Directive sur la gestion de la sécurité

Vise à assurer une gestion efficiente, efficace et responsable de la sécurité dans les ministères et les organismes.
Modification : 2019-07-01

Outils sous-jacents

Procédures obligatoires :

Renseignements supplémentaires

Directive :

Terminologie :

Sujet :

Hiérarchie
Voir la hiérarchie complète
Version imprimable XML

Annexe C : Procédures obligatoires relatives aux mesures de sécurité matérielle

C.1 Date d’entrée en vigueur

  • C.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

C.2 Procédures

  • C.2.1Les présentes procédures fournissent des renseignements en vue d’appuyer la responsabilisation de l’administrateur général.

    Voici les procédures et les sous sections.

    Procédure Sous section
    Exigences et pratiques liées à la sécurité matérielle C.2.2
    Mesures de sécurité matérielle C.2.3
    Sécurité dans les cycles de vie de la gestion des biens immobiliers et du matériel C.2.4
    Évaluation et autorisation liées à la sécurité des installations C.2.5
    Inspections de sécurité C.2.6
    Dispositions C.2.7
    Surveillance et mesures correctives C.2.8
  • C.2.2Exigences et pratiques liées à la sécurité matérielle : Définir, consigner et tenir à jour les exigences et pratiques ministérielles liées à la sécurité matérielle, y compris :
    • C.2.2.1Pour tout le matériel ministériel, la matériel conservé en fiducie par le ministère et les autres biens mobiliers qui appuient les programmes, les services et les activités, y compris les actifs de la TI, les marchandises contrôlées, le matériel de sécurité des communications (COMSEC), les cartes d’achat, les cartes de voyage, les instruments négociables et tout autre bien précieux ou de nature délicate :
      • C.2.2.1.1attribuer une catégorie de sécurité aux biens en fonction du degré de préjudice qui pourrait vraisemblablement découler de leur compromission, et regrouper, au besoin, les biens ayant une sensibilité équivalente (voir l’annexe J : Norme sur la catégorisation de sécurité);
      • C.2.2.1.2cerner et évaluer les menaces auxquelles les biens sont exposés;
      • C.2.2.1.3définir et consigner les exigences la protection des biens sous la garde ou le contrôle du ministère tout au long de leur cycle de vie, en fonction des incidences possibles d’une compromission et des menaces cernées, et conformément aux lois, aux politiques, aux contrats, aux accords ou aux protocoles d’entente applicables;
    • C.2.2.2Pour toutes les installations qui appuient les programmes, les activités ou les services ministériels, ou sous sa responsabilité :
      • C.2.2.2.1déterminer les exigences pertinentes liées à la protection de l’information, des biens et des employés, et à la continuité des activités;
      • C.2.2.2.2cerner et évaluer les menaces auxquelles les installations sont exposées;
      • C.2.2.2.3définir et consigner les exigences afin d’assurer la protection des installations ministérielles pendant tout leur cycle de vie, en fonction des exigences et des menaces liées à la sécurité, et conformément aux lois, aux politiques, aux contrats, aux accords ou aux ententes applicables.
    • C.2.2.3Définir et consigner les pratiques de sécurité du ministère afin de mettre en oeuvre et tenir à jour les mesures de sécurité matérielle, y compris les pratiques pour l’évaluation et l’autorisation de la sécurité des installations, et les inspections de sécurité des installations, conformément aux exigences en matière de sécurité du ministère.
  • C.2.3Mesures de sécurité matérielle : Définir, consigner, mettre en oeuvre et tenir à jour les mesures de sécurité pour respecter les exigences en matière de sécurité matérielle du ministère, conformément aux pratiques ministérielles.
    • C.2.3.1Conception de l’espace des installations : Concevoir, intégrer et gérer les cadres extérieur et intérieur d’une installation pour mettre en place des conditions qui, de pair avec des mesures de sécurité précises, permettent, dans la mesure du possible, de déceler les tentatives d’accès ou les accès non autorisés, et de déclencher une intervention efficace afin de répondre aux exigences en matière de sécurité du ministère, y compris la surveillance électronique.
    • C.2.3.2Gestion de l’accès : Mettre en oeuvre des mesures afin de veiller à ce que l’accès à l’information (sous forme matérielle), aux installations gouvernementales et aux autres biens (y compris les équipements de nature délicate, les cà¢bles de télécommunications et les systèmes d’information), soit limité aux personnes autorisées qui ont fait l’objet d’un filtrage de sécurité au niveau approprié et qui doivent y avoir accès, y compris :
      • C.2.3.2.1fournir des identifiants aux employés;
      • C.2.3.2.2remettre des cartes d’accès aux employés et autres personnes afin de déterminer l’installation ou la zone à laquelle le titulaire est autorisé à accéder, selon le cas;
      • C.2.3.2.3définir et établir une hiérarchie discernable des zones de sécurité matérielle afin de contrôler progressivement l’accès et fournir des niveaux de protection cohérents qui correspondent au type et au degré de la menace et à la sensibilité des programmes, des services, des activités, de l’information ou des biens dans chaque zone;
      • C.2.3.2.4autoriser, contrôler et surveiller les personnes et les biens qui entrent et, au besoin, sortent des installations gouvernementales, des zones et des secteurs de nature délicate, et tenir à jour un registre de ces activités, conformément aux pratiques en matière de sécurité du ministère et au calendrier de conservation et d’élimination des dossiers;
      • C.2.3.2.5examiner les privilèges d’accès de façon périodique, et supprimer l’accès lorsqu’il n’est plus nécessaire (p. ex., lorsqu’un employé quitte le ministère ou change de responsabilités).
    • C.2.3.3Stockage, transport, transmission et destruction sécurisés : Mettre en oeuvre des mesures pour protéger l’information sous forme matérielle, y compris les biens immobiles (p. ex., en utilisation ou en en stockage), en transit (p. ex., en transport ou en transmission), et au moyen d’une destruction appropriée, conformément à leur sensibilité et aux pratiques en matière de sécurité du ministère, y compris :
      • C.2.3.3.1déterminer les appareils, les méthodes et les services sécurisés de stockage physique, de transport, de transmission et de destruction à utiliser au ministère;
      • C.2.3.3.2mettre en oeuvre les mesures de protection appropriées lorsque d’autres appareils, méthodes ou services sont utilisés à des fins opérationnelles, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire;
      • C.2.3.3.3au besoin, appliquer les marquages de sécurité pertinents aux biens de nature délicate pour alerter les utilisateurs du niveau de protection qu’il faut appliquer au bien.
    • C.2.3.4Mesures supplémentaires : Mettre en oeuvre des mesures supplémentaires, au besoin, pour respecter les exigences en matière de sécurité du ministère ou atteindre un niveau de préparation élevé en cas d’urgence ou de situations de menaces accrues (p. ex., filtrage du courrier entrant ou des livraisons de colis suspects, espaces de discussion spéciaux, salles sécurisées, contre-mesures de surveillance technique, instructions de destruction d’urgence, et mesures de protection de l’information ou des biens de nature délicate ou précieux).
  • C.2.4Sécurité dans les cycles de vie de la gestion des biens immobiliers et du matériel : Intégrer des considérations de sécurité dans les processus de gestion des biens immobiliers et du matériel et dans toutes les étapes des cycles de vie de la gestion des installations et du matériel, y compris :
    • C.2.4.1intégrer les considérations de sécurité dans la planification, la sélection du site, la conception, l’approvisionnement, l’octroi de contrats, la construction, la modification, l’exploitation et l’entretien des installations;
    • C.2.4.2intégrer les considérations liées à la sécurité à l’évaluation des besoins, à l’analyse des options, à la planification de l’acquisition, à l’acquisition, à l’exploitation, à l’utilisation, à l’entretien, à l’élimination et au remplacement du matériel.
  • C.2.5Évaluation et autorisation de la sécurité des installations : Mettre en oeuvre les processus d’évaluation et d’autorisation liés à la sécurité de l’installation afin d’établir et de maintenir la confiance envers la sécurité des installations qui sont utilisées, occupées ou gérées par le ministère, en tenant compte des exigences des intervenants en matière de sécurité, y compris :
    • C.2.5.1évaluer si les mesures de sécurité sont efficaces et si les exigences applicables en matière de sécurité sont respectées;
    • C.2.5.2mettre en oeuvre et consigner les mesures d’atténuation des risques lorsqu’il est impossible de respecter entièrement les exigences en matière de sécurité avant de mettre en service uns installation, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire;
    • C.2.5.3autoriser les installations avant leur mise en service par le biais des processus d’évaluation et d’autorisation liés à la sécurité des installations;
    • C.2.5.4consigner les évaluations de sécurité et les décisions d’autorisation, y compris l’acceptation officielle du risque résiduel par une personne ayant le pouvoir nécessaire;
    • C.2.5.5évaluer et tenir à jour l’autorisation tout au long de l’utilisation, de l’occupation et de l’entretien d’une installation.
  • C.2.6Inspections de sécurité : Effectuer des inspections de sécurité dans les installations où de l’information ou des biens de nature délicate sont traités ou stockés, ou qui appuient des activités ou des services essentiels, afin de vérifier la conformité aux pratiques de sécurité du ministère, y compris :
    • C.2.6.1veiller à ce que les inspections de sécurité soient effectuées par les personnes désignées, conformément aux processus et aux échéanciers définis;
    • C.2.6.2dans les situations d’urgence ou de menaces accrues, augmenter la fréquence ou la portée des inspections de sécurité pour atteindre un niveau de préparation plus élevé;
    • C.2.6.3signaler les problèmes de non-conformité, conformément aux processus définis, afin de permettre la mise en oeuvre des mesures correctives, et rendre compte aux autorités responsables, selon le cas.
  • C.2.7Dispositions: Établir des ententes consignées (p. ex., bail ou accord d’occupation) qui définissent les exigences pertinentes et les responsabilités respectives en matière de sécurité, lorsque le ministère appuie une autre organisation ou y fait appel, y compris, sans toutefois s’y limiter, d’autres ministères fédéraux, d’autres ordres de gouvernements et des fournisseurs et partenaires du secteur privé, pour répondre aux exigences du ministère en matière de sécurité matérielle :
    • C.2.7.1Pour les installations où le ministère est le gardien de l’immeuble
      • C.2.7.1.1définir des exigences en matière de sécurité de l’immeuble de base;
      • C.2.7.1.2fournir la sécurité de l’immeuble de base;
      • C.2.7.1.3informer tous les locataires de la sécurité de l’immeuble de base fournie dans les installations occupées par les locataires;
      • C.2.7.1.4tenir compte des exigences en matière de sécurité des locataires à la sélection d’un site;
      • C.2.7.1.5coordonner l’intégration des mesures de protection supplémentaires dans l’infrastructure de l’immeuble de base pour respecter les exigences en matière de sécurité des locataires;
    • C.2.7.2Pour les installations où le ministère est locataire :
      • C.2.7.2.1définir les exigences en matière de sécurité des locataires, en tenant compte des ressources et des activités dans les installations occupées par le locataire, en consultation avec d’autres intervenants avec qui les installations sont partagées, s’il y a lieu;
      • C.2.7.2.2informer le ministère gardien de ses exigences de locataire en matière de sécurité, pour appuyer la sélection du site et l’aménagement des locaux;
      • C.2.7.2.3vérifier que des mesures de protection supplémentaires ont été intégrées dans l’infrastructure de l’immeuble de base pour répondre aux exigences de locataire en matière de sécurité.
    • C.2.7.3Pour les installations à plusieurs locataires occupées ou gérées par le ministère, établir des mécanismes ou vérifier qu’ils sont en place pour permettre la coordination des activités de sécurité, y compris un comité de sécurité de l’immeuble, l’harmonisation de la hiérarchie des zones de sécurité pour les espaces communs, la détermination des responsabilités du locataire principal et les processus de gestion des événements de sécurité.
    • C.2.7.4Lorsque des personnes d’un autre ministère ou d’une autre organisation nécessitent un accès régulier à des installations occupées ou gérées par le ministère, établir des mécanismes ou vérifier qu’ils sont en place pour aborder les exigences en matière de sécurité et permettre la coordination des activités de sécurité, y compris le filtrage de sécurité, la gestion de l’accès et la gestion des événements de sécurité.
  • C.2.8Surveillance et mesures correctives : Maintenir une posture de sécurité matérielle efficace :
    • C.2.8.1surveiller les menaces et les vulnérabilités;
    • C.2.8.2analyser les registres d’accès;
    • C.2.8.3examiner les résultats des évaluations de sécurité, des inspections de sécurité et des analyses après événement;
    • C.2.8.4prendre des mesures préventives, réactives et correctives pour garantir que les pratiques et les mesures de sécurité matérielle continuent de répondre aux besoins du ministère.

"Détails de la page"

Date de modification :