Liste de vérification de la sécurité de la technologie de l’information (Sec TI)

Version PDF (203Ko) Aide avec les médias substituts

PROTÉGÉ A (une fois rempli)

(voir la partie C.11.d de la LVERS)
(voir la partie C.11.e de la LVERS)

NOTE: L’objet de cette liste de vérification est de communiquer à l’inspecteur de la sécurité des technologies de l’information (Sec TI) du programme de la sécurité industrielle (PSI) les premiers renseignements lui permettant de voir comment l’entreprise se situe par rapport à la Sec TI en vue de se préparer à l’inspection des lieux dans le cadre du traitement, de la production et du stockage de l’information de nature délicate pour ce contrat ministériel au lieu susmentionné. Cette liste de vérification de la sécurité ne doit ne pas être utilisée par le ministère comme le document technique requis à la liste de vérification des exigences relatives à la sécurité (LVERS) à la Partie C.11.d, ni comme le document sur les critères au lien électronique à la Partie C.11.e.

Annexe A – Liste de références

Annexe B – Liste de références disponibles uniquement sur demande

Annexe C – Liste d’abréviations et définitions

SYSTÈME INFORMATIQUE (SI) (Cocher les cases appropriées)

Est-ce que le système informatique (SI) utilisé dans le cadre de ce contrat est déjà mis en place, configuré, opérationnel et prêt pour l'inspection de STI?
Est-ce que le système informatique (SI) utilisé dans le cadre de ce contrat est déjà mis en place, configuré, opérationnel et prêt pour l'inspection de STI?
RÉSEAU D’ENTREPRISE :
RÉSEAU D’ENTREPRISE :



AUTONOME:
(Voir l’annexe B)
AUTONOME:
(Voir l’annexe B)


Réseau local fermé
Réseau local fermé
Poste de travail autonome
Poste de travail autonome
Ordinateur portatif autonome
Ordinateur portatif autonome

ÉVALUATION DES MENACES ET DES RISQUES (EMR)

1. Votre entreprise a-t-elle complété une évaluation des menaces et des risques (EMR) pour le traitement des renseignements protégés/classifiés?
1. Votre entreprise a-t-elle complété une évaluation des menaces et des risques (EMR) pour le traitement des renseignements protégés/classifiés?
2. Le SI associé au présent contrat a-t-il été certifié et accrédité?
2. Le SI associé au présent contrat a-t-il été certifié et accrédité?
3. Aux fins du traitement des renseignements classifiés uniquement :
La sécurité des émissions a-t-elle été assurée dans le cadre de l'EMR?
3. Aux fins du traitement des renseignements classifiés uniquement :
La sécurité des émissions a-t-elle été assurée dans le cadre de l'EMR?

EMPLACEMENT DU SYSTÈME – Précisez tous les lieux où les renseignements protégés/classifiés sont traités, produits, stockés ou sauvegardés, et ce, pour tous les aspects de ce contrat particulier et tout autre contrat de sous-traitance relié.

1. Est-ce que les renseignements protégés/classifiés seront transmis, de façon électronique, du système de TI du fournisseur à cet emplacement vers un autre site ou emplacement, un emplacement non gouvernemental ou vers un fournisseur tiers?
1. Est-ce que les renseignements protégés/classifiés seront transmis, de façon électronique, du système de TI du fournisseur à cet emplacement vers un autre site ou emplacement, un emplacement non gouvernemental ou vers un fournisseur tiers?

(Si oui, préciser)

(Joindre une liste séparée au besoin)

2. S'il existe une connexion vers un autre site ou un autre emplacement, a-t-on établi un contrat de sous-traitance à cet égard?
2. S'il existe une connexion vers un autre site ou un autre emplacement, a-t-on établi un contrat de sous-traitance à cet égard?

(Si oui, préciser)

Numéro du contrat :
Numéro du contrat :
Partie 11.d de la LVERS
Partie 11.d de la LVERS
Partie 11.e de la LVERS
Partie 11.e de la LVERS

EMPLACEMENT DU SYSTÈME Autres commentaires :

COMMUNICATION – Précisez tous les mécanismes utilisés pour échanger des renseignements protégés/classifiés dans le cadre de ce contrat particulier.

1. À cet emplacement, le SI est-il connecté à d’autres systèmes d'information? (c.-à-d. réseau d’entreprise, réseau ministériel, réseau à domicile, Internet, etc.)
1. À cet emplacement, le SI est-il connecté à d’autres systèmes d'information? (c.-à-d. réseau d’entreprise, réseau ministériel, réseau à domicile, Internet, etc.)
2. Votre entreprise utilise-t-elle un « lien électronique » comme moyen de communication?
2. Votre entreprise utilise-t-elle un « lien électronique » comme moyen de communication?

(Si oui, cocher les cases appropriées)

FTP
FTP
RPV
RPV
HTTPS
HTTPS
SSL
SSL
3. Peut-on accéder à distance au SI?
3. Peut-on accéder à distance au SI?
4. Utilisez-vous une authentification à deux facteurs?
4. Utilisez-vous une authentification à deux facteurs?
5. Votre entreprise utilise-t-elle une technologie sans fil?
5. Votre entreprise utilise-t-elle une technologie sans fil?
Réseau (Préciser):
Réseau (Préciser):
Équipement portatif (Préciser):
Équipement portatif (Préciser):
7. Votre entreprise utilise-t-elle des services de « messagerie » comme moyen de communication?
7. Votre entreprise utilise-t-elle des services de « messagerie » comme moyen de communication?
8. Joignez un schéma de topologie de réseau montrant où les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont traités, produits, stockés ou sauvegardés.
8. Joignez un schéma de topologie de réseau montrant où les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont traités, produits, stockés ou sauvegardés.
Pièce jointe :
9. Joignez un diagramme du flux de données montrant où les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont traités, produits, stockés ou sauvegardés depuis le point d’entrée dans l’entreprise jusqu’à ce que les produits livrables soient acheminés au gouvernement.
9. Joignez un diagramme du flux de données montrant où les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont traités, produits, stockés ou sauvegardés depuis le point d’entrée dans l’entreprise jusqu’à ce que les produits livrables soient acheminés au gouvernement.
Pièce jointe :
10. Votre entreprise utilise-t-elle un télécopieur (fax) dans le cadre de ce contrat?
10. Votre entreprise utilise-t-elle un télécopieur (fax) dans le cadre de ce contrat?

COMMUNICATION Autres commentaires :

SUPPORTS DE TI – Précisez tous les types de support de TI utilisés dans le cadre de ce contrat

1. CD/DVD :
1. CD/DVD :
2. Dispositif de stockage USB mobile :
2. Dispositif de stockage USB mobile :
3. Disque dur externe USB :
3. Disque dur externe USB :
4. Disque dur amovible :
4. Disque dur amovible :
5. Support audio ou vidéo :
5. Support audio ou vidéo :
6. Support de sauvegarde :
6. Support de sauvegarde :

GESTION DES SUPPORTS DE TI utilisés dans le cadre du présent contrat

1. L'équipement de TI (serveurs, postes de travail ou ordinateurs portatifs) utilisé dans le cadre de ce contrat est-il enregistré au plus haut niveau de sensibilité?
1. L'équipement de TI (serveurs, postes de travail ou ordinateurs portatifs) utilisé dans le cadre de ce contrat est-il enregistré au plus haut niveau de sensibilité?
2. Les supports de TI utilisés dans le cadre de ce contrat sont-ils enregistrés au plus haut niveau de sensibilité?
2. Les supports de TI utilisés dans le cadre de ce contrat sont-ils enregistrés au plus haut niveau de sensibilité?
3. Si vous utilisez des supports de TI comme méthode de sauvegarde, les sauvegardes sont-elles enregistrées avec un niveau de sensibilité, avec le numéro du contrat et le ministère inscrits dessus?
3. Si vous utilisez des supports de TI comme méthode de sauvegarde, les sauvegardes sont-elles enregistrées avec un niveau de sensibilité, avec le numéro du contrat et le ministère inscrits dessus?
4. L’emplacement de tous les supports de TI utilisés dans le cadre du présent contrat est-il systématiquement communiqué à l’Agent de sécurité d’entreprise (ASE) ou à l’Agent remplaçant de sécurité d’entreprise (ARSE)?
4. L’emplacement de tous les supports de TI utilisés dans le cadre du présent contrat est-il systématiquement communiqué à l’Agent de sécurité d’entreprise (ASE) ou à l’Agent remplaçant de sécurité d’entreprise (ARSE)?
5. L’ensemble des supports de TI utilisés dans le cadre du présent contrat sont-ils conservés dans un lieu distinct de celui de tous les autres supports de l’entreprise?
5. L’ensemble des supports de TI utilisés dans le cadre du présent contrat sont-ils conservés dans un lieu distinct de celui de tous les autres supports de l’entreprise?
6. L’ensemble des supports de TI utilisés dans le cadre du présent contrat sont-ils conservés dans un lieu distinct des supports de TI des autres contrats?
6. L’ensemble des supports de TI utilisés dans le cadre du présent contrat sont-ils conservés dans un lieu distinct des supports de TI des autres contrats?
8. Lorsque vous transportez à l’extérieur des renseignements protégés/classifiés sur un support de TI, les renseignements qu’il contient sont-ils cryptés?
8. Lorsque vous transportez à l’extérieur des renseignements protégés/classifiés sur un support de TI, les renseignements qu’il contient sont-ils cryptés?
9. Lorsque vous transportez à l’extérieur des renseignements protégés/classifiés sur un support de TI, respectez-vous les règles énoncées au chapitre 5 du Manuel de sécurité industrielle (MSI)?
9. Lorsque vous transportez à l’extérieur des renseignements protégés/classifiés sur un support de TI, respectez-vous les règles énoncées au chapitre 5 du Manuel de sécurité industrielle (MSI)?

GESTION DES SUPPORTS DE TI Autres commentaires :

SÉCURITÉ MATÉRIELLE associée au présent contrat

1. Joignez un plan d’étage permettant de repérer les endoits de traitement, de production et de stockage des renseignements protégés/classifiés utilisés dans le cadre du présent contrat.
1. Joignez un plan d’étage permettant de repérer les endoits de traitement, de production et de stockage des renseignements protégés/classifiés utilisés dans le cadre du présent contrat.
En pièce jointe :
2. À cet emplacement, y aura-t-il d’autres emplacements qui n’ont pas été désignés comme tels pendant l’inspection physique visant l’obtention de l’Autorisation de détenir des renseignements (ADR) par l’entreprise et qui serviront au traitement, à la production ou au stockage de données de TI constituant des renseignements protégés/classifiés utilisés dans le cadre du présent contrat?
2. À cet emplacement, y aura-t-il d’autres emplacements qui n’ont pas été désignés comme tels pendant l’inspection physique visant l’obtention de l’Autorisation de détenir des renseignements (ADR) par l’entreprise et qui serviront au traitement, à la production ou au stockage de données de TI constituant des renseignements protégés/classifiés utilisés dans le cadre du présent contrat?
3. Les supports de TI sont-ils tous conservés dans l’armoire de rangement approuvée par le PSI?
3. Les supports de TI sont-ils tous conservés dans l’armoire de rangement approuvée par le PSI?
4. Disposez-vous d’une liste de contrôle d’accès (LCA) à l’intérieur de vos zones de sécurité et de haute sécurité lorsque vous traitez des renseignements classifiés?
4. Disposez-vous d’une liste de contrôle d’accès (LCA) à l’intérieur de vos zones de sécurité et de haute sécurité lorsque vous traitez des renseignements classifiés?
5. Votre entreprise tient-elle à jour un registre des visites?
5. Votre entreprise tient-elle à jour un registre des visites?
6. Votre entreprise accorde-t-elle des laissez-passer pour les visiteurs?
6. Votre entreprise accorde-t-elle des laissez-passer pour les visiteurs?
7. Les visiteurs sont-ils accompagnés lorsqu’ils se trouvent dans les zones visées au moment où des renseignements protégés/classifiés y sont traités, produits ou stockés?
7. Les visiteurs sont-ils accompagnés lorsqu’ils se trouvent dans les zones visées au moment où des renseignements protégés/classifiés y sont traités, produits ou stockés?

SÉCURITÉ MATÉRIELLE Autres commentaires :

SÉCURITÉ DU PERSONNEL dans le cadre du présent contrat

SÉCURITÉ DU PERSONNEL 1a. Agent général de sécurité d’entreprise (AGSE)
Agent général de sécurité d’entreprise (AGSE)

Membres du personnel participant directement au traitement, à la production et au stockage électroniques de renseignements protégés/classifiés utilisés dans le cadre du présent contrat. (Joindre une liste séparée au besoin)

1. Votre entreprise a-t-elle recourt à des employés affectés à un centre d'appels dans le cadre de ce contrat?
1. Votre entreprise a-t-elle recourt à des employés affectés à un centre d'appels dans le cadre de ce contrat?
2. L’ensemble du personnel ayant un accès au SI a-t-il une cote de sécurité dont le niveau correspond aux renseignements traités dans le cadre de ce contrat?
2. L’ensemble du personnel ayant un accès au SI a-t-il une cote de sécurité dont le niveau correspond aux renseignements traités dans le cadre de ce contrat?
3. L’ensemble du personnel ayant accès au SI a-t-il un accès sélectif aux renseignements traités?
3. L’ensemble du personnel ayant accès au SI a-t-il un accès sélectif aux renseignements traités?
4. Existe-t-il un programme de sensibilisation à la sécurité bien établi pour l’ensemble du personnel associé à ce contrat?
4. Existe-t-il un programme de sensibilisation à la sécurité bien établi pour l’ensemble du personnel associé à ce contrat?
5. L’ensemble du personnel sait-il comment traiter les renseignements conformément aux exigences du MSI?
5. L’ensemble du personnel sait-il comment traiter les renseignements conformément aux exigences du MSI?

SÉCURITÉ DU PERSONNEL Autres commentaires :

SÉCURITÉ DU PERSONNEL DE LA TI dans le cadre du présent contrat

Membres du personnel de la TI participant directement à l’administration ou au soutien relatifs à l’équipement de TI et aux logiciels. (Joindre une liste séparée au besoin)

1. Votre entreprise a-t-elle recourt à des employés affectés à un service de dépannage dans le cadre de ce contrat?
1. Votre entreprise a-t-elle recourt à des employés affectés à un service de dépannage dans le cadre de ce contrat?
2. L’ensemble du personnel de la TI ayant un accès au SI a-t-il une cote de sécurité dont le niveau correspond aux renseignements traités dans le cadre de ce contrat?
2. L’ensemble du personnel de la TI ayant un accès au SI a-t-il une cote de sécurité dont le niveau correspond aux renseignements traités dans le cadre de ce contrat?
3. En raison de ses privilèges d'accès élevés, l'ensemble du personnel de la TI a-t-il eu une rencontre de sensibilisation sur la sécurité relativement à la manipulation des renseignements conformément aux exigences du MSI?
3. En raison de ses privilèges d'accès élevés, l'ensemble du personnel de la TI a-t-il eu une rencontre de sensibilisation sur la sécurité relativement à la manipulation des renseignements conformément aux exigences du MSI?
4. Dans le cadre de sa rencontre de sensibilisation sur la sécurité, l'ensemble du personnel de la TI a-t-il reçu des instructions précises quant à la manipulation du matériel informatique relativement aux renseignements protégés/classifiés?
4. Dans le cadre de sa rencontre de sensibilisation sur la sécurité, l'ensemble du personnel de la TI a-t-il reçu des instructions précises quant à la manipulation du matériel informatique relativement aux renseignements protégés/classifiés?
5. Dans le cadre de sa rencontre de sensibilisation sur la sécurité, l'ensemble du personnel de la TI a-t-il reçu des instructions précises quant à la mise a jour des logiciels relativement aux renseignements protégés/classifiés?
5. Dans le cadre de sa rencontre de sensibilisation sur la sécurité, l'ensemble du personnel de la TI a-t-il reçu des instructions précises quant à la mise a jour des logiciels relativement aux renseignements protégés/classifiés?
6. Votre entreprise a-t-elle recourt à une entreprise ou à un technicien externe pour effectuer des tâches de dépannage relativement au SI susmentionné?
6. Votre entreprise a-t-elle recourt à une entreprise ou à un technicien externe pour effectuer des tâches de dépannage relativement au SI susmentionné?
Inscription au PSI :
Inscription au PSI :
Accompagnement des personnes assuré pendant la prestation des services de dépannage relativement au SI susmentionné :
Accompagnement des personnes assuré pendant la prestation des services de dépannage relativement au SI susmentionné :

SÉCURITÉ DU PERSONNEL DE LA TI Autres commentaires :

DE L’ÉQUIPEMENT DE TI – Dressez la liste de tout l’équipement de TI utilisé dans le cadre de ce contrat et pendant toute sa durée.

Description : (Cocher les cases appropriées)

Ordinateur(s) de bureau :
Ordinateur(s) de bureau :
Ordinateur(s) portatif(s) :
Ordinateur(s) portatif(s) :
Serveur(s) d’applications
Serveur(s) de réseau SAN
Serveur(s) de fichiers et d’impression
Serveur(s) de courrier électronique
Imprimante(s) multifonction(s)
(Imprimante/photocopieur/numériseur/télécopieur)
Imprimante(s) multifonction(s)
(Imprimante/photocopieur/numériseur/télécopieur)
DE L’ÉQUIPEMENT DE TI 8. Imprimante(s)
Imprimante(s)
DE L’ÉQUIPEMENT DE TI 9. Imprimante(s)
Imprimante(s)
Numériseur(s)
Numériseur(s)
Télécopieur(s)
Télécopieur(s)
Photocopieur(s)
Photocopieur(s)
Appareil(s) de sauvegarde sur bande
Routeur(s)/commutateur(s)
Routeur(s)
Routeur(s)
Pare-feu
Émetteur(s)-récepteur(s) sans fil
Modem câble pour la connexion au réseau du FAI
Voix sur IP (VoIP) :
(système de gestion téléphonique)

DE L’ÉQUIPEMENT DE TI Autres commentaires :

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION dans le cadre du présent contrat

1. Une politique sur la sécurité de la TI est-elle en place?
1. Une politique sur la sécurité de la TI est-elle en place?
2. Utilisez-vous un pare-feu?
2. Utilisez-vous un pare-feu?
Select one
3. La configuration du pare-feu est-elle documentée?
3. La configuration du pare-feu est-elle documentée?
5. Les registres de sécurité du pare-feu sont-ils mis à jour et examinés régulièrement?
5. Les registres de sécurité du pare-feu sont-ils mis à jour et examinés régulièrement?

6. Quels sont les systèmes d’exploitation (SE) et l’ensemble de services (ES) installés sur le SI?

Serveurs :

Postes de travail :

Ordinateurs portatifs :

7. De quelle façon les mises à jour et les correctifs de sécurité du SE sont-ils appliqués?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 7. Serveurs :
Serveurs :


SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 7. Postes de travail :
Postes de travail :


SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 7. Ordinateurs portatifs :
Ordinateurs portatifs :


8. Les comptes d'administrateur sont-ils utilisés uniquement pour l'administration du SI?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 8. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 8. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 8. Ordinateurs portatifs :
Ordinateurs portatifs :

9. Utilisez-vous un répertoire actif pour créer des comptes utilisateurs?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 9. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 9. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 9. Ordinateurs portatifs :
Ordinateurs portatifs :

10. L’accès au SI nécessite-t-il des comptes d’utilisateurs et des mots de passe uniques?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 10. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 10. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 10. Ordinateurs portatifs :
Ordinateurs portatifs :

11. Veuillez préciser votre politique en matière de mot de passe (c.-à-d. politique en matière de longueur, de complexité, de durée de vie, de blocage, etc.)

12. Les utilisateurs sont-ils obligés de modifier un mot de passe temporaire à la première ouverture de session?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 12. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 12. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 12. Ordinateurs portatifs :
Ordinateurs portatifs :

13. Le SI offre-t-il aux utilisateurs la possibilité d’enregistrer les mots de passe à l’ouverture de session?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 13. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 13. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 13. Ordinateurs portatifs :
Ordinateurs portatifs :

14. Les registres de sécurité du SI sont-ils mis à jour et examinés régulièrement? (p. ex., observateur d’événements)

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 14. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 14. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 14. Ordinateurs portatifs :
Ordinateurs portatifs :

15. Utilisez-vous un logiciel antivirus?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 15. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 15. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 15. Ordinateurs portatifs :
Ordinateurs portatifs :

16. Veuillez fournir des précisions sur le produit antivirus.

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 16a. Serveurs :

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 16b. Postes de travail :

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 16c. Ordinateurs portatifs :

17. À quelle fréquence effectuez-vous les mises à jour du logiciel de protection contre les virus?
17. À quelle fréquence effectuez-vous les mises à jour du logiciel de protection contre les virus?


18. De quelle façon les mises à jour de l'antivirus sont-elles appliquées?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 18a. Serveurs :
Serveurs :


SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 18b. Postes de travail :
Postes de travail :


SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 18c. Ordinateurs portatifs :
Ordinateurs portatifs :


19. Y a-t-il des renseignements protégés/classifiés enregistrés localement sur le SI?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 19a. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 19b. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 19c. Ordinateurs portatifs :
Ordinateurs portatifs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 19d. Ailleurs :
Ailleurs :

20. Les renseignements protégés/classifiés utilisés dans le cadre du présent contrat sont-ils séparés de ceux de l’entreprise?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 20a. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 20b. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 20c. Ordinateurs portatifs :
Ordinateurs portatifs :
22. Bénéficiez-vous d’un autre contrat ministériel en cours pour cet emplacement comprenant des exigences relatives à un volet TI?
22. Bénéficiez-vous d’un autre contrat ministériel en cours pour cet emplacement comprenant des exigences relatives à un volet TI?

24. Disposez-vous de moyens de cryptage?

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 24a. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 24b. Postes de travail :
Postes de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 24c. Ordinateurs portatifs :
Ordinateurs portatifs :
25. Qui est le fournisseur du produit de cryptage?
25. Qui est le fournisseur du produit de cryptage?

27. Précisez le nom et la version du produit de cryptage.

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 27a. Serveurs :
Serveurs :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 27b. Poste de travail :
Poste de travail :
SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 27c. Ordinateurs portatifs :
Ordinateurs portatifs :

SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION Autres commentaires :

RÈGLES DE SÉCURITÉ : CONTRAVENTIONS, VIOLATIONS ET COMPROMISSIONS

1. Avez-vous un processus pour signaler les contraventions, violations ou compromissions relativement aux règles de sécurité ou les incidents connexes?
1. Avez-vous un processus pour signaler les contraventions, violations ou compromissions relativement aux règles de sécurité ou les incidents connexes?
2. Imposez-vous des sanctions en réponse aux incidents en matière de Sec TI lorsque, de l’avis de la haute direction, il y a eu inconduite ou négligence?
2. Imposez-vous des sanctions en réponse aux incidents en matière de Sec TI lorsque, de l’avis de la haute direction, il y a eu inconduite ou négligence?

RÈGLES DE SÉCURITÉ Autres commentaires :

REPRISE dans le cadre du présent contrat

1. Sauvegardez-vous les renseignements protégés/classifiés utilisés dans le cadre du présent contrat?
1. Sauvegardez-vous les renseignements protégés/classifiés utilisés dans le cadre du présent contrat?
2. Avez-vous une procédure de sauvegarde documentée pour les renseignements protégés/classifiés utilisés dans le cadre du présent contrat?
2. Avez-vous une procédure de sauvegarde documentée pour les renseignements protégés/classifiés utilisés dans le cadre du présent contrat?

4. Quelle est la fréquence des sauvegardes? (Cocher les cases appropriées)

REPRISE 4. Quotidienne
Quotidienne
REPRISE 4. Hebdomadaire
Hebdomadaire
REPRISE 4. Mensuelle
Mensuelle
5. Les sauvegardes sont-elles conservées à l’extérieur du site?
5. Les sauvegardes sont-elles conservées à l’extérieur du site?
6. Avez-vous mis en place un plan documenté de reprise après sinistre?
6. Avez-vous mis en place un plan documenté de reprise après sinistre?

REPRISE Autres commentaires :

DESTRUCTION/ÉLIMINATION – norme ITSG-06 du CSTC

1. Conservez-vous des renseignements électroniques à l’issue du contrat?
1. Conservez-vous des renseignements électroniques à l’issue du contrat?
2. À l’issue du contrat, tout l'équipement et tous les supports de TI sont-ils nettoyés?
2. À l’issue du contrat, tout l'équipement et tous les supports de TI sont-ils nettoyés?

4. Précisez le nom et la version du produit de « nettoyage » (p. ex., logiciel de triple réécriture)

7. Tenez-vous à jour une liste de destruction et d'élimination?
7. Tenez-vous à jour une liste de destruction et d'élimination?

DESTRUCTION/ÉLIMINATION Autres commentaires :

Cette liste de vérification une fois remplie NE DOIT PAS être envoyée par courriel, sauf si elle a été cryptée. Veuillez communiquer avec l’inspecteur de la STI pour obtenir les instructions et la confirmation de la méthode de transmission.

Annexe A – Liste des documents de référence

RÉFÉRENCES
Titre intégral et lien internet
SCT – PSG
Politique sur la sécurité du gouvernement
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=16578&section=text
SCT – GSTI
Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12328&section=text
SCT – NOSM
Norme opérationnelle sur la sécurité matérielle
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12329
SCT – NSGM
Norme de sécurité et de gestion des marchés
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12329
TPSGC/PSI – MSI
Manuel de la sécurité industrielle
http://ssi-iss.tpsgc-pwgsc.gc.ca/msi-ism/msi-ism-fra.html
CSTC – Programme avec l’industrie
Les Conseils pour les produits commerciaux
http://www.cse-cst.gc.ca/its-sti/services/index-fra.html
CSTC – PTIC
Programme TEMPEST de l’industrie canadienne
http://www.cse-cst.gc.ca/its-sti/services/industry-prog-industrie/citp-ptic-fra.html
CSTC – CSPC
Conseils en matière de sécurité pour les produits commerciaux
http://www.cse-cst.gc.ca/its-sti/services/csg-cspc/index-fra.html
CSTC – ITSA
Alertes de sécurité des technologies de l’information
http://www.cse-cst.gc.ca/its-sti/publications/itsa-asti/index-fra.html
CSTC – DGSIT
Bulletins de sécurité des technologies de l’information
http://www.cse-cst.gc.ca/its-sti/publications/itsb-bsti/index-fra.html
CSTC – DSTI
Directives en matière de sécurité des technologies de l’information
http://www.cse-cst.gc.ca/its-sti/publications/itsd-dsti/index-fra.html
CSTC – ITSG
Conseils en matière de sécurité des technologies de l’information
http://www.cse-cst.gc.ca/its-sti/publications/itsg-csti/index-fra.html
CSTC – ITSPSR
Rapports sur des produits / systèmes de sécurité de la TI
http://www.cse-cst.gc.ca/its-sti/publications/itspsr-rpssti/index-fra.html
CSTC – EHMR
Méthodologie harmonisée de l’EMR
http://www.cse-cst.gc.ca/its-sti/publications/tra-emr/index-fra.html
CSTC – SCCC
Schéma canadien lié aux Critères communs
http://www.cse-cst.gc.ca/its-sti/services/cc/index-fra.html
Critères communs
Critères communs (En anglais seulement)
http://www.commoncriteriaportal.org/index.html
Produits certifiés (En anglais seulement)
http://www.commoncriteriaportal.org/products.html

Annexe B – Liste de documents de référence disponibles UNIQUEMENT sur demande auprès de votre inspecteur de la STI dans le cadre des contrats classifiés.

RÉFÉRENCES
Lieu
CSTC – ITSG-11
Conseils en matière de sécurité des technologies de l’information 11 – Planification des installations SECOM – Conseils et critères TEMPEST
CSTC – ITSG-12
Conseils en matière de sécurité des technologies de l’information 12 – Procédures d’évaluation des installations du gouvernement du Canada

Annexe C – Liste d’abréviations et définitions

ABRÉVIATIONS
Titres élaborés ou définitions
ADR
Autorisation de détenir des renseignements
AES
Norme améliorée en matière de cryptage
AGSE
Agent général de sécurité d’entreprise
ARSE
Agent remplaçant de sécurité d’entreprise
ASE
Agent de sécurité de l’entreprise
C et A
Certification et accréditation (voir ci-dessous)
CSTC
Centre de la sécurité des télécommunications Canada
EMR
Évaluation des menaces et des risques
ES
Ensemble des services
FTP
Protocole de transfert de fichiers (File Transfer Protocol)
HTTPS
Protocole sécurisé de transfert hypertexte
LCA
Liste de contrôle d’accès
LVERS
Liste de vérification des exigences relatives à la sécurité
MAN
Réseau métropolitain
MSI
Manuel de la sécurité industrielle
Produits commerciaux
Commercial sur étagère
RL
Réseau local
RPV
Réseau privé virtuel
SAN
Réseau de stockage
SE
Systèmes d’exploitation
Sec TI
Sécurité des technologies de l’information
SI
Système d’information
SSL
Protocole SSL (Secure Sockets Layer)
TEMPEST
Surveillance d’émission d’impulsions électromagnétiques transitoire
TI
Technologie de l’information
USB
Bus série universel (USB – Universal Serial Bus)
VLAN
Réseau local virtuel
VoIP
Voix sur IP (Internet Protocol)
WAN
Réseau étendu
WLAN
Réseau local sans fil
DÉFINITIONS
Certification et accréditation (C et A)
La C et A est la procédure d’évaluation exhaustive des caractéristiques techniques et autres d’un système d’information [dans son environnement] afin de déterminer si le système est prêt ou non à fonctionner à un niveau acceptable de risque [résiduel] selon la mise en oeuvre d’une gamme approuvée de mesures de protection techniques, de gestion et procédurales.
Appareil autonome
Renvoi de manière non exhaustive à tout matériel informatique, y compris poste de travail, ordinateur portatif, tableau électronique ou tout autre équipement ne se connectant pas à un réseau par l’intermédiaire d’une connexion filaire, sans fil ou d’un accès à distance.