Vérification de la sécurité au CRSNG![,](/web/20061109024916im_/http://www.nserc-crsng.gc.ca/images/line450x1.gif)
Résumé
Objectifs de la vérification
Le principal objectif de la vérification consistait à
évaluer l’efficacité et l’efficience des mesures
de sécurité et leur conformité à la politique
du gouvernement en matière de sécurité (PGS) et
aux normes opérationnelles.
Les objectifs consistent à suivre le Guide de la vérification
de la sécurité du Conseil du Trésor et le Guide
de vérification de la sécurité de la technologie
de l’information et de veiller à ce que :
- une structure de contrôle de gestion existe;
- un programme de sécurité efficace soit en place;
- l’éducation et la formation en matière de sécurité
soient adéquates;
- l’information et les communications soient convenablement
classifiées et protégées;
- un programme de sélection du personnel efficace soit mis
en application;
- des mesures soient prises à l’égard des manquements
à la sécurité;
- des mesures de protection matérielle soient en place pour
protéger le personnel et les biens;
- soit instaurée une gestion des cas d’urgence;
- la gestion des contrats respecte les exigences en matière
de sécurité;
- des analyses/évaluations de la menace et des risques soient
effectuées régulièrement et avant toute modification
d’envergure apportée aux systèmes, aux applications
et aux télécommunications.
Portée et approche de la vérification
L’information utilisée dans le présent rapport
a été recueillie au moyen de l’examen de documents
pertinents, d’entrevues et d’inspections visuelles des mesures
de sécurité en place. Des entrevues ont également
été effectuées avec la collectivité des
utilisateurs pour obtenir leurs commentaires et déterminer leur
compréhension et leur capacité d’appliquer les pratiques
et normes de sécurité dans leur propre milieu.
L’équipe de vérification a utilisé les questionnaires
et le plan de vérification élaborés pendant la
phase préliminaire d’enquête et a examiné
les structures de contrôle de gestion relatives à la fonction
sécurité.
Les éléments suivants ont été vérifiés
:
- la structure de contrôle de gestion de la sécurité;
- la sécurité de l’administration;
- la sécurité matérielle;
- la sécurité de la technologie de l’information;
- la sécurité du personnel.
Conclusion
Nous concluons dans l’ensemble que les Conseils prennent les
mesures de sécurité adéquates et que, de fait,
ils ont réalisé des progrès importants au cours
des dernières années. Néanmoins, il existe certaines
lacunes et préoccupations qui devront encore être abordées.
Faisant suite à notre vérification de sécurité,
nous offrons l’opinion indépendante suivante en réponse
aux objectifs précisés dans l’énoncé
de travail (le mandat de la vérification) :
- Existe-t-il une structure de contrôle de gestion?
Quoiqu’une structure de contrôle de gestion existe,
elle n’est pas complète, et nous recommandons la mise
au point de l’imputabilité et des responsabilités
en matière de sécurité, l’achèvement
de la politique de sécurité des Conseils et diverses
autres mesures connexes.
- Existe-t-il un programme de sécurité efficace?
Un programme de sécurité raisonnablement efficace est
actuellement en place. Les recommandations du présent rapport
fourniront les outils et les moyens de rendre le programme pleinement
efficace.
- L’éducation et la formation en matière
de sécurité sont-elles adéquates? L’éducation
et la formation en matière de sécurité ne sont
pas adéquates actuellement. Elles sont dispensées de
façon ponctuelle et ne font pas partie d’un programme
global de formation et d’éducation en matière
de sécurité.
- L’information et les communications sont-elles convenablement
classifiées et protégées? Nous avons
formulé des recommandations concernant la classification appropriée
des fonds de renseignements.
- Existe-t-il un programme efficace de sélection du
personnel? Le programme de sélection du personnel
est efficace.
- Des mesures sont-elles prises à l’égard
des manquements à la sécurité? Les manquements
à la sécurité sont traités de façon
ponctuelle. Nous avons recommandé l’élaboration
de procédures de déclaration d’incident pour garantir
une démarche commune et faire en sorte que les incidents soient
correctement déclarés et traités.
- Des mesures de protection matérielle sont-elles en
place pour la protection du personnel et des biens? Il existe
des mesures de sécurité matérielle efficaces
en place pour la protection du personnel et des biens physiques. Nous
avons formulé des recommandations concernant la sensibilisation
du personnel aux situations pouvant présenter un risque matériel.
- Une gestion des cas d’urgence a-t-elle été
mise au point? La gestion des cas d’urgence n’a
pas été mise au point, à l’exception d’un
plan anti-sinistre de niveau élevé relatif à
la TI pour le passage à l’an 2000. Le plan de sécurité
global prévoit un plan anti-sinistre.
- La gestion des contrats respecte-t-elle les exigences en
matière de sécurité? La gestion de contrats
ne satisfait pas à toutes les exigences en matière de
sécurité. Nous avons formulé plusieurs recommandations
en vue d’assurer le respect de toutes les exigences.
- Les évaluations de la menace et des risques (EMR)
sont-elles à jour et adaptées aux besoins?
Même si des EMR ont été réalisées
régulièrement, les recommandations qu’elles renferment
n’ont pas toujours été mises en œuvre. Nous
avons formulé plusieurs recommandations à ce sujet.
|