Cette vérification comprend un examen des activités entreprises par le Bureau du dirigeant principal de l’information (BDPI) entre novembre 2008 et mars 2009.
Mai 2010
En général, l’information représente un des biens les plus précieux pour les opérations d’une organisation. La gouvernance de la gestion de l’information/de la technologie de l’information (GI/TI) intègre et institutionnalise les bonnes pratiques, afin de garantir que la GI/TI favorisera l’atteinte des objectifs opérationnels en maximisant les avantages, en exploitant les possibilités et en bénéficiant de services commerciaux de meilleure qualité.
Conformément à ce que prévoyait le Plan de vérification 2006-2009, la présente vérification vise, dans le cadre de la Politique sur la vérification interne du Conseil du Trésor du Canada, à donner des assurances à la présidente et à la haute direction à propos de la pertinence et de l’efficacité des modes de gouvernance de la GI/TI. Cette vérification comprend un examen des activités entreprises par le Bureau du dirigeant principal de l’information (BDPI) entre novembre 2008 et mars 2009.
Constatation 1 : Aperçu des fonctions et des projets
Les actuels comités de gouvernance ne supervisent pas de façon détaillée les fonctions de GI/TI.
Recommandation 1 :
Le V.-P., Finances, administration et technologie de l’information devrait veiller à la création d’un comité de supervision de la GI/TI composé de cadres supérieurs, et d’une série complète de comités d’appui.
Constatation 2 : Gestion de l’information et fourniture des services de TI
La gestion de l’information et la fourniture des services de TI ne sont pas bien planifiées, officialisées ou surveillées.
Recommandation 2 :
Le V.-P., Finances, administration et technologie de l’information devrait renforcer les pratiques de gestion afin de veiller à ce que la gestion de l’information et la prestation des services de TI soient bien planifiées, officialisées et surveillées.
Constatation 3 : Politiques et procédures liées à la GI/TI
On n’a pas établi, approuvé et fait connaître de série complète de politiques/procédures liées à la GI/TI.
Recommandation 3 :
Le V.-P., Finances, administration et technologie de l’information devrait élaborer et mettre en place un cadre stratégique cohérent, en tenant compte du renouvellement de la série de politiques du Conseil du Trésor. Le DPI devrait produire des politiques et procédures approuvées dans l’esprit de ce cadre.
Constatation 4 : Développement de systèmes
Les systèmes d’information ne sont pas développés à l’aide de pratiques courantes ou conformément à la politique du Conseil du Trésor.
Recommandation 4 :
Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que le processus de développement de systèmes satisfait aux pratiques courantes et acceptées par l’industrie, et aux exigences du Conseil du Trésor.
Constatation 5 : Gestion des initiatives à risque élevé
Les initiatives à risque élevé ne sont pas gérées adéquatement, et les activités liées à la GI/TI ne répondent pas aux attentes du gouvernement en matière de sécurité opérationnelle.
Recommandation 5 :
Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que les exigences relatives à la GSTI [gestion de la sécurité des technologies de l’information] sont intégralement respectées et qu’on en rend compte avec précision et dans un délai raisonnable.
Selon mon jugement professionnel en tant que dirigeant principal de la vérification, des procédures de vérification appropriées ont été suivies et des données suffisantes ont été recueillies pour confirmer l'exactitude de l'opinion formulée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées en fonction des critères de vérification établis. Les conclusions ne s'appliquent qu'aux entités examinées et au champ d'étude décrit dans le présent rapport.
À mon avis, la gouvernance de la GI/TI au sein de l’ACIA présente des lacunes créant divers types de risques, qui exigent une amélioration importante des processus de gouvernance, de contrôle et de gestion des risques1.
Peter Everson
Dirigeant principal de la vérification, Agence canadienne
d’inspection des aliments
En général, l’information représente un des biens les plus précieux pour les opérations d’une organisation. La gouvernance de la gestion de l’information/de la technologie de l’information (GI/TI) intègre et institutionnalise les bonnes pratiques, afin de garantir que la GI/TI favorise l’atteinte des objectifs opérationnels en maximisant les avantages, en exploitant les possibilités et en bénéficiant de services commerciaux de meilleure qualité.
Comme cela a été approuvé dans le Plan de vérification 2006-2009, la présente vérification vise, dans le cadre de la Politique sur la vérification interne du Conseil du Trésor du Canada, à donner des assurances à la présidente et à la haute direction à propos de la pertinence et de l’efficacité des modes de gouvernance de la GI/TI.
Cette vérification comprend un examen des activités entreprises par le Bureau du dirigeant principal de l’information (BDPI) entre novembre 2008 et mars 2009.
Pour aider les organisations à obtenir les résultats souhaités au chapitre de la GI/TI, on a créé plusieurs cadres de contrôle. La norme baptisée Control Objectives for Information and related Technology (COBIT) est largement acceptée par l’industrie; elle définit les pratiques exemplaires et les spécialistes de la GI/TI l’utilisent comme guide pour superviser et contrôler les activités de GI/TI (voir l’annexe A). Dans le cadre de la présente vérification de la gouvernance de la GI/TI, nous avons respecté la norme COBIT afin de définir les domaines dans lesquels il existe des processus de contrôle à la fois adéquats et efficaces qui fonctionnent comme prévu, et dans lesquels on pourrait apporter des améliorations. La norme COBIT met l’accent sur les éléments suivants :
Nous avons conçu un programme de vérification en nous basant sur la norme COBIT pour en définir les objectifs et les critères. Nous avons interviewé les employés du Bureau du dirigeant principal de l’information (BDPI) et de l’agent de sécurité du Ministère (ASM) à l’ACIA. Nous avons analysé la conformité de trois systèmes en cours de développement par rapport aux pratiques de développement traditionnelles : le Système informatisé pour l’enregistrement et le suivi des analyses de laboratoire (SIESAL), le Système de vérification de la conformité (SVC) et l’initiative de guichet unique relative aux importations. Les entrevues ont été documentées et les documents, analysés, et l’on a procédé à des essais appropriés afin de corroborer l’information obtenue.
Cette section contient les constatations détaillées issues de la vérification de la gouvernance de la GI/TI au sein du BDPI. Ces constatations sont basées sur les éléments probants et les analyses découlant à la fois de notre analyse initiale des risques et de la vérification détaillée.
Nous nous attendions à ce que les fonctions de GI/TI soient gérées par des comités chargés de formuler des orientations stratégiques et de passer en revue les principaux investissements pour le compte du Comité de la haute direction.
Les décisions stratégiques visant les projets sont prises par le Sous-comité de la gestion et de la technologie de l’information (SCGTI), plutôt que par le comité de cadres supérieurs chargés des sciences et de la technologie ou par un comité directeur de la GI/TI composé de cadres supérieurs qui supervise l’atteinte des objectifs opérationnels et stratégiques. Le SCGTI autorise les membres non officiels à prendre des décisions. On n’a pas créé de comité de l’architecture chargé de coordonner l’évolution de l’architecture d’entreprise en ce qui concerne l’information, l’infrastructure, les applications et la sécurité.
D’autres comités, censés participer à l’établissement des priorités de GI/TI et à la surveillance de projets (par exemple, le Comité des applications des secteurs d’activités (CASA), le Comité de soutien intégré et des services gérés (CSISG) et le Comité de l’infrastructure essentielle (CIE)) ne se réunissent pas régulièrement en raison du trop petit nombre de membres.
Notre examen a révélé que la gouvernance n’était pas appropriée, car on n’a pas créé de comité directeur pour un projet d’importance comme le Système de vérification de la conformité (SVC), alors qu’un comité directeur efficace a été créé pour le projet de centre de données. On assigne deux chefs à un même projet lorsque les responsables du développement des systèmes et le secteur d’activité proposent chacun un gestionnaire de projet.
Il peut arriver que les décisions stratégiques et les activités liées à la GI/TI ne tiennent pas totalement compte des objectifs opérationnels de l’Agence. Il peut également arriver que les décisions relatives à un projet de GI/TI ne soient pas prises à temps par le personnel approprié pour mener à bien ce projet avec succès (en temps opportun, dans le respect du budget et en répondant aux exigences des utilisateurs).
Recommandation 1 :
Le V.-P., Finances, administration et technologie de l’information devrait veiller à la création d’un comité de supervision de la GI/TI composé de cadres supérieurs et d’une série complète de comités d’appui.
Nous nous attendions à ce que la gestion de l’information et les services de TI soient correctement planifiés et communiqués, et à ce qu’ils s’harmonisent avec la stratégie et les plans opérationnels de l’Agence.
Il n’existe pour l’instant aucune architecture d’information, aucun dictionnaire de données d’entreprise permettant de gérer l’information électronique et aucun système de gestion des contenus d’entreprise.
La planification de la GI/TI est incomplète et ne fait l’objet d’aucune surveillance. Exemples : la planification stratégique de la GI/TI n’est pas liée aux stratégies opérationnelles et techniques; on n’a pas élaboré les plans opérationnels en se basant sur les plans stratégiques ou sur les commentaires des secteurs d’activité. Il n’existe aucun catalogue des services de GI/TI, aucun accord sur les niveaux de service et aucun mécanisme permettant d’établir le coût et le rendement des services.
Les processus de GI/TI ne sont pas officialisés, clairement définis ou approuvés; par ailleurs, on ne les surveille pas pour s’assurer qu’ils répondent aux attentes. Les processus ne sont pas mis en oeuvre de façon cohérente (p. ex., on ne définit pas de procédures de lutte contre les virus, avec des rôles et responsabilités clairement définis, pas plus qu’on ne les surveille ou qu’on ne les corrige au moment opportun).
Il n’existe pas de programme permanent de remplacement et de mise à niveau de l’équipement informatique et des logiciels de bureau. On achète le matériel informatique à l’aide de fonds qui ne peuvent pas être reportés en fin d’année, puis on entrepose ce matériel. Depuis deux ans, on n’a acheté aucun nouvel ordinateur de bureau; les systèmes de base sont donc très vieux et nécessitent un investissement important pour 2009‑2010 et les années suivantes. La mise à niveau planifiée des logiciels de bureau a été reportée par manque de fonds.
L’Agence risque d’offrir des services de TI et de gérer son information de façon coûteuse, inefficace et peu rentable. Elle est tout particulièrement à risque, car elle crée et offre des services basés sur les technologies récentes à l’aide d’une infrastructure de TI vieillissante.
Recommandation 2 :
Le V.-P., Finances, administration et technologie de l’information devrait renforcer les pratiques de gestion afin de veiller à ce que la gestion de l’ information et la prestation des services de TI soient bien planifiées, officialisées et surveillées.
Nous nous attendions à ce qu’une série de politiques et procédures existe et ait été approuvée par le Comité de la haute direction, à l’appui de la stratégie de GI/TI. Nous pensions que les politiques et procédures étaient communiquées à tous les employés, qu’elles définissaient clairement les responsabilités et qu’on en examinait périodiquement la pertinence. Nous pensions qu’on avait établi des normes, procédures et pratiques, et qu’on les tenait à jour pour les principaux processus de GI/TI.
De nombreuses politiques et procédures demeurent incomplètes ou ne sont pas approuvées (par exemple : le cadre de sécurité de la TI, le cadre de certification et d’accréditation et la politique d’intervention en cas d’incident de sécurité). La mise en oeuvre de bon nombre des politiques liées à la GI/TI n’a pas fait l’objet d’un suivi.
Par ailleurs, le cadre stratégique provisoire relatif aux finances, à l’administration et à la technologie de l’information (FATI) ne nécessite aucun instrument pour être officiellement approuvé par le Comité de la haute direction de l’ACIA. Par contre, il est approuvé par le Comité de la gestion des ressources et de la surveillance (CGRS).
Il n’existe aucun cadre de politique visant l’ensemble de l’Agence, et chaque direction a adopté son propre ensemble de politiques, sa structure et ses contenus. Le cadre stratégique provisoire relatif aux FATI ne décrit pas les divers instruments stratégiques et leur objet; son contenu n’est donc pas utile.
Les actuelles politiques et procédures de GI/TI ne s’inscrivent pas dans l’approche de renouvellement des politiques du Conseil du Trésor, qui vise à mieux harmoniser les responsabilités et l’obligation de rendre compte au sein du gouvernement fédéral (politiques, directives, normes, lignes directrices, outils).
Les risques associés au fait de ne pas mettre à jour les politiques approuvées sont les suivants : l’obligation de rendre compte, les rôles et les responsabilités ne sont pas clairement définis; il se peut que les employés ne fassent pas toujours leur travail de la même façon, avec le même niveau de qualité et de sorte qu’il puisse être répété.
Recommandation 3 :
Le V.-P., Finances, administration et technologie de l’information devrait élaborer et mettre en place un cadre stratégique cohérent, en tenant compte du renouvellement de la série de politiques du Conseil du Trésor. Le DPI devrait produire des politiques et procédures approuvées dans l’esprit de ce cadre.
Nous nous attendions à ce qu’on utilise un cadre de gestion des projets de GI/TI – conforme aux politiques du Conseil du Trésor – pour guider le développement des systèmes d’information (en temps opportun, dans le respect du budget et en répondant aux exigences des utilisateurs).
L’actuel cadre de gestion des projets de GI/TI est inadéquat, car il n’inclut pas toutes les phases d’un projet, de la mise en oeuvre initiale à l’obsolescence des systèmes. Par ailleurs, il ne définit pas les pratiques exemplaires de gestion de projets, pas plus qu’il n’intègre les exigences relatives à la sécurité de l’information.
On n’utilise pas ce cadre pour le développement des systèmes d’information. Dans le cas des deux projets de développement que nous avons examinés – Système informatisé pour l’enregistrement et le suivi des analyses de laboratoire (SIESAL) et Système de vérification de la conformité (SVC), nous avons constaté qu’aucune analyse de rentabilisation n’avait été préparée et que ces projets n’étaient pas conformes à la Politique sur l’approbation des projets du Conseil du Trésor. Les pratiques de gestion de projet n’ont pas permis de mener à bien efficacement ces projets. Par exemple, le SIESAL devait coûter initialement 1,2 million de dollars et être terminé en deux ans. Le projet est encore en cours, et son coût total (indiqué dans les notes d’information sur les projets d’immobilisations) est passé de 1,2 million en 2005‑2006 à 4,4 millions en 2006‑2007, à 4,8 millions en 2007‑2008 et à 7,4 millions en 2008‑2009.
Nous avons constaté que les gestionnaires de projet n’adoptaient pas les pratiques énoncées dans la Politique sur la gestion des projets du Conseil du Trésor et ne recevaient pas la formation adéquate. Le Bureau de gestion de projets ne surveille pas de façon efficace les produits livrables associés aux projets.
Si l’on ne respecte pas le cadre approuvé, les projets risquent de continuer à être mis en oeuvre en retard, avec un dépassement de budget et sans répondre aux besoins fonctionnels des utilisateurs.
Recommandation 4 :
Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que le processus de développement de systèmes satisfait aux pratiques courantes et acceptées par l’industrie, et aux exigences du Conseil du Trésor.
Nous nous attendions à ce que la gestion des activités de GI/TI respecte la norme opérationnelle de sécurité du CT intitulée Gestion de la sécurité des technologies de l’information (GSTI). La GSTI est une initiative pangouvernementale qui prévoit de nombreux contrôles de la sécurité de l’information visant à réduire les risques pour l’information détenue par l’Agence.
On n’a pas pris les mesures correctives appropriées dans plusieurs situations à risque élevé :
Ces situations à risque élevé créent un profil de risque global en matière de sécurité qui pourrait ne pas être acceptable pour l’Agence. Si elle ne prend aucune mesure, l’Agence demeurera exposée à de nombreuses menaces visant l’information et les biens qu’elle détient, et pourrait être incapable de poursuivre sa mission en cas d’incident.
Recommandation 5 :
Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que les exigences relatives à la GSTI [gestion de la sécurité des technologies de l’information] sont intégralement respectées et qu’on en rend compte avec précision et dans un délai raisonnable.
Réponse général:
Nous sommes d’accord avec les conclusions de la vérification.
Des changements considérables sont apportés à la fonction de GI/TI à l’ACIA depuis que l’on comprend mieux l’importance de cette fonction en ce qui concerne l’orientation et l’efficacité de l’exécution du mandat de l’Agence. Cette transformation doit être soutenue par un engagement cohérent et de tous les instants entre les partenaires responsables de cette fonction – les secteurs d’activité et le BDPI.
Annexe B : Réponse de la direction et plan
d’action
Un modèle de gouvernance existe pour cette fonction. Selon le modèle actuel, le DPI est responsable de tous les aspects de la fonction de GI/TI, à l’exception du développement des applications et des systèmes à l’appui d’un secteur d’activité. Dans ce cas, l’obligation de rendre des comptes est double. Les comités existants tentent de favoriser une décision collective. Dans cette équation, le secteur de l’activité est décomposé (composantes individuelles des initiatives individuelles) et il n’encadre pas les changements apportés au système pour son compte par le BDPI. C’est pourquoi le modèle de gouvernance doit être modifié afin de fournir une orientation claire au DPI, en lui demande de rendre compte des résultats.
La vérification a montré qu’il faut renouveler la gouvernance de la GI/TI et établir un modèle de service solide qui définit clairement les obligations de rendre compte au sein de l’ACIA en ce qui concerne l’exploitation, la gestion et le développement des services de GI/TI. Ce nouveau modèle doit définir clairement les rôles, responsabilités et obligations de rendre compte et inclure les secteurs d’activité non seulement à titre de partenaires, mais aussi à titre de « propriétaires » du service. On utilisera un cadre cohérent du point de vue des services pour créer ce modèle des rôles, responsabilités et obligations de rendre compte (voir la structure illustrée dans l’encadré ci-dessus).
La réponse globale de la direction à la vérification donnera lieu à des changements notables au niveau de la gestion et de la supervision de la fonction de GI/TI au sein de l’Agence. Ces changements s’articuleront autour des grands thèmes suivants :
Réponse de la direction
Nous sommes d’accord avec les conclusions et les recommandations de la vérification.
Le vice-président, Finances, administration et technologie de l’information (FATI), présentera au président des propositions sur le renouvellement de la gouvernance de la GI/TI fondé sur des rôles, responsabilités et obligations de rendre compte clairement définis en ce qui a trait à la fonction de GI/TI à l’Agence. Ces propositions comprendront la mise en oeuvre d’un mécanisme de supervision des fonctions opérationnelles du DPI par les cadres supérieurs ainsi qu’un modèle de gouvernance qui permettra aux responsables des secteurs d’activité d’encadrer et de superviser les projets reposant sur la GI/TI. On utilisera un cadre cohérent du point de vue des services pour créer ce modèle de rôles, responsabilités et obligations de rendre compte (voir la structure illustrée ci-dessus).
Gouvernance
1. Le V.-P., Finances, administration et technologie de l’information devrait veiller à la création d’un comité de supervision de la GI/TI composé de cadres supérieurs, et d’une série complète de comités d’appui.
Mesures de gestion proposées | Représentant(s) responsable(s) | Date d’entrée en vigueur |
---|---|---|
Le BDPI élaborera et fera approuver un modèle de services de GI/TI fondé sur la structure présentée dans l’encadré de la réponse de la direction ci-dessus. Ce modèle permettra au vice-président, FATI, de créer un comité de supervision de la GI/TI composé de cadres supérieurs et des comités d’appui. | Dirigeant principal de l’information (DPI) | |
1. Élaborer et faire approuver une grille de responsabilités concernant le fonctionnement, le maintien et le développement des services de GI/TI au sein de l’ACIA. | DPI | 1er trimestre, exercice 2010-2011 |
2. Établir un cadre de supervision pour la fonction lorsque le DPI est le responsable. | V.-P., FATI | 3e trimestre, exercice 2010-2011 |
3. Élaborer et faire approuver un cadre de gouvernance fondé sur la structure illustrée dans l’encadré de la réponse la direction ci-dessus pour la fonction lorsque les secteurs d’activité sont les responsables. | V.-P., FATI | 1er trimestre, exercice 2010-2011 |
4. Entre-temps, le V.-P., FATI, supervisera des obligations de rendre compte du DPI, et on demandera au CGRS de superviser les obligations de rendre compte des secteurs d’activité responsables ainsi que l’affectation des ressources aux activités de GI/TI, aux projets reposant sur la GI/TI et aux projets liés à la GI/TI. | V.-P., FATI |
Réponse de la direction
Nous sommes d’accord.
Gouvernance
2. Le V.-P., Finances, administration et technologie de l’information, devrait renforcer les pratiques de gestion afin de veiller à ce que la gestion de l’information et la prestation des services de TI soient bien planifées, officialisées et surveillées.
Mesures de gestion proposées | Représentant(s) responsable(s) | Date d’entrée en vigueur |
---|---|---|
1. Le DPI va créer les capacités de gestion des activités qui fournira la gestion opérationnelle et des activités du secteur. | Dirigeant principal de l’information (DPI) | Avril 2011 |
2. Un poste de dirigeant principal de la technologie (DPT) relevant directement du DPI sera créé. Son titulaire sera responsable de la direction et de la fourniture des services de GI/TI aux clients d’une manière efficace et efficience. | DPI | Juin 2011 |
3. Le DPI élaborera et fera approuver, par le CGRS ou son successeur, un modèle de services de GI/TI fondé sur la structure illustrée dans l’encadré de la réponse de la direction à la recommandation no 1. | DPI | 2e trimestre, exercice 2010-2011 |
4. Un accord sur les niveaux de service (ANS) sera élaboré pour définir les normes de services aux clients et approuvé par le CGRS ou son successeur. | DPI | Avril 2011 |
5. Des procédures et des protocoles opérationnels officiels seront élaborés et mis en application par l’intermédiaire du DPT. | DPI | 4e trimestre, exercice 2010-2011 |
6. Le V.-P., FATI, supervisera les pratiques opérationnelles du DPI par l’intermédiaire du Comité de gestion des activités (CGA). | V.-P. FATI | Maintenant |
7. Le DPI élaborera un plan en plusieurs étapes pour l’élaboration et la fourniture d’une capacité centrale dans le secteur de la prestation des services. | DPI | Avril 2011 2e trimestre, exercice 2010-2011 |
Réponse de la direction :
Nous sommes d’accord.
Gouvernance
3. Le V.-P., Finances, administration et technologie de l’information, devrait élaborer et mettre en place un cadre stratégique cohérent, en tenant compte du renouvellement de la série de politiques du Conseil du Trésor. Le DPI devrait produire des politiques et procédures approuvées dans l’esprit de ce cadre.
Mesures de gestion proposées | Représentant(s) responsable(s) | Date d’entrée en vigueur |
---|---|---|
Élaborer et mettre en oeuvre un cadre stratégique cohérent pour les politiques de GI et de TI. Ce cadre tiendra compte du renouvellement de la série de politiques du Conseil du Trésor, et se penchera d’abord sur les politiques de sécurité de la TI. | Dirigeant principal de l’information (DPI) | |
1. Dans ce contexte, élaborer un cadre stratégique global de la politique administrative et un plan de mise en oeuvre. | V.-P., FATI | 1er trimestre, exercice 2010-2011 |
2. Élaboration du cadre stratégique –sera approuvé par le CGRS ou son successeur. | DPI | 1er trimestre, exercice 2010-2011 |
3. Politiques intégrées dans le cadre : | DPI | |
|
1er trimestre –2e trimestre, exercice 2010-2011 | |
|
2e trimestre –4e trimestre, exercice 2010-2011 |
Réponse de la direction:
Nous sommes d’accord.
Contrôles
4. Le V.-P., Finances, administration et technologie de l’information, devrait s’assurer que le processus de développement de systèmes satisfait aux pratiques courantes et acceptées par l’industrie, et aux exigences du Conseil du Trésor.
Mesures de gestion proposées | Représentant(s) responsable(s) | Date d’entrée en vigueur |
---|---|---|
1. Créer une fonction d’agent de gestion des projets d’entreprise au sein du bureau du V.-P., FATI | V.-P., FATI | Avril 2010 |
2. Désigner le CGRS en tant qu’organe de supervision de la gestion de projet. | V.-P., FATI | Avril 2010 |
3. Élaborer et fournir un CGP pour l’ACIA. | Agent de gestion des projets d’entreprise | Juin 2010 |
4. Mener un examen indépendant des projets reposant sur la GI/TI en cours pour confirmer leur portée, coûts estimés et niveaux d’autorité. | V.-P., FATI | Juin 2010 |
5. Créer un tableau de bord pour le CGP. | Agent de gestion des projets d’entreprise | Sept. 2010 |
6. Étendre la gestion de projet présentement assurée par le BDPI au niveau de la direction et des gestionnaires de projet/chefs de projet de secteur d’activité. | Agent de gestion des projets d’entreprise | Sept. 2010 |
7. Examiner et moderniser le CGP du BDPI pour s’assurer qu’il satisfait aux pratiques courantes et exemplaires de l’industrie et aux exigences du Conseil du Trésor. | ||
|
DPI | 2e trimestre, exercice 2010-2011 |
|
DPI | 2e trimestre – 4e trimestre, exercice 2010-2011 |
8. Examen et modernisation du cycle de développement des systèmes au BDPI en tenant compte des pratiques exemplaires (industrie et gouvernement) actuelles concernant les processus acceptés et les approches émergentes du développement de systèmes. | ||
|
DPI | 2e trimestre, exercice 2010-2011 |
|
DPI | 2e trimestre – 4e trimestre exercice 2010-2011 |
Réponse de la direction
Nous sommes d’accord.
Gestion des risques
5. Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que les exigences relatives à la GSTI [gestion de la sécurité des technologies de l’information] sont intégralement respectées et qu’on en rend compte avec précision et dans un délai raisonnable.
Mesures de gestion proposées | Représentant(s) responsable(s) | Date d’entrée en vigueur |
---|---|---|
1. Un examen de l’état de la conformité aux exigences relatives à la GSTI est en cours, et on élabore présentement un plan d’exécution chiffré. Les progrès relativement à la GSTI sont soumis à deux contraintes : le financement et les capacités au niveau du gouvernement fédéral. | Directeur, Sécurité de la TI | 1er trimestre, 2010-2011 |
2. Un plan de sécurité de la TI est en cours d’élaboration, conformément aux exigences de conformité globales en vertu de la Politique sur la sécurité du gouvernement. On s’intéressera aux éléments plus vulnérables, et s’assurer que Sécurité de la TI a un niveau de conformité acceptable aux exigences relatives à la GSTI. Ce plan sera approuvé par le CGRS ou son successeur. | DPI | 4e trimestre, 2010-2011 |
1 Cette opinion est basée sur le niveau global d’importance et de risque associé aux principales constatations et recommandations contenues dans le rapport.