CADRE GLOBAL DE GESTION DES ACTIFS INFORMATIONNELS APPARTENANT AUX ORGANISMES DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX

CADRE GLOBAL DE GESTION DES ACTIFS INFORMATIONNELS APPARTENANT AUX ORGANISMES DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX

CADRE GLOBAL DE GESTION DES ACTIFS INFORMATIONNELS APPARTENANT AUX ORGANISMES DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX VOLET SUR LA SÉCURITÉ Septembre 2002 V2007-03-12

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ TABLE DES MATIÈRES Introduction . 4 I Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux . 7 1. OBJECTIF . 7 2. DOMAINE D’APPLICATION . 7 3. ÉNONCÉS GÉNÉRAUX . 8 4. PRINCIPES . 8 5. ENTRÉE EN VIGUEUR, IMPLANTATION, ÉVALUATION ET MODIFICATION .

10 II Rôles et responsabilités des acteurs en matière de sécurité des actifs informationnels . 11 1. ATTRIBUTION DES RÔLES ET RESPONSABILITÉS TOUCHANT L’ENSEMBLE DU RSSS . 11 1.1 Le ministre de la Santé et des Services sociaux . 11 1.2 Le sous-ministre de la Santé et des Services sociaux . 12 1.3 Le Comité national de protection des renseignements personnels et de sécurité . 12 1.4 Le coordonnateur de la sécurité des actifs informationnels appartenant aux organismes du RSSS . 13 1.5 Les présidents-directeurs généraux des régies régionales de la santé et des services sociaux. 14 1.6 Le coordonnateur régional de la sécurité des actifs informationnels .

14 1.7 La Régie de l’assurance maladie du Québec . 14 2. ATTRIBUTION DES RÔLES ET RESPONSABILITÉS TOUCHANT LES ORGANISMES ET LES UTILISATEURS.. 15 2.1 Le conseil d’administration de l’organisme . 15 2.2 Le dirigeant de l’organisme . 15 2.3 Le responsable de la sécurité des actifs informationnels . 16 2.4 Les détenteurs 2.5 Le responsable de l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels . 17 2.6 Les utilisateurs . 17 3. MODIFICATION . 18 IIIMesures en matière de sécurité des actifs informationnels . 19 1. NATURE DES MESURES .

19 2. PORTÉE DES MESURES . 19 3. PLANS D’ACTION . 20 3.1 Classification des actifs informationnels . 20 3.2 Évaluation des risques et des menaces . 20 4. MESURES DE SÉCURITÉ . 21 4.1 Sécurité physique . 21 4.2 Sécurité logique . 23 4.3 Sécurité de l’exploitation des actifs informationnels . 25 4.4 Sécurité des applications . 27 4.5 Sécurité de l’impression . 27 4.6 Sécurité des télécommunications (réseaux locaux et étendus . 28 5. REGISTRES DE SÉCURITÉ . 28 6. CONTRATS ET ENTENTES . 29 7. ÉVALUATION DE LA SÉCURITÉ . 29 8. PROGRAMME DE SENSIBILISATION ET DE FORMATION . 29 9. MODIFICATION . 30 2

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ IVRépertoire des procédures optionnelles en matière de sécurité des actifs informationnels . 31 1. CLASSIFICATION DES ACTIFS INFORMATIONNELS . 31 2. MESURES DE SÉCURITÉ . 32 2.1 Sécurité physique . 33 2.2 Sécurité logique . 36 2.3 Sécurité de l’exploitation des actifs informationnels . 39 2.4 Sécurité des applications . 43 2.5 Sécurité des télécommunications . 44 3. REGISTRES DE SÉCURITÉ . 47 3.1 Registre des autorités . 48 3.2 Registre des incidents . 48 3.3 Registre des actes de gestion de la sécurité . 48 4. CONTRATS ET ENTENTES .

49 5. ÉVALUATION DE LA SÉCURITÉ . 50 5.1 Vérification . 50 5.2 Audit . 50 5.3 Suites à donner aux évaluations . 51 6. PROGRAMME DE SENSIBILISATION ET DE FORMATION . 52 ANNEXE 1 INVENTAIRE DES OUTILS PROPOSÉS . 53 ANNEXE 2 GRILLE DES MESURES EN MATIÈRE DE SÉCURITÉ DES ACTIFS INFORMATIONNELS . 60 BIBLIOGRAPHIE . 65 LEXIQUE . 68 3

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Introduction Le ministère de la Santé et des Services sociaux, les régies régionales et les établissements utilisent, sous forme électronique notamment, les informations nécessaires à la réalisation de leur mission. Ils détiennent, en outre, des renseignements personnels ainsi que des informations qui ont une valeur légale, administrative, économique ou patrimoniale. L’information numérique constitue une ressource essentielle dont la sécurité doit être assurée en tout temps compte tenu principalement du droit à la vie privée lequel représente une valeur fondamentale de notre société.

Un cadre de gestion portant sur la sécurité des actifs informationnels s’imposait devant l’apport grandissant des technologies de l’information comme moyen utilisé pour soutenir la prestation des soins et des services. Il fallait d’abord prendre en considération l’ensemble des lois, des codes d’éthique, des codes déontologiques et des pratiques actuellement appliqués en matière de transmission de l’information sur les usagers. Ensuite, les divers types d’informations nécessaires au fonctionnement du réseau se rejoignant de plus en plus, le cadre de gestion devait intégrer tant l’information de nature clinique, se rapportant principalement à l’usager, que celles de nature administrative et clinico-administrative.

Enfin, il est nécessaire de souligner que ce cadre de gestion vise aussi bien les informations de nature électronique (ou numérique) contenues dans les actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux (RSSS) que les impressions sur support papier générées par les technologies de l’information.

Par ailleurs, le présent cadre global suppose que le consentement des usagers quant à l’utilisation de leurs informations personnelles a été accordé conformément aux règles et aux lois en vigueur ; les mesures nécessaires pour assurer la protection des renseignements personnels n’y sont donc pas abordées. Soulignons que des travaux en cours dans le réseau sociosanitaire serviront à définir les modalités à suivre en cette matière. De plus, comme le dossier d’un usager n’est plus lié à un seul secteur d’intervention, ni à un seul intervenant, ni même à un seul établissement, la gestion traditionnelle du consentement doit être révisée.

Ainsi, ces travaux évalueront la portée du consentement des usagers lorsque les soins sont prodigués par une équipe qui s’échange de façon électronique de l’information de santé au sujet d’un patient. Avec la mise en service des inforoutes gouvernementales, dont le réseau de télécommunications sociosanitaire (RTSS), arrivent de nouvelles possibilités d’échange d’informations pour mieux servir et suivre les usagers, notamment en ayant recours aux téléservices et aux autres moyens électroniques. Ces possibilités se concrétiseront pleinement si la confiance en la sécurité des échanges électroniques se développe et si la protection des renseignements personnels ainsi que le droit au respect de la vie privée sont assurés.

4

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Dans ce nouveau contexte organisationnel et technologique, les organismes (le ministère de la Santé et des Services sociaux, les régies régionales ainsi que les établissements) ne peuvent assurer la sécurité de leurs actifs informationnels de façon isolée. C’est pourquoi les mesures de sécurité doivent : ƒ s’arrimer à des solutions conçues à une échelle plus large, en collaboration avec les responsables de la sécurité des actifs informationels ; ƒ s’inscrire dans une vision unifiée et cohérente de la gestion de l’information ; ƒ s’orienter résolument vers le futur pour assurer la rentabilité et la durabilité des investissements encourus dans le domaine de la gestion sécurisée de l’information.

De plus, un niveau élevé de sécurité est nécessaire afin de protéger les renseignements personnels ainsi que les autres informations électroniques utilisées par les organismes du RSSS et les utilisateurs des actifs informationnels appartenant à ces organismes. En même temps, il est essentiel d’assurer le respect des règles établies par la loi, notamment la Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2), la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1), le Code civil (art. 35 à 41), la Loi sur les archives (L.R.Q., c.

A-21.1) et les lois imposant des obligations particulières. Précisons ici que la mise en place de mesures de sécurité visant à protéger les dossiers informatisés des usagers ne libère pas les organismes ni les utilisateurs du réseau sociosanitaire d’assurer la protection de l’information, conformément aux lois mentionnées précédemment et aux pratiques reconnues en matière de sécurité. Compte tenu de l’envergure et de la portée des solutions à mettre en place, le ministère de la Santé et des Services sociaux, en collaboration avec les acteurs concernés par la question, propose le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité.

Ce cadre global de gestion vise à soutenir la mise en place des dispositions législatives qui s’appliquent au secteur sociosanitaire et des standards reconnus en matière de sécurité de l’information, compte tenu particulièrement de l’évolution des besoins et de l’environnement technologique du RSSS.

Les principales composantes en sont : ƒ la Politique nationale sur la sécurité des actifs informationnels, qui définit un ensemble de principes à suivre pour protéger adéquatement les actifs informationnels appartenant aux organismes du RSSS en s’appuyant sur le cadre législatif, les règlements et les directives qui doivent être appliqués par tous les organismes et les utilisateurs des actifs informationnels ; ƒ la description des rôles et des responsabilités des différents acteurs en matière de sécurité des actifs informationnels dans le RSSS ; ƒ les mesures en matière de sécurité des actifs informationnels, qui impliquent l’instauration dans le RSSS de procédures et règles obligatoires en cette matière ; 5

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ le répertoire des procédures optionnelles en matière de sécurité des actifs informationnels, qui propose des façons de faire aux organismes du RSSS quant à la mise en place et au suivi de la sécurité des actifs informationnels appartenant aux organismes du RSSS. Un inventaire des outils se rapportant aux différents aspects de la sécurité et une grille des mesures à respecter en matière de sécurité des actifs informationnels sont placés en annexe. Viennent ensuite la bibliographie, comprenant les principales références légales et documentaires dont il fallait tenir compte pour définir le présent cadre de gestion, ainsi qu’un lexique où est précisé le sens de certains termes.

Le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité est évolutif puisqu’il doit tenir compte des nouveaux besoins ressentis, des nouvelles pratiques employées et des technologies récentes exploitées par les organismes et les utilisateurs du RSSS. Toute modification à ce cadre devra toutefois être approuvée par les autorités compétentes. La sécurité des actifs informationnels comporte plusieurs enjeux – qu’ils soient d’ordre organisationnel, professionnel, économique, technologique, politique, éthique ou légal – et les mesures visant à assurer cette sécurité intéressent plus que jamais aussi bien les hautes instances gouvernementales que les gestionnaires, les spécialistes et le personnel du RSSS ainsi que toute personne ayant accès aux renseignements personnels et aux autres informations numériques.

La gestion de la sécurité des actifs informationnels doit donc devenir la préoccupation de tous les acteurs concernés par cette question, en fonction particulièrement des valeurs et des principes dont s’est dotée la société contemporaine. D’autre part, c’est en tenant compte de ces enjeux que les organismes et les utilisateurs des actifs informationnels doivent appliquer le présent cadre de gestion qui regroupe, en un tout cohérent, un ensemble d’informations nécessaires sur le sujet. 6

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ I Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux Préambule Les façons d’offrir les soins de santé et les services sociaux à la population québécoise ont grandement évolué ces dernières années. Le virage ambulatoire et la modernisation des modes de prestation de ces soins et de ces services ont entraîné des changements majeurs dans les caractéristiques du réseau sociosanitaire. Les périodes de traitement et leur suivi demandent la participation de multiples professionnels, de disciplines et de niveaux de spécialisation variés, travaillant dans des lieux différents.

Les échanges d’information qui en découlent doivent être soutenus par la mise en place de technologies de l’information ou d’actifs informationnels. Le besoin se faisant de plus en plus pressant d’obtenir une information fiable, il faut, à partir d’un consentement éclairé, y avoir accès instantanément, en tout temps, et pouvoir la communiquer en toute sécurité, en conformité avec les valeurs et les principes associés à la protection de la vie privée.

Pour se donner les conditions optimales permettant de relever ces défis, et considérant l’apport grandissant des technologies de l’information, le ministère de la Santé et des Services sociaux ainsi que ses partenaires mettent en place un cadre global de gestion sur la sécurité des actifs informationnels appartenant aux organismes du RSSS dont la présente Politique nationale constitue l’élément de base. 1. Objectif La Politique nationale sur la sécurité des actifs informationnels définit un ensemble d’énoncés et de principes afin d’assurer la sécurisation adéquate des informations électroniques et de leurs dérivés sur support papier (impressions), informations de nature clinique, clinico-administrative et administrative portant principalement sur les usagers et les activités du système de la santé et des services sociaux du Québec.

2. Domaine d’application Les organismes assujettis à l’application de la présente politique sont les suivants : le ministère de la Santé et des Services sociaux, les régies régionales et les établissements. Toute personne morale ou physique, travaillant ou non dans 7

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ces organismes, autorisée à accéder aux actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux (RSSS) est également assujettie à la Politique nationale par l’entremise des formulaires d’engagement que les autorités de ces organismes signent.

3. Énoncés généraux 3.1 Le plus haut dirigeant de l’organisme demeure l’ultime responsable de la sécurité des actifs informationnels utilisés au sein de l’organisme qu’il dirige.

3.2 Les organismes visés par la politique sont responsables devant le ministre de la Santé et des Services sociaux du Québec. 3.3 Le dirigeant d’un organisme prend les moyens nécessaires à la mise en œuvre et à la gestion de la sécurité, notamment en dotant l’organisme d’une politique sur la sécurité qui soit en concordance avec la Politique nationale sur la sécurité des actifs informationnels et qui complète celle-ci afin de prendre en compte les rôles, responsabilités et mesures énoncés dans le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité.

3.4 Les mesures du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité sont obligatoires et minimales. 4. Principes 4.1 Toute personne au sein de l’organisme ayant accès aux actifs informationnels assume des responsabilités particulières en matière de sécurité et doit répondre de ses actions auprès du dirigeant de l’organisme. 4.2 La gestion de la sécurité des actifs informationnels repose sur une compréhension commune et sur une approche globale de la sécurité. Cette approche tient compte des aspects humains, organisationnels, juridiques et techniques, elle demande la mise en place d’un ensemble de mesures coordonnées.

4.3 Afin de déterminer les mesures de sécurité qu’il serait approprié de mettre en place, les actifs informationnels appartenant aux organismes du RSSS et leurs détenteurs font l’objet d’une identification ; ces actifs font aussi l’objet d’une classification selon leur valeur et leur sensibilité. Enfin, en fonction de cette classification, l’inventaire des risques et des menaces est établi pour les actifs répertoriés.

4.4 Des mesures de protection, de prévention, de détection et de correction ainsi que des mesures disciplinaires doivent être mises en place afin d’assurer la sécurité des actifs informationnels appartenant aux organismes du RSSS.

Ces mesures visent à assurer : 8

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ a) la disponibilité, laquelle est la propriété d’une information d’être accessible et utilisable en temps voulu et de la manière adéquate par une personne autorisée ; b) l’intégrité, laquelle est la propriété d’une information ou d’une technologie de l’information de n’être ni modifiée, ni altérée, ni détruite sans autorisation ; c) la confidentialité, laquelle est la propriété d’une information d’être accessible aux seules personnes autorisées ; d) l’ authentification, laquelle est une fonction permettant d’établir la validité de l’identité d’une personne ou d’un dispositif ; e) l’ irrévocabilité, laquelle est la propriété d’un acte d’être définitif et clairement attribué à la personne qui l’a accompli ou au dispositif avec lequel cet acte a été accompli.

4.5 L’organisation de la sécurité s’articule autour de trois axes majeurs : a) la mise en place du volet sur la sécurité du cadre global de gestion des actifs informationnels au sein du RSSS de façon à protéger les actifs informationnels durant tout le cycle de vie de l’information ; b) la définition des rôles, des responsabilités et des procédures afin d’assurer la coordination, la mise en place, le suivi et l’évaluation du cadre global de gestion sur la sécurité ; c) la conception et l’application par les organismes d’une politique sur la sécurité en concordance avec le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité.

4.6 Pendant la conception ou le développement de tout nouveau projet d’informatisation, les obligations réglementaires et normatives en matière de sécurité seront nécessairement prises en compte. 4.7 Afin d’outiller les représentants des organismes du RSSS et les utilisateurs autorisés à accéder aux actifs informationnels appartenant à ces organismes, il est nécessaire de concevoir un programme continu de sensibilisation et de formation sur la sécurité. Ce programme contient et explique, entre autres, la politique sur la sécurité adoptée par l’organisme ainsi que la documentation élaborée notamment en fonction du volet sur la sécurité du cadre global de gestion des actifs informationnels.

4.8 Les organismes du RSSS précisent leurs exigences en matière de sécurité des actifs informationnels dans les ententes et contrats signés avec d’autres organismes du RSSS ou d’autres organismes externes. 4.9 Tout manquement à la sécurité fait l’objet d’une vérification afin de rendre compte de la situation au responsable et d’appliquer les mesures correctrices.

4.10 Toute personne qui enfreint les dispositions de la politique adoptée par l’organisme pour lequel elle travaille s’expose à des mesures disciplinaires ou administratives, en fonction de la gravité et des 9

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ conséquences de son geste. Ces mesures peuvent inclure la suspension des privilèges relatifs à l’accès aux actifs informationnels, la réprimande, la suspension ou le congédiement, et ce, conformément aux dispositions des conventions collectives. 4.11 Pour prendre en compte les changements organisationnels et technologiques ainsi que l’évolution des menaces et des risques, les mesures de sécurité retenues font l’objet de réévaluations périodiques.

Des évaluations relatives à d’autres aspects de la sécurité sont également effectuées ; elle comportent des vérifications et des audits qui font partie intégrante de la gestion de la sécurité de l’organisme. 5. Entrée en vigueur, implantation, évaluation et modification La présente politique entre en vigueur à la date de son approbation par le sous- ministre de la Santé et des Services sociaux. À compter de cette date, les organismes visés disposent d’une période de trois ans pour procéder à son adaptation en fonction de leurs caractéristiques et à son implantation. La politique est évaluée annuellement afin de tenir compte des nouveaux besoins, des nouvelles pratiques et technologies, des nouvelles menaces et risques encourus.

Toute modification à la présente politique doit être approuvée par le sous-ministre de la Santé et des Services sociaux. Entrée en vigueur le : 10

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ II Rôles et responsabilités des acteurs en matière de sécurité des actifs informationnels Les rôles et responsabilités concernant l’approbation, la mise en place, la coordination, le développement, le suivi et l’évaluation du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité sont répartis en deux catégories selon qu’ils touchent soit l’ensemble du réseau de la santé et des services sociaux – catégorie regroupant les rôles et responsabilités stratégiques communs à toutes les composantes de ce réseau –, soit les organismes du RSSS et les utilisateurs des actifs informationnels appartenant à ces organismes – catégorie qui comprend les rôles et responsabilités se rapportant à la mise en œuvre ou à l’application des mesures de sécurité qu’ils sont susceptibles d’adapter.

Chacun des acteurs assume des responsabilités en matière de sécurité qui lui sont propres et doit répondre de ses actes.

1. Attribution des rôles et responsabilités touchant l’ensemble du RSSS 1.1 Le ministre de la Santé et des Services sociaux Le ministre, en tant que responsable ultime du réseau de la santé et des services sociaux : a) définit les valeurs et les orientations en matière de sécurité des actifs informationnels pour l’ensemble du RSSS ; b) assure tant le respect que l'application des lois et politiques relatives à la gestion de la sécurité au sein du RSSS ; c) informe l’Assemblée nationale de la situation en ce qui concerne la sécurité des actifs informationnels appartenant aux organismes du RSSS.

11

Vous pouvez aussi lire