[PDF] POLITIQUE DE SECURITE DES ACTIFS INFORMATIONNELS ET

POLITIQUE DE SECURITE DES ACTIFS INFORMATIONNELS ET DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS 2 FEVRIER 2005 JpES

POLITIQUE DE SECURITE DES ACTIFS INFORMATIONNELS ET DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS 2 FEVRIER 2005 INSTITUT NATIONAL DE SANTE PUBLIQUE DU QUEBEC CENTRE DE DOCUMENTATION MONTRÉAL Québec o®

Adoptée par le conseil d'administration le 2 février 2005 Édition produite par : Agence de développement de réseaux locaux de services de santé et de services sociaux de l'Abitibi-Témiscamingue 1,9e rue Rouyn-Noranda (Québec) J9X 2A9 Téléphone : (819) 764-3264 Télécopieur : (819) 797-1947 Rédaction : Alain Block, coordonnateur des ressources informationnelles Marc Juneau, analyste-programmeur Direction des ressources financières, matérielles et informationnelles Mise en page : Denise Lefebvre, commis senior secrétaire Direction des ressources financières, matérielles et informationnelles ISBN : 2-89391-272-9 Dépôt légal Bibliothèque nationale du Québec, 2005 Bibliothèque nationale du Canada, 2005 Prix : 7,00 $ plus frais de manutention Toute reproduction totale ou partielle de ce document est autorisée, à condition que la source soit mentionnée. © Gouvernement du Québec

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Table des matières CONTEXTE 1 OBJECTIFS DE LA POLITIQUE 2 RESPECT DE LA POLITIQUE 2 PORTÉE 3 PRINCIPES DIRECTEURS 3 RÔLES ET RESPONSABILITÉS 4 LE CONSEIL D'ADMINISTRATION DE L'AGENCE 4 LE PRÉSIDENT-DIRECTEUR GÉNÉRAL 5 LE RESPONSABLE DE LA SÉCURITÉ DES ACTIFS INFORMATIONNELS (RSAI) 5 LE RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS (RPRP) 7 LES DÉTENTEURS D'ACTIFS INFORMATIONNELS 8 L'UTILISATEUR B LE PROFESSIONNEL EN SÉCURITÉ DE L'INFORMATION (PSI) 9 LE GESTIONNAIRE 9 LE PILOTE DE SYSTÈME 9 LE SERVICE INFORMATIQUE 9 LA DIRECTION DU PERSONNEL RÉSEAU ET DE L'AGENCE 10 LE COMITÉ DE SÉCURITÉ DES ACTIFS INFORMATIONNELS ET DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS 10 ANNEXES Il ANNEXE A - RÉFÉRENCES 13 ANNEXE B - LEXIQUE ! 13 ANNEXE C - FONDEMENTS JURIDIQUES 19 m

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Contexte La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les établissements, de s'échanger des informations de façon rapide et sécuritaire. C'est dans cette optique que le réseau s'est doté en 1999 du réseau de télécommunications sociosariitaire (RTSS) qui relie tous les établissements du réseau de la santé et des services sociaux. Dans la perspective d'un volume accru d'échanges d'information et afin de s'assurer du respect des lois, règlements et normes gouvernementales en matière de sécurité de l'information, le ministère de la Santé et des Services sociaux (MSSS) a élaboré un Cadre global de la sécurité des actifs informationnels qui a été rendu officiel en septembre 2002. La volonté du MSSS est de mettre en place l'ensemble des mesures prévues au Cadre global de sécurité avant septembre 2005. Consciente de l'importance de la sécurité des actifs informationnels, l'Agence de développement de réseaux locaux des services de santé et de services sociaux de l'Abitibi-Témiscamingue (Agence) avait déjà adopté, en avril 2000, une politique administrative en ce sens. Cette politique qui incluait des normes et des mesures de sécurité devait être révisée. Cette nouvelle version de notre politique de sécurité des actifs informationnels et de la protection des renseignements personnels exclue dorénavant le volet normes et procédures qui seront traitées dans les processus administratifs de l'Agence. Le document conserve néanmoins la nature des principes directeurs qui soutenaient la version initiale. Cette révision s'inscrit dans une démarche responsable pour suivre l'évolution accélérée des technologies de l'information, tout en assurant une protection maximale des renseignements personnels. L'Agence reconnaît que l'information est essentielle à ses opérations courantes. Par conséquent, l'information doit faire l'objet d'une évaluation, d'une utilisation appropriée et d'une protection en adéquate. L'Agence reconnaît détenir, en outre, des renseignements personnels ainsi que des f G informations qui ont une valeur légale, administrative ou économique. J De plus, plusieurs lois et directives encadrent et régissent l'utilisation de l'information. L'Agence IÉ Ol "O en est assujettie et doit s'assurer du respect, notamment, de la Charte des droits et libertés de la § personne, du Code civil du Québec, de la Loi sur l'accès aux documents des organismes publics ^ ai et sur la protection des renseignements personnels et de la Loi sur les services de santé et les | services sociaux. 2 1 <

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels En conséquence, l'Agence met en place la présente politique de sécurité des actifs 35 informationnels et de la protection des renseignements personnels1. Objectifs de la politique La politique vise à assurer le respect de toute législation à l'égard de l'usage et du traitement de l'information et de l'utilisation des technologies de l'information et des télécommunications. Plus spécifiquement, les objectifs de l'Agence en matière de sécurité de l'information sont : • d'assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l'utilisation des réseaux informatiques, du réseau de télécommunications sociosanitaire (RTSS) et d'Internet, de l'utilisation des actifs informationnels et de télécommunications et des données corporatives; • d'assurer le respect de la vie privée des individus, notamment, la confidentialité des renseignements à caractère nominatif relatifs aux utilisateurs et au personnel du réseau sociosanitaire; • d'assurer ia conformité aux lois et règlements applicables ainsi que les directives, normes et orientations gouvernementales. Cette politique sera suivie de normes et de procédures afin de préciser les obligations qui en découlent. Respect de la politique Le président-directeur général de l'Agence a désigné le responsable de la sécurité des actifs informationnels (RSAI) comme responsable de l'application de la présente politique. L'Agence exige de tout employé qui utilise les actifs informationnels ou qui a ou aura accès à de l'information, de se conformer aux dispositions de la présente politique ainsi qu'aux normes, directives et procédures qui s'y rattachent. 1 Le volet PRP est basé sur le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux, (volet : Protection des renseignements personnels) version 1.0, 28 mai 2004, 40 p, (document de travail). Il sera révisé suite à son adoption officielle.

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Le non-respect de cette politique relative aux actifs informationnels et à la protection des renseignements personnels peut entraîner des mesures disciplinaires pouvant aller jusqu'au congédiement. Portée La présente politique s'applique à l'ensemble du personnel de l'Agence utilisant les actifs informationnels. Elle s'étend à toute personne physique ou morale qui utilise ou qui accède, pour le compte de l'Agence ou non, à des informations confidentielles ou non, quel que soit le support sur lequel elles sont conservées. Elle touche également l'ensemble des activités liées à la collecte, l'enregistrement, le traitement et la diffusion d'informations émanant des actifs informationnels de l'Agence. Principes directeurs a) Toute personne au sein de l'Agence ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès du président-directeur général de l'Agence. b) La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée. Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande à cet égard, la mise en place d'un ensemble de mesures coordonnées. c) Les mesures de protection, de prévention, de détection, d'assurance et de correction doivent permettre d'assurer la confidentialité, l'intégrité, la disponibilité, l'authentification et l'irrévocabilité des actifs informationnels de même que la continuité des activités. Elles doivent notamment empêcher les accidents, l'erreur, la malveillance ou la destruction d'information sans autorisation. d) Les mesures de protection des actifs informationnels doivent permettre de respecter les exigences du Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux - Volet sur la sécurité (CGGAI), de même que les lois existantes en matière d'accès, de diffusion et de transmission

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels d'information, et les obligations contractuelles de l'Agence de même que l'application des règles de gestion interne. e) Les actifs informationnels doivent faire l'objet d'une identification et d'une classification. f) Une évaluation périodique des risques et des mesures de protection des actifs informationnels doit être effectuée afin d'obtenir l'assurance qu'il y a adéquation entre les risques, les menaces et les mesures de protection déployées. g) La gestion de la sécurité de l'information doit être incluse et appliquée tout au long du processus menant à l'acquisition, au développement, à l'utilisation, au remplacement ou à la destruction d'un actif informationnel par, ou pour l'Agence. h) Un programme continu de sensibilisation et de formation à la sécurité informatique doit être mis en place à l'intention du personnel de l'Agence. i) L'accès aux renseignements personnels des utilisateurs par le personnel de l'Agence doit être autorisé et contrôlé. Chaque système doit prévoir des droits d'accès différents selon les catégories de personnel. j) Les renseignements personnels ne doivent être utilisés et ne servir qu'aux fins pour lesquelles ils ont été recueillis ou obtenus. k) Le principe du " droit d'accès minimal » est appliqué en tout temps lors de l'attribution d'accès aux informations. Les accès aux actifs informationnels sont attribués à l'utilisateur autorisé en fonction de ce qui lui est strictement nécessaire pour l'exécution de ses tâches. 1) Les ententes et contrats conclus par l'Agence doivent contenir des dispositions garantissant le respect des exigences en matière de sécurité et de protection de l'information. Rôles et responsabilités Le conseil d'administration de l'Agence Le conseil d'administration de l'Agence doit approuver ia présente politique, s'assurer de sa mise en oeuvre et faire le suivi de son application. À cet égard, il autorise et approuve la politique de sécurité des actifs informationnels et de la protection des renseignements personnels.

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Le président-directeur général Le président-directeur général est le premier responsable de la sécurité des actifs informationnels et de la protection des renseignements personnels au sein de l'Agence. Il s'assure que les valeurs et les orientations en matière de sécurité soient connues par l'ensemble des gestionnaires et du personnel de l'Agence. A cette fin, il : • s'assure de l'application de la présente politique dans l'organisation; • apporte les appuis financiers et logistiques nécessaires pour la mise en oeuvre et l'application de la présente politique en fonction des ressources disponibles; • soumet le bilan annuel concernant l'application de la politique au conseil d'administration; • exerce son pouvoir d'enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire. Pour l'appuyer dans l'organisation et la réalisation de son travail, le président-directeur général délègue ses tâches au responsable de la sécurité des actifs informationnels et au responsable de la protection des renseignements personnels. Le responsable de la sécurité des actifs informationnels (RSAI) A titre de représentant délégué du président-directeur général en matière de sécurité des actifs informationnels, le RSAI est une ressource de niveau cadre qui gère et coordonne la sécurité au sein de l'Agence. II doit donc harmoniser l'action des divers acteurs dans l'élaboration, la mise en place, le suivi et l'évaluation de la sécurité de l'information. Cette responsabilité exige une vision globale de la sécurité au sein de l'Agence. Le responsable de la sécurité des actifs informationnels veille à l'élaboration et à l'application de la politique sur la sécurité adoptée par l'Agence. Dans cette perspective, il collabore avec tous les gestionnaires et, en particulier, avec le gestionnaire qui est en charge des technologies de l'information. Plus précisément, le RSAI :

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels • élabore ia politique sur la sécurité des actifs informationnels et de la protection des renseignements personnels. Il ta soumet au président-directeur général qui la fera adopter par le conseil d'administration; • met en place et préside le comité de sécurité et de protection des renseignements personnels de l'Agence; • coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la mise en oeuvre de la politique sur la sécurité adoptée par l'Agence et en suit l'évolution; • identifie, en collaboration avec les gestionnaires, les détenteurs d'actifs informationnels dans leur secteur respectif; • s'informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions et coordonne la mise en place de ces solutions; • gère les aspects relatifs à l'escalade des incidents de sécurité à l'échelle locale et procède à des évaluations de la situation en matière de sécurité; • suit la mise en oeuvre de toute recommandation découlant d'une vérification ou d'un " audit »; • produit annuellement et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels appartenant à l'Agence en s'assurant que l'information sensible à diffusion restreinte est traitée de manière confidentielle. Suite à l'approbation du président-directeur général et du conseil d'administration, ces documents sont soumis au coordonnateur régional de la sécurité des actifs informationnels, tel que mentionné dans "" le CGGAI. f s S

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Le responsable de la protection des renseignements personnels (RPRP) À titre de responsabJe de l'application de la Loi sur l'accès aux documents des établissements publics et sur la protection des renseignements personnels, le RPRP a un rôle de conseiller et de vérificateur auprès du responsable de la sécurité des actifs informationnels afin de s'assurer que les mécanismes de sécurité mis en place permettent de respecter les exigences de la loi. Cette responsabilité se manifeste dès le début du développement d'un nouveau système en y introduisant les préoccupations et les exigences relatives à la protection des renseignements personnels. La présente politique de sécurité doit être également conforme à la Politique nationale de protection des renseignements personnels des établissements et organismes du réseau de la santé et des services sociaux. A ce titre, le RPRP doit : • élaborer la politique locale sur la protection-des renseignements personnels, qui sera adoptée par l'Agence, et soumettre cette politique au conseil d'administration de l'Agence pour approbation; • s'assurer de la mise en place d'un comité de protection des renseignements personnels et de sécurité de l'Agence qui peut être formé des représentants de tous les groupes pouvant contribuer au changement de culture souhaité en cette matière; • coordonner, avec les secteurs visés et en concordance avec les orientations régionales et celles en matière de sécurité, la mise en oeuvre de la politique locale sur la protection des renseignements personnels adoptée par l'Agence et en suivre l'évolution; • identifier, en collaboration avec les gestionnaires, les détenteurs de documents ou d'actifs informationnels dans leur secteur respectif; • s'informer des besoins en matière de protection des renseignements personnels auprès des détenteurs et des gestionnaires, leur proposer des solutions et coordonner la mise en place de ces solutions; • évaluer les risques et gérer les incidents relatifs à la protection des renseignements personnels et procéder à leur évaluation; • suivre la mise en oeuvre de toute recommandation découlant d'une vérification ou d'un audit; 7

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels • produire annuellement, et au besoin, le bilan et les rapports relatifs à la protection des renseignements personnels relevant de l'Agence; • informe et mobilise les gestionnaires et le personnel au sujet de l'application de la politique de protection des renseignements personnels. Les détenteurs d'actifs informationnels Par délégation du sous-ministre ou d'un dirigeant d'organisme, lui est assignée la responsabilité d'assurer la sécurité d'un ou de plusieurs actifs informationnels, qu'ils soient détenus par le sous-ministre, un dirigeant d'organisme ou un tiers mandaté. Les détenteurs : • assurent la sécurité d'un ou de plusieurs actifs informationnels qui leur sont confiés par le sous-ministre, le dirigeant de l'Agence ou un tiers mandaté; • s'impliquent dans l'ensemble des activités relatives à la sécurité, notamment l'évaluation des risques, la détermination du niveau de protection visé, l'élaboration des contrôles non-informatique et, finalement, la prise en charge des risques résiduels; • s'assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées systématiquement; • déterminent les règles d'accès aux actifs dont ils assument la responsabilité avec l'appui du responsable de la sécurité des actifs informationnels de l'Agence. L'utilisateur Chaque membre du personnel utilisateur est responsable de respecter la présente politique, les normes, directives et procédures en vigueur en matière de sécurité de l'information et des renseignements personnels, et d'informer le responsable de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs informationnels.

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Le professionnel en sécurité de l'information (PSI) Le rôle du professionnel de la sécurité de l'information est de conseiller le RSAI sur les aspects technologiques et méthodologiques concernant la sécurité. Il coordonne les travaux reliés à l'implantation et au contrôle des mesures de sécurité. Il coordonne et réalise les tâches de sécurité opérationnelles qui lui sont confiées par le RSAI. Le gestionnaire Le gestionnaire s'assure que tout son personnel est au fait des obligations découlant de la présente politique. Il les informe précisément des normes, directives et procédures de sécurité en vigueur. 11 informe et sensibilise son personnel à l'importance des enjeux de sécurité. Il doit s'assurer que les moyens de sécurité sont utilisés de façon à protéger l'information efficacement. Il communique au RSAI tout problème d'importance en matière de sécurité de l'information et des renseignements personnels. Le pilote de système Le pilote de système nommé par le détenteur de l'actif informationnel a la responsabilité d'assurer le fonctionnement sécuritaire d'un actif informationnel dès sa mise en exploitation, de contrôler et d'autoriser l'accès logique à tout actif informationnel dont il a la responsabilité. Le pilote doit également informer les utilisateurs de leurs obligations face à l'utilisation des systèmes d'information dont ils sont responsables lors de l'attribution des accès. " Oï •f Le service informatique g s Le rôle du service informatique à l'égard de la sécurité de l'information est d'agir en tant que | fournisseur de service. Il fournit et maintient en état les moyens techniques de sécurité pour g répondre aux besoins des détenteurs d'actifs informationnels. |

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels La Direction du personnel réseau et de l'Agence La direction est responsable d'informer tout nouvel employé de ses obligations découlant de la présente politique ainsi que des normes, directives et procédures en vigueur en matière de sécurité de l'information et de la protection des renseignements personnels. Le Comité de sécurité des actifs informationnels et de la protection des renseignements personnels Le comité joue avant tout un rôle conseil auprès du RSAI et du RPRP. Il constitue un mécanisme de coordination et de concertation qui, par sa vision globale, est en mesure de proposer des orientations et de faire des recommandations en regard de l'élaboration, la mise en oeuvre et la mise à jour des mesures prévues au plan directeur. Il est aussi en mesure d'évaluer les incidences sur la sécurité des actifs informationnels de l'Agence que les nouveaux projets pourraient avoir. 10

ANNEXES

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Annexe A - Références Québec (Province) Ministère de la Santé et des Services sociaux, Politique de sécurité de l'information. Guide de rédaction, version 1.1, juin 2003, 63 p. Québec (Province) Ministère de la Santé et des Services sociaux, Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux (volet : Protection des renseignements personnels), version 1.0, 28 mai 2004, 40 p. (document de travail). Annexe B - Lexique Actif informationnel : banque d'information électronique, système d'information, réseau de télécommunications, technologie de l'information, installation ou ensemble de ces éléments; un équipement médical spécialisé ou ultra-spécialisé peut comporter des composantes qui font partie des actifs informationnels, notamment lorsqu'il est relié de façon électronique à des actifs informationnels (réf. : Loi sur les services de santé et les services sociaux, art, 520.1). S'ajoutent, dans le présent cadre de gestion, les documents imprimés générés par les technologies de l'information. Audit : évaluation périodique basée sur des critères définis permettant de vérifier si les normes de l'ensemble ou d'une partie du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux - Volet sur la sécurité sont appliquées. Authentifiant : renseignement unique à l'utilisateur, et connu de lui seul, qui permet d'établir la validité de l'identité d'une personne, d'un dispositif ou d'une autre entité. Authentifîcation : fonction de contrôle de l'accès aux actifs informationnels permettant d'établir la validité de l'identité d'une personne, d'un dispositif ou d'une autre entité au sein d'un système d'information ou de communication. Banque d'information électronique : collection d'informations électroniques relatives à un domaine défini, regroupées et organisées de façon à en permettre l'accès. 13

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux - Volet sur la sécurité (CGGAI) : ensemble de textes encadrant la sécurité des actifs informationnels et comprenant la Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux, les rôles et responsabilités des acteurs en matière de sécurité, les mesures en matière de sécurité des actifs informationnels et le répertoire des procédures optionnelles en cette matière. Ce cadre a été officialisé par M. Pierre Gabriel, sous-ministre au ministère de la Santé et des Services sociaux, le 24 septembre 2002. Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux - Volet sur Protection des renseignements personnels (PRP) : ensemble de textes encadrant la sécurité des actifs informationnels des organismes du réseau de la santé et des services sociaux, les rôles et responsabilités des acteurs, les mesures en matière de protection des renseignements personnels des actifs informationnels. Collecte d'information : action de rassembler des informations variables destinées à un traitement. Confidentialité : propriété que possède une donnée ou une information dont l'accès et l'utilisation sont réservés à des personnes ou entités désignées et autorisées. Cycle de vie de l'information : période de temps couvrant toutes les étapes d'existence de l'information, dont celles (selon la terminologie) de la définition, de la création, de l'enregistrement, du traitement, de la diffusion, de la conservation et de la destruction. Détenteur : personne à qui, par délégation du sous-ministre ou d'un dirigeant d'organisme, est assignée la responsabilité d'assurer la sécurité d'un ou de plusieurs actifs informationnels, qu'ils soient détenus par le sous-ministre, un dirigeant d'organisme ou un tiers mandaté. Disponibilité : propriété qu'ont les données, l'information et les systèmes d'information et de communication d'être accessibles et utilisables en temps voulu et de la manière adéquate par une personne autorisée. Donnée : élément de base constitutif d'un renseignement, d'une information. 14

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Donnée confidentielle : donnée qui ne peut être communiquée ou rendue accessible qu'aux personnes ou autres entités autorisées. Donnée nominative : information relative à une personne physique identifiée ou identifiable. Donnée publique : donnée ne faisant pas l'objet de restriction d'accès. Équipement informatique r ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de travail informatisés et leurs unités ou accessoires périphériques de lecture, d'emmagasinage, de reproduction, d'impression, de communication, de réception et de traitement de l'information et tout équipement de télécommunications. Exploitation informatique : unité administrative qui a comme tâches d'assurer le bon fonctionnement, le développement et l'entretien des services informatiques de l'organisme. Fournisseur : corporation, société, coopérative ou personne physique faisant affaires et étant en mesure de contracter avec le gouvernement, unité administrative d'un organisme ou tout fonds spécial qui fournit des services ou des biens à un détenteur, à un utilisateur ou à un autre fournisseur. Identification : fonction du contrôle de l'accès aux actifs informationnels permettant d'attribuer un code d'identification, ou identifiant, à un utilisateur, à un dispositif ou à une autre entité. Information : élément de connaissance descriptif d'une situation ou d'un fait, résultant de la réunion de plusieurs données. Information électronique : information sous toutes formes (textuelle, symbolique, sonore ou visuelle) dont l'accès et l'utilisation ne sont possibles qu'au moyen des technologies de l'information. Intégrité : propriété d'une information ou d'une technologie de l'information de n'être ni modifiée, ni altérée, ni détruite sans autorisation. Irrévocabilité : propriété d'un acte d'être définitif et clairement attribué à la personne qui l'a accompli ou au dispositif avec lequel il a été accompli. 15

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Journal : relevé chronologique des opérations informatiques, constituant un historique de l'utilisation des programmes et des systèmes sur une période donnée. Journalisation : enregistrement dans un journal de tous les accès fructueux et infructueux à un ordinateur et aux données, de l'utilisation de certains privilèges spéciaux relatifs à l'accès et des changements apportés aux actifs informationnels, en vue d'une vérification ultérieure. Logiciel : ensemble des programmes, des procédures et des règles ainsi que de la documentation nécessaires à la mise en oeuvre d'un système de traitement de l'information. Logiciel d'application : logiciel conçu pour répondre à un ensemble de besoins dans un domaine donné. LSSSS : Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4,2). Matériel : ensemble des éléments physiques employés pour le traitement de l'information. Non-répudiation : voir irrévocabilité. Normes et pratiques : énoncés généraux émanant de la direction d'une organisation et indiquant ce qui doit être appliqué relativement à la sécurité des actifs informationnels. Organisme : le ministère de la Santé et des Services sociaux, les agences et les établissements du réseau de la santé et des services sociaux. Personne : une personne physique ou une personne morale de droit public ou de droit privé. Personnel : ensemble des ressources humaines, rémunérées ou non, qui assument la mission de l'organisme. S CT> Politique de sécurité : énoncé général émanant de la direction d'une organisation et indiquant la § ligne de conduite adoptée relativement à la sécurité, à sa mise en oeuvre et à sa gestion. g is <0J Progiciel : ensemble complet de programmes informatiques munis de documents, conçus pour être * ra fournis à plusieurs utilisateurs et commercialisés en vue d'une même application ou d'une même S s fonction. E 4)

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Programme informatique : série de fonctions et de définitions en langage machine ou dans un langage plus évolué. Renseignement : synonyme d'information. Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu accessible qu'aux personnes ou autres entités autorisées. Renseignement personnel ou nominatif : tout renseignement qui concerne une personne physique et qui permet de l'identifier. Réseau étendu : réseau local qui devient une partie d'un réseau étendu lorsqu'une liaison est établie (par l'intermédiaire de modems, d'aiguilleurs distants, de lignes téléphoniques, de satellites ou d'autres connexions) avec un gros système, un réseau de données public ou un autre réseau local. Réseau informatique : ensemble des composantes et des équipements informatiques reliés par voie de télécommunications, soit pour accéder à des ressources ou à des services informatisés, soit pour en partager l'accès. Réseau local : réseau informatique de taille réduite et, le plus souvent, à l'intérieur d'un organisme. Réseau privé : réseau appartenant à une seule organisation. Réseau public : réseau partagé par plusieurs organisations et appartenant généralement à un fournisseur de services de télécommunications. RSSS : réseau de la santé et des services sociaux. RTSS : réseau de télécommunications sociosanitaire. Système d'information : ensemble organisé de moyens mis en place pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l'information en vue de répondre à un besoin déterminé, y incluant notamment les technologies de l'information et les procédés utilisés pour accomplir ces fonctions. 17

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Technologie de l'information : tout logiciel ou matériel électronique et toute combinaison de ces éléments utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l'information sous toutes formes (textuelle, symbolique, sonore ou visuelle). Télécommunication : ensemble des procédés électroniques de transmission d'information à distance. Traitement de l'information ou traitement des données : ensemble des opérations effectuées automatiquement sur des données afin d'en extraire certains renseignements qualitatifs ou quantitatifs. Utilisateur : personne, groupe ou entité administrative qui fait usage d'un ou de plusieurs actifs informationnels appartenant aux organismes publics du réseau de la santé et des services sociaux. 18

Politique de sécurité des actifs informationnels et de la protection des renseignements personnels Annexe C - Fondements juridiques Cette annexe présente les principales lois, règlements, directives et autres références encadrant la présente politique : Le Cadre global sur la sécurité des actifs informationnels du réseau de la santé et des services sociaux - Volet sur la sécurité (ministère de la Santé et des services sociaux, septembre 2002) Architecture gouvernementale de la sécurité de l'information (septembre 2001) Charte des droits et liberté de la personne (L.R.Q., c.C-12) Charte canadienne des droits et libertés (1982, c. 11) Directive sur la sécurité de l'information et des échanges électroniques dans l'administration gouvernementale (février 2000) Directive sur le traitement et la destruction de tout renseignement, registre, donnée, logiciel, système d'exploitation ou autre bien protégé par un droit d'auteur, emmagasiné sur un équipement micro-informatique ou un support amovible (octobre 1999) Loi sur les archives (L.R.Q., ch. A-21.1) Loi sur l'accès aux documents des établissements publics et sur la protection des renseignements personnels (L.R.Q., ch. A-2.1 ) Loi sur l'administration publique (PL 82) Loi concernant le cadre juridique des technologies de l'information (PL 161) Certaines dispositions pertinentes du Code civil du Québec (C.C.Q.) Certains articles du code criminel du Canada (C.C.C) Loi sur la protection des renseignements personnels et les documents électroniques (C-6) Loi canadienne sur le droit d'auteur (L.R. ] 985, ch. C-42) Loi sur la propriété intellectuelle et les marques de commerce (L.R. 1985 ch. T-l 3) Normes en matière d'acquisition, d'utilisation et de gestion des droits d'auteur des documents détenus par le gouvernement et les ministères et établissements désignés (novembre 2000) 19