Le 1er février 2002
Le Gouvernement du Canada dépend de son personnel et de ses biens afin de
fournir les services qui protègent la santé, la sécurité et le bien-être économique
des Canadiens et des Canadiennes. Il doit gérer ces ressources avec une
diligence raisonnable et prendre les mesures appropriées pour les sauvegarder
de tout préjudice.
Les menaces qui peuvent causer préjudice au personnel et aux biens du
gouvernement, au Canada et à l'étranger, comprennent la violence envers les
employés, l'accès non autorisé, le vol, la fraude, le vandalisme, les
incendies, les catastrophes naturelles, les défaillances techniques et les
dommages fortuits. Les menaces de « cyberattaques » et les actes malveillants
par Internet sont courants et peuvent beaucoup nuire aux services électroniques
et aux infrastructures essentielles. Les menaces à l'intérêt national dont
les activités criminelles transnationales, de terrorisme et de services étrangers
du renseignement continuent à évoluer selon les changements à l'échelle
internationale.
La Politique du gouvernement sur la sécurité prescrit l'application de
mesures de sauvegarde pour réduire le risque de préjudice. Elle est conçue
pour protéger les employés, préserver la confidentialité, la disponibilité,
l'intégrité et la valeur des biens, et assurer la prestation continue de
services. Puisque le Gouvernement du Canada se fie beaucoup aux technologies de
l'information (TI) pour sa prestation de services, cette politique souligne
l'importance pour les ministères de surveiller leurs opérations électroniques.
Cette politique est complémentaire aux autres politiques du Conseil du Trésor
pour la gestion des ressources humaines (p. ex. harcèlement, santé et sécurité
au travail), des langues officielles, des renseignements, du matériel, des
biens immobiliers et des ressources financières.
Soutenir l'intérêt national et les objectifs opérationnels du Gouvernement
du Canada en assurant la sauvegarde des employés et des biens, ainsi que la
prestation continue des services.
On doit sauvegarder les employés sous menace de violence selon des exigences
sécuritaires de base et une gestion continue des risques pour la sécurité.
On doit sauvegarder les biens selon des exigences sécuritaires de base et
une gestion continue des risques pour la sécurité.
On doit assurer la prestation continue des services selon des exigences sécuritaires
de base dont la planification de la continuité opérationnelle, et une gestion
continue des risques pour la sécurité.
La présente politique s'applique à tous les ministères énumérés aux
annexes I, I.1 et II de la Loi sur la gestion des finances publiques
(LGFP).
Elle s'applique également aux institutions suivantes :
- toute commission créée en vertu de la Loi sur les enquêtes et
nommée par décret du gouverneur en conseil comme ministère aux fins de la
LGFP;
- les Forces canadiennes avec la condition que toute référence aux employés
dans cette politique ne comprend pas les membres des Forces canadiennes.
Certains organismes et sociétés d'État peuvent conclure des ententes avec
le Secrétariat du Conseil du Trésor du Canada afin d'adopter les exigences de
cette politique et les appliquer à leur organisation.
Les administrateurs généraux ont l'obligation de rendre compte de la
sauvegarde des employés et des biens relevant de leur secteur de responsabilité,
et de la mise en œuvre de la présente politique. Dans le contexte du Ministère
de la défense nationale, les administrateurs généraux comprennent le
Sous-ministre de la Défense nationale et le Chef d'état-major des forces
canadiennes, selon le cas.
Voir l'annexe A.
Voir l'annexe B.
Cette politique est appuyée par :
- Des normes opérationnelles de sécurité approuvées par le Secrétaire
du Conseil du Trésor. Ces normes contiennent des mesures obligatoires et
recommandées pour diriger et guider la mise en oeuvre de la politique.
- De la documentation technique complémentaire aux normes opérationnelles,
produite sous la direction et la coordination du Secrétariat du Conseil du
Trésor du Canada. Elle inclut des normes techniques de sécurité, des spécifications,
des pratiques exemplaires et des lignes directrices développées et émises
par les ministères responsables en matière de sécurité.
Les ministères doivent satisfaire aux exigences de base de cette politique,
des normes opérationnelles de sécurité et de la documentation technique. Ces
exigences se fondent sur des évaluations intégrées des menaces et des risques
concernant l'intérêt national, les employés et les biens du gouvernement.
Selon leurs propres évaluations des menaces et des risques, les ministères
doivent déterminer la nécessité de mesures au-delà des exigences de base.
Les exigences de cette politique supportent d'autres mesures gouvernementales
sur la gestion des situations d'urgence (p. ex. incendies, alertes à la bombe,
matières dangereuses, pannes d'électricité, évacuations, urgences civiles).
Le Gouvernement du Canada peut donner instruction aux ministères de
resserrer les mesures de sécurité en cas d'urgence et de menace accrue.
10.1 Programme de sécurité
Les ministères doivent nommer un agent de sécurité du ministère (ASM)
chargé d'établir et de diriger un programme de sécurité qui assure la
coordination de toutes les fonctions de la politique et la mise en oeuvre de ses
exigences. Ces fonctions comprennent l'administration générale (p. ex. procédures
du ministère, formation et sensibilisation, identification des biens, gestion
des risques pour la sécurité, partage des renseignements et des biens), le
contrôle de l'accès, les vérifications de fiabilité et de sécurité, la sécurité
matérielle, la protection des employés, la sécurité des technologies de
l'information, la sécurité en cas d'urgence et de menace accrue, la
planification de la continuité opérationnelle, la sécurité des marchés et
les enquêtes sur les incidents de sécurité.
Étant donné l'importance de ce rôle, il faudrait que l'agent de sécurité
du ministère ait suffisamment d'expérience en matière de sécurité et qu'il
occupe un poste stratégique au sein de l'organisation de sorte à pouvoir
fournir des conseils et une orientation stratégique aux cadres supérieurs de
celle-ci.
10.2 Partage de renseignements et d'autres biens
Les ministères doivent appliquer cette politique lors du partage de
renseignements et d'autres biens du Gouvernement du Canada avec d'autres
gouvernements (p. ex. étrangers, provinciaux, territoriaux et municipaux), des
organismes internationaux, des établissements d'enseignement et des organismes
du secteur privé. Ils doivent à cet effet établir des arrangements qui
exposent les grandes lignes des responsabilités en matière de sécurité, les
mesures de sauvegarde à prendre et les modalités de la participation continue.
Les ministères doivent prendre soin des renseignements et autres biens reçus
d'autres gouvernements (p. ex. étrangers, provinciaux, territoriaux et
municipaux), des organismes internationaux (p. ex. l'OTAN), des établissements
d'enseignement et des organismes du secteur privé, conformément aux accords ou
arrangements conclus avec eux.
Les ministères qui partagent l'infrastructure commune de gestion de
l'information et des technologies de l'information pour la prestation de
services en ligne ou pour d'autres besoins doivent respecter toutes les normes
de sécurité établies pour cette infrastructure.
10.3 Sécurité à l'extérieur du Canada
Dans des endroits particuliers à l'extérieur du Canada, il peut être
difficile d'appliquer certaines exigences de cette politique. En de tels cas,
des dispositions spéciales peuvent être formulées, de concert avec le ministère
des Affaires étrangères et du Commerce international.
Dans les endroits particulièrement dangereux, il peut y avoir des
restrictions sur les activités personnelles. Tous les employés, à moins
d'occuper un poste diplomatique et d'être sous les conventions de Vienne, sont
automatiquement assujettis aux lois et aux règlements de l'endroit où ils se
trouvent. Les employés peuvent obtenir des avis de voyage et des renseignements
spécifiques quant à la sécurité et aux restrictions en communiquant avec le
ministère des Affaires étrangères et du Commerce international ou avec
l'ambassade canadienne la plus proche. Les diplomates doivent être conscients
que les infractions sérieuses aux lois étrangères peuvent, selon la loi
canadienne, être traitées en justice au Canada.
10.4 Gestion des marchés
La présente politique s'applique autant au processus de gestion des marchés
qu'aux opérations internes du gouvernement. L'autorité contractante, qu'il
s'agisse du ministère des Travaux publics et des Services gouvernementaux ou
d'un autre ministère, doit satisfaire aux exigences de la politique, des normes
sur la sécurité des marchés et de la documentation technique.
L'autorité contractante doit :
- assujettir les entrepreneurs qui ont accès à l'information et aux biens
protégés et classifiés aux vérifications de fiabilité et de sécurité,
tel que spécifié dans les normes de sécurité;
- sauvegarder les biens du gouvernement, y compris les systèmes des TI;
- préciser dans les documents relatifs aux marchés les dispositions nécessaires
en matière de sécurité.
10.5 Formation et sensibilisation
Les ministères doivent :
- assurer la formation de manière appropriée et actualisée des personnes
chargées de tâches précises en matière de sécurité;
- avoir un programme de sensibilisation en matière de sécurité pour
informer les personnes de leurs responsabilités en matière de sécurité
et pour leur faire des rappels périodiques à cet égard;
- informer les personnes des privilèges d'accès et des limites reliées à
leur cote de sécurité avant qu'elles assument leurs fonctions et lors du
renouvellement de leur cote.
10. 6 Identification des biens
Confidentialité
Les ministères doivent identifier les renseignements et autres biens dont la
divulgation sans autorisation risquerait vraisemblablement de porter préjudice,
au sens des dispositions particulières de la Loi sur l'accès à
l'information et de la Loi sur la protection des renseignements
personnels,
- à l'intérêt national. De tels renseignements sont classifiés. On doit
les catégoriser et les marquer selon le degré de préjudice potentiel (préjudice
: « Confidentiel », préjudice sérieux : « Secret », préjudice
exceptionnellement grave : « Très Secret »);
- à des intérêts privés ou non reliés à l'intérêt national. De tels
renseignements sont protégés et doivent être catégorisés et marqués
selon le degré de préjudice potentiel (bas : « Protégé A »; moyen : «
Protégé B », élevé : « Protégé C »).
Disponibilité, intégrité et valeur
Les ministères doivent identifier et catégoriser les biens, notamment les
services essentiels, selon le degré de préjudice (bas, moyen ou élevé) qui
pourrait vraisemblablement résulter d'un compromis à leur disponibilité ou à
leur intégrité. Ils doivent considérer la valeur (p. ex. monétaire, reliée
au patrimoine) des biens pour déterminer le degré de préjudice. Afin
d'indiquer le niveau de protection requis, les ministères devraient envisager
de marquer les biens en fonction de leur disponibilité et de leur intégrité.
10.7 Gestion des risques pour la sécurité
Les ministères doivent effectuer des évaluations des menaces et des risques
pour déterminer la nécessité d'aller au-delà des mesures sécuritaires de
base. Ils doivent continuellement être aux aguets de tout changement aux
menaces et faire les ajustements nécessaires au maintien d'un niveau de risque
acceptable et d'un équilibre entre les besoins opérationnels et la sécurité.
Les évaluations des menaces et des risques comprennent les activités
suivantes :
- déterminer le champ d'application de l'évaluation et identifier les
employés et les biens à sauvegarder (voir sections 10.6 et 10.10);
- identifier les menaces envers les employés et les biens au Canada et à
l'étranger, et évaluer la probabilité qu'elles se concrétisent et leur
incidence;
- évaluer les risques en fonction de la pertinence des mesures de
sauvegarde existantes et des vulnérabilités;
- mettre en œuvre toute mesure supplémentaire qui réduira les risques à
un niveau acceptable.
10.8 Limites à l'accès
Les ministères doivent limiter l'accès aux renseignements classifiés et
protégés et autres biens aux seules personnes qui ont besoin de les connaître
et qui ont la cote de fiabilité ou de sécurité appropriée. Ils doivent, dans
la mesure nécessaire, limiter l'accès à d'autres biens exigeant des mesures
de sauvegarde supplémentaires pour des raisons de disponibilité, d'intégrité
ou de valeur. Ceci inclue l'assurance qu'aucune personne a le contrôle unique
de tous les aspects d'un processus ou d'un système.
10.9 Vérifications de fiabilité et de sécurité
Le Gouvernement du Canada doit s'assurer que les individus qui ont accès à
ses renseignements et biens sont fiables et dignes de confiance. Pour ce qui
touche à la sécurité nationale, le gouvernement doit vérifier la loyauté de
ces personnes envers le Canada afin de se protéger du terrorisme et de la
collecte de renseignements par des puissances étrangères. On doit tout
particulièrement veiller à assurer la fiabilité et la loyauté continuelles
de ces personnes et à prévenir tout acte malveillant et toute divulgation non
autorisée de renseignements classifiés et protégés causés par le mécontentement
de personnes en poste de confiance.
Les ministères doivent s'assurer qu'avant leur entrée en fonction, les
personnes qui ont besoin d'avoir :
- accès aux biens du gouvernement (sauf les personnes nommées par le
gouverneur en conseil) font l'objet d'une vérification de la fiabilité et
obtiennent une cote de fiabilité;
- accès à des renseignements et biens classifiés ont une cote valide de
fiabilité, font l'objet d'une vérification de sécurité et obtiennent une
cote de sécurité au niveau approprié. Ceci comprend les ressortissants étrangers
qui visitent ou travaillent dans un ministère. On peut imposer certaines
restrictions à une cote de sécurité selon la norme relative à cette
section.
- accès aux installations essentielles à l'intérêt national ou aux zones
à accès restreint des événements majeurs, font l'objet des vérifications
appropriées et obtiennent une cote spéciale d'accès. Les ministères
doivent obtenir l'approbation du Secrétariat du Conseil du Trésor du
Canada pour mettre en place des programmes de cotes spéciales d'accès.
Les ministères doivent aussi :
- obtenir le consentement écrit de la personne visée avant de commencer
toute vérification;
- la traiter de façon juste et équitable, et lui donner l'occasion
d'expliquer tout point défavorable avant qu'une décision soit prise;
- l'informer de ses droits touchant le réexamen et le recours en cas de
refus, de suspension ou de révocation d'une cote;
- assurer que les gestionnaires restent vigilants, une fois une cote accordée,
et donnent suite à tout renseignement qui éveillerait des doutes quant à
la fiabilité et à la loyauté de la personne visée;
- refaire régulièrement les vérifications appropriées et renouveler les
cotes;
- revoir, révoquer, suspendre ou déclasser pour un motif valable une cote
précédemment accordée.
Un gestionnaire délégataire a le pouvoir d'accorder ou de refuser une cote
de fiabilité. L'ASM peut octroyer une cote de sécurité au nom de
l'administrateur général. Seul ce dernier peut refuser, révoquer ou suspendre
une cote de sécurité. Il doit consulter le Bureau du Conseil privé concernant
tout désaccord avec une recommandation du Comité de surveillance des activités
de renseignements de sécurité quant à la cote de sécurité. L'administrateur
général doit également consulter le Bureau du Conseil privé concernant toute
décision de recommander au gouverneur en conseil la suspension ou le congédiement
d'une personne suite au refus, à la révocation ou à la suspension d'une cote
de sécurité.
Les ministères doivent obtenir l'approbation du Secrétariat du Conseil du
Trésor du Canada concernant toute proposition de faire des vérifications
impliquant un recouvrement des coûts.
10.10 Protection des employés
Les ministères sont responsables de la santé et de la sécurité des employés
au travail en vertu de la partie II du Code canadien du travail et des
politiques du Conseil du Trésor. Cette responsabilité s'étend aux cas où des
employés sont menacés de violence en raison des fonctions qu'ils exercent ou
de situations auxquelles ils sont exposés, comme les appels ou les lettres de
menace, la réception de matières dangereuses, le harcèlement criminel ou les
agressions.
Les ministères doivent avoir des mécanismes pour :
- identifier les employés menacés ou victimes de violence, les
protéger et les soutenir selon une évaluation des menaces et des risques
applicables aux situations précises. Dans certains cas, la protection et le
soutien s'étendront aux membres de la famille et à d'autres personnes;
- signaler tout incident à la direction, aux services des ressources
humaines, aux services de sécurité et à la police selon le cas;
- informer et conseiller les employés visés, et leur donner accès à de
la formation et à des services de consultation;
- tenir de façon approfondie des registres et des déclarations sur les
incidents signalés.
10.11 Sécurité matérielle
La sécurité matérielle repose sur l'aménagement et la conception adéquates
des installations, ainsi que sur l'usage de mesures pour éviter ou retarder
l'accès non autorisé aux biens du gouvernement. Elle inclut des mesures pour détecter
l'accès non autorisé, recherché ou obtenu, et pour déclencher une
intervention appropriée. La sécurité matérielle prévoit également des
mesures pour protéger les employés de la violence.
Les ministères sont tenus d'assurer l'intégration totale des aspects sécuritaires
aux processus de planification, de sélection, de conception et de modification
des installations, et ce, dès les premières étapes.
Ils doivent :
- sélectionner, concevoir et modifier leurs installations de manière à
faciliter le contrôle de l'accès;
- délimiter les aires à accès restreint et installer les barrières, les
systèmes de sécurité et le matériel nécessaires selon une évaluation
des menaces et des risques;
- intégrer les spécifications imposées en matière de sécurité à la
planification, aux demandes de proposition et aux dossiers de soumission;
- incorporer les coûts connexes aux exigences de financement.
Les ministères doivent veiller à l'entreposage, la transmission et la
destruction sécuritaires des renseignements classifiés et protégés, peu
importe le support sur lequel ils se trouvent, conformément aux normes de sécurité
matérielle. Selon une évaluation des menaces et des risques, ils doivent aussi
veiller à l'entreposage, la transmission et la destruction sécuritaires de
tout autre bien.
Il est essentiel de revoir continuellement les mesures de sécurité matérielle
pour tenir compte de changements aux menaces et de bénéficier de nouvelles
technologies qui sont moins dispendieuses.
10.12 Sécurité des technologies de l'information
On doit sauvegarder les systèmes électroniques d'information contre les
menaces qui changent rapidement et ont le potentiel d'affecter la confidentialité,
l'intégrité, la disponibilité, l'usage prévu et la valeur de ces systèmes.
Comme défense, une stratégie pour la sécurité des technologies de
l'information (STI) est requise. Cette stratégie doit tenir compte des
changements aux menaces qui peuvent être soudains et doit soutenir la
prestation continue de services. Cela exige que les ministères aient des contrôles
sécuritaires de base, surveillent continuellement leurs niveaux de prestation
de services, identifient et analysent les menaces à leurs propres systèmes et
établissent des mécanismes efficaces de réponse aux incidents et de continuité
opérationnelle.
Les ministères doivent s'assurer que la STI est intégrée à chaque étape
du cycle de développement de systèmes. Ils doivent identifier les exigences de
sécurité et leur coût et les énoncer dans les documents relatifs à la
planification, aux appels d'offre, aux soumissions et aux contrats pour les
projets des TI.
En se conformant aux normes opérationnelles et techniques de la STI, les
ministères pourront mieux prévenir et détecter les incidents, y réagir et
revenir aux opérations normales.
10.12.1 Prévention
Pour prévenir les incidents aux systèmes électroniques de l'information,
les ministères doivent mettre en place des contrôles sécuritaires de base et
tout autre contrôle jugé nécessaire selon une évaluation des menaces et des
risques. Ils doivent définir et documenter ces contrôles, ainsi que les rôles
et les responsabilités du personnel, et les communiquer à leur personnel y
incluant les membres des services opérationnels, légaux, administratifs et
techniques.
Pour observer la politique, les ministères doivent :
- certifier et accréditer les systèmes des TI avant qu'ils ne soient mis
en état de fonctionnement, et bien gérer la configuration de ces systèmes
et de leurs mesures de sécurité;
- effectuer périodiquement des évaluations de sécurité des systèmes, y
incluant des routines d'évaluation des changements apportés à la
configuration;
- faire réaliser par des tiers des examens indépendants de conformité.
10.12.2 Détection
Un incident peut causer une dégradation rapide des services allant d'un
ralentissement à un arrêt complet. Les ministères doivent surveiller
continuellement les opérations de leurs systèmes pour dépister les anomalies
aux niveaux de prestation de services.
10.12.3 Réponse
Les ministères doivent :
- dans le cadre des enquêtes sur les incidents de sécurité (section
10.15), établir des mécanismes pour bien répondre aux incidents reliés
aux TI et pour partager rapidement les détails de l'incident avec les
ministères responsables;
- nommer une personne chargée de la sécurité des TI responsable de la
communication en cas d'incident touchant l'ensemble du gouvernement;
- effectuer leurs activités de sécurité, y incluant la réponse aux
incidents, de façon à ne pas dégrader la sécurité d'autres ministères
et à reconnaître que le gouvernement, grâce aux connexions, fonctionne
comme une entité distincte.
10.12.4 Reprise
Pour assurer la prestation continue des services essentiels, les ministères
doivent préparer des plans de continuité pour les TI dans le cadre de leur
planification de la continuité opérationnelle, et de leurs activités de
recouvrement suite à un incident.
10.13 Sécurité en cas d'urgence et de menace accrue
Les ministères doivent élaborer des plans et des procédures pour mettre en
place des niveaux de sécurité plus élevés en cas d'urgence ou de menace
accrue. Selon l'urgence ou la menace, le Gouvernement du Canada peut obliger les
ministères à mettre en place de tels niveaux.
Ils doivent coordonner ces plans et procédures avec ceux concernant la prévention
et la réponse en cas d'urgence (p. ex. feux, alertes à la bombe, matières
dangereuses, pannes d'électricité, évacuations, urgences civiles).
10.14 Planification de la continuité opérationnelle
Les services essentiels et les biens afférents doivent toujours être
disponibles pour assurer la santé, la sûreté, la sécurité et le bien-être
économique des Canadiens et des Canadiennes ainsi que l'efficacité du
gouvernement. Les ministères doivent établir un programme de planification de
la continuité opérationnelle pour permettre la disponibilité continue des
services et des biens essentiels, et de tout autre service ou bien dont la
disponibilité est jugée importante selon une évaluation des menaces et des
risques. Le programme doit comprendre les éléments suivants :
- dans le cadre du programme et de l'organisation ministérielle de sécurité
(section 10.1), une structure de régie définissant les autorités et les
responsabilités pour le programme et pour le développement et
l'approbation de plans de continuité opérationnelle;
- dans le cadre de l'identification des biens (section 10.6), une analyse
d'impact pour inventorier par ordre de priorité les services et les biens
essentiels;
- des plans, des mesures et des préparatifs pour assurer la disponibilité
continue des services et des biens essentiels, et de tout autre service ou
bien tel qu'indiqué par une évaluation des menaces et des risques;
- des activités pour surveiller le niveau de préparation du ministère;
- des activités de revue, de mise à l'essai et de vérifications des plans
de continuité opérationnelle.
10.15 Enquêtes sur les incidents de sécurité
Des comptes rendus et des enquêtes efficaces sur les incidents de sécurité
permettent de déterminer les points faibles et de réduire le risque d'un
nouvel incident de même nature.
Les ministères doivent mettre en place des procédures de compte rendu et
d'enquête relativement aux incidents de sécurité et prendre des mesures
correctives pour y donner suite.
Ils doivent informer :
- les services de police compétents des incidents qui pourraient constituer
des infractions pénales;
- le Bureau du Conseil privé de tout incident concernant une confidence du
Cabinet;
- le Service canadien du renseignement de sécurité de tout incident
comprenant des menaces à l'intérêt national;
- le Bureau de la protection des infrastructures essentielles et de la
protection civile de toute menace et de tout incident influant sur la
disponibilité de biens et de services essentiels;
- les comités de la santé et de la sécurité et les agents de santé et
de sécurité nommés en vertu du Code canadien du travail de tout
incident qui peut être considéré comme dangereux ou susceptible de causer
des blessures aux employés;
- le Secrétariat du Conseil du Trésor du Canada de tout incident ayant une
incidence sur les opérations gouvernementales ou qui pourraient susciter
une révision aux normes opérationnelles de sécurité ou à la
documentation technique.
10.16 Sanctions
Les ministères sont tenus d'imposer des sanctions à la suite d'incidents de
sécurité lorsque, de l'avis de l'administrateur général, il y a eu
inconduite ou négligence.
Les ministères sont tenus d'effectuer la surveillance active de leur
programme de sécurité et d'effectuer des vérifications internes. Ils doivent
informer le Secrétariat du Conseil du Trésor du Canada des résultats de leurs
vérifications internes.
Le Secrétariat du Conseil du Trésor du Canada, avec l'appui des ministères,
produira un rapport à mi-terme pour le Conseil du Trésor sur l'efficacité de
la politique.
La présente politique sera réexaminée d'ici cinq ans.
Les pouvoirs conférés pour la présente politique sont de l'article 7 de la
Loi sur la gestion des finances publiques. La présente politique
remplace la version du 9 juin 1994 et les révisions de novembre 1994 et de juin
1995.
Voici les lois ayant trait à la présente politique :
-
- Charte des droits et libertés
- Code criminel
- Code du travail du Canada
- Loi d'interprétation
- Loi sur la défense nationale
- Loi sur la gestion des finances publiques
- Loi sur la production de défense
- Loi sur la protection civile
- Loi sur la protection des renseignements personnels
- Loi sur la protection des renseignements personnels et les documents
électroniques
- Loi sur l'accès à l'information
- Loi sur le Service canadien du renseignement de sécurité
- Loi sur l'emploi dans la fonction publique
- Loi sur les casiers judiciaires
- Loi sur les jeunes contrevenants
- Loi sur les relations de travail dans la fonction publique
- Loi sur les secrets officiels
- Règlements royaux
Les documents se rattachant à la présente sont accessibles sur le site Web
du Conseil du Trésor.
http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/siglist_f.asp
Toute demande de renseignements relative à la présente devrait être
acheminée à l'agent de sécurité ministériel. Pour toute interprétation de
la politique, l'agent de sécurité ministériel doit s'adresser à la fonction
suivante :
Groupe de la Politique sur la sécurité
Division des politiques de l'information et de la sécurité
Secteur des opérations gouvernementales
Secrétariat du Conseil du Trésor du Canada du Canada
8e étage, tour est, L'Esplanade Laurier
Ottawa (Ontario) K1A 0R5
Téléphone : (613) 946-5046 ou 957-2534
Télécopieur : (613) 952-7287
1. Conseil du Trésor
Le Conseil du Trésor approuve la Politique du gouvernement sur la sécurité.
2. Secrétariat du Conseil du Trésor du Canada
Le Secrétariat du Conseil du Trésor du Canada, à titre d'organisme central
chargé de la sécurité et de la prestation de services au gouvernement, a les
responsabilités suivantes :
- élaborer et mettre à jour la Politique du gouvernement sur la sécurité;
- fournir la direction stratégique, le leadership, les conseils et l'aide
en matière de sécurité et de prestation de services;
- en consultation avec les ministères, élaborer les normes opérationnelles
de sécurité et la documentation technique pour l'administration de la
politique, les vérifications de fiabilité et de sécurité, la protection
des employés, la sécurité en cas d'urgence ou de menace accrue, la
planification de la continuité opérationnelle, les enquêtes sur les
incidents de sécurité et pour d'autres sujets selon le cas;
- diriger et coordonner l'élaboration de normes opérationnelles de sécurité
et de documentation technique pour la sécurité matérielle, la sécurité
des technologies de l'information et la sécurité des marchés;
- coordonner les activités de formation et de sensibilisation dans le
domaine de la sécurité;
- coordonner les activités de recherche et de développement dans le
domaine de la sécurité;
- gérer la politique pour l'infrastructure stratégique de gestion de
l'information et des technologies de l'information. Cette responsabilité
soutient les objectifs opérationnels et de prestation de services du
Gouvernement du Canada, y incluant les services communs des technologies de
l'information et l'accréditation de l'infrastructure commune;
- avec l'aide des ministères, surveiller la mise en œuvre de la politique
et l'état de la sécurité au sein du Gouvernement du Canada et en rendre
compte au Conseil du Trésor;
- élaborer et suivre une stratégie permettant au Gouvernement du Canada
l'identification, le recrutement, la rétention et l'apprentissage continu
de professionnels dans le domaine de la sécurité;
- émettre les avis de mise en œuvre de la politique sur la sécurité;
- représenter le Gouvernement du Canada aux comités nationaux et
internationaux en matière de politique de sécurité.
3. Comités
Plusieurs comités relatifs à la sécurité conseillent et orientent le Secrétariat
du Conseil du Trésor du Canada sur la mise en œuvre de la politique, sur son
efficacité et sur l'état de la sécurité au sein du Gouvernement du Canada.
Ces comités examinent également les normes opérationnelles de sécurité
et la documentation technique et en recommandent l'approbation à l'autorité
compétente.
4. Ministères responsables en matière de sécurité
Certains ministères ont, en vertu de la présente, des responsabilités
particulières à l'échelle du gouvernement, qui sont énumérées ci-après.
4.1 Service canadien du renseignement de sécurité
Le Service canadien du renseignement de sécurité (SCRS), dans son rôle de
gestion du renseignement de sécurité, est responsable :
- d'enquêter et d'analyser les menaces matérielles et électroniques
à la sécurité nationale, selon la Loi sur le SCRS, et de fournir
des conseils en ce sens. Ces menaces comprennent l'espionnage, le sabotage,
l'influence étrangère et les activités violentes à but politique;
- de conseiller les ministères et de leur fournir des renseignements aux
fins d'évaluations des menaces et des risques;
- d'enquêter et de fournir des évaluations de sécurité dans le contexte
des vérifications de sécurité initiées par les ministères;
- de tenir un fichier central informatisé des évaluations de sécurité réalisées
et des recommandations qui en sont issues.
4.2 Centre de la sécurité des télécommunications
Le Centre de la sécurité des télécommunications (CST), en tant qu'autorité
technique sur la cryptologie et la sécurité des technologies de l'information
(STI), est responsable:
- en consultation avec le Secrétariat du Conseil du Trésor du Canada et
les autres ministères, d'élaborer les normes opérationnelles et la
documentation technique concernant le renseignement électromagnétique
(SIGINT), la sécurité des télécommunications (COMSEC), et la sécurité
des technologies de l'information en termes de certification et d'accréditation
de systèmes, d'analyse des risques et des vulnérabilités, d'évaluation
de produits, et d'analyse de la sécurité de systèmes et de réseaux;
- de diriger, conseiller et d'aider les ministères quant aux normes opérationnelles
et aux documents techniques élaborés par le CST;
- d'offrir des services d'ingénierie de sécurité et d'aide technique et
opérationnelle pour contribuer à la conception, à la mise en oeuvre et à
l'exploitation des éléments d'infrastructure et des systèmes
gouvernementaux et nationaux des TI;
- d'élaborer et d'offrir de la formation spécialisée pour la SIGINT et la
STI, notamment en ce qui a trait à la COMSEC, aux vulnérabilités des réseaux
et aux mesures techniques de la STI;
- de mettre à l'essai, d'inspecter et d'évaluer les produits et systèmes
des TI pour définir les risques, les vulnérabilités et les mesures
appropriées de sauvegarde; de faire de la recherche et du développement du
point de vue technique;
- d'accréditer les installations d'essai et d'évaluation du secteur privé;
- d'évaluer et de rendre compte de l'application des mesures techniques de
la COMSEC et de la STI aux secteurs publics et privés, sur demande ou
exigence d'une norme de sécurité;
- de gérer la distribution du SIGINT, de l'équipement cryptographique, des
documents comptables et du matériel reliés aux clés cryptographiques;
d'exploiter les systèmes de clés; de maintenir un répertoire du personnel
autorisé à avoir accès au SIGINT;
- de représenter le Gouvernement du Canada aux comités nationaux et
internationaux du SIGINT et de la STI, et de négocier des ententes avec les
puissances alliées.
4.3 Affaires étrangères et Commerce international
Le ministère des Affaires étrangères et du Commerce international (AECI),
dans son rôle de relations étrangères, est responsable :
- de fournir un milieu sûr et sécuritaire pour les employés et les biens
du Gouvernement du Canada situés aux missions diplomatiques et consulaires
du Canada à l'étranger. Ceci en guidant tous les aspects de la sécurité
matérielle à ces endroits;
- d'arranger et de coordonner la sécurité des visiteurs officiels à ses
installations;
- à titre de transporteur officiel des communications entre les ministères
gouvernementaux et les missions diplomatiques canadiennes à l'étranger,
assurer la confidentialité, l'intégrité et la disponibilité des services
communs des technologies de l'information sous son contrôle.
- de prendre les mesures pour sauvegarder les biens sous son contrôle au
Canada et à l'étranger, et d'inspecter ou de faire inspecter ces mesures
à l'inclusion des transmissions électroniques;
- de conseiller et de guider les ministères sur la transmission et le
transport de biens à l'étranger pour assurer une sauvegarde continue et
uniforme; et de leur fournir les moyens de le faire;
- de consulter avec les autres ministères pour qu'ils sauvegardent adéquatement
les documents de l'Organisation du Traité de l'Atlantique Nord (OTAN) qui
relèvent d'eux;
- de traiter les vérifications de fiabilité et de sécurité des employés
d'organismes non gouvernementaux et d'autres niveaux de gouvernement situés
aux installations du ministère à l'étranger.
- de fournir des avis aux ministères en matière d'initiatives de sécurité
avec des gouvernements étrangers et des organismes internationaux.
4.4 Archives nationales
Le ministère des Archives nationales gère les dossiers du gouvernement et
est responsable :
- d'identifier les aspects sécuritaires de l'identification,
l'organisation, l'entreposage, la préservation, la rétention et de l'élimination
des fonds de renseignements du gouvernement;
- d'élaborer et de distribuer des avis et conseils sur le maintien des
dossiers.
4.5 Défense nationale
Dans le cadre de leurs rôles, le sous-ministre de la Défense nationale et
le chef de l'État-major de la Défense sont responsables conjointement ou
individuellement :
- de conseiller les ministères sur le renseignement militaire aux fins d'évaluations
des menaces et des risques;
- de prévoir et de coordonner les mesures de sécurité des membres de
forces armées en visite au Canada ou séjournant dans une installation de défense;
- de vérifier le respect par les ministères des accords concernant la
sauvegarde du renseignement atomique de l'OTAN.
4.6 Bureau de la protection des infrastructures essentielles et de la
protection civile
Le bureau de la Protection des infrastructures essentielles et de la
protection civile, comme conseiller principal en ces domaines au niveau
national, est responsable :
- en consultation avec le Secrétariat du Conseil du Trésor du
Canada et les autres ministères, d‘élaborer des normes opérationnelles
et de la documentation technique soutenant la protection et l'assurance
d'une opération continue des réseaux, des systèmes d'information, et des
autres biens essentiels du Gouvernement du Canada;
- d'aider le Secrétariat du Conseil du Trésor du Canada à l'élaboration
des normes de planification de la continuité opérationnelle et de concert
avec ce dernier, donner des conseils aux ministères sur l'élaboration et
le maintien de plans de continuité opérationnelle;
- de conseiller les ministères concernant les aspects « cyber » de la
protection des réseaux, systèmes d'information et autres biens essentiels
du Gouvernement du Canada.
- d'aider les ministères quant à l'identification de leurs biens
essentiels, en effectuant des évaluations de vulnérabilité de ces biens
et en fournissant une analyse de leur vulnérabilité et de leur dépendance.
- d'être le centre d'opérations du Gouvernement du Canada, 24 heures par
jour et 7 jours par semaine, pour :
- recevoir les comptes rendus des ministères sur les menaces réelles ou
imminentes et sur les incidents susceptibles de nuire aux réseaux, systèmes
d'information, infrastructures et biens essentiels du Gouvernement du
Canada;
- surveiller et analyser les cyberattaques et les menaces contre les réseaux
du Gouvernement du Canada;
- envoyer des alertes, des avis et d'autres renseignements aux ministères
sur ces menaces et ces incidents;
- coordonner la réponse fédérale aux menaces ou aux incidents électroniques
et matériels ayant une incidence sur le fonctionnement du Gouvernement du
Canada;
- répondre aux demandes, provenant des ministères, de conseils et de
renseignements techniques sur les incidents reliés aux TI en termes de prévention,
de détection, de réponse et de reprise des opérations.
- en collaboration avec d'autres ministères, d'élaborer et de promouvoir
des programmes de formation, d'apprentissage et de sensibilisation;
- en collaboration avec d'autres ministères, de faire de la recherche et du
développement pour contribuer à la sécurité des réseaux, des systèmes
d'information et des autres biens essentiels du Gouvernement de Canada;
- de représenter le Gouvernement du Canada aux niveaux national et
international en ce qui concerne la protection des infrastructures
essentielles et la protection civile.
4.7 Bureau du Conseil privé
Le Bureau du Conseil privé, dans son rôle de soutien au Cabinet et de
politique stratégique pour la sécurité et le renseignement, est responsable :
- d'établir des procédures pour assurer la sécurité des
documents du Conseil privé de la Reine pour le Canada et des registres
faisant partie du système des dossiers du Cabinet;
- de conseiller, sur demande, les administrateurs généraux sur
l'opportunité d'ordonner une enquête formelle sur la divulgation non
autorisée présumée de confidences du Cabinet;
- de conseiller, sur demande, les administrateurs généraux sur
l'opportunité de refuser, de révoquer ou de suspendre une cote de sécurité;
- de conseiller les administrateurs généraux sur tout désaccord avec une
décision du Comité de surveillance des activités de renseignement de sécurité
quant à une cote de sécurité, et sur l'opportunité de recommander au
gouverneur en conseil la suspension ou le congédiement d'une personne suite
au refus, à la révocation ou à la suspension d'une cote de sécurité.
- d'enjoindre les ministères à resserrer les mesures de sécurité en cas
d'urgence et de menace accrue.
4.8 Travaux publics et Services gouvernementaux Canada
Le ministère des Travaux publics et des Services gouvernementaux (TPGSC)
fournit des services communs pour la gestion des marchés et des biens
immobiliers, ainsi que pour les technologies de l'information et les télécommunications.
En ce sens, il est responsable
- en consultation avec le Secrétariat du Conseil du Trésor du
Canada et les autres ministères, d'élaborer des normes et de la
documentation technique pour la sécurité des marchés;
- d'administrer le programme de sécurité industrielle en fonction de la présente
politique et les programmes d'enregistrement des marchandises soumises à un
contrôle selon la Loi sur la production de défense;
- de conseiller les ministères sur l'application des normes et de la
documentation technique pour la sécurité des marchés;
- d'élaborer et d'offrir de la formation sur la sécurité des marchés;
- de tenir une base de données des organismes du secteur privé et des
entrepreneurs ayant une cote de fiabilité ou de sécurité valide leur
permettant l'accès à des biens du gouvernement;
- d'assurer la conformité avec la politique dans les contrats hors de la
compétence des ministères qui permettent l'accès à des biens du
gouvernement;
- sur demande, d'assurer la conformité avec la politique dans les contrats
sous la compétence des ministères qui permettent l'accès à des biens du
gouvernement;
- en consultation avec le ministère des Affaires extérieures et du
Commerce international, de négocier des ententes internationales de sécurité
industrielle, des arrangements et des protocoles d'entente au nom du
Gouvernement du Canada;
- d'assurer la conformité avec ces ententes, arrangements et protocoles
d'entente dans les contrats donnant accès à des renseignements étrangers
qui sont classifiés et dans les contrats donnant aux entrepreneurs étrangers
accès aux biens du Gouvernement du Canada;
- de contrôler les biens COMSEC du gouvernement qui sont dans le secteur
privé;
- de veiller à ce que les entrepreneurs rencontrent les exigences sécuritaires
des contrats visant des biens relatifs à la sécurité des technologies de
l'information;
- lorsque TPSGC est le ministère gardien, d'assurer la prestation de
services de sécurité de base pour les immeubles;
- d'assurer la confidentialité, l'intégrité et la disponibilité des
services communs des TI fournis aux ministères;
- de représenter le Gouvernement du Canada au niveau national et
international en ce qui concerne la sécurité industrielle et les
marchandises soumises à un contrôle.
4.9 Gendarmerie royale du Canada
La Gendarmerie royale du Canada, comme organisme d'application de la Loi fédérale
et de prévention du crime, est responsable :
pour la sécurité des technologies de
l'information (STI)
- en consultation avec le Secrétariat du Conseil du Trésor du
Canada et les autres ministères, d'élaborer les normes opérationnelles et
les documents techniques concernant la STI en termes de contrôles d'accès
et de biométrie, d'examen judiciaire de données, de destruction de
supports électroniques de données, de surveillance des systèmes, de
logiciel à effet malveillant, d'événements majeurs, de revues,
d'inspections et de vérifications internes;
- de conseiller les ministères sur :
- les normes opérationnelles et les documents techniques de la GRC,
- le processus d'évaluation des menaces et des risques,
- l'exécution de revues, d'inspections et de vérifications internes de
la STI;
- d'élaborer et d'offrir de la formation et des activités de
sensibilisation pour les utilisateurs, le personnel de soutien des systèmes
et les agents de la STI;
- de fournir de l'aide technique lors d'enquêtes reliées aux TI;
- de faire de la recherche et du développement sur les innovations en STI
et les mesures pour contrer les activités criminelles;
- d'évaluer et de rendre compte des menaces d'activités criminelles et des
contre-mesures du cyber-crime;
- de représenter le Gouvernement du Canada au niveaux national et
international en ce qui concerne l'application de la loi et la prévention
d'activités criminelles reliées aux TI.
pour la sécurité matérielle
- en consultation avec le Secrétariat du Conseil du Trésor du Canada et
les autres ministères, d'élaborer des normes opérationnelles de sécurité
et des documents techniques sur la conception des installations du point de
vue de la sécurité, sur le contrôle et la surveillance de l'accès aux
installations et aux biens, ainsi que sur l'entreposage, la transmission, le
transport et l'élimination des biens;
- de conseiller les ministères sur les normes opérationnelles de sécurité
et les documents techniques, la conception des installations en matière de
sécurité ainsi que sur l'équipement, les systèmes et les procédures de
sécurité matérielle;
- d'élaborer et d'offrir des initiatives de formation et de sensibilisation
sur la sécurité matérielle;
- d'examiner et de conseiller sur les mesures pour assurer et contrer les
intrusions techniques;
- de faire de la recherche et du développement sur les contre-mesures aux
menaces matérielles;
- de représenter le Gouvernement du Canada aux niveaux national et
international en ce qui concerne l'application de la Loi et la prévention
du crime.
pour les vérifications de fiabilité et de sécurité
- de conseiller les ministères et de leur fournir les résultats des vérifications
de dossiers criminels, sous forme électronique et sur papier, selon la
banque de données du Centre d'information de la Police canadienne;
- de conseiller les ministères et de leur fournir les résultats de vérifications
d'empreintes digitales selon la banque de donnée afférente;
- d'élaborer des procédures, des améliorations techniques et de consulter
les autres ministères pour améliorer le processus de vérifications de
dossiers criminels et d'empreintes digitales;
- de donner aux ministères des évaluations criminelles concernant la
fiabilité de certains individus;
- de faire ses propres enquêtes et évaluations de sécurité pour son
personnel.
4.10 Transports Canada
En tant que ministère chargé de la sécurité maritime, terrestre et aérienne
et de l'administration de la Loi sur l'aéronautique, Transport Canada
est responsable d'administrer le programme de cote spéciale d'accès aux zones
restreintes des aéroports.
5. Ministères ayant la garde de biens immobiliers
À moins d'une entente contraire avec les locataires, les ministères ayant
la garde de biens immobiliers sont chargés, entre autres choses, des aspects
suivants de la sécurité matérielle des installations qu'ils administrent :
- appliquer et financer les mesures qu'ils jugent nécessaires pour protéger
les installations, à la suite d'une évaluation des menaces et des risques
qu'ils ont effectuées eux-mêmes ou qu'ils ont commandé;
- sous réserve d'une évaluation des menaces et des risques, assurer, à
certains endroits, les services de gardiens pour protéger les installations
au niveau qu'ils jugent nécessaire, et financer ces services;
- prendre des mesures de protection supplémentaires, lorsque celles-ci s'avèrent
nécessaires et sont financées par les locataires;
- aviser les locataires des changements qu'il est proposé d'apporter aux
installations et qui pourraient avoir une incidence sur la sécurité et
consulter les locataires au sujet des changements qu'il est proposé
d'apporter aux mesures de protection des installations;
- aviser les locataires dans les immeubles à locataires multiples des
changements d'occupation ou d'utilisation susceptible d'influer sur la sécurité.
Accréditation (accreditation) -
autorisation officielle par la direction d'exploiter un système des TI et
acceptation par la direction du risque résiduel s'y rattachant. L'accréditation
dépend des résultats de la certification ainsi que d'autres considérations de
nature administrative.
Aire à accès restreint (restricted access
area) - aire de travail où l'accès est restreint aux individus autorisés.
Besoin de connaître (need-to-know) -
besoin éprouvé par une personne d'accéder à des renseignements et de les
connaître pour accomplir les tâches qui lui incombent.
Biens (Assets) - éléments d'actifs
corporels ou incorporels du Gouvernement du Canada. Ce terme s'applique, sans
toutefois s'y limiter, aux renseignements, sous toutes leurs formes et quel que
soit leur support, aux réseaux, aux systèmes, au matériel, aux biens
immobiliers, aux ressources financières, à la confiance des employés et du
public, et à la réputation internationale. (Les renseignements ont été
inclus à cette définition exclusivement aux fins de la présente politique. On
ne peut en conclure que les conséquences juridiques applicables aux biens dans
le sens légal s'appliquent aussi aux renseignements).
Biens classifiés (classified assets) -
biens dont la divulgation sans autorisation risquerait vraisemblablement de
porter préjudice à l'intérêt national.
Biens essentiels (critical assets) - biens
supportant un service essentiel.
Biens protégés (protected assets) -
biens dont la divulgation sans autorisation risquerait vraisemblablement de
porter préjudice à des intérêts privés ou non reliés à l'intérêt
national.
Certification (certification) - évaluation
complète des dispositifs de sécurité techniques et non techniques d'un système
des TI et d'autres mesures de sauvegarde connexes, effectuée à l'appui de
l'accréditation, pour déterminer le degré selon lequel un modèle de
conception et de mise en œuvre précis satisfait à un ensemble donné
d'exigences en matière de sécurité.
Compromission (compromise) - divulgation,
destruction, suppression, modification, interruption d'accès ou utilisation de
biens qui est non autorisée.
COMSEC - sécurité des télécommunications
: mesures sécuritaires de crytographie, de transmission et d'émission que l'on
applique aux renseignements conservés, traités ou transmis électroniquement;
une composante de la sécurité des technologies de l'information.
Confidentialité (confidentiality) -
caractéristique selon laquelle les renseignements ne doivent pas être divulgués
à des personnes non autorisées, cela pouvant porter préjudice à l'intérêt
national ou à d'autres intérêts, comme l'indiquent des dispositions précises
de la Loi sur l'accès à l'information et de la Loi sur la
protection des renseignements personnels.
Cote spéciale d'accès (site access clearance)
- cote requise pour accéder à des installations vitales pour l'intérêt
national ou aux zones à accès restreint des événements majeurs.
Cote de fiabilité (reliability status) -
indique que l'évaluation de la fiabilité a été achevée avec succès et
donne à la personne visée un accès régulier à des biens du gouvernement et
un accès à des renseignements protégés en fonction du besoin de connaître.
Cote de sécurité (security clearance) -
indique que l'évaluation de sécurité a été achevée avec succès; avec un
besoin de connaître, permet d'avoir accès à des renseignements classifiés.
Il y a trois niveaux : Confidentiel, Secret et Très secret.
Disponibilité (availability) - condition
d'être disponible sur demande afin de soutenir les opérations, les programmes
et les services.
Exigences sécuritaires de base (baseline
security requirements) - dispositions obligatoires de la Politique du
gouvernement sur la sécurité, de ses normes opérationnelles et de sa
documentation technique.
Incident de sécurité (security incident) -
compromission d'un bien ou tout acte ou omission qui pourrait se traduire par
une compromission; menaces ou actes de violence à l'encontre des employés.
Installation (facility) - désigne un aménagement
physique qui sert à une fin précise. On entend par installation une partie ou
la totalité d'un immeuble, soit un immeuble, son emplacement et ses alentours,
ou encore une construction qui n'est pas un immeuble. Le terme désigne non
seulement l'objet même mais aussi son usage.
Intégrité (integrity) - exactitude et
intégralité des biens, et authenticité des transactions.
Intérêt national (national interest) -
concerne la défense et le maintien de la stabilité sociopolitique et économique
du Canada.
Menace (threat) - tout événement ou acte
éventuel, délibéré ou accidentel, qui pourrait porter préjudice aux employés
ou aux biens.
Planification de la continuité opérationnelle (business
continuity planning) - terme global s'appliquant notamment
à l'élaboration et à l'exécution opportune de plans, de mesures, de procédures
et de préparatifs afin d'éviter ou de minimiser tout arrêt de la disponibilité
des services et des biens essentiels.
Pour un motif valable (for cause) - terme
indiquant qu'il y a un motif raisonnable de revoir, suspendre, abaisser ou révoquer
une cote de fiabilité ou de sécurité. Dans le contexte d'une évaluation de sécurité,
terme indiquant la nécessité d'effectuer des vérifications plus approfondies.
Processus de passation des marchés (contracting
process) - désigne l'invitation à soumissionner, les négociations, la
passation, l'exécution et la résiliation des marchés.
Renseignements classifiés (classified
information) - renseignements d'intérêt national susceptibles d'être visés
par une exclusion ou une exception en vertu de la Loi sur l'accès à
l'information ou de la Loi sur la protection des renseignements
personnels, et dont la divulgation sans autorisation risquerait
vraisemblablement de porter préjudice à l'intérêt national.
Renseignements protégés (protected
information) - renseignements autres que d'intérêt national susceptibles
d'être visés par une exclusion ou une exception en vertu de la Loi sur
l'accès à l'information ou de la Loi sur la protection des
renseignements personnels, et dont la divulgation sans autorisation
risquerait vraisemblablement de porter préjudice à des intérêts privés ou
non reliés à l'intérêt national.
Risque (risk) - possibilité qu'une vulnérabilité
soit exploitée.
Sécurité des technologies de l'information (information
technology security) - mesures de sauvegarde visant à préserver la
confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la
valeur des renseignements conservés, traités ou transmis par voie électronique.
Sécurité matérielle (physical security)
- mesures de sauvegarde matérielle pour empêcher et retarder l'accès non
autorisé aux biens, pour détecter l'accès non autorisé recherché et obtenu
et pour déclencher une intervention appropriée.
Service essentiel (critical service) -
service dont la compromission en termes de disponibilité ou d'intégrité résulterait
en un préjudice élevé à la santé, la sûreté, la sécurité et le bien-être
économique des Canadiens et des Canadiennes ou encore à l'efficacité du
Gouvernement du Canada.
Valeur (value) - coût approximatif soit
monétaire, culturel ou autre.
Vulnérabilité (vulnerability) -
faiblesse quant à la sécurité qui pourrait permettre à une menace de causer
préjudice.
|