Exigences de sécurité relatives à la technologie de l’information
Les exigences de sécurité relatives à la technologie de l’information (TI) ont été conçues dans le but de garantir la confidentialité, l’intégrité et la disponibilité des renseignements protégés et classifiés. Les organisations qui produisent, traitent ou stockent électroniquement des renseignements protégés ou classifiés dans le cadre de contrats conclus avec le gouvernement sont tenues de voir à la sécurité de la TI. Prenez connaissance de la façon dont le personnel du Programme de sécurité des contrats peut aider votre organisation à obtenir la désignation « Autorisation de traiter les technologies de l’information », de même que de la manière dont se déroulent les inspections de la TI.
Sur cette page
- Exigences de sécurité relatives à la technologie de l’information – Autorisation de traiter les technologies de l’information
- Inspections de la sécurité de la technologie de l’information
- Incidents de sécurité
- Renseignements supplémentaires
Exigences de sécurité relatives à la technologie de l’information – Autorisation de traiter les technologies de l’information
Les exigences de sécurité relatives à la TI sont propres à chaque contrat. Le niveau de sécurité requis dépend de la nature des renseignements en cause.
Pour obtenir une désignation « Autorisation de traiter les technologies de l’information », l’organisation doit :
- détenir une attestation de vérification d’organisation désignée ou une attestation de sécurité d’installation valide;
- posséder une autorisation de détenir des renseignements valide.
D’autres attestations d’organisation pourraient être exigées, par exemple :
- une autorisation de production;
- des attestations de sécurité des communications (SECOM) et de sécurité de l’information (INFOSEC);
- une autorisation de déchiquetage et une autorisation de stockage de masse;
Votre organisation devra :
- nommer un agent de sécurité d’entreprise – idéalement, cette personne aura des connaissances en TI;
- se soumettre à une inspection de la sécurité de la TI réalisée par un inspecteur de ce domaine du Programme;
- obtenir une autorisation écrite du Programme avant d’entreprendre les travaux dans le cadre du contrat.
Inspections de la sécurité de la technologie de l’information
L’inspection de la sécurité de la TI est axée sur les systèmes de TI qu’utilise votre organisation pour produire, traiter et stocker des renseignements protégés et classifiés se rattachant aux contrats. L’inspection a lieu après que le contrat a été octroyé et que l’on a confirmé le respect des exigences relatives à la sécurité matérielle, mais avant que l’organisation entreprenne la production, le traitement ou le stockage électronique de renseignements de nature délicate.
Inspection de la sécurité de la technologie de l’information – à quoi s’attendre
Votre agent de sécurité d’entreprise devra remplir une liste de vérification de la sécurité de la TI et donner un portrait détaillé de l’environnement de la TI de votre organisation à l’inspecteur de la sécurité de la TI.
L’inspecteur se servira de cette liste de vérification pour évaluer la capacité de votre organisation de produire, de traiter et de stocker des composantes de TI de nature délicate du gouvernement à votre lieu de travail. Vous devrez remplir une nouvelle liste de vérification pour chaque nouveau contrat comportant des exigences de sécurité relatives à la TI.
L’inspecteur de la sécurité de la TI examinera également les documents techniques fournis par le ministère ou l’organisme client. Dans ces documents, on précise les exigences propres au contrat en ce qui a trait à la TI et aux mesures de protection que votre organisation doit mettre en place.
Pendant l’inspection de la sécurité de la technologie de l’information – à quoi s’attendre
L’inspecteur de la sécurité de la TI examinera votre système de TI afin de s’assurer que les mesures de protection nécessaires sont en place. Le jour de l’inspection, vous devez être en mesure de démontrer votre capacité de produire, de traiter et de stocker de façon sécuritaire des renseignements de nature délicate du gouvernement.
Tous les employés participant à l’exécution du contrat doivent détenir une attestation de sécurité appropriée et satisfaire en tout temps à l’exigence du besoin de connaître. Dans le contexte du principe du besoin de connaître on restreint l’accès aux biens et aux renseignements de nature délicate selon les fonctions des employés.
Tout employé participant à l’exécution du contrat peut être interrogé lors de l’inspection de la sécurité de la TI.
Après l’inspection – à quoi s’attendre
L’inspecteur de la sécurité de la TI formulera ses recommandations dans une lettre de déclaration qu’il rédigera lorsque l’inspection sera terminée. Vous devrez retourner cette lettre, une fois y avoir confirmé que vous avez mis en œuvre les recommandations.
Après que l’inspecteur de la sécurité de la TI a reçu et approuvé la lettre de déclaration, votre organisation recevra une lettre d’approbation confirmant l’octroi de la désignation « Autorisation de traiter les technologies de l’information ».
Votre organisation pourra commencer à traiter les TI dans le cadre du contrat en question une fois que le personnel du Programme de sécurité des contrats vous aura envoyé la lettre d’approbation.
Les autorisations requises en ce qui touche la TI sont propres à chaque contrat et sont valides pendant toute la durée du contrat en cause.
Incidents de sécurité
Votre agent de sécurité d’entreprise doit signaler sans délai au personnel du Programme de sécurité des contrats tout incident de sécurité soupçonné ou confirmé qui concerne des renseignements ou des biens associés à la TI, plus précisément en ce qui concerne les tâches de production, de traitement et de stockage de renseignements se rattachant à un contrat de nature délicate du gouvernement.
Renseignements supplémentaires
Les organisations inscrites au Programme trouveront de plus amples renseignements sur la façon de se conformer aux normes de sécurité de la TI dans le cadre de contrats conclus avec le gouvernement en consultant les ressources suivantes :