Objectif

Les informations qui sont collectées, analysées, stockées, communiquées et rapportées peuvent être sujettes au vol, à l’abus, à la perte et à la corruption.

Les informations peuvent être mises en danger par une mauvaise éducation et formation, et la violation des contrôles de sécurité.

Les incidents de sécurité de l’information peuvent donner lieu à des situations embarrassantes, à des pertes financières, au non-respect des normes et de la législation ainsi qu’à des jugements possibles contre l’Université.

Cette politique de sécurité de l’information de haut niveau s’inscrit aux côtés de la politique de gestion des risques liés à l’information et de la politique de protection des données pour fournir les grandes lignes et la justification des contrôles de sécurité de l’information de l’Université fondés sur les risques.

• Politique de gestion des risques de l’information
• Politique de protection des données

Objectifs

Les objectifs de sécurité de l’Université sont les suivants :

• Nos risques liés à l’information sont identifiés, gérés et traités en fonction d’une tolérance au risque convenue
• Nos utilisateurs autorisés peuvent accéder et partager des informations en toute sécurité afin de remplir leurs rôles
• Nos contrôles physiques, procéduraux et techniques équilibrent l’expérience utilisateur et la sécurité
• Nos obligations contractuelles et légales relatives à la sécurité de l’information sont respectées
• Notre enseignement, recherche et administrative tient compte de la sécurité de l’information
• Les personnes accédant à nos informations sont conscientes de leurs responsabilités en matière de sécurité de l’information
• Les incidents affectant nos actifs informationnels sont résolus, et on en tire des leçons pour améliorer nos contrôles.

Portée

La politique de sécurité de l’information et ses contrôles, processus et procédures de soutien s’appliquent à toutes les informations utilisées à l’Université, dans tous les formats. Cela inclut les informations traitées par d’autres organisations dans leurs relations avec l’Université.

La politique de sécurité de l’information et les contrôles, processus et procédures qui la soutiennent s’appliquent à toutes les personnes qui ont accès aux informations et aux technologies de l’Université, y compris les parties externes qui fournissent des services de traitement de l’information à l’Université.

Un champ d’application détaillé, comprenant une ventilation des utilisateurs, des actifs informationnels et des systèmes de traitement de l’information, est inclus dans le document cadre du système de gestion de la sécurité de l’information (SGSI).

Conformité

La conformité aux contrôles de cette politique sera surveillée par l’équipe de sécurité de l’information et signalée au conseil de gouvernance de l’information.

Révision

Une révision de cette politique sera entreprise par l’équipe de sécurité de l’information annuellement ou plus fréquemment si nécessaire, et sera approuvée par le conseil de gouvernance de l’information et le groupe exécutif de l’université.

Énoncé de politique

L’Université a pour politique de s’assurer que l’information est protégée contre une perte de :

• Confidentialité – les informations ne seront accessibles qu’aux personnes autorisées
• Intégrité – l’exactitude et l’exhaustivité des informations seront maintenues
• Disponibilité – les informations seront accessibles aux utilisateurs et aux processus autorisés lorsque cela est nécessaire

L’Université mettra en œuvre un système de gestion de la sécurité de l’information basé sur la norme internationale ISO 27001 pour la sécurité de l’information. L’Université fera également référence à d’autres normes si nécessaire, en tenant compte des approches adoptées par ses parties prenantes, y compris les partenaires de recherche.

1. Politiques de sécurité de l’information

Un ensemble de contrôles, de processus et de procédures de niveau inférieur pour la sécurité de l’information sera défini, à l’appui de la politique de sécurité de l’information de haut niveau et de ses objectifs déclarés. Cet ensemble de documents de soutien sera approuvé par le conseil de sécurité de l’information, publié et communiqué aux utilisateurs de l’université et aux parties externes concernées.

2. Organisation de la sécurité de l’information

L’Université définira et mettra en œuvre des dispositions de gouvernance appropriées pour la gestion de la sécurité de l’information. Cela comprendra l’identification et la répartition des responsabilités en matière de sécurité, afin d’initier et de contrôler la mise en œuvre et le fonctionnement de la sécurité de l’information au sein de l’Université.

L’Université nommera au moins :

• Un exécutif pour présider le conseil de gouvernance de l’information et assumer la responsabilité du risque lié à l’information
• Un conseil de gouvernance de l’information pour influencer, superviser et promouvoir la gestion efficace de l’information de l’Université
• Un spécialiste de la sécurité de l’information pour gérer la fonction de sécurité de l’information au jour le jour
• Des propriétaires d’actifs informationnels (IAO) pour assumer la responsabilité locale de la gestion de l’information ; et des gestionnaires d’actifs informationnels (IAM) responsables de la gestion quotidienne de l’information

3. Ressources humaines Sécurité

Les politiques de sécurité de l’Université et les attentes en matière d’utilisation acceptable seront communiquées à tous les utilisateurs afin qu’ils comprennent leurs responsabilités. L’éducation et la formation en matière de sécurité de l’information seront mises à la disposition de tout le personnel, et les comportements médiocres et inappropriés seront abordés.

Lorsque cela est possible, les responsabilités en matière de sécurité seront incluses dans les descriptions de rôles, les spécifications des personnes et les plans de développement personnel.

4. Gestion des actifs

Tous les actifs (informations, logiciels, équipements de traitement électronique de l’information, utilitaires de service et personnes) seront documentés et comptabilisés. Les propriétaires seront identifiés pour tous les actifs et ils seront responsables de la maintenance et de la protection de leurs actifs.

Tous les actifs d’information seront classés selon leurs exigences légales, leur valeur commerciale, leur criticité et leur sensibilité, et la classification indiquera les exigences de manipulation appropriées. Tous les actifs informationnels auront un calendrier de conservation et d’élimination défini.

5. Contrôle de l’accès

L’accès à toutes les informations sera contrôlé et sera déterminé par les exigences commerciales. L’accès sera accordé ou des dispositions seront prises pour les utilisateurs en fonction de leur rôle et de la classification des informations, uniquement à un niveau qui leur permettra d’accomplir leurs tâches.

Une procédure formelle d’enregistrement et de désenregistrement des utilisateurs sera maintenue pour l’accès à tous les systèmes et services d’information. Cela comprendra des méthodes d’authentification obligatoires basées sur la sensibilité des informations auxquelles on accède, et inclura la prise en compte de facteurs multiples, le cas échéant.

Des contrôles spécifiques seront mis en œuvre pour les utilisateurs disposant de privilèges élevés, afin de réduire le risque de mauvaise utilisation du système par négligence ou délibérément. La séparation des tâches sera mise en œuvre, lorsque cela est possible.

6. Cryptographie

L’Université fournira des conseils et des outils pour assurer une utilisation appropriée et efficace de la cryptographie afin de protéger la confidentialité, l’authenticité et l’intégrité des informations et des systèmes.

7. Sécurité physique et environnementale

Les installations de traitement de l’information sont hébergées dans des zones sécurisées, protégées physiquement contre les accès non autorisés, les dommages et les interférences par des périmètres de sécurité définis. Des contrôles de sécurité internes et externes superposés seront en place pour dissuader ou empêcher tout accès non autorisé et protéger les actifs, en particulier ceux qui sont critiques ou sensibles, contre toute attaque forcée ou subreptice.

8. Sécurité des opérations

L’Université assurera le fonctionnement correct et sécurisé des systèmes de traitement de l’information.

Cela comprendra :

• Des procédures d’exploitation documentées
• L’utilisation d’une gestion formelle des changements et des capacités
• Des contrôles contre les logiciels malveillants
• Utilisation définie de la journalisation
• Gestion des vulnérabilités

9. Sécurité des communications

L’Université maintiendra des contrôles de sécurité des réseaux pour assurer la protection des informations au sein de ses réseaux, et fournira les outils et les conseils pour assurer le transfert sécurisé des informations à la fois au sein de ses réseaux et avec des entités externes, conformément aux exigences de classification et de traitement associées à ces informations.

10. Acquisition, développement et maintenance des systèmes

Les exigences en matière de sécurité de l’information seront définies lors de l’élaboration des exigences opérationnelles pour les nouveaux systèmes d’information ou les modifications des systèmes d’information existants.

Les contrôles visant à atténuer tout risque identifié seront mis en œuvre le cas échéant.

Le développement des systèmes sera soumis au contrôle des changements et à la séparation des environnements de test, de développement et d’exploitation.

11. Relations avec les fournisseurs

Les exigences de l’Université en matière de sécurité de l’information seront prises en compte lors de l’établissement de relations avec les fournisseurs, afin de garantir que les actifs accessibles aux fournisseurs sont protégés.

L’activité des fournisseurs sera surveillée et auditée en fonction de la valeur des actifs et des risques associés.

12. Gestion des incidents de sécurité de l’information

Des conseils seront disponibles sur ce qui constitue un incident de sécurité de l’information et sur la manière dont il doit être signalé.

Les violations réelles ou présumées de la sécurité de l’information doivent être signalées et feront l’objet d’une enquête.

Des mesures correctives appropriées seront prises et tout apprentissage sera intégré aux contrôles.

13. Aspects de la sécurité de l’information de la gestion de la continuité des activités

L’Université aura mis en place des dispositions pour protéger les processus opérationnels critiques des effets des défaillances majeures des systèmes d’information ou des catastrophes et pour assurer leur rétablissement en temps opportun conformément aux besoins opérationnels documentés.

Cela comprendra des routines de sauvegarde appropriées et une résilience intégrée.

Les plans de continuité des activités doivent être maintenus et testés à l’appui de cette politique.

Une analyse de l’impact sur les activités sera entreprise sur les conséquences des catastrophes, des défaillances de sécurité, de la perte de service et du manque de disponibilité du service.

14. Conformité

La conception, l’exploitation, l’utilisation et la gestion des systèmes d’information doivent être conformes à toutes les exigences légales, réglementaires et contractuelles en matière de sécurité.

Actuellement, cela comprend la législation sur la protection des données, la norme de l’industrie des cartes de paiement (PCI-DSS), les orientations Prevent du gouvernement et les engagements contractuels de l’Université.

L’Université utilisera une combinaison d’audits internes et externes pour démontrer la conformité par rapport aux normes choisies et aux meilleures pratiques, y compris par rapport aux politiques et procédures internes.

Cela comprendra des bilans de santé informatiques, des analyses d’écart par rapport aux normes documentées, des contrôles internes sur la conformité du personnel et des retours des propriétaires d’actifs informationnels.