Norme de sécurité de l'information

Sujets:

Standards

18 mars 2008

Remonter

But

Cette norme établit les exigences minimales en matière de sécurité informatique pour les agences d'État, dans le but de protéger la confidentialité, l'intégrité et la disponibilité des systèmes informatiques et des informations de l'État.

Remonter

Aperçu

Dans le cadre de leurs activités, les organismes d'État recueillent et traitent diverses informations, y compris des informations confidentielles. Des mesures doivent être prises pour protéger les informations des organismes et les systèmes informatiques qui les soutiennent contre tout accès, modification ou destruction non autorisés, qu'ils soient accidentels ou intentionnels, et pour garantir l'authenticité, l'intégrité et la disponibilité des systèmes informatiques et des informations de l'État.

Remonter

Portée

Aux fins de la présente norme, la sécurité est définie comme la capacité à protéger la confidentialité, l'intégrité et la disponibilité des informations traitées, stockées et transmises par un organisme. Les ressources informatiques visées par cette politique comprennent celles qui traitent, stockent, transmettent ou surveillent les informations numériques. Sont concernées la sécurité des installations informatiques et du stockage externe des informations ; les services informatiques, de télécommunications et d'applications connexes acquis auprès d'autres organismes publics ou d'entités commerciales ; ainsi que les applications et la connectivité Internet.

Cette politique s'applique à toutes les agences telles que définies par le chapitre 8A, section 101 du Code de l'Iowa. Les agences non participantes sont encouragées à suivre les directives de cette norme et d'autres normes de sécurité au niveau de l'entreprise, ainsi qu'à participer à des programmes de sécurité au niveau de l'entreprise.

Remonter

Mises à jour

Ce document sera revu au moins tous les deux ans et mis à jour au besoin.

Remonter

Définitions

Certains termes utilisés dans la norme de sécurité d'entreprise sont définis ci-dessous :

  • Confidentialité - Propriété selon laquelle les informations sensibles ne sont pas divulguées à des personnes, entités ou processus non autorisés.
  • Intégrité – Propriété selon laquelle les informations sensibles n’ont pas été modifiées ou supprimées de manière non autorisée et non détectée.
  • Disponibilité – Garantir un accès et une utilisation rapides et fiables de l’information.
Remonter

Norme de sécurité de l'information d'entreprise

Il s'agit de la norme de sécurité de l'information de l'État de l'Iowa qui stipule :

  1. Environnement de confiance : Chaque organisme fonctionne de manière à maintenir un environnement partagé et de confiance au sein de l’administration publique. Les organismes ne doivent pas compromettre la confidentialité, l’intégrité ni la disponibilité des systèmes informatiques de l’État, ni les informations stockées, traitées et transmises par ces systèmes.
  2. Normes d'entreprise : Chaque agence suit les normes de sécurité d'entreprise établies, sauf lorsque la politique de l'agence prévoit un niveau de sécurité plus élevé.
  3. Politique : Chaque organisme est responsable de l’élaboration de politiques, de processus et de procédures conformes à cette norme. Les politiques des organismes peuvent être plus strictes que la norme de l’entreprise. Tous les employés, y compris les stagiaires, les contractuels, les employés temporaires et à temps partiel, doivent s’engager (par écrit ou par voie électronique) à respecter les politiques de sécurité de l’État et de l’organisme avant d’être autorisés à accéder aux ressources informatiques de l’État.
  4. Plan de continuité des activités : Chaque organisme élaborera, mettra en œuvre et exercera un plan de continuité des activités. Ce plan sera établi en fonction de la criticité des actifs et sera cohérent avec le plan de continuité des opérations de l’entreprise.
  5. Formation : Chaque organisme mettra en œuvre un programme de sensibilisation et de formation à la sécurité pour l’ensemble de son personnel. Les nouveaux employés recevront une formation de base en sécurité informatique dans les trois mois suivant leur embauche. Une formation complémentaire, adaptée à leurs fonctions, leur sera dispensée annuellement.
  6. Audits : Chaque organisme est soumis à un audit de sécurité périodique afin de garantir sa conformité avec la présente politique et les autres politiques, normes, processus et procédures de l’entreprise. Un audit ou un examen réalisé par une autre autorité, telle que le Service des impôts, peut être substitué s’il porte sur un sujet similaire et est approuvé par le responsable de la sécurité des systèmes d’information.
  7. Évaluation de la vulnérabilité : Chaque organisme fera réaliser une évaluation de la vulnérabilité de ses systèmes d’information au moins une fois par an afin d’en mesurer l’efficacité des mesures de sécurité. Les résultats de cette évaluation serviront à identifier, hiérarchiser, planifier et mettre en œuvre des mesures de sécurité supplémentaires.
  8. Évaluation des risques : Chaque organisme fera l’objet d’une évaluation des risques liés à ses systèmes d’information au moins tous les deux ans. Cette évaluation permettra d’identifier, de hiérarchiser, de planifier et de mettre en œuvre des mesures de sécurité supplémentaires. La méthodologie d’évaluation sera élaborée par le Bureau de la sécurité de l’information et mise à la disposition de l’ensemble de l’organisation.
  9. Cycle de vie du développement des systèmes : Les exigences de sécurité seront formellement définies et prises en compte tout au long du cycle de vie de tous les projets informatiques, y compris la définition des besoins métiers, la conception, le développement, les tests, la mise en œuvre et l’exploitation.
  10. Conformité des organismes : Chaque responsable des systèmes d’information (RSSI) s’engage à faire tout son possible pour que les systèmes d’information sous son contrôle respectent les politiques, normes, processus et procédures de sécurité de l’entreprise et de l’organisme avant leur mise en production ou après toute modification importante du système. Le service de sécurité de l’information peut procéder à des évaluations aléatoires du processus d’autocertification et des systèmes individuels afin de garantir le respect de la politique.
  11. Confidentialité : Les informations confidentielles susceptibles de porter atteinte à la vie privée des individus seront protégées en permanence.
  12. Surveillance : La surveillance de l'utilisation du système d'information afin de détecter toute activité malveillante et tout usage abusif des ressources gouvernementales sera effectuée par les agences, ou par le Département des services administratifs, le réseau de communications de l'Iowa ou toute autre partie à la demande de l'agence.
  13. Incidents : Les agences doivent signaler au Bureau de la sécurité de l'information, conformément à un plan d'intervention commun, tout incident de sécurité de l'information ayant un impact, ou susceptible d'avoir un impact, sur les ressources partagées de l'État.
  14. Protection physique : Les organismes doivent veiller à ce que les ressources informatiques et les informations physiques, notamment les serveurs, les ordinateurs de bureau, les ordinateurs portables, les équipements réseau, les pare-feu, les documents papier et les bandes magnétiques, bénéficient de protections physiques appropriées. Dans la mesure du possible, ces ressources doivent également être protégées contre les menaces structurelles et environnementales.
  15. Connexions réseau : Les organismes fourniront au Bureau de la sécurité de l’information des informations décrivant toutes les connexions de leurs réseaux aux ressources externes, notamment le réseau partagé du campus du Département des services administratifs, le réseau de communications de l’Iowa, les fournisseurs de services privés, les administrations fédérales, locales et municipales, ainsi que d’autres organismes d’État. Des mises à jour seront fournies au fur et à mesure des modifications.
  16. Mises à jour du système : Les organismes élaboreront des procédures pour la mise en œuvre rapide des correctifs système, des mises à jour de configuration et autres mesures nécessaires à la protection des systèmes. Ces procédures prévoiront des tests adéquats avant leur mise en œuvre.
  17. Programme de sécurité : Les organismes doivent désigner une ou plusieurs personnes chargées de coordonner les fonctions de sécurité des technologies de l'information au sein de l'organisme et de mettre en œuvre les politiques de sécurité des technologies de l'information de l'organisme.
  18. Indicateurs : Les organismes doivent élaborer des indicateurs permettant de mesurer l’efficacité de leur programme, de leurs normes et de leurs pratiques en matière de sécurité de l’information. Le Bureau de la sécurité de l’information du DAS apportera son soutien aux organismes dans l’élaboration de ces indicateurs.
  19. Dérogations : Toute demande de dérogation à l'une quelconque des exigences de la présente politique devra être soumise par écrit par le directeur de l'agence au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.
Remonter

Date d'entrée en vigueur

Cette norme entrera en vigueur le 30 juin 2008.

Remonter

Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11—25.11(8A).

Remonter