Norme de conformité en matière de sécurité de l'information

2 décembre 2009

But

Cette norme établit les exigences en matière de rapports de conformité à la sécurité de l'information pour les agences participantes de l'État de l'Iowa. Ces rapports informeront le Conseil de gouvernance technologique de l'état actuel de la conformité des agences aux normes de sécurité et des efforts déployés pour réduire les risques.

Aperçu

Conformément à l'article 8A.204 du Code de l'Iowa, le Conseil de gouvernance technologique, en collaboration avec le Département des services administratifs, élabore et adopte des normes informatiques en application de l'article 8A.206. Ces normes de sécurité des systèmes d'information contribuent à protéger la confidentialité, l'intégrité et la disponibilité des systèmes informatiques et des informations de l'État. Chaque directeur d'agence est responsable de la conformité de son agence à ces normes. La présente norme impose aux agences de rendre compte au Conseil de gouvernance technologique.

Portée

Cette norme s'applique à tous les organismes participants, tels que définis par le chapitre 8A.201 du Code de l'Iowa. Les organismes non participants sont encouragés à suivre cette norme et les autres normes, politiques, lignes directrices, processus et procédures au niveau de l'entreprise.

Définitions

Certains termes utilisés dans la norme sont définis ci-dessous :

• Normes de sécurité de l'information d'entreprise : Les normes de sécurité de l'information élaborées et adoptées par le Technology Governance Board (TGB) conformément à l'IAC 11 - 25.9 se trouvent sur la page des normes du Département de gestion .

Mises à jour

Ce document sera revu au moins tous les deux ans et mis à jour au besoin.

Norme de conformité en matière de sécurité de l'information d'entreprise

1. Conformité . Les organismes doivent se conformer à toutes les normes de sécurité de l'information de l'État de l'Iowa. Pour ce faire, un organisme doit satisfaire aux exigences ou avoir obtenu une dérogation conformément à la norme IAC 11-25.11.
2. Rapports . Les directeurs d'agence doivent déclarer annuellement, au moyen d'un formulaire fourni par le Conseil de gouvernance technologique, qu'ils respectent toutes les normes de sécurité de l'information de l'État de l'Iowa en vigueur au moment du rapport. Ce formulaire doit être dûment rempli, signé et transmis au Conseil de gouvernance technologique avant le 15 mars de chaque année.
3. Mesures correctives . Les organismes non conformes aux normes de sécurité de l'information de l'entreprise doivent soumettre chaque année, avant le 15 mars, un plan de remédiation au Conseil de gouvernance technologique. Ce plan doit identifier les éléments non conformes et définir un calendrier pour atteindre la conformité.
4. Vérification : Le Bureau de la sécurité de l’information (BSI) du DAS effectue des évaluations périodiques afin de vérifier la conformité des organismes aux normes de sécurité de l’information de l’entreprise. Les résultats de ces évaluations sont communiqués au Conseil de gouvernance technologique, et le BSI formule des recommandations pour remédier aux cas de non-conformité.

Date d'entrée en vigueur

Cette norme entrera en vigueur le 1er septembre 2010.

Application de la loi

Cette norme sera appliquée par le Conseil de gouvernance technologique.

Variance

Toute demande de dérogation aux exigences de cette norme devra être soumise par écrit au Conseil de gouvernance technologique.