Liste de vérification de la sécurité de la technologie de l’information (Sec TI)

TPSGC 2002 - Déclaration de fréquentation d'un établissement d'enseignement">Version PDF (203Ko) Aide avec les médias substituts

PROTÉGÉ A (une fois rempli)

Nom de l’entreprise :

Ministère :

Numéro de l’organisation – Lieu :

Examen de la TI :

(voir la partie C.11.d de la LVERS)

Numéro du contrat :

Lien électronique :

(voir la partie C.11.e de la LVERS)

Date d’attribution (AAAA-MM-JJ):

Date d’expiration : (AAAA-MM-JJ):

NOTE: L’objet de cette liste de vérification est de communiquer à l’inspecteur de la sécurité des technologies de l’information (Sec TI) du programme de la sécurité industrielle (PSI) les premiers renseignements lui permettant de voir comment l’entreprise se situe par rapport à la Sec TI en vue de se préparer à l’inspection des lieux dans le cadre du traitement, de la production et du stockage de l’information de nature délicate pour ce contrat ministériel au lieu susmentionné. Cette liste de vérification de la sécurité ne doit ne pas être utilisée par le ministère comme le document technique requis à la liste de vérification des exigences relatives à la sécurité (LVERS) à la Partie C.11.d, ni comme le document sur les critères au lien électronique à la Partie C.11.e.

Annexe A – Liste de références

Annexe B – Liste de références disponibles uniquement sur demande

Annexe C – Liste d’abréviations et définitions

SYSTÈME INFORMATIQUE (SI) (Cocher les cases appropriées)

Est-ce que le système informatique (SI) utilisé dans le cadre de ce contrat est déjà mis en place, configuré, opérationnel et prêt pour l'inspection de STI?

Oui Non

NOTE:

La présente liste de vérification ne concerne QUE les

technologies de l’information (TI) associées au présent contrat.

RÉSEAU D’ENTREPRISE :

Réseau d’entreprise (MAN/WAN)
Réseau local (RL)
Réseau local virtuel (VLAN)
Réseau local sans fil (WLAN)

AUTONOME:
(Voir l’annexe B)

Réseau local fermé
Poste de travail autonome
Ordinateur portatif autonome

ÉQUIPEMENT TEMPEST:

Réseau local fermé

Oui Non

Poste de travail autonome

Oui Non

Ordinateur portatif autonome

Oui Non

Quel est le niveau de sensibilité de l’information gouvernementale qui est traitée et produite dans le cadre du présent contrat? (Préciser plusieurs niveaux le cas échéant)

Quel est le niveau de sensibilité de l’information gouvernementale qui est sauvegardée en format électronique dans le cadre du présent contrat? (Préciser plusieurs niveaux le cas échéant)

Décrivez sommairement le SI utilisé pour le traitement, la production et le stockage de l’information de nature délicate dans le cadre du présent contrat :

ÉVALUATION DES MENACES ET DES RISQUES (EMR)

1. Votre entreprise a-t-elle complété une évaluation des menaces et des risques (EMR) pour le traitement des renseignements protégés/classifiés?

Oui Non

Date (AAAA-MM-JJ):

Préciser

Remarques :

2. Le SI associé au présent contrat a-t-il été certifié et accrédité?

Oui Non

Date (AAAA-MM-JJ):

Préciser

Remarques :

3. Aux fins du traitement des renseignements classifiés uniquement :
La sécurité des émissions a-t-elle été assurée dans le cadre de l'EMR?

Oui Non S.O.

Préciser

Remarques :

EMPLACEMENT DU SYSTÈME – Précisez tous les lieux où les renseignements protégés/classifiés sont traités, produits, stockés ou sauvegardés, et ce, pour tous les aspects de ce contrat particulier et tout autre contrat de sous-traitance relié.

1. Est-ce que les renseignements protégés/classifiés seront transmis, de façon électronique, du système de TI du fournisseur à cet emplacement vers un autre site ou emplacement, un emplacement non gouvernemental ou vers un fournisseur tiers?

Oui Non

Remarks:

Si oui, préciser

(Joindre une liste séparée au besoin)

Nom et adresse :

Remarques :

Nom et adresse :

Remarques :

2. S'il existe une connexion vers un autre site ou un autre emplacement, a-t-on établi un contrat de sous-traitance à cet égard?

Oui Non

Remarques :

Si oui, préciser

Numéro du contrat :

S.O.

Remarques :

Partie 11.d de la LVERS

Oui Non S.O.

Remarques:

Partie 11.e de la LVERS

Oui Non S.O.

Remarques:

Autres commentaires :

COMMUNICATION – Précisez tous les mécanismes utilisés pour échanger des renseignements protégés/classifiés dans le cadre de ce contrat particulier.

1. À cet emplacement, le SI est-il connecté à d’autres systèmes d'information? (c.-à-d. réseau d’entreprise, réseau ministériel, réseau à domicile, Internet, etc.)

Oui Non

Préciser

Remarques :

2. Votre entreprise utilise-t-elle un « lien électronique » comme moyen de communication?

Oui Non

(Si oui, cocher les cases appropriées)

FTP

Oui Non

VPN

Oui Non

HTTPS

Oui Non

SSL

Oui Non

Autre (Préciser):

RVP (Préciser):

HTTPS (Préciser):

Remarques :
Contrat : Partie C.11.e de la LVERS

3. Peut-on accéder à distance au SI?

Oui Non

Remarques :

4. Utilisez-vous une authentification à deux facteurs?

Oui Non

Si oui, préciser

Remarques :
CSTC : ITSG-31

5. Votre entreprise utilise-t-elle une technologie sans fil?

Oui Non

Réseau (Préciser):

Oui Non

Équipement portatif (Préciser):

Oui Non

Remarques :
CSTC : ITSPSR-21A

6. De quelle manière les produits livrables du contrat vont-ils être acheminés au gouvernement?

Remarques :

7. Votre entreprise utilise-t-elle des services de « messagerie » comme moyen de communication?

Oui Non

(Si oui, fournir le nom et l’adresse du messager)

Remarques :
506.1.d du MSI

8. Joignez un schéma de topologie de réseau montrant où les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont traités, produits, stockés ou sauvegardés.

Pièce jointe : Oui Non

Remarques :

9. Joignez un diagramme du flux de données montrant où les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont traités, produits, stockés ou sauvegardés depuis le point d’entrée dans l’entreprise jusqu’à ce que les produits livrables soient acheminés au gouvernement.

Pièce jointe : Oui Non

Remarques :

10. Votre entreprise utilise-t-elle un télécopieur (fax) dans le cadre de ce contrat?

Oui Oui

Remarques :

Autres commentaires :

SUPPORTS DE TI – Précisez tous les types de support de TI utilisés dans le cadre de ce contrat

1. CD/DVD :

Oui Non

Remarques :

2. Dispositif de stockage USB mobile :

Oui Non

Si oui, préciser

Remarques :

3. Disque dur externe USB :

Oui Non

Si oui, préciser

Remarques :

4. Disque dur amovible :

Oui Non

Si oui, préciser

Remarques :

5. Support audio ou vidéo :

Oui Non

Si oui, préciser

Remarques :

6. Support de sauvegarde :

Oui Non

Si oui, préciser

Remarques :

7. Autre (Préciser):

Préciser

Remarques :

GESTION DES SUPPORTS DE TI utilisés dans le cadre du présent contrat

1. L'équipement de TI (serveurs, postes de travail ou ordinateurs portatifs) utilisé dans le cadre de ce contrat est-il enregistré au plus haut niveau de sensibilité?

Oui Non

Remarques :

2. Les supports de TI utilisés dans le cadre de ce contrat sont-ils enregistrés au plus haut niveau de sensibilité?

Oui Non

Remarques :

3. Si vous utilisez des supports de TI comme méthode de sauvegarde, les sauvegardes sont-elles enregistrées avec un niveau de sensibilité, avec le numéro du contrat et le ministère inscrits dessus?

Oui Non

Remarques :

4. L’emplacement de tous les supports de TI utilisés dans le cadre du présent contrat est-il systématiquement communiqué à l’Agent de sécurité d’entreprise (ASE) ou à l’Agent remplaçant de sécurité d’entreprise (ARSE)?

Oui Non

Remarques :

5. L’ensemble des supports de TI utilisés dans le cadre du présent contrat sont-ils conservés dans un lieu distinct de celui de tous les autres supports de l’entreprise?

Oui Non

Préciser

Remarques :

6. L’ensemble des supports de TI utilisés dans le cadre du présent contrat sont-ils conservés dans un lieu distinct des supports de TI des autres contrats?

Oui Non

Préciser

Remarques :

7. À quel point l’emplacement de tous les supports est-il systématiquement communiqué à l’ASE ou à l’ARSE?

Remarques :

8. Lorsque vous transportez à l’extérieur des renseignements protégés/classifiés sur un support de TI, les renseignements qu’il contient sont-ils cryptés?

Oui Non

Préciser

Remarques :

9. Lorsque vous transportez à l’extérieur des renseignements protégés/classifiés sur un support de TI, respectez-vous les règles énoncées au chapitre 5 du Manuel de sécurité industrielle (MSI)?

Oui Non

Préciser

Remarques :

Autres commentaires :

SÉCURITÉ MATÉRIELLE associée au présent contrat

1. Joignez un plan d’étage permettant de repérer les endoits de traitement, de production et de stockage des renseignements protégés/classifiés utilisés dans le cadre du présent contrat.

En pièce jointe : Oui Non

Remarques :

2. À cet emplacement, y aura-t-il d’autres emplacements qui n’ont pas été désignés comme tels pendant l’inspection physique visant l’obtention de l’Autorisation de détenir des renseignements (ADR) par l’entreprise et qui serviront au traitement, à la production ou au stockage de données de TI constituant des renseignements protégés/classifiés utilisés dans le cadre du présent contrat?

Oui Non

Si oui, préciser

Remarques :

3. Les supports de TI sont-ils tous conservés dans l’armoire de rangement approuvée par le PSI?

Oui Non

Si non, préciser

Remarques :

4. Disposez-vous d’une liste de contrôle d’accès (LCA) à l’intérieur de vos zones de sécurité et de haute sécurité lorsque vous traitez des renseignements classifiés?

S.O. Oui Non

Remarques :

5. Votre entreprise tient-elle à jour un registre des visites?

Oui Non

Remarques :

6. Votre entreprise accorde-t-elle des laissez-passer pour les visiteurs?

Oui Non

Remarques :

7. Les visiteurs sont-ils accompagnés lorsqu’ils se trouvent dans les zones visées au moment où des renseignements protégés/classifiés y sont traités, produits ou stockés?

Oui Non

Remarques :

Autres commentaires :

SÉCURITÉ DU PERSONNEL dans le cadre du présent contrat

Agent général de sécurité d’entreprise (AGSE)

S.O.

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Remarques :

Agent de sécurité d’entreprise (ASE)

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Remarques :

Agent remplaçant de sécurité d’entreprise (ARSE)

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Agent remplaçant de sécurité d’entreprise (ARSE)

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Agent remplaçant de sécurité d’entreprise (ARSE)

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Remarques :

Membres du personnel participant directement au traitement, à la production et au stockage électroniques de renseignements protégés/classifiés utilisés dans le cadre du présent contrat. (Joindre une liste séparée au besoin)

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Remarques :

1. Votre entreprise a-t-elle recourt à des employés affectés à un centre d'appels dans le cadre de ce contrat?

Oui Non

Remarques :

2. L’ensemble du personnel ayant un accès au SI a-t-il une cote de sécurité dont le niveau correspond aux renseignements traités dans le cadre de ce contrat?

Oui Non

Remarques :

3. L’ensemble du personnel ayant accès au SI a-t-il un accès sélectif aux renseignements traités?

Oui Non

Remarques :

4. Existe-t-il un programme de sensibilisation à la sécurité bien établi pour l’ensemble du personnel associé à ce contrat?

Oui Non

Préciser

Remarques :

5. L’ensemble du personnel sait-il comment traiter les renseignements conformément aux exigences du MSI?

Oui Non

Remarques :

Autres commentaires :

SÉCURITÉ DU PERSONNEL DE LA TI dans le cadre du présent contrat

Membres du personnel de la TI participant directement à l’administration ou au soutien relatifs à l’équipement de TI et aux logiciels. (Joindre une liste séparée au besoin)

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Personnel

Niveau d’autorisation de sécurité

Date d’expiration (AAAA-MM-JJ):

Remarques :

1. Votre entreprise a-t-elle recourt à des employés affectés à un service de dépannage dans le cadre de ce contrat?

Oui Non

Remarques :

2. L’ensemble du personnel de la TI ayant un accès au SI a-t-il une cote de sécurité dont le niveau correspond aux renseignements traités dans le cadre de ce contrat?

Oui Non

Remarques :

3. En raison de ses privilèges d'accès élevés, l'ensemble du personnel de la TI a-t-il eu une rencontre de sensibilisation sur la sécurité relativement à la manipulation des renseignements conformément aux exigences du MSI?

Oui Non

Remarques :

4. Dans le cadre de sa rencontre de sensibilisation sur la sécurité, l'ensemble du personnel de la TI a-t-il reçu des instructions précises quant à la manipulation du matériel informatique relativement aux renseignements protégés/classifiés?

Oui Non

Remarques :

5. Dans le cadre de sa rencontre de sensibilisation sur la sécurité, l'ensemble du personnel de la TI a-t-il reçu des instructions précises quant à la mise a jour des logiciels relativement aux renseignements protégés/classifiés?

Oui Non

Remarques :

6. Votre entreprise a-t-elle recourt à une entreprise ou à un technicien externe pour effectuer des tâches de dépannage relativement au SI susmentionné?

Oui Non

Si oui, préciser

Nom de l’entreprise ou du(des) particulier(s) :

Inscription au PSI :

Oui Non

Accompagnement des personnes assuré pendant la prestation des services de dépannage relativement au SI susmentionné :

Oui Non

Remarques :

Autres commentaires :

DE L’ÉQUIPEMENT DE TI – Dressez la liste de tout l’équipement de TI utilisé dans le cadre de ce contrat et pendant toute sa durée.

Description : (Cocher les cases appropriées)

Ordinateur(s) de bureau :

Réseau Autonome

Quantité

Marque

modèle

Remarques :

Ordinateur(s) portatif(s) :

Réseau Autonome

Quantité

Marque

modèle

Remarques :

Serveur(s) d’applications

Quantité

Marque

modèle

Remarques :

Serveur(s) de réseau SAN

Quantité

Marque

modèle

Remarques:

Serveur(s) de fichiers et d’impression

Quantité

Marque

modèle

Remarques :

Serveur(s) de courrier électronique

Quantité

Marque

modèle

Remarques:

Imprimante(s) multifonction(s)
(Imprimante/photocopieur/numériseur/télécopieur)

avec disque dur interne sans disque dur interne

Quantité

Marque

modèle

Remarques :

Imprimante(s)

avec disque dur interne sans disque dur interne

Quantité

Marque

modèle

Remarques :

Imprimante(s)

avec capacité sans fil sans capacité sans fil

Quantité

Marque

modèle

Remarques :

Numériseur(s)

avec disque dur interne sans disque dur interne

Quantité

Marque

modèle

Remarques :

Télécopieur(s)

avec disque dur interne sans disque dur interne

Quantité

Marque

modèle

Remarques :

Photocopieur(s)

avec disque dur interne sans disque dur interne

Quantité

Marque

modèle

Remarques :

Appareil(s) de sauvegarde sur bande

Quantité

Marque

modèle

Remarques :

Routeur(s)/commutateur(s)

Quantité

Marque

modèle

Remarques :

Routeur(s)

avec capacité sans fil sans capacité sans fil

Quantité

Marque

modèle

Remarques :

Pare-feu

Quantité

Marque

modèle

Remarques :

Émetteur(s)-récepteur(s) sans fil

Quantité

Marque

modèle

Remarques :

Modem câble pour la connexion au réseau du FAI

Quantité

Marque

modèle

Remarques :

Voix sur IP (VoIP) :
(système de gestion téléphonique)

Quantité

Marque

modèle

Remarques :

Autre (Préciser):

Quantité

Marque

modèle

Remarques :

Autres commentaires :

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION dans le cadre du présent contrat

1. Une politique sur la sécurité de la TI est-elle en place?

Oui Non

Date de la dernière mise à jour (AAAA-MM-JJ):

Remarques :

2. Utilisez-vous un pare-feu?

Oui Non

Remarques :

Matériel informatique Logiciel

Remarques :

Préciser le nom et la version du produit

Remarques :

3. La configuration du pare-feu est-elle documentée?

Oui Non

Date de la dernière mise à jour (AAAA-MM-JJ):

Remarques :

4. Quelle est la personne responsable de la configuration du pare-feu?

Remarques :

5. Les registres de sécurité du pare-feu sont-ils mis à jour et examinés régulièrement?

Oui Non

Remarques :

6. Quels sont les systèmes d’exploitation (SE) et l’ensemble de services (ES) installés sur le SI?

Serveurs :

Postes de travail :

Ordinateurs portatifs :

Remarques :

7. De quelle façon les mises à jour et les correctifs de sécurité du SE sont-ils appliqués?

Serveurs :

De façon manuelle
Serveur central
De façon automatique

Autre (Préciser):

Postes de travail :

De façon manuelle
Serveur central
De façon automatique

Autre (Préciser):

Ordinateurs portatifs :

De façon manuelle
Serveur central
De façon automatique

Autre (Préciser):

Remarques :

8. Les comptes d'administrateur sont-ils utilisés uniquement pour l'administration du SI?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

9. Utilisez-vous un répertoire actif pour créer des comptes utilisateurs?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

10. L’accès au SI nécessite-t-il des comptes d’utilisateurs et des mots de passe uniques?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

11. Veuillez préciser votre politique en matière de mot de passe (c.-à-d. politique en matière de longueur, de complexité, de durée de vie, de blocage, etc.)

Serveurs :

Postes de travail :

Ordinateurs portatifs :

Remarques :

12. Les utilisateurs sont-ils obligés de modifier un mot de passe temporaire à la première ouverture de session?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

13. Le SI offre-t-il aux utilisateurs la possibilité d’enregistrer les mots de passe à l’ouverture de session?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

14. Les registres de sécurité du SI sont-ils mis à jour et examinés régulièrement? (p. ex., observateur d’événements)

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

15. Utilisez-vous un logiciel antivirus?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

16. Veuillez fournir des précisions sur le produit antivirus.

Serveurs :

Nom du produit :

Version :

Date de la dernière mise à jour (AAAA-MM-JJ):

Postes de travail :

Nom du produit :

Version :

Date de la dernière mise à jour (AAAA-MM-JJ):

Ordinateurs portatifs :

Nom du produit :

Version :

Date de la dernière mise à jour (AAAA-MM-JJ):

Remarques :

17. À quelle fréquence effectuez-vous les mises à jour du logiciel de protection contre les virus?

Quotidienne Hebdomadaire Mensuelle
Autre (Préciser):

Remarques:

18. De quelle façon les les mises à jour de l'antivirus sont-elles appliquées?

Serveurs :

De façon manuelle
Serveur central
De façon automatique

Autre (Préciser):

Postes de travail :

De façon manuelle
Serveur central
De façon automatique

Autre (Préciser):

Ordinateurs portatifs :

De façon manuelle
Serveur central
De façon automatique

Autre (Préciser):

Remarques:

19. Y a-t-il des renseignements protégés/classifiés enregistrés localement sur le SI?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Ailleurs :

Oui Non

Si oui, préciser :

Remarques :

20. Les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont-ils séparés de ceux de l’entreprise?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

21. De quelle manière les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont-ils séparés de ceux de l’entreprise?

Remarques :

22. Bénéficiez-vous d’un autre contrat ministériel en cours pour cet emplacement comprenant des exigences relatives à un volet TI?

Oui Non

Remarques :

23. De quelle manière les renseignements sont-ils dissociés de ceux d’autres contrats?

Remarques :

24. Disposez-vous de moyens de cryptage?

Serveurs :

Oui Non

Postes de travail :

Oui Non

Ordinateurs portatifs :

Oui Non

Remarques :

25. Qui est le fournisseur du produit de cryptage?

Gouvernement Entreprise

Remarques :

26. Si vous utilisez le cryptage, de quelle façon l'utilisez-vous?

Remarques :

27. Précisez le nom et la version du produit de cryptage.

Serveurs :

Oui Non S.O

Nom :

Version :

Niveau d’assurance :

AES :

Poste de travail :

Oui Non S.O

Nom :

Version :

Niveau d’assurance :

AES :

Ordinateurs portatifs :

Oui Non S.O

Nom :

Version :

Niveau d’assurance :

AES :

Remarques :

Autres commentaires :

RÈGLES DE SÉCURITÉ : CONTRAVENTIONS, VIOLATIONS ET COMPROMISSIONS

1. Avez-vous un processus pour signaler les contraventions, violations ou compromissions relativement aux règles de sécurité ou les incidents connexes?

Oui Non

Si oui, préciser

Remarques :
512 du MSI

2. Imposez-vous des sanctions en réponse aux incidents en matière de Sec TI lorsque, de l’avis de la haute direction, il y a eu inconduite ou négligence?

Oui Non

Si oui, préciser

Remarques :

Autres commentaires :

REPRISE dans le cadre du présent contrat

1. Sauvegardez-vous les renseignements protégés/classifiés utilisés dans le cadre du présent contrat?

Oui Non

Remarques :

2. Avez-vous une procédure de sauvegarde documentée pour les renseignements protégés/classifiés utilisés dans le cadre du présent contrat?

Oui Non

Remarques :

3. Décrivez sommairement le procédé de sauvegarde.

Remarques :

4. Quelle est la fréquence des sauvegardes? (Cocher les cases appropriées)

Quotidienne

Incrémentielle Complète

Remarques :

Hebdomadaire

Incrémentielle Complète

Remarques :

Mensuelle

Incrémentielle Complète

Remarques :

Autre :

Remarques :

5. Les sauvegardes sont-elles conservées à l’extérieur du site?

Oui Non

Remarques :

Si oui, fournir l’endroit et l’adresse

Remarques :

6. Avez-vous mis en place un plan documenté de reprise après sinistre?

Oui Non

Remarques :

Si oui, quand a-t-il été testé pour la dernière fois?

Remarques :

Autres commentaires :

DESTRUCTION/ÉLIMINATION – norme ITSG-06 du CSTC

1. Conservez-vous des renseignements électroniques à l’issue du contrat?

Oui Non

Remarques :

Si oui, expliquer pourquoi

Remarques :

Si oui, préciser la période de conservation

Remarques :

2. À l’issue du contrat, tout l'équipement et tous les supports de TI sont-ils nettoyés?

Oui Non

Remarques :

3. Expliquez la méthode de « nettoyage » utilisée pour effacer complètement les renseignements protégés/classifiés du SI.

Remarques :

4. Précisez le nom et la version du produit de « nettoyage » (p. ex., logiciel de triple réécriture)

Nom :

Version :

Remarques :

5. Qu'advient-il des supports de stockage de données (supports de TI) inutilisables en cas de défaillance de l'équipement et qui doivent être remplacés avant la fin du présent contrat?

Remarques :

6. Qu'advient-il des supports de stockage de données (supports de TI, y compris les disques durs internes) à la fin du présent contrat?

Remarques :

7. Tenez-vous à jour une liste de destruction et d'élimination?

Oui Non

Si oui, préciser

Remarques :

Autres commentaires :

Cette liste de vérification une fois remplie NE DOIT PAS être envoyée par courriel, sauf si elle a été cryptée. Veuillez communiquer avec l’inspecteur de la STI pour obtenir les instructions et la confirmation de la méthode de transmission.

Annexe A – Liste des documents de référence

RÉFÉRENCES

Titre intégral et lien internet

SCT – PSG

Politique sur la sécurité du gouvernement
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=16578§ion=text

SCT – GSTI

Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12328§ion=text

SCT – NOSM

Norme opérationnelle sur la sécurité matérielle
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12329

SCT – NSGM

Norme de sécurité et de gestion des marchés
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12329

TPSGC/PSI – MSI

Manuel de la sécurité industrielle
http://ssi-iss.tpsgc-pwgsc.gc.ca/msi-ism/msi-ism-fra.html

CSTC – Programme avec l’industrie

Les Conseils pour les produits commerciaux
http://www.cse-cst.gc.ca/its-sti/services/index-fra.html

CSTC – PTIC

Programme TEMPEST de l’industrie canadienne
http://www.cse-cst.gc.ca/its-sti/services/industry-prog-industrie/citp-ptic-fra.html

CSTC – CSPC

Conseils en matière de sécurité pour les produits commerciaux
http://www.cse-cst.gc.ca/its-sti/services/csg-cspc/index-fra.html

CSTC – ITSA

Alertes de sécurité des technologies de l’information
http://www.cse-cst.gc.ca/its-sti/publications/itsa-asti/index-fra.html

CSTC – DGSIT

Bulletins de sécurité des technologies de l’information
http://www.cse-cst.gc.ca/its-sti/publications/itsb-bsti/index-fra.html

CSTC – DSTI

Directives en matière de sécurité des technologies de l’information
http://www.cse-cst.gc.ca/its-sti/publications/itsd-dsti/index-fra.html

CSTC – ITSG

Conseils en matière de sécurité des technologies de l’information
http://www.cse-cst.gc.ca/its-sti/publications/itsg-csti/index-fra.html

CSTC – ITSPSR

Rapports sur des produits / systèmes de sécurité de la TI
http://www.cse-cst.gc.ca/its-sti/publications/itspsr-rpssti/index-fra.html

CSTC – EHMR

Méthodologie harmonisée de l’EMR
http://www.cse-cst.gc.ca/its-sti/publications/tra-emr/index-fra.html

CSTC – SCCC

Schéma canadien lié aux Critères communs
http://www.cse-cst.gc.ca/its-sti/services/cc/index-fra.html

Critères communs

Critères communs
http://www.commoncriteriaportal.org/index.html
Produits certifiés
http://www.commoncriteriaportal.org/products.html

Annexe B – Liste de documents de référence disponibles UNIQUEMENT sur demande auprès de votre inspecteur de la STI dans le cadre des contrats classifiés.

RÉFÉRENCES

Lieu

CSTC – ITSG-11

Conseils en matière de sécurité des technologies de l’information 11 – Planification des installations SECOM – Conseils et critères TEMPEST

CSTC – ITSG-12

Conseils en matière de sécurité des technologies de l’information 12 – Procédures d’évaluation des installations du gouvernement du Canada

Annexe C – Liste d’abréviations et définitions

ABRÉVIATIONS

Titres élaborés ou définitions

ADR

Autorisation de détenir des renseignements

AES

Norme améliorée en matière de cryptage

AGSE

Agent général de sécurité d’entreprise

ARSE

Agent remplaçant de sécurité d’entreprise

ASE

Agent de sécurité de l’entreprise

C et A

Certification et accréditation (voir ci-dessous)

CSTC

Centre de la sécurité des télécommunications Canada

EMR

Évaluation des menaces et des risques

Ensemble des services

FTP

Protocole de transfert de fichiers (File Transfer Protocol)

HTTPS

Protocole sécurisé de transfert hypertexte

LCA

Liste de contrôle d’accès

LVERS

Liste de vérification des exigences relatives à la sécurité

MAN

Réseau métropolitain

MSI

Manuel de la sécurité industrielle

Produits commerciaux

Commercial sur étagère

Réseau local

RPV

Metropolitan Area Network

SAN

Réseau de stockage

Systèmes d’exploitation

Sec TI

Sécurité des technologies de l’information

Système d’information

SSL

Protocole SSL (Secure Sockets Layer)

TEMPEST

Surveillance d’émission d’impulsions électromagnétiques transitoire

Technologie de l’information

USB

Bus série universel (USB – Universal Serial Bus)

VLAN

Réseau local virtuel

VoIP

Voix sur IP (Internet Protocol)

WAN

Réseau étendu

WLAN

Réseau local sans fil

DÉFINITIONS

Certification et accréditation (C et A)

La C et A est la procédure d’évaluation exhaustive des caractéristiques techniques et autres d’un système d’information [dans son environnement] afin de déterminer si le système est prêt ou non à fonctionner à un niveau acceptable de risque [résiduel] selon la mise en oeuvre d’une gamme approuvée de mesures de protection techniques, de gestion et procédurales.

Appareil autonome

Renvoi de manière non exhaustive à tout matériel informatique, y compris poste de travail, ordinateur portatif, tableau électronique ou tout autre équipement ne se connectant pas à un réseau par l’intermédiaire d’une connexion filaire, sans fil ou d’un accès à distance.