services et le numérique
• Loi sur la protection des renseignements personnels
• Loi sur la protection des renseignements personnels et les documents électroniques

PM-25 Réduction des renseignements personnels utilisés aux fins de tests, de formation et de recherche

Contrôle

1. Élaborer, documenter et mettre en place des stratégies et des procédures qui abordent l’utilisation de renseignements personnels aux fins de test, de formation et de recherche
2. Limiter ou réduire la quantité de renseignements personnels utilisés aux fins de test, de formation et de recherche
3. Autoriser l’utilisation de renseignements personnels aux fins de tests, de formation et de recherche internes lorsque le résultat requis ne peut être obtenu sans le recours aux renseignements personnels
4. Passer en revue et mettre à jour les stratégies et les procédures [Affectation : fréquence définie par l’organisation]

27. Limiter la divulgation des jeux de données contenant des renseignements personnels aux entrepreneures et entrepreneurs externes, dans la mesure du possible

Discussion

L’utilisation de renseignements personnels aux fins de test, de formation et de recherche augmente le risque d’utilisation et de divulgation non autorisées de tels renseignements. L’organisation consulte la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée désigné et/ou la conseillère ou le conseiller juridique pour veiller à ce que l’utilisation de renseignements personnels aux fins de test, de formation et de recherche respecte la raison pour laquelle ceux-ci ont été recueillis initialement. Dans la mesure du possible, l’organisation utilise des données fictives (dépersonnalisées ou anonymisées) pour éviter d’exposer les renseignements personnels au moment d’effectuer des tests, d’offrir des formations et de mener des recherches. Si on ne peut éviter d’utiliser des renseignements personnels dans ces environnements, les environnements de test, de formation et de recherche deviennent alors sujets aux mêmes exigences en matière de contrôles que l’environnement initial.

Discussion au sein du GC

Les ministères et organismes du GC consultent la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée désigné et/ou la conseillère ou le conseiller juridique pour veiller à ce que l’utilisation de renseignements personnels aux fins de test, de formation et de recherche respecte la raison pour laquelle ceux-ci ont été recueillis initialement en vertu du paragraphe 8(2) de la LPRP. Les accords d’échange de renseignements pour des travaux de recherche ou de statistique sont stipulées à l’alinéa 8(2)(j) de la LPRP. En ce qui a trait à l’utilisation de renseignements personnels lors d’activités de formation, l’organisme peut faire valoir que la formation constitue un usage compatible des renseignements, conformément à l’alinéa 8(2)(a) de la LPRP.

Lorsque l’organisme recueille des renseignements personnels aux seules fins de recherche ou d’évaluation de programmes, il devrait s’assurer que les renseignements personnels recueillis sont mentionnés dans tous les énoncés de confidentialité, les EFVP et les FRP pertinents au programme.

Contrôles et activités connexes

PM-23, PT-03, SA-03, SA-08 et SI-12.

Améliorations

Aucune.

Références

• SCT, Directive sur les pratiques relatives à la protection de la vie privée – Annexe C : Norme sur l’évaluation des facteurs relatifs à la vie privée
• Loi sur la protection des renseignements personnels
• Loi sur la protection des renseignements personnels et les documents électroniques
• SCT, Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes

PM-26 Gestion des plaintes

Contrôle

Mettre en place un processus pour la réception et le traitement des plaintes, des préoccupations ou des questions des individus concernant les pratiques de l’organisation en matière de sécurité et de protection de la vie privée, ce qui comprend

1. des mécanismes simples à utiliser et facilement accessibles au public
2. toute l’information nécessaire pour déposer une plainte
3. les mécanismes de suivi nécessaires pour veiller à ce que toutes les plaintes reçues soient examinées et traitées dans les [Affectation : délais définis par l’organisation]
4. accuser réception des plaintes, des préoccupations ou des questions des individus dans les [Affectation : délais définis par l’organisation]
5. répondre avec discrétion aux plaintes, aux préoccupations ou aux questions des individus dans les [Affectation : délais définis par l’organisation]

Discussion

Les plaintes, les préoccupations et les questions des individus peuvent être une source précieuse d’information pour les organisations et permettre ultimement d’améliorer les modèles opérationnels, l’utilisation de la technologie, les pratiques en matière de collecte de données et les contrôles. Parmi les mécanismes qui peuvent être utilisés par le public, on retrouve le service d’aide téléphonique, les courriels et les formulaires en ligne. L’information nécessaire pour déposer les plaintes comprend les coordonnées de la ou du haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée désigné ou de toute ou tout autre responsable désigné pour recevoir les plaintes. Les plaintes concernant la protection de la vie privée peuvent également comprendre des renseignements personnels qui sont traités conformément aux stratégies et aux processus pertinents. Dans certaines circonstances, le CPVP peut lancer sa propre enquête ou déposer une plainte.

Discussion au sein du GC

Les ministères et organismes du GC doivent mettre en place un processus qui reconnaît les droits des personnes à déposer une plainte relativement à la collecte, à la conservation ou à l’élimination des renseignements personnels; à l’utilisation ou à la divulgation de renseignements personnels; et à leurs droits d’accès à leurs renseignements personnels. Les organisations devraient informer les individus de leur droit de déposer une plainte concernant le traitement de leurs renseignements personnels, ce qui comprend les personnes-ressources de l’organisation et la personne du CPVP responsable de la résolution des plaintes.

Lorsqu’elles sont informées d’une plainte officielle concernant la protection de la vie privée et/ou d’une enquête menée par le CPVP, les organisations devraient être prêtes à fournir une description claire des circonstances et des faits pertinents associés à la plainte, des copies de toute documentation pertinente à l’affaire visée par l’enquête, un énoncé clair de la position des organisations par rapport aux allégations et les détails des mesures qu’elles ont prises ou qu’elles entendent prendre à ce sujet.

Les ministères et organismes du GC devraient passer en revue les tendances pour relever les occasions d’améliorer de façon proactive les pratiques en matière de protection des renseignements personnels et de faire rapport du volume de plaintes et des tendances dans le Rapport annuel au Parlement de l’organisation en vertu de la LPRP.

Contrôles et activités connexes

IR-07, IR-09, PM-22 et SI-18.

Améliorations

Aucune.

Références

• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Directive sur les demandes de renseignements personnels et de correction des renseignements personnels
• Loi sur la protection des renseignements personnels
• Loi sur la protection des renseignements personnels et les documents électroniques

PM-27 Génération de rapports concernant la protection de la vie privée

Activité

1. Élaborer [Affectation : rapports concernant la protection de la vie privée désignés par l’organisation] et les diffuser
   1. aux [Affectation : organes d’examen désignés par l’organisation] pour démontrer la responsabilité quant aux mandats de réglementation, ainsi que les mandats conférés par la loi et relatifs aux politiques de protection de la vie privée
   2. aux [Affectation : responsables désignées ou désignés par l’organisation] et aux autres membres du personnel responsables de surveiller la conformité au programme de protection de la vie privée
2. Passer en revue et mettre à jour les rapports [Affectation : fréquence définie par l’organisation]

27. Les ministères et organismes fédéraux doivent faire rapport des détails liés à l’administration de la LPRP au Parlement et au SCT conformément à l’article 72 de la LPRP

Discussion

Aucune.

Discussion au sein du GC

Les organisations favorisent la responsabilisation et la transparence dans leurs activités en matière de respect de la vie privée en assurant une production de rapports internes et externes. La production de rapports peut également aider les organisations à déterminer les progrès réalisés dans l’atteinte des exigences de conformité à la protection de la vie privée et des contrôles de protection de la vie privée, à comparer le rendement dans l’ensemble du gouvernement fédéral, à découvrir les vulnérabilités, à relever les lacunes dans les stratégies et la mise en œuvre, et à déterminer les modèles de réussite. Il incombe au SCT d’établir les politiques, les directives et les lignes directrices opérationnelles liées à la LPRP et à sa réglementation.

Pour les ministères et organismes du GC, les rapports annuels concernant la protection de la vie privée sont préparés par la ou le responsable de chaque institution afin de rendre compte de l’administration de la LPRP. La ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée désigné consulte la conseillère ou le conseiller juridique, le cas échéant, pour s’assurer que les organisations répondent à toutes les exigences applicables en matière de génération de rapports concernant la protection de la vie privée.

La ou le commissaire à la protection de la vie privée est un agent du Parlement dont la tâche consiste à protéger et à promouvoir les droits à la vie privée et qui est responsable de soumettre chaque année un rapport des activités au Parlement. La ou le commissaire à la protection de la vie privée peut également produire un rapport à tout moment pour aborder des sujets importants dans la portée de ses pouvoirs, de ses tâches et de ses fonctions.

Contrôles et activités connexes

IR-09 et PM-19.

Améliorations

Aucune.

Références

• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• Loi sur la protection des renseignements personnels

PM-28 Cadrage des risques

Activité

1. Établir et documenter
   1. les hypothèses relatives à l’évaluation des risques, aux mesures d’atténuation des risques et à la surveillance des risques
   2. les contraintes relatives à l’évaluation des risques, aux mesures d’atténuation des risques et à la surveillance des risques
   3. les priorités et les compromis envisagés par l’organisation pour gérer le risque
   4. la tolérance au risque de l’organisation
2. Distribuer les résultats des activités de cadrage des risques à [Affectation : personnel désigné par l’organisation]
3. Passer en revue et mettre à jour les facteurs à considérer sur le plan du cadrage des risques [Affectation : fréquence définie par l’organisation]

Discussion

Le cadrage des risques est plus efficace lorsqu’on l’exécute au niveau de l’organisation et en consultation avec des parties prenantes de toute l’organisation, y compris les propriétaires de la mission, des activités et des systèmes. Les hypothèses, les contraintes, la tolérance au risque, les priorités et les compromis relevés dans le cadre du processus de cadrage des risques éclairent la stratégie de gestion des risques, qui éclaire ensuite l’évaluation des risques, les mesures d’atténuation des risques et les activités de surveillance des risques. Les résultats du cadrage des risques sont communiqués au personnel de l’organisation, y compris les propriétaires de la mission et des activités, les propriétaires, gardiennes et gardiens d’information, les propriétaires de système, les cadres supérieures et supérieurs désignés responsables de l’autorisation, les agentes ou agents supérieurs de la sécurité de l’information de l’organisme, la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée, et la ou le cadre supérieur responsable de la gestion des risques.

Contrôles et activités connexes

CA-07, PM-09, RA-03 et RA-07.

Améliorations

Aucune.

Références

• SCT, Cadre stratégique de gestion du risque
• SCT, Guide de gestion intégrée du risque
• CST et GRC, Méthodologie harmonisée d’évaluation des menaces et des risques (EMR-1)

PM-29 Rôles de leadership pour le programme de gestion des risques

Contrôle

1. Nommer une ou un cadre supérieur responsable de la gestion des risques pour veiller à ce que les processus organisationnels de gestion de la sécurité et de la protection de la vie privée de l’information soient conformes aux processus de planification stratégique, opérationnelle et budgétaire.
2. Mettre en place une fonction de gestion des risques pour considérer et analyser le risque d’un point de vue panorganisationnel et s’assurer que la gestion des risques est uniforme à travers l’organisation.

Discussion

La ou le cadre supérieur responsable de la gestion des risques dirige la fonction de gestion des risques lors des activités panorganisationnelles de gestion des risques.

Contrôles et activités connexes

PM-02 et PM-19.

Améliorations

Aucune.

Références

• SCT, Cadre stratégique de gestion du risque
• SCT, Guide de gestion intégrée du risque

PM-30 Stratégie de gestion des risques liés à la chaîne d’approvisionnement

Activité

1. Élaborer une stratégie panorganisationnelle pour gérer les risques liés à la chaîne d’approvisionnement associés au développement, à l’acquisition, à la maintenance et à la disposition des systèmes, des composants de systèmes et des services qui s’y rapportent
2. Mettre en place la stratégie de gestion des risques liés à la chaîne d’approvisionnement uniformément dans l’ensemble de l’organisation
3. Passer en revue et mettre à jour la stratégie de gestion des risques liés à la chaîne d’approvisionnement [Affectation : fréquence définie par l’organisation] ou au besoin pour tenir compte des changements organisationnels

Discussion

La stratégie panorganisationnelle de gestion des risques liés à la chaîne d’approvisionnement comprend une expression claire de la propension et de la tolérance aux risques liés à la chaîne d’approvisionnement de l’organisation, des stratégies ou contrôles d’atténuation des risques acceptables liés à la chaîne d’approvisionnement, un processus visant à évaluer et à surveiller continuellement les risques liés à la chaîne d’approvisionnement, des approches à adopter pour la mise en œuvre et la communication de la stratégie de gestion des risques liés à la chaîne d’approvisionnement, et les rôles et responsabilités connexes.

La gestion des risques liés à la chaîne d’approvisionnement comprend les facteurs à considérer concernant les risques liés à la sécurité et à la protection de la vie privée associés au développement, à l’acquisition, à la maintenance et à la disposition des systèmes, des composants de systèmes et des services qui s’y rapportent. La stratégie de gestion des risques liés à la chaîne d’approvisionnement peut être intégrée à la stratégie globale de gestion des risques de l’organisation et peut guider et orienter les stratégies liées à la chaîne d’approvisionnement et les plans de gestion des risques liés à la chaîne d’approvisionnement au niveau des systèmes.

De plus, le recours à une fonction de gestion des risques peut faciliter une application uniforme de la stratégie de gestion des risques liés à la chaîne d’approvisionnement dans toute l’organisation. La stratégie de gestion des risques liés à la chaîne d’approvisionnement est mise en place au niveau de l’organisation, de la mission et des activités, tandis que le plan de gestion des risques liés à la chaîne d’approvisionnement (voir le contrôle SR-02) est mis en œuvre au niveau du système.

Contrôles et activités connexes

CM-10, PM-09, SR-01, SR-02, SR-03, SR-04, SR-05, SR-06, SR-07, SR-08, SR-09 et SR-11.

Améliorations

• (01) Stratégie de gestion des risques liés à la chaîne d’approvisionnement : Fournisseurs d’articles critiques ou essentiels à la mission
  • Identifier, prioriser et évaluer les fournisseurs de technologies, de produits et de services critiques ou essentiels à la mission.
  • Discussion : Le succès de la mission et des activités des organisations repose sur l’identification et la priorisation des fournisseurs de technologies, de produits et de services critiques ou essentiels à la mission. L’évaluation des fournisseurs est réalisée à partir des examens des fournisseurs (voir le contrôle SR-06) et des processus de gestion des risques liés à la chaîne d’approvisionnement (voir le contrôle RA-03(01)). Une analyse des risques liés à la chaîne d’approvisionnement peut aider une organisation à identifier les systèmes ou les composants pour lesquels il est nécessaire de prendre de plus amples mesures d’atténuation de tels risques.
  • Contrôles et activités connexes : RA-03 et SR-06.

Références

• La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)
• Sécurité de la chaîne d’approvisionnement pour les petites et moyennes organisations (ITSAP.00.070)
• Sécurité publique Canada, Guide sur la gestion des risques pour les secteurs des infrastructures essentielles
• ISO 27036-1, Cybersecurity – Supplier relationships—Part 1: Overview and concepts (en anglais seulement)
• ISO 27036-2, Cybersecurity – Supplier relationships—Part 2: Requirements (en anglais seulement)
• ISO 20243-1, Information technology – Open Trusted Technology ProviderTM Standard (O-TTPS)—Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products (en anglais seulement)

PM-31 Stratégie de surveillance continue

Activité

Élaborer une stratégie de surveillance continue panorganisationnelle et mettre en place des programmes de surveillance continue qui tiennent compte de

1. l’établissement des mesures panorganisationnelles suivantes qu’il convient de surveiller [Affectation : mesures définies par l’organisation]
2. la mise en place de [Affectation : fréquences de surveillance définies par l’organisation] et de [Affectation : fréquences d’évaluation définies par l’organisation] pour l’efficacité des contrôles
3. la surveillance en permanence des mesures définies par l’organisation, conformément à la stratégie de surveillance continue définie par l’organisation
4. la corrélation et l’analyse de l’information générée par les évaluations de contrôle et la surveillance
5. les mesures d’intervention concernant les résultats qui découlent de l’analyse de l’information
6. le signalement de l’état de la sécurité et de la protection de la vie privée du système à [Affectation : personnel ou rôles définis par l’organisation] [Affectation : fréquence définie par l’organisation]

Discussion

La surveillance continue au niveau de l’organisation facilite une sensibilisation permanente de la posture de sécurité et de protection de la vie privée dans l’ensemble de l’organisation afin d’appuyer les décisions relatives à la gestion des risques organisationnels. Les termes « continu » et « permanent » signifient que les organisations évaluent et surveillent leurs contrôles et leurs risques à une fréquence suffisante pour appuyer les décisions en fonction des risques.

Différents types de contrôles peuvent nécessiter différentes fréquences de surveillance. Les résultats associés à une surveillance continue orientent et éclairent les mesures d’intervention liées aux risques que mettent en œuvre les organisations. Grâce aux programmes de surveillance continue, les organisations peuvent maintenir en permanence les autorisations des systèmes de même que les contrôles communs dans un environnement d’exploitation très dynamique où les menaces, les vulnérabilités, les technologies et les besoins liés à la mission et aux activités sont en constante évolution.

L’accès constant à l’information sur la sécurité et la protection de la vie privée dans les rapports ou les tableaux de bord permet aux responsables des organisations de prendre des décisions éclairées sur la gestion des risques de façon efficace et opportune, comme des décisions sur les autorisations permanentes. Pour faciliter la gestion des risques liés à la sécurité et à la protection de la vie privée, l’organisation considère d’aligner les mesures de la surveillance définies par l’organisation sur sa tolérance au risque, comme il est indiqué dans la stratégie sur la gestion des risques.

Les exigences en matière de surveillance du système, y compris la nécessité d’avoir recours à la surveillance, peuvent se trouver dans d’autres exigences, comme AC-02G, AC-02(07), AC-02(12)a, AC-02(07)b, AC-02(07)c, AC-17(01), AT-04A, AU-13, AU-13(01), AU-13(02), CA-07, CM-03F, CM-06D, CM-11C, IR-05, MA-02B, MA-03A, MA-04A, PE-03D, PE-06, PE-14B, PE-16, PE-20, PM-06, PM-23, PS-07E, SA-09C, SC-05(03)b, SC-07A, SC-07(24)b, SC-18B, SC-43B et SI-04.

Contrôles et activités connexes

AC-02, AC-06, AC-17, AT-04, AU-06, AU-13, CA-02, CA-05, CA-06, CA-07, CM-03, CM-04, CM-06, CM-11, IA-05, IR-05, MA-02, MA-03, MA-04, PE-03, PE-06, PE-14, PE-16, PE-20, PL-02, PM-04, PM-06, PM-09, PM-10, PM-12, PM-14, PM-23, PM-28, PS-07, PT-07, RA-03, RA-05, RA-07, SA-09, SA-11, SC-05, SC-07, SC-18, SC-38, SC-43, SI-03, SI-04, SI-12, SR-02 et SR-04.

Améliorations

Aucune.

Références

• SCT, Directive sur la gestion de la sécurité
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe E : Procédures obligatoires relatives aux mesures de sécurité de la gestion de l’information

PM-32 Établissement des objectifs

Contrôle

Analyser les [Affectation : systèmes ou composants de systèmes désignés par l’organisation] qui prennent en charge les fonctions ou les services essentiels à la mission pour s’assurer que les ressources d’information sont utilisées aux fins prévues.

Discussion

Les systèmes sont conçus pour soutenir une fonction liée à la mission ou aux activités. Au fil du temps, les systèmes et les composants des systèmes peuvent être utilisés pour soutenir des fonctions et des services qui ne relèvent pas de la portée des fonctions liées à la mission ou aux activités qui ont été prévues. Cela pourrait donner lieu à l’exposition des ressources d’information dans des environnements non prévus et à une utilisation susceptible d’accroître considérablement l’exposition aux menaces. Les systèmes sont ainsi plus vulnérables à la compromission, ce qui peut ultimement avoir une incidence sur les services et les fonctions pour lesquels ils sont prévus. C’est particulièrement le cas pour les fonctions et les services essentiels à la mission. L’analyse des ressources permet aux organisations de cerner les expositions potentielles.

Contrôles et activités connexes

CA-07, PL-02, RA-03 et RA-09.

Améliorations

Aucune.

Références

Aucune.