ADOPTION | ||
Instance | Date | Décision |
Conseil d’administration | 11 juillet 2017 | CAD-11437 |
MODIFICATION | |||
Instance | Date | Décision | Commentaires |
RÉVISION | Aux cinq (5) ans |
Responsable | Responsable de la sécurité de l’information |
Parties prenantes | Comité de sécurité |
1. Dispositions générales
1.1 Préambule
La présente politique est adoptée en application du paragraphe (a) du premier alinéa de l’article 7 de la Directive sur la sécurité de l’information gouvernementale, celle-ci obligeant les organismes publics à adopter et à mettre en œuvre une politique de sécurité de l’information, à la maintenir à jour et à en assurer l’application.
1.2 Objectifs
- Confirmer l’engagement de l’Université du Québec à Chicoutimi de s’acquitter pleinement de ses obligations à l’égard de la sécurité des actifs informationnels, quel que soit leur support ou leur moyen de communication;
- Assurer, tout au long du cycle de vie des actifs informationnels, leur disponibilité, leur intégrité et leur confidentialité;
- Assurer la gestion des risques, la gestion de l’accès à l’information et la gestion des incidents en lien avec les actifs
1.3 Champ d’application
La présente politique s’adresse aux utilisateurs, c’est-à-dire à tout le personnel, peu importe leur statut, à toute personne physique ou morale qui, à titre d’employé, d’étudiant, d’administrateur, de consultant, de partenaire, de fournisseur, utilisent les actifs informationnels de l’Université ou y ont accès, ainsi qu’à toute personne dûment autorisée à y avoir accès.
Les actifs informationnels visés sont ceux que l’Université détient dans l’exercice de sa mission, et ce, que leur conservation et leur accessibilité soient assurées par l’Université ou par un tiers, peu importe l’installation physique de l’Université dans laquelle ils se trouvent et même s’ils sont accessibles à distance d’un autre lieu. La présente politique vise autant les actifs informationnels de nature administrative que ceux liés à l’enseignement ou à la recherche et à la création, étant entendu les droits d’auteurs relatifs à ces actifs informationnels demeurent régis par les politiques et les conventions collectives en cette matière.
1.4 Références
- Charte des droits et libertés de la personne (LRQ, chapitre C-12)
- Code civil du Québec (LQ, 1991, chapitre 64)
- Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics (ISBN Web: 978-2-550-60630-7)
- Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LRQ, chapitre G-1.03)
- Loi concernant le cadre juridique des technologies et l’information (LRQ, chapitre C-1.1)
- Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LRQ, chapitre A-2.1)
- Loi sur les archives (LRQ, chapitre A-21.1)
- Loi sur l’administration publique (LRQ, chapitre A-6.01)
- Loi sur la fonction publique (LRQ, chapitre F-3.1.1)
- Loi canadienne sur les droits de la personne (LRC, 1985, chapitre H-6)
- Code criminel (LRC, 1985, chapitre C-46)
- Loi sur le droit d’auteur (LRC, 1985, chapitre C-42)
- Règlement sur la diffusion de l’information et sur la protection des renseignements personnels (chapitre A-2.1, r. 02)
- Directive sur la sécurité de l’information gouvernementale (Décret 7-2014 du 15 janvier 2014)
- Directive relative à la gestion des comptes de courriel
- Toute autre loi ou règle applicable
1.5 Responsable de l’application
Le Responsable de la sécurité de l’information s’assure de la mise en œuvre des dispositions de la présente politique, des procédures, du cadre de gestion et des directives en découlant.
1.6 Définitions
Aux fins d’application de la présente politique, les termes suivants se définissent comme suit :
« Actifs informationnels » : signifie notamment, mais non inclusivement, tout système d’information, matériel informatique et de télécommunications, logiciels, progiciels, banques de données et informations (textuelle, sonore, symbolique ou visuelle) placées dans un matériel informatique ou sur un média informatique et/ou électronique, ainsi que le système de courrier électronique. Un équipement de recherche, de laboratoire ou d’enseignement spécialisé ou ultraspécialisé peut comporter des composantes qui font partie des actifs informationnels, notamment lorsqu’il est relié de façon électronique à des actifs informationnels. Les informations sur des documents papiers et les documents imprimés générés par les technologies de l’information sont également des actifs informationnels.
« Confidentialité » : signifie la propriété d’une information de n’être accessible qu’aux personnes ou entités désignées et autorisées.
« Cycle de vie de l’information » : signifie l’ensemble des étapes que franchit une information et qui vont de sa création, en passant par son enregistrement, son transfert, sa consultation, son traitement et sa transmission, jusqu’à sa conservation ou sa destruction, en conformité avec le calendrier de conservation de l’Université.
« Disponibilité » : signifie la propriété d’une information d’être accessible en temps voulu et de la manière requise pour une personne autorisée.
« Intégrité » : signifie la propriété associée à une information de ne subir aucune altération ou destruction sans autorisation et d’être conservée sur un support lui procurant stabilité et pérennité.
2. Principes et responsabilités
2.1 Protection de l’information
L’Université adhère aux orientations et objectifs stratégiques gouvernementaux en matière de sécurité de l’information et s’engage à mettre en place des mesures de protection, de prévention, de détection et de correction qui répondront au niveau de catégorisation des actifs informationnels déterminés selon les règles applicables en cette matière. Ces mesures visent à assurer la disponibilité, l’intégrité et la confidentialité de l’information.
2.2 Responsabilités
Toute personne au sein de l’Université ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité, et est redevable de ses actions auprès de l’administration de l’établissement.
2.3 Sensibilisation et formation
L’Université s’engage, sur une base régulière, à sensibiliser et à former les utilisateurs à la sécurité des actifs informationnels, aux conséquences d’une atteinte à leur sécurité, ainsi qu’à leur rôle et leurs obligations en la matière.
2.4 Droit de regard
L’Université, par son recteur ou sa rectrice ou son responsable de la sécurité de l’information qu’il a désigné, exerce en conformité avec la législation et la réglementation en vigueur, un droit de regard sur tout usage de ses actifs informationnels.
2.5 Obligations des intervenantes et intervenants clés en matière de sécurité de l’information
- En tant que premier responsable de la sécurité de l’information relevant de son autorité, assure le respect des lois et des règles de sécurité de l’information déterminées par le Conseil du trésor. Pour y parvenir, il désigne un Responsable de la sécurité de l’information pour mettre en place les moyens nécessaires à la mise en œuvre et à la gestion de la sécurité des actifs informationnels de l’UQAC.
Responsable de la sécurité de l’information
- Assiste le recteur ou la rectrice dans la détermination des orientations stratégiques et des priorités d’intervention concernant la sécurité des actifs informationnels;
- Assure l’application de la politique de sécurité, des procédures et des directives en découlant.
Responsable de la gestion des technologies de l’information
- Apporte son soutien au Responsable de la sécurité de l’information, notamment en ce qui concerne la mise en œuvre des mesures de sécurité, la mise en place des processus officiels de sécurité de l’information et la participation du Service des technologies de l’information au réseau d’alerte.
- S’adjoint de conseillères et conseillers organisationnels en sécurité de l’information et de coordonnatrices et coordonnateurs sectoriels en gestion des incidents pour veiller à ses responsabilités.
Gestionnaires ou membres du personnel qui ont une responsabilité à l’égard de personnel ou d’étudiantes ou étudiants sous leurs responsabilités
- Assistent le Responsable de la sécurité de l’information dans l’accomplissement de son rôle.
- Assurent dans leur secteur d’activités, le respect des dispositions de la politique de sécurité de l’information, des procédures et des directives qui en découlent.
Les rôles et les responsabilités plus spécifiques attribués à ces intervenantes et intervenants clés ainsi qu’à d’autres intervenants, de même que les structures internes de coordination et de concertation en matière de sécurité des actifs informationnels sont déterminés de manière plus détaillée dans le Cadre de gestion de la sécurité de l’information.
2.6 Obligations des utilisatrices et utilisateurs
Toute utilisatrice ou tout utilisateur a l’obligation de protéger les actifs informationnels mis à sa disposition par l’Université. À cette fin, il doit :
- prendre connaissance de la présente politique, des directives, des procédures et autres lignes de conduite en découlant, y adhérer et prendre l’engagement de s’y conformer;
- utiliser, dans le cadre des droits d’accès qui lui sont attribués, et uniquement lorsqu’ils sont nécessaires à l’exercice de ses fonctions, les actifs informationnels mis à sa disposition, en se limitant aux fins auxquelles ils sont destinés;
- respecter les mesures de sécurité mises en place sur son poste de travail et sur tout équipement ou document contenant des actifs informationnels;
- se conformer aux exigences légales portant sur l’utilisation des produits à l’égard desquels des droits de propriété intellectuelle pourraient exister;
- signaler immédiatement à son supérieur tout acte dont il a connaissance, susceptible de constituer une violation réelle ou présumée des règles de sécurité, ainsi que toute anomalie pouvant nuire à la protection des actifs informationnels de l’Université;
2.7 Sanctions
Lorsqu’une utilisatrice ou un utilisateur contrevient à la présente politique ou aux procédures ou directives en découlant, en plus des sanctions prévues par les lois pertinentes et par les conventions collectives, il s’expose à l’une ou l’autre des sanctions suivantes :
- annulation de son code d’accès;
- interdiction d’utiliser en totalité ou en partie les services informatiques et de télécommunication, y compris l’accès aux laboratoires informatiques;
- limitation des accès et aux équipements informatiques et de télécommunication;
- retrait des équipements;
- facturation des services obtenus;
- remboursement à l’Université de toute somme que celle-ci serait appelée à payer à titre de dommages ou pénalités, y compris les honoraires juridiques et extrajudiciaires, par suite de la contravention;
- autres sanctions pouvant aller, dans le cas d’un étudiant, jusqu’à l’expulsion définitive de l’Université, jusqu’au congédiement dans le cas d’un membre du personnel et jusqu’à l’interdiction de séjour pour un utilisateur externe des services de l’Université.
L’Université peut transmettre à toute autorité judiciaire, les renseignements colligés et qui le portent à croire qu’une infraction à toute loi ou règlement en vigueur a été commise.
3. Mise à jour
La présente politiques est mise à jour au besoin ou minimalement tous les cinq (5) ans. La mise à jour est adoptée par le Conseil d’administration.
4. Dispositions finales
La présente politique entre en vigueur au moment de son adoption par le Conseil d’administration.