CADRE GLOBAL DE GESTION DES ACTIFS INFORMATIONNELS APPARTENANT AUX ORGANISMES DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX - VOLET SUR LA SÉCURITÉ
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
CADRE GLOBAL DE GESTION DES ACTIFS
INFORMATIONNELS APPARTENANT AUX
ORGANISMES DU RÉSEAU DE LA SANTÉ
ET DES SERVICES SOCIAUX
VOLET SUR LA SÉCURITÉ
Septembre 2002
V2007-03-12CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
TABLE DES MATIÈRES
Introduction ............................................................................................................................................ 4
I Politique nationale sur la sécurité des actifs informationnels appartenant aux
organismes du réseau de la santé et des services sociaux ................................................ 7
1. OBJECTIF .............................................................................................................................................. 7
2. DOMAINE D’APPLICATION .................................................................................................................... 7
3. ÉNONCÉS GÉNÉRAUX ............................................................................................................................ 8
4. PRINCIPES ............................................................................................................................................. 8
5. ENTRÉE EN VIGUEUR, IMPLANTATION, ÉVALUATION ET MODIFICATION ............................................. 10
II Rôles et responsabilités des acteurs en matière de sécurité des actifs
informationnels ................................................................................................................................ 11
1. ATTRIBUTION DES RÔLES ET RESPONSABILITÉS TOUCHANT L’ENSEMBLE DU RSSS............................ 11
1.1 Le ministre de la Santé et des Services sociaux......................................................................... 11
1.2 Le sous-ministre de la Santé et des Services sociaux ................................................................ 12
1.3 Le Comité national de protection des renseignements personnels et de sécurité...................... 12
1.4 Le coordonnateur de la sécurité des actifs informationnels appartenant aux organismes du
RSSS.......................................................................................................................................... 13
1.5 Les présidents-directeurs généraux des régies régionales de la santé et des services sociaux. 14
1.6 Le coordonnateur régional de la sécurité des actifs informationnels ....................................... 14
1.7 La Régie de l’assurance maladie du Québec ............................................................................ 14
2. ATTRIBUTION DES RÔLES ET RESPONSABILITÉS TOUCHANT LES ORGANISMES ET LES UTILISATEURS .. 15
2.1 Le conseil d’administration de l’organisme .............................................................................. 15
2.2 Le dirigeant de l’organisme ...................................................................................................... 15
2.3 Le responsable de la sécurité des actifs informationnels .......................................................... 16
2.4 Les détenteurs
2.5 Le responsable de l’application de la Loi sur l’accès aux documents des organismes publics et
sur la protection des renseignements personnels...................................................................... 17
2.6 Les utilisateurs .......................................................................................................................... 17
3. MODIFICATION ................................................................................................................................... 18
III Mesures en matière de sécurité des actifs informationnels.......................................... 19
1. NATURE DES MESURES ....................................................................................................................... 19
2. PORTÉE DES MESURES ........................................................................................................................ 19
3. PLANS D’ACTION ................................................................................................................................ 20
3.1 Classification des actifs informationnels................................................................................... 20
3.2 Évaluation des risques et des menaces...................................................................................... 20
4. MESURES DE SÉCURITÉ ....................................................................................................................... 21
4.1 Sécurité physique....................................................................................................................... 21
4.2 Sécurité logique......................................................................................................................... 23
4.3 Sécurité de l’exploitation des actifs informationnels................................................................. 25
4.4 Sécurité des applications........................................................................................................... 27
4.5 Sécurité de l’impression ............................................................................................................ 27
4.6 Sécurité des télécommunications (réseaux locaux et étendus) .................................................. 28
5. REGISTRES DE SÉCURITÉ ..................................................................................................................... 28
6. CONTRATS ET ENTENTES .................................................................................................................... 29
7. ÉVALUATION DE LA SÉCURITÉ ............................................................................................................ 29
8. PROGRAMME DE SENSIBILISATION ET DE FORMATION ........................................................................ 29
9. MODIFICATION ................................................................................................................................... 30
2CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
IV Répertoire des procédures optionnelles en matière de sécurité des actifs
informationnels ................................................................................................................................ 31
1. CLASSIFICATION DES ACTIFS INFORMATIONNELS ............................................................................... 31
2. MESURES DE SÉCURITÉ ....................................................................................................................... 32
2.1 Sécurité physique....................................................................................................................... 33
2.2 Sécurité logique......................................................................................................................... 36
2.3 Sécurité de l’exploitation des actifs informationnels................................................................. 39
2.4 Sécurité des applications........................................................................................................... 43
2.5 Sécurité des télécommunications............................................................................................... 44
3. REGISTRES DE SÉCURITÉ ..................................................................................................................... 47
3.1 Registre des autorités ................................................................................................................ 48
3.2 Registre des incidents................................................................................................................ 48
3.3 Registre des actes de gestion de la sécurité............................................................................... 48
4. CONTRATS ET ENTENTES .................................................................................................................... 49
5. ÉVALUATION DE LA SÉCURITÉ ............................................................................................................ 50
5.1 Vérification................................................................................................................................ 50
5.2 Audit .......................................................................................................................................... 50
5.3 Suites à donner aux évaluations ................................................................................................ 51
6. PROGRAMME DE SENSIBILISATION ET DE FORMATION ........................................................................ 52
ANNEXE 1
INVENTAIRE DES OUTILS PROPOSÉS .......................................................................................................... 53
ANNEXE 2
GRILLE DES MESURES EN MATIÈRE DE SÉCURITÉ DES ACTIFS INFORMATIONNELS..................................... 60
BIBLIOGRAPHIE ................................................................................................................................. 65
LEXIQUE................................................................................................................................................ 68
3CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
Introduction
Le ministère de la Santé et des Services sociaux, les régies régionales et les
établissements utilisent, sous forme électronique notamment, les informations nécessaires
à la réalisation de leur mission. Ils détiennent, en outre, des renseignements personnels
ainsi que des informations qui ont une valeur légale, administrative, économique ou
patrimoniale. L’information numérique constitue une ressource essentielle dont la
sécurité doit être assurée en tout temps compte tenu principalement du droit à la vie
privée lequel représente une valeur fondamentale de notre société.
Un cadre de gestion portant sur la sécurité des actifs informationnels s’imposait devant
l’apport grandissant des technologies de l’information comme moyen utilisé pour
soutenir la prestation des soins et des services. Il fallait d’abord prendre en considération
l’ensemble des lois, des codes d’éthique, des codes déontologiques et des pratiques
actuellement appliqués en matière de transmission de l’information sur les usagers.
Ensuite, les divers types d’informations nécessaires au fonctionnement du réseau se
rejoignant de plus en plus, le cadre de gestion devait intégrer tant l’information de nature
clinique, se rapportant principalement à l’usager, que celles de nature administrative et
clinico-administrative. Enfin, il est nécessaire de souligner que ce cadre de gestion vise
aussi bien les informations de nature électronique (ou numérique) contenues dans les
actifs informationnels appartenant aux organismes du réseau de la santé et des services
sociaux (RSSS) que les impressions sur support papier générées par les technologies de
l’information.
Par ailleurs, le présent cadre global suppose que le consentement des usagers quant à
l’utilisation de leurs informations personnelles a été accordé conformément aux règles et
aux lois en vigueur ; les mesures nécessaires pour assurer la protection des
renseignements personnels n’y sont donc pas abordées. Soulignons que des travaux en
cours dans le réseau sociosanitaire serviront à définir les modalités à suivre en cette
matière. De plus, comme le dossier d’un usager n’est plus lié à un seul secteur
d’intervention, ni à un seul intervenant, ni même à un seul établissement, la gestion
traditionnelle du consentement doit être révisée. Ainsi, ces travaux évalueront la portée
du consentement des usagers lorsque les soins sont prodigués par une équipe qui
s’échange de façon électronique de l’information de santé au sujet d’un patient.
Avec la mise en service des inforoutes gouvernementales, dont le réseau de
télécommunications sociosanitaire (RTSS), arrivent de nouvelles possibilités d’échange
d’informations pour mieux servir et suivre les usagers, notamment en ayant recours aux
téléservices et aux autres moyens électroniques.
Ces possibilités se concrétiseront pleinement si la confiance en la sécurité des échanges
électroniques se développe et si la protection des renseignements personnels ainsi que le
droit au respect de la vie privée sont assurés.
4CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
Dans ce nouveau contexte organisationnel et technologique, les organismes (le ministère
de la Santé et des Services sociaux, les régies régionales ainsi que les établissements) ne
peuvent assurer la sécurité de leurs actifs informationnels de façon isolée. C’est pourquoi
les mesures de sécurité doivent :
s’arrimer à des solutions conçues à une échelle plus large, en collaboration avec les
responsables de la sécurité des actifs informationels ;
s’inscrire dans une vision unifiée et cohérente de la gestion de l’information ;
s’orienter résolument vers le futur pour assurer la rentabilité et la durabilité des
investissements encourus dans le domaine de la gestion sécurisée de l’information.
De plus, un niveau élevé de sécurité est nécessaire afin de protéger les renseignements
personnels ainsi que les autres informations électroniques utilisées par les organismes du
RSSS et les utilisateurs des actifs informationnels appartenant à ces organismes.
En même temps, il est essentiel d’assurer le respect des règles établies par la loi,
notamment la Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2), la
Loi sur l’accès aux documents des organismes publics et sur la protection des
renseignements personnels (L.R.Q., c. A-2.1), le Code civil (art. 35 à 41), la Loi sur les
archives (L.R.Q., c. A-21.1) et les lois imposant des obligations particulières. Précisons
ici que la mise en place de mesures de sécurité visant à protéger les dossiers informatisés
des usagers ne libère pas les organismes ni les utilisateurs du réseau sociosanitaire
d’assurer la protection de l’information, conformément aux lois mentionnées
précédemment et aux pratiques reconnues en matière de sécurité.
Compte tenu de l’envergure et de la portée des solutions à mettre en place, le ministère de
la Santé et des Services sociaux, en collaboration avec les acteurs concernés par la
question, propose le Cadre global de gestion des actifs informationnels appartenant aux
organismes du réseau de la santé et des services sociaux – Volet sur la sécurité. Ce cadre
global de gestion vise à soutenir la mise en place des dispositions législatives qui
s’appliquent au secteur sociosanitaire et des standards reconnus en matière de sécurité de
l’information, compte tenu particulièrement de l’évolution des besoins et de
l’environnement technologique du RSSS.
Les principales composantes en sont :
la Politique nationale sur la sécurité des actifs informationnels, qui définit un
ensemble de principes à suivre pour protéger adéquatement les actifs
informationnels appartenant aux organismes du RSSS en s’appuyant sur le cadre
législatif, les règlements et les directives qui doivent être appliqués par tous les
organismes et les utilisateurs des actifs informationnels ;
la description des rôles et des responsabilités des différents acteurs en matière de
sécurité des actifs informationnels dans le RSSS ;
les mesures en matière de sécurité des actifs informationnels, qui impliquent
l’instauration dans le RSSS de procédures et règles obligatoires en cette matière ;
5CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
le répertoire des procédures optionnelles en matière de sécurité des actifs
informationnels, qui propose des façons de faire aux organismes du RSSS quant à
la mise en place et au suivi de la sécurité des actifs informationnels appartenant aux
organismes du RSSS.
Un inventaire des outils se rapportant aux différents aspects de la sécurité et une grille
des mesures à respecter en matière de sécurité des actifs informationnels sont placés en
annexe. Viennent ensuite la bibliographie, comprenant les principales références légales
et documentaires dont il fallait tenir compte pour définir le présent cadre de gestion, ainsi
qu’un lexique où est précisé le sens de certains termes.
Le Cadre global de gestion des actifs informationnels appartenant aux organismes du
réseau de la santé et des services sociaux – Volet sur la sécurité est évolutif puisqu’il doit
tenir compte des nouveaux besoins ressentis, des nouvelles pratiques employées et des
technologies récentes exploitées par les organismes et les utilisateurs du RSSS. Toute
modification à ce cadre devra toutefois être approuvée par les autorités compétentes.
La sécurité des actifs informationnels comporte plusieurs enjeux – qu’ils soient d’ordre
organisationnel, professionnel, économique, technologique, politique, éthique ou légal –
et les mesures visant à assurer cette sécurité intéressent plus que jamais aussi bien les
hautes instances gouvernementales que les gestionnaires, les spécialistes et le personnel
du RSSS ainsi que toute personne ayant accès aux renseignements personnels et aux
autres informations numériques. La gestion de la sécurité des actifs informationnels doit
donc devenir la préoccupation de tous les acteurs concernés par cette question, en
fonction particulièrement des valeurs et des principes dont s’est dotée la société
contemporaine. D’autre part, c’est en tenant compte de ces enjeux que les organismes et
les utilisateurs des actifs informationnels doivent appliquer le présent cadre de gestion qui
regroupe, en un tout cohérent, un ensemble d’informations nécessaires sur le sujet.
6CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
I Politique nationale sur la sécurité des actifs
informationnels appartenant aux organismes du
réseau de la santé et des services sociaux
Préambule
Les façons d’offrir les soins de santé et les services sociaux à la population
québécoise ont grandement évolué ces dernières années. Le virage ambulatoire et
la modernisation des modes de prestation de ces soins et de ces services ont
entraîné des changements majeurs dans les caractéristiques du réseau
sociosanitaire. Les périodes de traitement et leur suivi demandent la participation
de multiples professionnels, de disciplines et de niveaux de spécialisation variés,
travaillant dans des lieux différents. Les échanges d’information qui en découlent
doivent être soutenus par la mise en place de technologies de l’information ou
d’actifs informationnels. Le besoin se faisant de plus en plus pressant d’obtenir
une information fiable, il faut, à partir d’un consentement éclairé, y avoir accès
instantanément, en tout temps, et pouvoir la communiquer en toute sécurité, en
conformité avec les valeurs et les principes associés à la protection de la vie
privée.
Pour se donner les conditions optimales permettant de relever ces défis, et
considérant l’apport grandissant des technologies de l’information, le ministère de
la Santé et des Services sociaux ainsi que ses partenaires mettent en place un
cadre global de gestion sur la sécurité des actifs informationnels appartenant aux
organismes du RSSS dont la présente Politique nationale constitue l’élément de
base.
1. Objectif
La Politique nationale sur la sécurité des actifs informationnels définit un
ensemble d’énoncés et de principes afin d’assurer la sécurisation adéquate des
informations électroniques et de leurs dérivés sur support papier (impressions),
informations de nature clinique, clinico-administrative et administrative portant
principalement sur les usagers et les activités du système de la santé et des
services sociaux du Québec.
2. Domaine d’application
Les organismes assujettis à l’application de la présente politique sont les
suivants : le ministère de la Santé et des Services sociaux, les régies régionales et
les établissements. Toute personne morale ou physique, travaillant ou non dans
7CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
ces organismes, autorisée à accéder aux actifs informationnels appartenant aux
organismes du réseau de la santé et des services sociaux (RSSS) est également
assujettie à la Politique nationale par l’entremise des formulaires d’engagement
que les autorités de ces organismes signent.
3. Énoncés généraux
3.1 Le plus haut dirigeant de l’organisme demeure l’ultime responsable de la
sécurité des actifs informationnels utilisés au sein de l’organisme qu’il
dirige.
3.2 Les organismes visés par la politique sont responsables devant le ministre
de la Santé et des Services sociaux du Québec.
3.3 Le dirigeant d’un organisme prend les moyens nécessaires à la mise en
œuvre et à la gestion de la sécurité, notamment en dotant l’organisme
d’une politique sur la sécurité qui soit en concordance avec la Politique
nationale sur la sécurité des actifs informationnels et qui complète celle-ci
afin de prendre en compte les rôles, responsabilités et mesures énoncés
dans le Cadre global de gestion des actifs informationnels appartenant
aux organismes du réseau de la santé et des services sociaux – Volet sur la
sécurité.
3.4 Les mesures du Cadre global de gestion des actifs informationnels
appartenant aux organismes du réseau de la santé et des services sociaux
– Volet sur la sécurité sont obligatoires et minimales.
4. Principes
4.1 Toute personne au sein de l’organisme ayant accès aux actifs
informationnels assume des responsabilités particulières en matière de
sécurité et doit répondre de ses actions auprès du dirigeant de l’organisme.
4.2 La gestion de la sécurité des actifs informationnels repose sur une
compréhension commune et sur une approche globale de la sécurité.
Cette approche tient compte des aspects humains, organisationnels,
juridiques et techniques, elle demande la mise en place d’un ensemble de
mesures coordonnées.
4.3 Afin de déterminer les mesures de sécurité qu’il serait approprié de mettre
en place, les actifs informationnels appartenant aux organismes du RSSS
et leurs détenteurs font l’objet d’une identification ; ces actifs font aussi
l’objet d’une classification selon leur valeur et leur sensibilité. Enfin, en
fonction de cette classification, l’inventaire des risques et des menaces est
établi pour les actifs répertoriés.
4.4 Des mesures de protection, de prévention, de détection et de correction
ainsi que des mesures disciplinaires doivent être mises en place afin
d’assurer la sécurité des actifs informationnels appartenant aux organismes
du RSSS. Ces mesures visent à assurer :
8CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
a) la disponibilité, laquelle est la propriété d’une information d’être
accessible et utilisable en temps voulu et de la manière adéquate par
une personne autorisée ;
b) l’intégrité, laquelle est la propriété d’une information ou d’une
technologie de l’information de n’être ni modifiée, ni altérée, ni
détruite sans autorisation ;
c) la confidentialité, laquelle est la propriété d’une information d’être
accessible aux seules personnes autorisées ;
d) l’ authentification, laquelle est une fonction permettant d’établir la
validité de l’identité d’une personne ou d’un dispositif ;
e) l’ irrévocabilité, laquelle est la propriété d’un acte d’être définitif et
clairement attribué à la personne qui l’a accompli ou au dispositif avec
lequel cet acte a été accompli.
4.5 L’organisation de la sécurité s’articule autour de trois axes majeurs :
a) la mise en place du volet sur la sécurité du cadre global de gestion des
actifs informationnels au sein du RSSS de façon à protéger les actifs
informationnels durant tout le cycle de vie de l’information ;
b) la définition des rôles, des responsabilités et des procédures afin
d’assurer la coordination, la mise en place, le suivi et l’évaluation du
cadre global de gestion sur la sécurité ;
c) la conception et l’application par les organismes d’une politique sur la
sécurité en concordance avec le Cadre global de gestion des actifs
informationnels appartenant aux organismes du réseau de la santé et
des services sociaux – Volet sur la sécurité.
4.6 Pendant la conception ou le développement de tout nouveau projet
d’informatisation, les obligations réglementaires et normatives en matière
de sécurité seront nécessairement prises en compte.
4.7 Afin d’outiller les représentants des organismes du RSSS et les utilisateurs
autorisés à accéder aux actifs informationnels appartenant à ces
organismes, il est nécessaire de concevoir un programme continu de
sensibilisation et de formation sur la sécurité. Ce programme contient et
explique, entre autres, la politique sur la sécurité adoptée par l’organisme
ainsi que la documentation élaborée notamment en fonction du volet sur la
sécurité du cadre global de gestion des actifs informationnels.
4.8 Les organismes du RSSS précisent leurs exigences en matière de sécurité
des actifs informationnels dans les ententes et contrats signés avec
d’autres organismes du RSSS ou d’autres organismes externes.
4.9 Tout manquement à la sécurité fait l’objet d’une vérification afin de rendre
compte de la situation au responsable et d’appliquer les mesures
correctrices.
4.10 Toute personne qui enfreint les dispositions de la politique adoptée par
l’organisme pour lequel elle travaille s’expose à des mesures
disciplinaires ou administratives, en fonction de la gravité et des
9CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
conséquences de son geste. Ces mesures peuvent inclure la suspension des
privilèges relatifs à l’accès aux actifs informationnels, la réprimande, la
suspension ou le congédiement, et ce, conformément aux dispositions des
conventions collectives.
4.11 Pour prendre en compte les changements organisationnels et
technologiques ainsi que l’évolution des menaces et des risques, les
mesures de sécurité retenues font l’objet de réévaluations périodiques.
Des évaluations relatives à d’autres aspects de la sécurité sont également
effectuées ; elle comportent des vérifications et des audits qui font partie
intégrante de la gestion de la sécurité de l’organisme.
5. Entrée en vigueur, implantation, évaluation et modification
La présente politique entre en vigueur à la date de son approbation par le sous-
ministre de la Santé et des Services sociaux. À compter de cette date, les
organismes visés disposent d’une période de trois ans pour procéder à son
adaptation en fonction de leurs caractéristiques et à son implantation.
La politique est évaluée annuellement afin de tenir compte des nouveaux besoins,
des nouvelles pratiques et technologies, des nouvelles menaces et risques
encourus.
Toute modification à la présente politique doit être approuvée par le sous-ministre
de la Santé et des Services sociaux.
Entrée en vigueur le :
10CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
II Rôles et responsabilités des acteurs en matière de
sécurité des actifs informationnels
Les rôles et responsabilités concernant l’approbation, la mise en place, la
coordination, le développement, le suivi et l’évaluation du Cadre global de
gestion des actifs informationnels appartenant aux organismes du réseau de la
santé et des services sociaux – Volet sur la sécurité sont répartis en deux
catégories selon qu’ils touchent soit l’ensemble du réseau de la santé et des
services sociaux – catégorie regroupant les rôles et responsabilités stratégiques
communs à toutes les composantes de ce réseau –, soit les organismes du RSSS et
les utilisateurs des actifs informationnels appartenant à ces organismes – catégorie
qui comprend les rôles et responsabilités se rapportant à la mise en œuvre ou à
l’application des mesures de sécurité qu’ils sont susceptibles d’adapter.
Chacun des acteurs assume des responsabilités en matière de sécurité qui lui sont
propres et doit répondre de ses actes.
1. Attribution des rôles et responsabilités touchant l’ensemble du
RSSS
1.1 Le ministre de la Santé et des Services sociaux
Le ministre, en tant que responsable ultime du réseau de la santé et des services
sociaux :
a) définit les valeurs et les orientations en matière de sécurité des actifs
informationnels pour l’ensemble du RSSS ;
b) assure tant le respect que l'application des lois et politiques relatives à la
gestion de la sécurité au sein du RSSS ;
c) informe l’Assemblée nationale de la situation en ce qui concerne la sécurité
des actifs informationnels appartenant aux organismes du RSSS.
11CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
1.2 Le sous-ministre de la Santé et des Services sociaux
Le sous-ministre est responsable de la gestion de la sécurité des actifs
informationnels appartenant aux organismes du RSSS. À ce titre, il :
a) prend les dispositions nécessaires pour que le réseau de la santé et des services
sociaux soit doté d'une politique nationale accompagnée des mécanismes
appropriés de gestion, d'évaluation et de suivi ;
b) s'assure que les orientations prises en matière de sécurité sont cohérentes avec
les politiques, les directives et les autres dispositions décidées par le
gouvernement du Québec à ce sujet ;
c) rend compte au ministre de la situation en ce qui concerne la sécurité des
actifs informationnels appartenant aux organismes du RSSS.
1.3 Le Comité national de protection des renseignements personnels et
de sécurité
Relevant du sous-ministre de la Santé et des Services sociaux, le Comité national
de protection des renseignements personnels et de sécurité (CNPRPS) :
a) assume le suivi des travaux en matière de sécurité à l'intérieur du RSSS, c’est-
à-dire qu’il donne des avis ; qu’il s’assure de la cohérence des travaux de
sécurité ; qu’il mandate des groupes de travail pour l’élaboration de
propositions de sécurité et qu’il suit l’avancement de leurs travaux ;
b) propose pour adoption au sous-ministre tous les éléments stratégiques relatifs
au Cadre global de gestion des actifs informationnels appartenant aux
organismes du réseau de la santé et des services sociaux – Volet sur la
sécurité et à ses modifications subséquentes ;
c) informe le sous-ministre de toute situation particulière en matière de sécurité
des actifs informationnels appartenant aux organismes du RSSS ;
d) réunit les représentants des divers secteurs d’activités du réseau sociosaniaire.
La composition du comité est la suivante :
¾ Personne responsable du dossier relatif à la protection des renseignements
personnels, représentant le Ministère (coprésidente) ;
¾ Personne responsable du dossier relatif à la sécurité, représentant le Ministère
(coprésidente) ;
¾ Personne représentant l’Association des centres jeunesse du Québec ;
¾ Personne représentant l’Association des hôpitaux du Québec ;
¾ Personne représentant l’Association des CLSC et des CHSLD du Québec ;
12CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
¾ Personne représentant l’Association des gestionnaires informatiques du réseau
sociosanitaire ;
¾ Personne représentant l’Ordre professionnel des travailleurs sociaux du
Québec ;
¾ Personne représentant l’Ordre des infirmières et infirmiers du Québec ;
¾ Personne représentant l’Association québécoise des archivistes médicales ;
¾ Personne représentant le Collège des médecins du Québec ;
¾ Personne représentant les régies régionales ;
¾ Personne représentant l’Association sur l’accès et la protection de
l’information (ressource du réseau de la santé et des services sociaux) ;
¾ Personne représentant le Sous-secrétariat à l’inforoute et aux ressources
informationnelles du Secrétariat du Conseil du trésor (responsabilité
gouvernementale en sécurité des technologies de l’information) ;
¾ Personne représentant le ministère des Relations avec les citoyens et de
l’Immigration (responsabilité gouvernementale en en ce qui concerne la
protection des renseignements personnels) ;
¾ Personne représentant la Régie de l’assurance maladie du Québec ;
¾ Personne représentant la Sogique.
1.4 Le coordonnateur de la sécurité des actifs informationnels
appartenant aux organismes du RSSS
Le coordonnateur de la sécurité des actifs informationnels appartenant aux
organismes du RSSS, nommé par le sous-ministre :
a) assume la coordination des activités relatives à la mise en œuvre des mesures
de sécurité dans l’ensemble du RSSS, en collaboration avec les
coordonnateurs régionaux de la sécurité des actifs informationnels ;
b) s’occupe, en étroite collaboration avec le CNPRPS, de la planification et de la
mise en œuvre, à travers le RSSS, de tous les volets sur la sécurité du cadre
global de gestion et informe périodiquement le Comité du degré d’avancement
des travaux ainsi que du bilan de la situation en matière de sécurité en plus
d’assumer le secrétariat du CNPRPS ;
c) gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle
nationale et procède à des évaluations de la situation en matière de sécurité ;
d) produit, annuellement et au besoin, des bilans nationaux de la situation en
matière de sécurité des actifs informationnels appartenant aux organismes du
RSSS, bilans qu’il soumet au sous-ministre, au CNPRPS et aux
coordonnateurs régionaux de la sécurité.
13CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
1.5 Les présidents-directeurs généraux des régies régionales de la
santé et des services sociaux
Les présidents-directeurs généraux des régies régionales :
a) s’occupent de l’application du volet sur la sécurité du cadre global de gestion
dans leur région respective ;
b) adaptent au contexte régional, s’il y a lieu, le volet sur la sécurité du cadre
global de gestion en veillant à ce que les adaptations ne soient pas moins
restrictives que les dispositions fixées dans la Politique nationale sur la
sécurité des actifs informationnels.
c) nomme le coordonnateur régional de la sécurité des actifs informationnels
1.6 Le coordonnateur régional de la sécurité des actifs informationnels
Le coordonnateur régional de la sécurité des actifs informationnels :
a) coordonne, à l’échelle régionale, la mise en application du Cadre global de
gestion des actifs informationnels appartenant aux organismes du réseau de
la santé et des services sociaux – Volet sur la sécurité de façon à réduire les
risques à un niveau jugé acceptable par le RSSS ;
b) planifie, en collaboration avec les établissements, la mise en œuvre et le suivi
de toutes les mesures de sécurité dans la région ainsi que la production de tous
les rapports à l’intention du conseil d’administration de la régie régionale et du
coordonnateur de la sécurité des actifs informationnels appartenant aux
organismes du RSSS ;
c) met en place les mécanismes d’évaluation et de contrôle pour s’assurer de
l’application efficace des orientations et des mesures de sécurité retenues ;
d) gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle
régionale et procède à des évaluations de la situation en matière de sécurité.
1.7 La Régie de l’assurance maladie du Québec
En vertu de l’article 2 de la Loi sur la Régie de l’assurance maladie du Québec, la
Régie est dépositaire des données en matière de santé et de services sociaux que
lui confie, par entente soumise à l’application de l’article 70 de la Loi sur l’accès
aux documents des organismes publics et sur la protection des renseignements
personnels, entre autres, le ministre de la Santé et des Services sociaux.
14CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
Dans le cadre de la réalisation de ses mandats, la Régie applique les mesures de
sécurité contenues dans chacune des ententes de dépôt de données signées avec le
ministre de la Santé et des Services sociaux, ou tout autre signataire prévu au
3e alinéa de l’article 2 de la Loi sur la Régie de l’assurance maladie du Québec, et
approuvées par la Commission d’accès à l’information.
De plus, la Régie assure, d’une part, la mise en place de services permettant un
accès sélectif et fiable aux données sociosanitaires qu’elle détient et, d’autre part,
la transmission sécuritaire des données nécessaires aux usagers, aux
professionnels et aux organismes du réseau de santé et des services sociaux.
Ces activités sont réalisées en conformité avec le présent cadre global de gestion
sur la sécurité.
2. Attribution des rôles et responsabilités touchant les organismes et
les utilisateurs
2.1 Le conseil d’administration de l’organisme
Le conseil d’administration de l’organisme :
a) adopte la politique et le plan d’action établis par l’organisme en matière de
sécurité des actifs informationnels, lesquels sont conformes à la Politique
nationale et au cadre global de gestion portant sur cette question, et suit leur
application dans l’établissement ;
b) reçoit et entérine le bilan annuel de l’organisme concernant la sécurité de ces
actifs avant de le soumettre au coordonnateur de la sécurité du palier
supérieur ;
c) nomme le responsable de la sécurité des actifs informationnels.
2.2 Le dirigeant de l’organisme (incluant le sous-ministre pour le MSSS)
Le dirigeant de l’organisme est le garant de la mise en œuvre de la politique sur la
sécurité des actifs informationnels adoptée par l’organisme, laquelle politique doit
être conforme au volet sur la sécurité du cadre global de gestion. À ce titre, il :
a) prend toutes les mesures nécessaires à l’élaboration et à l’application de cette
politique ;
b) nomme le responsable de la sécurité des actifs informationnels ;
15CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
c) informe et mobilise les gestionnaires et le personnel de l’organisme au sujet de
l’application du cadre global de gestion sur la sécurité ;
2.3 Le responsable de la sécurité des actifs informationnels
Le responsable de la sécurité des actifs informationnels veille à l’élaboration et à
l’application de la politique sur la sécurité adoptée par l’organisme. Dans cette
perspective, il collabore avec tous les gestionnaires et, en particulier, avec le
gestionnaire qui est en charge des technologies de l’information. Plus
précisément, le responsable de la sécurité de l’organisme :
a) élabore la politique sur la sécurité des actifs informationnels qui sera adoptée
par l’organisme et soumet cette politique au directeur général et au conseil
d’administration de l’organisme pour approbation ;
b) met en place et préside le comité de protection des renseignements personnels
et de sécurité de l’organisme, qui pourrait être formé du responsable de la
sécurité, de gestionnaires, d’un vérificateur interne, de détenteurs, de
représentants des ressources humaines, financières et matérielles ainsi que
d’un juriste ;
c) coordonne, avec les secteurs visés et en concordance avec les orientations
régionales, la mise en œuvre de la politique sur la sécurité adoptée par
l’organisme et en suit l’évolution ;
d) identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs
informationnels dans leur secteur respectif ;
e) s’informe des besoins en matière de sécurité auprès des détenteurs et des
gestionnaires, leur propose des solutions et coordonne la mise en place de ces
solutions ;
f) gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale
et procède à des évaluations de la situation en matière de sécurité ;
g) suit la mise en œuvre de toute recommandation découlant d’une vérification
ou d’un audit ;
h) produit annuellement, et au besoin, les bilans et les rapports relatifs à la
sécurité des actifs informationnels appartenant à l’établissement en s’assurant
que l’information sensible à diffusion restreinte est traitée de manière
confidentielle et, après approbation du directeur général et du conseil
d’administration, les soumet au coordonnateur régional de la sécurité des
actifs informationnels.
16CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
N.B. : Selon la taille et les caractéristiques organisationnelles des organismes, il est
possible que les rôles et responsabilités décrits ci-après soient assumés par plusieurs
personnes.
2.4 Les détenteurs
Les détenteurs :
a) assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur
soient confiés par le sous-ministre, le dirigeant de l’organisme ou un tiers
mandaté ;
b) s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment
l’évaluation des risques, la détermination du niveau de protection visé,
l’élaboration des contrôles non informatiques et, finalement, la prise en charge
des risques résiduels ;
c) s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées,
mises en place et appliquées systématiquement en plus de s’assurer que leur
nom et les actifs dont ils assument la responsabilité sont consignés dans le
registre des autorités ;
d) déterminent les règles d’accès aux actifs dont ils assument la responsabilité
avec l’appui du responsable de la sécurité des actifs informationnels de
l’organisme.
2.5 Le responsable de l’application de la Loi sur l’accès aux documents
des organismes publics et sur la protection des renseignements
personnels
Le responsable de l’application de la Loi sur l’accès aux documents des
organismes publics et sur la protection des renseignements personnels (L.R.Q., c.
A-2.1) veille au respect de la Loi et, pour ce faire, collabore avec le responsable
de la sécurité des actifs informationnels à toutes les étapes du cycle de vie de
l’information.
2.6 Les utilisateurs
Les utilisateurs :
a) appliquent et respectent les lois et règlements qui régissent leur domaine
d’activités ainsi que toutes les politiques, mesures et procédures en matière de
sécurité des actifs informationnels auxquelles ils sont assujettis ;
17CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
b) avisent leur supérieur immédiat de toute situation portée à leur connaissance et
qui est susceptible de compromettre la sécurité des actifs informationnels
appartenant à l’organisme.
3. Modification
Les rôles et responsabilités des différents acteurs en matière de sécurité doivent
être évalués périodiquement afin de tenir compte des nouveaux besoins, des
changements organisationnels, des pratiques récentes et des nouvelles
technologies utilisées par les organismes du RSSS.
Toute modification aux présents rôles et responsabilités doit être approuvée par le
sous-ministre de la Santé et des Services sociaux.
18CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ
III Mesures en matière de sécurité des actifs
informationnels
N.B. : Les responsables de la sécurité des actifs informationnels sont invités à
évaluer les conséquences que l’application des mesures proposées aura dans
leur organisation respective et à communiquer les résultats de leur évaluation
tant à la régie régionale dont leur organisme dépend qu’au coordonnateur de la
sécurité des actifs informationnels appartenant aux organismes du RSSS.
L’annexe 2 présente une grille synthèse des mesures proposées et constitue un
outil susceptible d’aider les responsables à faire leur évaluation. Cette grille
précise quelles sont les mesures exigées par la Commission d’accès à
l’information.
1. Nature des mesures
Les mesures en matière de sécurité des actifs informationnels doivent être mises
en place par les organismes du RSSS et les utilisateurs des actifs informationnels
appartenant à ces organismes afin d’assurer la sécurité desdits actifs. Ces mesures
obligatoires constituent un minimum auquel les organismes et les utilisateurs sont
astreints. Elles sont indiquées par une puce en forme de pointe de flèche.
Dans un souci de cohérence, deux critères ont été retenus pour la détermination
des mesures :
elles doivent être applicables à tous les types d’organismes et d’utilisateurs ;
elles seront libres de contraintes budgétaires et de délais d’implantation.
Les mêmes critères vaudront pour la mise à jour des mesures existantes et le choix
de nouvelles mesures.
Ces mesures obligatoires et minimales sont complétées par un ensemble de
pratiques optionnelles et de suggestions qui sont présentées à la section IV,
intitulée «Répertoire des procédures optionnelles en matière de sécurité des actifs
informationnels».
2. Portée des mesures
Les mesures en matière de la sécurité des actifs informationnels dans le RSSS
s’appliquent au ministère de la Santé et des Services sociaux, aux régies
régionales et aux établissements. Quant aux personnes qui ne sont pas du réseau
sociosanitaire et dont la pratique professionnelle exige qu’elles aient accès aux
19Vous pouvez aussi lire
