Norme de gestion des données

But

Cette norme établit les exigences en matière de gestion des données pour les agences d'État dans le but de protéger la confidentialité, l'intégrité et la disponibilité des données de l'État.

Aperçu

Les organismes d’État collectent et traitent diverses données, y compris des informations confidentielles. Des mesures doivent être prises pour protéger ces données contre toute modification, destruction ou divulgation non autorisée, accidentelle ou intentionnelle, et pour garantir leur authenticité, leur intégrité et leur disponibilité.

Portée

Aux fins de la présente norme, la sécurité est définie comme la capacité de protéger la confidentialité, l’intégrité et la disponibilité des informations traitées, stockées et transmises par un organisme. Les données comprennent toute information, sous format électronique ou papier, traitée, stockée ou transmise par un organisme public.

Cette politique s'applique à toutes les agences telles que définies par le chapitre 8A, section 101 du Code de l'Iowa. Les agences non participantes sont encouragées à suivre les directives de cette politique et d'autres politiques, normes, processus et procédures de sécurité au niveau de l'entreprise, ainsi qu'à participer aux programmes de sécurité au niveau de l'entreprise.

Définitions

Voici la définition de certains termes utilisés dans la norme de gestion des données d'entreprise :

• Disponibilité – Garantir un accès et une utilisation rapides et fiables de l’information.
• Données confidentielles – Données identifiées comme confidentielles conformément à la politique de classification des données de l'agence.
• Confidentialité - Propriété selon laquelle les informations sensibles ne sont pas divulguées à des personnes, entités ou processus non autorisés.
• Violation de données – Une violation de données est l’exposition, la divulgation ou la perte non autorisée (intentionnelle ou non intentionnelle) d’informations personnelles ou financières.
• Responsable des données – Personnes chargées de la planification et de l’élaboration des politiques relatives aux données au sein de l’organisme. Les responsables des données veillent à ce que les mesures appropriées soient prises pour protéger les données et que les politiques et directives en vigueur soient correctement appliquées.
• Intégrité – Propriété selon laquelle les données sensibles n’ont pas été modifiées ou supprimées de manière non autorisée et non détectée.

Éléments

Voici les éléments de la norme de sécurité relative à la gestion des données d'entreprise.

1. Responsable(s) des données : Chaque organisme doit désigner un ou plusieurs responsables des données chargés de garantir l’exactitude, la confidentialité et la sécurité des données collectées par l’organisme.
2. Nécessité : Les agences ne doivent collecter que les données confidentielles nécessaires à l'accomplissement de leur mission et au respect des obligations légales.
3. Conservation des données : Les organismes ne doivent conserver que les données confidentielles nécessaires à la réalisation de leur mission et au respect des obligations légales.
4. Accès : Les organismes doivent veiller à ce que seuls les utilisateurs autorisés aient accès aux informations confidentielles de l'organisme. Les utilisateurs autorisés sont ceux qui ont un besoin professionnel légitime et nécessaire d'accéder à ces données.
5. Stockage : Les données confidentielles doivent être stockées en toute sécurité. Les données électroniques doivent, si possible, être stockées sur un serveur centralisé. Les données confidentielles transmises ou stockées hors du contrôle de l’organisme doivent respecter les exigences de la norme 10 ci-dessous.
6. Transmission : Les données confidentielles seront transmises de manière sécurisée.
7. Formation : La formation de sensibilisation à la sécurité de l'agence doit comprendre une section sur la protection des informations confidentielles.
   a. Les organisations/individus (par exemple, les trésoriers de comté, les avocats, les auditeurs) qui ont obtenu l'accès aux données/systèmes confidentiels de l'État doivent recevoir une formation de sensibilisation à la sécurité avant d'obtenir cet accès.
8. Développement de nouveaux systèmes : Il est déconseillé aux organismes d’utiliser des données confidentielles pour tester les systèmes informatiques en développement. Si l’utilisation de données confidentielles est inévitable, le système de développement doit respecter les mêmes normes de sécurité que le système de production.
9. Numéros de sécurité sociale : La collecte et l’utilisation des numéros de sécurité sociale doivent être limitées et fondées sur un besoin professionnel impérieux. Les numéros de sécurité sociale ne doivent pas être :
   a. Utilisé comme numéro de client unique.
   b. Utilisée comme clé primaire dans les bases de données, sauf lorsque la loi l'exige.
   c. Affiché intégralement sur des applications Web externes au-delà de l'écran de saisie de données initial.
   d. Affiché intégralement sur les documents imprimés.
10. Chiffrement : Les champs de base de données contenant des informations confidentielles doivent être chiffrés au repos à l'aide d'un chiffrement AES (256 bits) ou d'un chiffrement plus fort.
11. Partage de données : Le partage d'informations confidentielles en dehors de l'organisme doit être réduit au minimum. Les organismes doivent :
    a. Ayez une politique écrite encadrant le partage des données.
    b. Exiger la conclusion d'un accord écrit et signé de partage de données entre l'organisme et l'entité extérieure avant tout échange de données. Cet accord doit comprendre :
    i. Les données à partager ;
    ii. L’utilisation prévue des données ;
    iii. La période couvrant l'échange ;
    iv. L’exigence que le demandeur protège la confidentialité des données ;
    v. L’exigence que le demandeur ne divulgue pas à nouveau les données ;
    vi. L’obligation pour le demandeur de signaler immédiatement à l’agence les données perdues ou volées ;
    vii. et Dispositions relatives à l’élimination finale des données.
    c. Conserver un registre des accords de partage de données.
    d. Chiffrer les données électroniques avant la transmission.
    e. S’assurer que le partage de données est conforme aux lois étatiques et fédérales.
12. Publication des données : Les organismes doivent utiliser des techniques complètes de prévention de la divulgation, conformes aux normes professionnelles acceptables, pour dépersonnaliser les données confidentielles avant de les rendre publiques.
13. Élimination : Les appareils et supports contenant des données confidentielles doivent être effacés selon une méthode approuvée par le ministère de la Défense avant leur élimination.
    a. Les appareils qui ne peuvent pas être effacés doivent être détruits.
    b. Les documents papier contenant des données confidentielles doivent être déchiquetés à l'aide d'un destructeur à micro-coupe avant d'être éliminés ou remis à un recycleur.
14. Notification : Les organismes d'État doivent informer les personnes concernées par une violation de données. Cette notification doit être effectuée dans les meilleurs délais et selon les modalités les plus appropriées, sans délai injustifié, tout en prenant les mesures nécessaires pour déterminer l'étendue de la violation de sécurité et en respectant les impératifs légitimes de l'application de la loi.

Mises à jour

Ce document devra être revu au moins tous les deux ans et mis à jour au besoin.

Date d'entrée en vigueur

Cette norme entrera en vigueur le 2 septembre 2014.

Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11—25.11(8A).

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.