Norme de sécurité du courrier électronique

Sujets:

Standards

14 décembre 2011

Remonter

But

Cette norme établit les exigences minimales en matière de sécurisation des informations transmises par courrier électronique.

Remonter

Aperçu

Les organismes d'État utilisent le courrier électronique pour communiquer avec leurs usagers. L'État envoie et reçoit quotidiennement des millions de courriels. Or, le courrier électronique non chiffré ne garantit pas la sécurité de la transmission d'informations confidentielles. Ces informations, transmises en clair, peuvent être lues par des personnes non autorisées.

Remonter

Portée

Cette norme définit les exigences minimales pour l'utilisation sécurisée du courrier électronique dans la transmission d'informations confidentielles.

Cette norme s'applique à tous les organismes tels que définis par le chapitre 8A, section 101 du Code de l'Iowa. Les organismes non participants sont encouragés à suivre les lignes directrices de ce document et d'autres politiques, normes, lignes directrices, processus et procédures au niveau de l'entreprise.

Remonter

Définitions

  • Informations confidentielles : Les informations confidentielles comprennent :
  1. Les renseignements personnels sont définis par le Code de l'Iowa, article 715c. Les renseignements personnels comprennent le prénom ou l'initiale et le nom de famille d'une personne, associés à un ou plusieurs des éléments suivants :
    1. Numéro de sécurité sociale.
    2. Numéro de permis de conduire.
    3. Numéro d'identification unique. Ex. : carte d'étudiant de l'Iowa ; numéro d'identification Medicaid.
    4. Numéro de compte bancaire, numéro de carte de crédit ou numéro de carte de débit, associé à tout code de sécurité, code d'accès ou mot de passe requis.
    5. Identifiant électronique unique ou code de routage, associé à tout code de sécurité, code d'accès ou mot de passe requis.
    6. Données biométriques uniques, telles qu'une empreinte digitale, une image de la rétine ou de l'iris, ou toute autre représentation physique ou numérique unique de données biométriques.
  2. Toute information ou tout document considéré comme confidentiel en vertu de l'article 22.7 du chapitre 22 du Code de l'Iowa, également connu sous le nom de loi de l'Iowa sur l'accès aux documents publics.
  3. Toutes les informations de santé protégées pour les agences couvertes par la loi HIPAA (Health Insurance Portability and Accountability Act).
  4. Toutes les informations de carte de crédit protégées telles que définies par la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS).
  5. Toute autre information dont la perte, la divulgation, la corruption ou l'accès par des moyens non autorisés constitueraient une violation du droit étatique ou fédéral.
  6. Toutes les informations définies comme confidentielles par contrat/accord avec les partenaires commerciaux, clients, fournisseurs ou autres entités de l'agence.
  • Comptes de messagerie personnels : comptes de messagerie non fournis par un organisme d’État (c.-à-d. comptes autres que user@iowa.gov ou user@agency.state.ia.us).
Remonter

Mises à jour

Cette norme sera révisée au moins tous les deux ans et mise à jour au besoin.

Remonter

Norme de sécurité du courrier électronique d'entreprise

  1. Informations confidentielles : Les courriels sortants de l’agence seront analysés afin de détecter toute information confidentielle. Les courriels contenant des informations confidentielles et envoyés par du personnel non autorisé seront bloqués.
  2. Chiffrement : Tous les courriels de l'agence contenant des informations confidentielles, que ce soit dans le corps du message ou en pièce jointe, doivent être chiffrés.
  3. Informations fiscales fédérales (FTI) : Les informations fiscales fédérales ne doivent pas être transmises par courriel.
  4. Informations relatives aux cartes de crédit : Les numéros de compte principaux (PAN) non cryptés ne doivent pas être envoyés par e-mail.
  5. Comptes de messagerie personnels : Les informations confidentielles de l'agence ne doivent pas être transmises via des comptes de messagerie personnels.
  6. Sécurité du client : Les mesures suivantes doivent être mises en œuvre sur les clients de messagerie :
    1. Désactiver l'ouverture automatique des messages.
    2. Désactiver le chargement automatique des images dans les messages.
    3. Désactiver le téléchargement et le traitement automatiques du contenu actif.
  7. Formation : Les employés, les contractuels, les stagiaires et les bénévoles de l'agence recevront une formation annuelle sur les pratiques de messagerie électronique sécurisées.
  8. Courriel client : Les agences doivent demander à leurs clients de ne pas leur envoyer d'informations confidentielles par courriel non crypté.
Remonter

Date d'entrée en vigueur

Cette norme entrera en vigueur le 14 décembre 2011.

Remonter

Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11—25.11(8A).

Remonter

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.

Remonter