Norme de sécurité des réseaux sociaux

10 février 2012

But

Cette norme établit les exigences minimales de sécurité pour l'utilisation des réseaux sociaux par les employés, les contractuels, les bénévoles et les stagiaires de l'État.

Aperçu

Les réseaux sociaux permettent aux agences de communiquer directement avec leurs clients. Toutefois, leur utilisation comporte aussi des risques, notamment la perte de contrôle sur les contenus publiés et le piratage de leurs comptes.

Portée

Cette norme définit les exigences minimales d'utilisation des réseaux sociaux. Elle s'applique à tous les organismes, conformément au chapitre 8A, section 101 du Code de l'Iowa. Les organismes non participants sont invités à suivre les directives énoncées dans cette norme, ainsi que dans les autres politiques, normes, directives, processus et procédures en vigueur à l'échelle de l'entreprise.

Définitions

Réseautage social : Le réseautage social consiste à utiliser des outils web pour interagir avec d’autres personnes par le biais de textes, d’images ou de sons. Parmi les outils de réseautage social les plus courants, on peut citer Digg, Facebook, Flickr, LinkedIn, MySpace et Twitter. Dans cette norme, les termes « réseautage social » et « médias sociaux » sont interchangeables.

Éléments de la norme

Les éléments suivants s'appliquent à tous les employés, contractuels, bénévoles et stagiaires de l'agence qui mènent des activités professionnelles pour l'État via les réseaux sociaux.

1. Politique : Les organismes doivent établir une politique régissant l’utilisation acceptable des réseaux sociaux. Cette politique doit comprendre :
   a. Création et maintenance des sites parrainés par l'agence,
   b. Publications de l'agence sur des sites non parrainés par l'agence.
2. Sites parrainés par l'agence : Les sites de réseaux sociaux parrainés par l'agence doivent :
   a. Nécessite l'approbation de la direction,
   b. Inclure une déclaration définissant l'objectif et la portée du site.
   c. Ne pas inclure d'informations confidentielles de l'agence,
   d. Ne pas enfreindre la loi sur le droit d'auteur.
   e. Inclure une déclaration indiquant que tout contenu publié est susceptible d'être divulgué au public, y compris par le biais de demandes d'accès aux documents administratifs.
3. Sites non parrainés par l'agence : Les publications officielles de l'agence sur les sites de réseaux sociaux non parrainés par l'agence doivent :
   a. Exiger l'approbation et l'acceptation par la direction des conditions d'utilisation du site,
   b. Indiquer clairement le nom de l'agence et de l'employé.
   c. Ne pas inclure d'informations confidentielles de l'agence,
   d. Ne pas enfreindre la loi sur le droit d'auteur.
4. Mots de passe : Les organismes doivent utiliser des mots de passe robustes pour leurs comptes sur les réseaux sociaux. Ces mots de passe doivent être différents de ceux utilisés pour le réseau de l’organisme et être :
   a. Au moins huit caractères,
   b. Un mélange de chiffres, de lettres majuscules et minuscules,
   c. Inclure au moins un caractère spécial,
   d. Changé au moins tous les soixante jours.
5. Formation de sensibilisation : Les employés travaillant avec les réseaux sociaux recevront une formation de sensibilisation à la sécurité concernant ces plateformes.

Mises à jour

Ce document sera revu au moins tous les deux ans et mis à jour au besoin.

Date d'entrée en vigueur

Cette norme entrera en vigueur le 14 février 2012.

Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11—25.11(8A).

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.