Administration et gouvernance

• Accueil
• Loi de l'Université d'Ottawa 1965
• Chancelière
  • Anciens chanceliers de
    l'Université
• Bureau des gouverneurs
  • Membres
  • Comités
  • Réunions et
    procès-verbaux
• Sénat
  • Membres
  • Comités
  • Réunions et
    procès-verbaux
• Gouvernance interne
  • Organigramme
  • Comité d'administration
  • Conseil du Comité d'administration et des doyens, doyenne et bibliothécaire en chef
  • Formulaires - Demande au Comité d'administration
  • Méthode - Demande au Comité d'administration et à d'autres comités
• Recteur
• Vice-recteurs
  • Vice-recteur aux études
  • Vice-rectrice à la recherche
  • Vice-recteur aux relations extérieures
  • Vice-recteur aux ressources
  • Vice-rectrice à la gouvernance
• Doyens
  • Faculté des arts
  • Faculté d'éducation
  • Faculté de génie
  • Faculté des études supérieures et postdoctorales
  • Faculté des sciences de la santé
  • Faculté de Droit
    Section de droit civil
  • Faculté de droit
    Section common law
  • Faculté de médecine
  • Faculté des sciences
  • Faculté des sciences sociales
  • École de gestion Telfer
• Ombudsman
• Énoncé de mandat et axes de développement
• Règlements, méthodes et formulaires
  • Règlements scolaires
  • Règlements administratifs
  • Méthodes administratives
  • Formulaires
  • Confidentialité et renseignements personnels
  • Documents connexes
• Élections
• Commentaires concernant la langue de services
• Contactez-nous

Règlement 108

Approuvé Comité d'administration 1002.8

SÉCURITÉ DU TRAITEMENT ÉLECTRONIQUE DES DONNÉES

OBJECTIF

1. Le but du présent règlement est le suivant :

 

• a) établir les sphères de responsabilité en matière de protection des éléments de traitement électronique des données à l'Université d'Ottawa;
   
• b) établir des exigences de sécurité acceptables relativement à la protection des éléments TED contre l'abus et la perte;
   
• c) établir le fondement des vérifications et des auto-évaluations;
   
• d) préserver les options de gestion et les recours légaux de l'Université d'Ottawa en cas de perte ou de panne des éléments TED.

CHAMP D'APPLICATION

2. Le présent règlement s'applique à :

 

• a) tous les départements ou toutes les unités administratives de l'Université qui offrent des services TED ou qui sont dépositaires, propriétaires ou utilisateurs de systèmes TED dans le secteur administratif ou celui de l'enseignement et de la recherche;
   
• b) tous les éléments TED de l'ensemble de l'Université.

DÉFINITIONS

3. La sécurité du traitement électronique des données (TED) est la protection des éléments TED contre les menaces accidentelles et intentionnelles à l'égard de leur caractère confidentiel, de leur intégrité ou de leur disponibilité.

4. Les éléments TED englobent ce qui suit :

 

• a) les ordinateurs et les périphériques et installations connexes;
   
• b) les salles de machines, les salles de terminaux et les zones de stockage externes;
   
• c) les réseaux et installations de télécommunications;
   
• d) les éléments d'information TED (appelés aussi information TED) englobent le logiciel des systèmes informatiques, le logiciel des systèmes d'application, les programmes, les données connexes et leurs transcriptions sur papier ou sur quelque autre support;
   
• e) la documentation relative aux procédures, aux systèmes, aux conceptions de systèmes d'application, à la gestion des changements, aux plans d'urgence et de rétablissement en cas de catastrophe, susceptibles d'être requis en vue de la conduite ininterrompue des affaires de l'Université.

RÈGLEMENT

5. Il incombe à l'ensemble du personnel de veiller à la sécurité et à l'intégrité des éléments TED de l'Université.

6. Les éléments TED appartiennent à l'Université, mais la gestion relève d'un propriétaire (appelé parfois gardien).

7. Un système de classement des éléments d'information TED sert à les identifier et à préciser les besoins de sécurité de l'information TED du secteur administratif et, s'il y a lieu, du secteur de l'enseignement et de la recherche.

8. Les directeurs et directrices de services, les gestionnaires d'unités administratives, les doyens et doyennes, les chefs de département ont la responsabilité de :

 

• a) protéger tous les éléments TED relevant de leur secteur de gestion;
   
• b) voir à ce que le personnel sous leur supervision connaisse les exigences de la protection des éléments TED;
   
• c) mettre en oeuvre les mesures et procédures de sécurité conformément au règlement établi et au Guide de sécurité TED;
   
• d) élaborer des plans d'urgence;
   
• e) voir à ce que des principes de contrôle généralement reconnus soient employés pour le traitement d'informations commerciales confidentielles de façon à prévenir la perte d'intégrité, de vérificabilité et de contrôle;
   
• f) limiter l'accès à l'information aux personnes qui en ont réellement besoin dans l'accomplissement de leurs fonctions pour ce qui est de tous les éléments d'information TED confidentiels, y compris toute information à caractère personnel, confidentiel ou privé.

9. Le degré de sécurité à mettre en oeuvre est fonction de la nature de l'élément TED et des conséquences d'une perte de sécurité. Le coût de la protection doit être proportionné à la valeur de l'élément TED pour l'Université, y compris la valeur immatérielle approximative.

10. L'ensemble du personnel de l'Université d'Ottawa doit se conformer au programme de sécurité TED et signaler tout écart des règlements établis à la personne qui représente la direction.

11. Tout écart non approuvé par rapport au règlement, aux méthodes ou aux directives de sécurité TED établies peut donner lieu à des mesures disciplinaires, y compris la cessation d'emploi.

ADMINISTRATION ET PROGRAMME DE SÉCURITÉ TED

12. La personne responsable de la sécurité du traitement électronique des données, qui relève du vice-rectorat à l'administration et aux services, a la responsabilité de :

 

• a) mettre au point et administrer des règlements de sécurité TED;
   
• b) coordonner le programme de sécurité TED de l'Université;
   
• c) favoriser une plus grande sensibilité à l'égard de la sécurité TED;
   
• d) surveiller les usages sécuritaires et voir à ce que le programme de sécurité TED soit respecté.

VARIÉTÉS DES MILIEUX INFORMATIQUES

13. Les mesures de sécurité qui conviennent sont fonction de la nature de l'élément TED, de sa valeur, de son emploi et de son milieu. Les systèmes informatiques peuvent présenter un risque faible, moyen ou élevé. Cela peut dépendre de plusieurs facteurs. Un système à utilisateurs multiples, relié à un réseau de communication ouverte sans gestion adéquate des accès et autres procédures peut présenter un risque élevé, mais en présence de procédures adéquates il devient un système à risque moyen. Il peut être justifié d'y apporter des structures et procédures supplémentaires de façon à réduire le risque davantage vers un niveau acceptable.

14. Un exemple type d'un système à risque faible est un micro-ordinateur ou un bureau, laboratoire ou système informatique départemental offrant les modalités minimales suivantes :

 

• a) isolement efficace des autres systèmes ou réseaux;
   
• b) présence d'un groupe d'utilisateurs homogènes et mutuellement acceptables (ou d'un seul utilisateur);
   
• c) gestion efficace de l'accès physique ou recours à un mot de passe individuel ou les deux à la fois;
   
• d) recours à des commandes privilégiées réservées aux personnes autorisées;
   
• e) milieu physique qui répond à des normes approuvées;
   
• f) gestionnaire de systèmes qui favorise des méthodes sécuritaires parmi les utilisateurs et utilisatrices;
   
• g) procédures efficaces en matière de documentation des données, applications et systèmes et en cas de sauvegarde et de plans d'urgence;
   
• h) mesures supplémentaires assurant le caractère confidentiel des informations personnelles, privées et secrètes.

ACCEPTATION DES RISQUES

15. Les normes de sécurité TED sont des exigences minimales qu'il faut observer à moins de montrer qu'elles sont inadéquates ou irréalisables.

Un refus d'obéir aux normes de sécurité TED suppose l'acceptation de risques appréciables à l'égard des éléments TED. Ces risques peuvent être tout à fait justifiés dans certains cas. Une décision d'accepter ce genre de risque devrait être explicite et documentée, puis approuvée par le supérieur immédiat ou la supérieure immédiate. Elle devrait ensuite être transmise à la personne responsable de la sécurité TED, qui accorde l'approbation définitive ou renvoie la question au Comité d'administration en vue d'une décision.

PROCÉDURES CONNEXES DE SÉCURITÉ TED

16. Le programme de sécurité TED doit être mis en oeuvre par le présent règlement et des règlements connexes et par la diffusion d'une série de méthodes comportant des directives, des procédures et des normes touchant plusieurs aspects détaillés de la sécurité informatique. Ces documents seront intégrés au Guide de sécurité TED préparé par la personne responsable de la sécurité TED.

LEXIQUE

17. On trouvera à l'ANNEXE A un lexique de la sécurité TED.

EXCEPTION

18. Le présent règlement n'admet aucune exception sans le consentement écrit du vice-rectorat à l'administration et aux services.

Publié le 6 juin 1988

(Service de l'informatique et des communications)

 

ANNEXE A

 

LEXIQUE

Acceptation des risques : Décision consciente de la part de la direction d'accepter la nécessité opérationnelle ou le caractère raisonnable d'un niveau particulier de risque significatif, compte tenu du coût d'une protection plus élevée.

Catastrophe : Événement (incendie, inondation, évacuation d'urgence, dégâts électriques, etc.) qui entraîne une non-disponibilité prolongée des services ou installations TED.

Communication : Transmission d'informations ou de données numériques par voie de fil, de fibre optique, de radio, etc. entre des ordinateurs et des terminaux, postes de travail ou autres appareils qui sont reliés soit directement, soit par l'entremise d'un réseau local ou autre; synonyme: télécommunications (voir aussi Communication gérée et Communication ouverte).

Communication ouverte : Les liens de communication avec le système sont ouverts si le réseau lui-même n'assure aucune protection efficace contre les démarches prises sans autorisation en vue d'entrer en communication avec un système informatique.

Dépositaire : Entité autorisée à posséder un élément d'information TED et chargée par le ou la propriétaire d'assurer une saine protection de l'élément dans une ambiance opérationnelle permanente; il s'agit souvent du fournisseur de services informatiques.

Disponibilité : La défaillance, perte ou destruction d'un élément TED porte atteinte à la disponibilité.

Données : Terme général qui désigne un groupe de caractères alphabétiques, de chiffres ou de symboles susceptibles d'être traité à l'aide d'un programme machine, mais non le programme lui-même.

Élaboration de plans d'urgence : Mise au point de procédures officielles à suivre afin d'assurer la sécurité du personnel et de minimiser les répercussions d'une catastrophe sur la fourniture de services TED.

Éléments d'information : (Voir Éléments d'information TED).

Éléments d'information en traitement électronique des données : (Voir Éléments d'information TED).

Éléments d'information TED : Systèmes informatiques, programmes, logiciel de systèmes d'application, programmes, données connexes et leurs transcriptions sur papier ou sur quelque autre support; synonyme: information TED. (Voir Éléments d'information TED en enseignement et recherche, puis Éléments d'information TED en administration).

Éléments d'information TED confidentiels : Les éléments d'information TED confidentiels sont destinés à un usage interne à l'Université. On en distingue trois catégories: Hautement confidentiel, Confidentiel, Usage restreint.

Éléments d'information TED en administration : Éléments d'information TED qui sont créés, utilisés ou conservés dans un ordinateur ou sur un support d'information électronique pour des raisons d'administration ou de gestion.

À noter que les notes et autres informations TED personnelles au sujet des étudiants et étudiantes qui sont conservées par le personnel enseignant représentent des éléments d'information TED en administration.

Éléments d'information TED en enseignement et recherche : Éléments d'information TED qui sont créés, utilisés ou conservés dans un ordinateur ou sur un support d'information électronique, pour la population étudiante ou le corps professoral, à des fins d'enseignement ou de recherche.

Éléments d'information TED non confidentiels : Éléments d'information TED qui sont classés comme d'un usage non restreint et qui peuvent circuler à l'intérieur ou à l'extérieur de l'Université.

Éléments TED : Ordinateurs, réseaux de télécommunications, périphériques connexes et installations connexes; éléments d'information TED; documentation, plans d'urgence et de rétablissement en cas de catastrophe, procédures connexes.

Évaluation des risques : Détermination des facteurs qui peuvent menacer un élément TED, évaluation de leur probabilité, évaluation de leurs conséquences et détermination du coût d'une protection plus poussée.

Éventualité : Événement inattendu qui influence la disponibilité du système informatique. Il peut s'agir d'une urgence, d'une catastrophe, d'une panne ou d'une évacuation.

Gardien, gardienne : (Voir Propriétaire).

Information : Données traitées, ou résultat de l'organisation, de l'analyse ou de la récapitulation des données sous une forme significative. (Voir aussi Éléments d'information en traitement électronique des données; Système de classement des éléments d'information TED; Information confidentielle; Éléments d'information TED non confidentiels).

Information confidentielle : Information dont la diffusion non autorisée pourrait porter préjudice à une personne ou aller à l'encontre des intérêts de l'Université (par ex. dossiers personnels ou médicaux, information financière, information privée, information personnelle).

Intégrité : Un programme ou un système est intègre s'il fonctionne conformément à ses spécifications d'une façon prévisible et si, en cas de défaillance, il tombe en panne de façon limitée et non destructive en présence de messages d'erreurs particuliers. Une modification imprévisible ou non autorisée de l'information est une atteinte à l'intégrité.

Logiciel : Programmes machine qui sont mis au point en fonction d'un matériel donné et qui permettent la collecte, l'organisation, la manipulation et la récupération des données.

Micro-ordinateur : Système informatique compact et pleinement fonctionnel qui peut être exploité sur un pupitre.

Ordinateur : Toute machine qui accepte des données sous une forme prescrite, traite ces données et présente les résultats d'une façon particulière sous forme d'information ou de signaux régissant une autre machine ou un autre procédé.

Principes de contrôle : Parmi les principes de contrôle généralement reconnus, mentionnons les options implicites à sécurité intégrée, la séparation des tâches, la responsabilité individuelle, le contrôle de l'accès aux ressources et la limitation du privilège en fonction du besoin de savoir et de travailler.

Privilèges de programmation : Possibilité de créer ou de modifier des instructions machine exécutables.

Programme : (Voir Programme machine)

Programme machine : Données spécialement codées qui servent de scénario à l'ordinateur, définissant une série d'opérations qui accomplissent une tâche lorsqu'elles sont exécutées selon une séquence logique.

Propriétaire (Gardien, gardienne) : Personne qui a la garde d'un élément d'information TED et qui en assure la gestion. Il s'agit normalement de la personne qui dirige le département ou qui représente le service ou la faculté qui a créé l'élément d'information TED ou qui s'en sert le plus. Autrement, le créateur est propriétaire tant que la possession n'est pas attribuée à autrui; synonyme: gardien, gardienne.

Réseau : Regroupement d'installations informatiques communiquant entre elles de façon à échanger des messages, des informations, des programmes ou des données.

Rétablissement en cas de catastrophe : Restauration d'importants éléments et services d'information TED après une catastrophe.

Risque : Possibilité de pertes ou de dégâts sous l'effet de menaces concrètes.

Sécurité de l'information : (Voir Sécurité des données).

Sécurité des données : Protection des éléments d'information TED contre la divulgation, la modification, la destruction ou la perte non autorisée, qu'elle soit accidentelle ou intentionnelle; voir aussi Sécurité TED.

Sécurité TED : Protection des éléments TED contre les menaces accidentelles ou délibérées à l'égard du secret, de l'intégrité et de la disponibilité; voir aussi Sécurité des données.

Système : Collection d'unités d'équipements, de méthodes et de procédures, et possiblement de personnes, qui est organisée de façon à accomplir une suite donnée de fonctions TED.

Système à utilisateurs multiples : Les personnes qui partagent l'utilisation du système peuvent ne pas se connaître ou peuvent ne pas toutes être mutuellement acceptables.

Système de classement de l'information : (Voir Système de classement des éléments d'information TED)

Système de classement des éléments d'information TED : Système explicite d'énumération, de catégorisation et d'étiquetage des éléments d'information TED servant à préciser la sécurité TED et les besoins de conservation.

Système informatique : Collection d'instructions et de mécanismes de matériel qui gère le partage des ressources dans un ordinateur.

Système mono-utilisateur : Tous les utilisateurs et toutes les utilisatrices du système partagent des privilèges d'accès communs à l'ensemble des ressources du système et des données et ont un besoin commun de connaître toute l'information dans le système. Se dit également des micro-ordinateurs, postes de travail, etc. qui n'ont qu'un utilisateur ou une utilisatrice.

Systèmes d'information : (Voir Traitement électronique des données).

TED : (Voir Traitement électronique des données).

Traitement de l'information : (Voir Traitement électronique des données)

Traitement électronique des données (TED) : Méthodes et techniques associées au traitement des données à l'aide d'une machine électronique (par ex. un ordinateur), ou encore ce traitement lui-même; synonymes: informatique, traitement de l'information, systèmes d'information.

Utilisateur, utilisatrice : Personne ou groupe de personnes autorisé par le ou la propriétaire d'un élément d'information TED à s'en servir à des fins universitaires approuvées. (Voir Système à utilisateurs multiples, Système mono-utilisateur).

© Université d'Ottawa

Pour d'autres renseignements, consultez la liste des points de contact.