Approuvé Comité d'administration 2288.3
1. BUT
1.1 Le présent règlement décrit la classification de l’information électronique, les mesures de sécurité et les responsabilités visant à sécuriser l’information électronique, à empêcher la destruction, la modification, la divulgation, l’accès, l’utilisation et l’enlèvement non autorisés. Il sert également de point de référence pour la classification de sécurité de l’information en regard d’autres règlements, méthodes, normes, règlements scolaires, ou directives dans la mesure où celles-ci ont un lien avec la classification de l’information.
Note : le terme « classification » est utilisé pour définir les catégories d’information quant à leur sensibilité. Le terme ne représente pas un système de classification plus vaste à l’échelle de l’Université.
2. APPLICATION, PORTÉE ET INTERPRÉTATION
2.1 Le présent règlement doit être lu en parallèle avec le Règlement No 116 – Utilisation et sécurité des biens de technologies de l'information, le Règlement 23 : Archives de l’Université d’Ottawa, et les Méthodes de sécurité TI.
2.2 Ce règlement s’applique à toute l’information électronique sous la garde ou le contrôle de l’Université.
2.3 Ce règlement ne présente pas une liste exhaustive de toutes les mesures de protection.
2.4 La Vice-rectrice à la gouvernance est responsable pour l’interprétation de ce présent règlement.
2.5 Aux fins du présent règlement :
a) le « propriétaire de l’information » s’entend de l’autorité administrative principale désignée pertinente de la faculté, du service administratif ou de l’unité organisationnelle qui représente l’autorité de dernière instance et le décideur en ce qui concerne l’information de l’Université. Les propriétaires de l’information ont le pouvoir décisionnel quant à l’information utilisée par la fonction du service administratif, ainsi que toutes les données, les formulaires, les fichiers, les informations et les dossiers, sans égard au format;
b) le « dépositaire des renseignements » désigne la personne responsable de la supervision et de la mise en œuvre des mesures nécessaires pour protéger les biens de TI, au niveau classifié par le propriétaire de l’information.
c) « publique » désigne l’information qui est ouverte au grand public qui ne comporte aucune restriction d’accès légale aux niveaux local, national ou international.
d) « interne » désigne l’information de l’Université qui ne vise que les employés ou les autres personnes approuvées, notamment les entrepreneurs, les fournisseurs et les étudiants. Les tiers externes ne peuvent généralement pas avoir accès à l’information interne sans autorisation expresse de l’organisation ou du propriétaire de l’information.
e) « confidentielle » s’entend de l’information protégée en raison de considérations d’exclusivité, éthiques ou de protection de la vie privée. Cette classification s’applique même en l’absence de loi qui l’exige.
f) « À diffusion restreinte » désigne l’information protégée par la loi ou par les politiques, règlements ou méthodes de l’Université. Ce niveau représente aussi l’information qui n’est pas protégée par la loi par défaut, mais pour laquelle le propriétaire de l’information a exercé son droit d’en limiter l’accès.
3. RESPONSABILITÉS
a) Propriétaire de l’information
Faciliter l’interprétation et la mise en œuvre des politiques, méthodes et lignes directrices afin de satisfaire les besoins de l’Université quant à l’utilisation de l’information. Le propriétaire de l’information a les responsabilités suivantes :
1. veiller à ce que l’utilisation et la protection de l’information sont conformes aux règlements, normes, politiques, méthodes de l’Université et aux lois applicables;
2. établir les lignes directrices, les procédures ou d’autres exigences s’il y a lieu pour manipuler et protéger l’information de façon appropriée dans leur unité;
3. consulter régulièrement les utilisateurs quant au type d’information traitée et la clarifier, en tenant compte de l’utilisation, de la sensibilité et de l’importance de l’information pour l’Université, dans l’une des quatre catégories de risque : publique, confidentielle, interne ou à diffusion restreinte. Il est ainsi possible d’assurer que les mesures de contrôle adéquates demeurent appropriées et se conforment aux règlements, politiques et lois applicables;
4. participer avec les propriétaires de l’information, les employés de l’administration des données de TI, les équipes de développement d’applications et les employés expérimentés du département à la création, le maintien et l’utilisation des données de projet de l’Université;
5. autoriser l’accès à l’information à diffusion restreinte, confidentielle et interne et s’assurer que les ententes de confidentialité sont signées par les employés ou d’autres personnes à qui l’accès à l’information à diffusion restreinte, confidentielle ou interne a été accordé;
6. assigner la responsabilité opérationnelle pour l’information à un ou plusieurs dépositaires des renseignements;
7. s’assurer que les dépositaires des renseignements mettent en place des contrôles de sécurité raisonnables pour protéger l’information et les systèmes automatisés, et que les utilisateurs se conforment aux procédures établies à l’égard de ces mesures de protection;
8. documenter les écarts dans les pratiques de contrôle générales des TI et rapidement mettre en œuvre des mesures correctives;
9. le propriétaire de l’information peut mettre en œuvre des procédures qui sont plus restrictives que celles définies dans le présent règlement.
b) Dépositaire des renseignements
Un dépositaire des renseignements est un employé de l’Université ou une entité externe dont les services contractuels ont été retenus par l’Université et qui est responsable de la supervision et de la mise en œuvre des mesures de protection nécessaires des biens de TI, au niveau classifié par le propriétaire de l’information.
Un dépositaire des renseignements est chargé de l’un ou plusieurs des éléments suivants :
1. comprendre le règlement et les procédures pour l’utilisation et la protection appropriées de l’information;
2. comprendre le flux de l’information dans les processus opérationnels pertinents, qu’ils soient manuels ou automatisés;
3. mettre en œuvre et maintenir les contrôles physiques et logiques qui appliquent le règlement et les procédures établis;
4. accorder et révoquer l’accès à l’information, sous la direction du propriétaire de l’information;
5. permettre en temps opportun la détection, l’établissement de rapports et l’analyse des incidents où un contournement ou une tentative de contournement des contrôles a eu lieu;
6. respecter les exigences et les lignes directrices en matière de manutention de l’information émises par le propriétaire de l’information;
7. se conformer aux règlements et aux méthodes connexes, aux lignes directrices et aux normes émises par l’Université à l’appui du présent règlement.
c) Utilisateurs de l’information de l’Université ayant le statut de non-employé (tiers)
1. Ces utilisateurs doivent se familiariser et se conformer au Règlement 116 : Utilisation acceptable des ressources de TI, au présent règlement et aux autres règlements et méthodes de l’Université.
d) Architecte de sécurité
L’Architecte de sécurité de l’Université est chargé de coordonner, développer, mettre en œuvre et maintenir un programme de sécurité en matière d’information à l’échelle de l’organisation. L’Architecte de sécurité a les responsabilités suivantes :
1. définir la position de risque de l’information dans son ensemble à l’Université et veiller à ce que les objectifs de sécurité indiqués dans le présent règlement soient pris en compte adéquatement;
2. déterminer la tolérance aux risques de menaces qui ont une incidence sur la sécurité de l’information;
3. élaborer, maintenir et diffuser les règlements, les normes, les lignes directrices et les méthodes en matière de sécurité de l’information;
4. concevoir et mettre en œuvre un environnement informatique sécuritaire;
5. coordonner et aider à l’intervention aux infractions de sécurité comportant une utilisation non autorisée de l’information.
e) Utilisateur
Un utilisateur est un membre de la communauté universitaire qui a l’autorisation d’accéder à une information sous la garde ou le contrôle de l’Université. Un utilisateur a les responsabilités suivantes :
1. utiliser l’information d’une manière conséquente aux fins prévues;
2. restreindre l’utilisation de l’information uniquement aux objectifs définis par le propriétaire de l’information;
3. se conformer aux règlements, aux méthodes connexes, aux lignes directrices et aux normes en vigueur visant l’utilisation de l’information;
4. se conformer aux contrôles mis en œuvre par le dépositaire des renseignements.
Les utilisateurs autorisés qui reproduisent et entreposent de l’information confidentielle ou à diffusion restreinte, ou tout sous-ensemble de cette information, y compris les versions imprimées, assument les responsabilités du dépositaire des renseignements à l’égard de cette information.
4. CLASSIFICATION DE SÉCURITÉ DE L’INFORMATION
a. La classification à diffusion restreinte est réservée à l’information la plus sensible dont l’accès doit être rigoureusement contrôlé. L’accès à l’information ainsi classifiée est habituellement restreinte à un petit nombre de personnes, et l’information ne s’adresse qu’à un public contrôlé très limité ou n’est pas distribuée. La divulgation non autorisée, la modification non autorisée ou l’inaccessibilité de cette information aurait de graves répercussions sur les employés, les étudiants, les entrepreneurs, les partenaires ou les clients de l’Université et sur elle même. La robustesse des contrôles de sécurité pour l’information classifiée à diffusion restreinte dépasse normalement celle de l’information confidentielle.
b. La classification confidentielle est réservée pour l’information sensible qui ne répond pas aux critères de la classification à diffusion restreinte et dont l’accès doit être octroyé selon le besoin de savoir et conformément aux responsabilités professionnelles. La divulgation ou la modification non autorisée, ou l’inaccessibilité de cette information aurait une incidence défavorable sur les employés, les étudiants, les entrepreneurs, les partenaires ou les clients de l’Université et sur elle même.
c. La classification interne est réservée pour l’information exclusive ou produite uniquement à l’intention d’un groupe de travail, d’un département, d’un groupe de personnes ou d’organisations affiliées qui ont un besoin légitime. La classification est généralement utilisée lorsque la divulgation, la modification ou la destruction non autorisée constituerait un risque moyen pour l’Université ou les organisations.
d. La classification publique est réservée pour l’information qui n’est pas sensible et ne nécessite aucune protection. La classification est généralement utilisée pour l’information destinée à un usage public. Sa divulgation n’engendre pas de perte ou de préjudice à une personne ou à l’Université.
Exemples
N.B. : Ces exemples ne sont pas exhaustifs et ne sont utilisés qu’à titre d’illustration (une grande part de l’information devrait correspondre à la classification).
L’information à diffusion restreinte comprend :
1. les numéros d’assurance sociale
2. les numéros d’identification d’assurance santé
3. les numéros de carte de crédit
4. les mots de passe et les clés de chiffrement privées.
L’information confidentielle comprend notamment :
1. l’information fournie en confidence
2. toute information protégée par une entente de non divulgation
3. l’information commercialement sensible, y compris les transactions financières connexes
4. les numéros de permis de conduire
5. les numéros de compte bancaire
6. l’information personnelle telle que définie à la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP), section 2.1.
6.7. l’information personnelle en matière de santé, conformément aux exigences à la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario ou toute autre législation équivalente applicable.
L’information confidentielle peut se trouver aussi sous formes :
• de dossiers d’étudiant : cette information s’applique aux candidats, aux étudiants inscrits et aux futurs étudiants :
a) les numéros d’identification (numéro d’étudiant, NIP)
b) les notes des étudiants
c) les états financiers des étudiants, les comptes bancaires, les historiques de paiement, l’aide/subventions financières, les factures d’étudiants
d) les données démographiques (nom, état civil, date de naissance, race, origine ethnique)
e) les renseignements personnels sur les étudiants (adresse de courriel, religion, niveau de scolarité).
• de renseignement sur l’employé :
a) les numéros d’identification (ID d’employé)
b) les renseignements financiers personnels
c) les renseignements sur l’assurance et les avantages sociaux
d) les données démographiques (nom, état civil, date de naissance, race, origine ethnique)
e) les renseignements personnels sur les employés (adresse de courriel, religion, niveau de scolarité, déclarations d’impôt)
f) certains renseignements de gestion (évaluations de rendement, ententes, historique d’emploi, etc.).
• de renseignements sur les donateurs/anciens étudiants :
a) les numéros d’identification (ID d’ancien étudiant)
b) les renseignements financiers personnels
c) les renseignements familiaux
d) les données démographiques (nom, état civil, date de naissance, race, origine ethnique)
e) les renseignements personnels (adresse de courriel, numéros de téléphone/télécopieur, niveau de scolarité).
• les examens
• la correspondance sous forme de courrier électronique, communications électroniques en temps réel et la copie imprimée des communications
• les demandes d’emploi
• les comptes rendus de réunions à huis clos
• les dossiers assujettis au secret professionnel liant l’avocat à son client
• les plans, politiques et projets institutionnels en cours de développement
• les fichiers d’emploi des membres du corps professoral régulier
• les fichiers d’emploi d’employés réguliers
• les ébauches de documents de planification
• les sites Web intranet internes
• les procès-verbaux officiels avant leur approbation
• les processus de demande de propositions
• les autres renseignements institutionnels comme les détails de l’infrastructure critique (topologie de réseau, appareils de sécurité, etc.)
l’information interne comprend notamment :
• les procédures internes et guides opérationnels;
• l’information comptable et financière;
• les bons de commande;
• les indicateurs et statistiques des admissions;
• les rapports, budgets, plans et renseignements financiers qui ne sont pas publics;
• les contrats qui ne sont pas publics;
• les notes de service, courriels et autres documents internes;
• le numéro de téléphone personnel des employés;
• l’adresse domicile des employés;
• les documents techniques comme la configuration des systèmes et les plans d’étage.
l’information publique comprend notamment :
• le site Web public de l’Université
• les communiqués de presse affichés publiquement
• les horaires de cours ou le catalogue des cours affichés publiquement
• les cartes interactives, les répertoires, les calendriers, les bulletins, les journaux, la liste des employés gagnant plus de 100 000 $, les offres d’emploi et les magazines affichés publiquement de l’Université.
5. RÈGLEMENT
5.1 Information sur la gouvernance et la classification
a) Tous les éléments d’information appartenant, utilisés ou maintenus par l’une des unités organisationnelles de l’Université doivent identifier un ou plusieurs propriétaires de l’information;
b) L’information non classifiée est réputée de nature interne à moins de savoir que l’information est protégée par des règlements, méthodes ou politiques de l’Université, ou par la loi.
5.2 Mesures de protection de l’information
a) Toute l’information de l’Université doit être classifiée dans les catégories à diffusion restreinte, confidentielle, interne ou publique, dès que possible après la création ou l’acceptation d’appropriation de l’Université;
b) Suivant la classification initiale, l’information de l’Université doit rester classifiée au niveau initial ou être reclassée au besoin en raison des changements dans l’utilisation, la sensibilité, la loi ou d’autres circonstances pertinentes;
c) L’information doit être protégée pour éviter la perte, le vol ou l’accès, la divulgation, la modification ou la destruction non autorisée;
d) L’information à diffusion restreinte, lorsqu’elle est entreposée dans un format électronique, doit être protégée par des mots de passe robustes (référence : Méthode de protection des mots de passe) et entreposée sur les serveurs ou les bases de données dotées de mesures de protection et d’algorithmes chiffrement;
e) L’information confidentielle, lorsqu’elle est entreposée dans un format électronique, doit être protégée par des mots de passe robustes et entreposée sur les serveurs ou les bases de données dotés de mesures de protection adéquates;
f) L’information à diffusion restreinte ou confidentielle ne doit être stockée que dans des tiroirs ou des salles verrouillés ou dans une zone où l’accès est contrôlé par des mesures de contrôle d’accès physiques suffisantes pour détecter et empêcher l’accès non autorisé de membres du public, de visiteurs ou d’autres personnes sans le besoin de savoir;
g) L’information à diffusion restreinte, confidentielle ou interne ne doit être envoyée qu’à un numéro connu lorsqu’elle est transmise par télécopieur
h) L’information à diffusion restreinte, confidentielle ou interne ne doit pas être affichée sur un site Web sans l’autorisation préalable du doyen ou du directeur de l’unité organisationnelle;
i) L’information à diffusion restreinte ou confidentielle ne doit pas être transmise par message texte, images, message vocal ou vidéo;
j) Une information à diffusion restreinte, confidentielle ou interne ne peut être divulguée que suivant le principe du besoin de savoir et conformément aux politiques, règlements et méthodes applicables de l’Université;
k) Le niveau de classification et la protection afférente de l’information reproduite doivent rester conformes à l’information d’origine, p.ex.
• les données de RH confidentielles copiées sur un CD-ROM ou un autre support mobile tel qu’une clé USB ou d’un serveur à un autre, conserve sa classification confidentielle;
• les copies imprimées de l’information confidentielle sont aussi confidentielles.
l) Toute collection d’information physique ou logique, stockée, en transit ou pendant le transfert électronique (p. ex. fichier, base de données, courriels et pièces jointes, classeur, support de sauvegarde, dispositifs de mémoire électroniques, journaux d’opérations sensibles ou fichiers de configuration) contenant divers niveaux de classification doit être classifiée dans leur ensemble au niveau de classification de l’information le plus élevé dans la collection. Tout sous-ensemble d’information qui a été séparé d’une telle collection doit être protégé conformément avec le niveau de protection indiqué pour le niveau de classification du sous-ensemble d’information s’il a été assigné; autrement, le sous-ensemble d’information conserve le niveau de classification de la collection d’origine et fait appel au même niveau de protection;
m) La destruction de l’information (électronique ou physique) ou des systèmes qui stockent l’information doit être effectuée d’une manière sécuritaire comme par l’écrasement de l’information sur disque dur avec un modèle aléatoire de uns et de zéros ou en détruisant physiquement les disques durs;
n) L’information à diffusion restreinte, confidentielle ou interne en format imprimé (papier, microfilm, microfiche, etc.) doit être déchiquetée ou incinérée;
o) Avant que les systèmes ou les supports soient réutilisés, ils doivent être effacés afin d’assurer qu’il ne reste pas d’information résiduelle (référence : Méthode d’élimination des biens de TI);
p) Le niveau de sensibilité de certains éléments d’information pris de façon isolée peut être négligeable, mais ces mêmes éléments peuvent être très sensibles dans une forme agrégée. En règle générale, la sensibilité de l’information sera plus grande dans sa forme agrégée que lorsqu’elle est prise de façon isolée (p. ex. l’association d’un ID d’étudiant à l’identité d’une personne). Si l’examen révèle une sensibilité ou une criticité accrue associée au regroupement d’information, le niveau de classification peut alors être ajusté à un niveau plus élevé que si l’information était prise isolément;
q) Les utilisateurs doivent signaler immédiatement au propriétaire de l’information et au Centre de services TI les situations suivantes visant de l’information interne, confidentielle ou à diffusion restreinte :
a. L’information a été perdue ou a été divulguée à des tiers non autorisés;
b. On soupçonne que l’information a été perdue ou a été divulguée à des tiers non autorisés.
6. CONFORMITÉ
6.1 Tout cas de non conformité au présent règlement doit être signalé à la Vice-rectrice à la gouvernance aux fins d’enquête.
6.2 Les demandes d’exception à ce règlement doivent être documentées puis faire l’objet d’un examen par la Vice-rectrice à la gouvernance. La demande doit inclure les raisons de l’exception et les mesures de contrôle de rechange proposées. La Vice-rectrice à la gouvernance prendra les décisions quant à ces demandes au cas par cas et elles seront communiquées par écrit.
6.3 Aucune dérogation ou exception ne peut être faite à ce règlement sans consulter la Vice-rectrice à la gouvernance et obtenir un consentement écrit.
6.4 Le Comité d’administration doit être informé chaque année des exceptions et des questions de non conformité.
7. PÉRENNITÉ
Le présent règlement fera l’objet d’un examen du Bureau de la vice-rectrice à la gouvernance sur une base régulière ou selon ce qu’il sera jugé approprié en regard des changements dans la technologie ou les exigences réglementaires.
8. DATE D’ENTRÉE EN VIGUEUR
Le règlement entre en vigueur à partir du 15 juin 2016.