Note sur la mise en œuvre





télécharger 41.46 Kb.
titreNote sur la mise en œuvre
date de publication10.02.2017
taille41.46 Kb.
typeNote
d.20-bal.com > loi > Note





[Modèle] Première Nation

Politique sur les technologies de l’information

Approuvée par le Conseil le ___________________




Énoncé de procédure et de politique

Politique no :




Direction de :




Date d'émission ou d'entrée en vigueur





Note sur la mise en œuvre

Visitez notre site Web au http://www.fnfmb.com pour vous assurer que la date d'émission de l’ÉPP ci-dessus représente la version la plus récente.



Modèle de politique : no 24

Date d’émission : 1er avril 2015


AVIS AUX UTILISATEURS

Le présent document est destiné à être utilisé par les Premières Nations du Canada. Il présente un modèle d'énoncé de politique et de procédures (« ÉPP ») qui est conforme aux exigences contenues dans les Normes relatives aux systèmes de gestion financière et dans les Normes relatives à la loi sur l’administration financière établies par le Conseil de gestion financière des Premières Nations (« le CGFPN ») conformément à la Loi sur la gestion financière des Premières nations (« la Loi »). La politique et les procédures sont également conformes aux dispositions du Modèle de loi sur l'administration financière (« Modèle de LAF ») publié par le CGFPN. Il devrait être adapté aux circonstances particulières de votre Première Nation afin d'avoir la portée et la flexibilité nécessaires à sa mise en œuvre. Pour cette raison, nous vous recommandons d'obtenir les conseils ou l'aide de professionnels afin de vous conformer à la loi sur l'administration financière, à la culture et à l'environnement opérationnel de votre Première Nation.

Le présent ÉPP fait partie d'une série de modèles de politiques élaborés par le CGFPN afin d'aider les Premières Nations à se conformer à la loi sur l'administration financière. Le présent modèle et d'autres peuvent être téléchargés sans frais à partir du site Web du CGFPN. Pour y avoir accès et recevoir de plus amples renseignements, visitez la page « Documents de base » à l'adresse http://www.fnfmb.com/fr/core-documents/.

FORMAT ET STRUCTURE

Les modèles de politiques et procédures élaborés par le CGFPN sont basés sur un format normalisé. Les utilisateurs doivent personnaliser ce contenu en utilisant un libellé et des procédures qui conviennent aux besoins de leur Première Nation et soient conformes à sa Loi sur l’administration financière.

  1. Politique – Un énoncé clair indiquant un protocole ou une règle de la Première Nation qui touche un domaine précis.

  2. Objectif – La raison ou la justification sous-tendant la politique et les procédures.

  3. Portée – Les domaines, fonctions, personnes ou secteurs touchés par la politique.

  4. Définitions – Tous les termes spécialisés qui ne sont pas définis autrement.

  5. Responsabilités – À l'aide de titres ou positions génériques utilisés dans les Normes du CGFPN, décrivent qui est responsable de la mise en œuvre ou de la mise à jour de la politique et des procédures.

  6. Procédures – Décrivent les étapes, les détails ou les méthodes qui doivent être utilisés pour mettre en œuvre et mettre à jour la politique et les procédures.

  7. Références – Liste des documents, politiques, lois, règlements, etc., utilisés pour élaborer la politique ou qui ont une influence sur elle.

  8. Pièces jointes – Les formulaires, rapports ou dossiers créés à partir de la politique.

AVIS DE NON-RESPONSABILITÉ

Le CGFPN s'est efforcé d'élaborer un modèle de politique susceptible d'être utilisé par une gamme étendue de Premières Nations. Néanmoins, le CGFPN ne fait aucune représentation et n'offre aucune garantie expresse ou implicite en ce qui concerne l'exactitude ou le caractère complet du contenu de modèle de politique, ni de son caractère approprié pour une Première Nation en particulier. Le présent ÉPP a été élaboré de manière à être conforme aux Normes relatives au système de gestion financière du CGFPN et aux Normes relatives à la loi sur l'administration financière, à la date de publication indiquée sur la page titre de la présente politique. Les utilisateurs reconnaissent que les Normes du CGFPN et la Loi sur laquelle lesdites Normes s'appuient peuvent être révisées périodiquement. Conséquemment, nous conseillons aux utilisateurs de consulter régulièrement le site Web du CGFPN pour consulter la version la plus récemment mise à jour, lorsqu'ils considèrent l'adoption du présent modèle d'ÉPP.

Le présent ÉPP n'est qu'un modèle. Le CGFPN se dégage de toute responsabilité que ce soit à l'égard de quelque dommage causé par ou découlant de l'utilisation, de l'adaptation ou de la mise en œuvre du présent ÉPP. Les Premières Nations qui utilisent le présent ÉPP demeurent entièrement responsables de s'assurer que leurs propres politiques et procédures conviennent aux besoins de la Première Nation concernée et sont conformes à ses exigences.


  1. Politique

Les systèmes d’information de la Première Nation appuient les exigences opérationnelles de celleci et appliquent des processus de sauvegarde et de suivi adéquats pour permettre de protéger les informations de la Première Nation.

  1. Objectif

La présente politique a pour objectif de s’assurer que l’intégrité du système d’information, particulièrement en ce qui concerne le système de gestion financière, est constamment protégée et appuie les exigences stratégiques et opérationnelles de la Première Nation.

  1. Portée

La présente politique s’applique à tous les membres du personnel concernés par la sélection, l’implantation, les activités ou l’entretien des systèmes d’information de la Première Nation. Elle s’applique aussi au directeur principal et au personnel responsable des technologies de l’information.

  1. Définitions

« procédure de retour en arrière » renvoie à la capacité de restaurer le système conformément à sa dernière configuration, avant un changement, à l’aide de procédures et de mesures documentées pour compléter le processus.

« réseau privé virtuel » renvoie à un réseau privé virtuel (« RPV »), qui permet d’utiliser une infrastructure de télécommunication publique, telle que l’Internet, pour fournir aux bureaux satellites et aux utilisateurs à distance un accès sécurisé au réseau de l’organisation.

  1. Responsabilités

  1. Le Conseil est chargé :

      1. D’établir et de mettre en œuvre des procédures documentées relatives aux technologies de l’information utilisées par la Première Nation dans le cadre de ses activités.

  1. Le directeur principal est chargé :

      1. De veiller à ce que des contrôles des technologies de l’information soient en place, et ce, qu’ils soient appliqués par un membre interne du personnel ou par une personne externe;

      2. D’effectuer le suivi du rendement des professionnels des technologies de l’information internes et externes.

  1. Les professionnels des technologies de l’information sont chargés :

      1. D’assurer l’intégrité des systèmes d’information de la Première Nation.

  1. Procédures

Planification et évaluation

  1. Avec l’aide du directeur principal et de la participation du personnel responsable des technologies de l’information, le Conseil s’assure que les systèmes d’information sont développés de manière à appuyer le plan et les activités stratégiques de la Première Nation.

  2. Si aucun employé interne ne possède les compétences techniques nécessaires pour identifier les exigences en matière de technologies de l’information ou évaluer les options, le directeur principal demande l’avis d’une personne ou d’une organisation externe qui possède les compétences nécessaires.

Impartition

  1. Conformément à la Politique sur les approvisionnements, le directeur principal est chargé de sélectionner les entrepreneurs qui offrent des services de technologies de l’information, de définir les services dans leur contrat, de fixer les accords de niveau de service et de gérer les contrats.

  2. Les éléments spécifiques qui devraient être prévus dans l’approvisionnement de services de technologies de l’information ainsi que dans l’entente avec le fournisseur sélectionné inclus :

      1. Une exigence selon laquelle le fournisseur de services présente régulièrement des rapports quant aux travaux effectués sur les systèmes d’information de la Première Nation;

      2. Une exigence selon laquelle les parties externes sont tenues de se conformer aux exigences juridiques et réglementaires, y compris la protection des renseignements confidentiels et privés;

      3. L’accès à aux informations de la Première Nation est accordé aux parties externes au besoin seulement.

Gestion des données

  1. Sous réserve de la Politique sur les documents et l’information, la conservation des données permet au personnel concerné d’accéder aux données lorsque nécessaire, en fonction du type de données conservé.

  2. Tous les renseignements/données de nature sensible ou d’une importance significative se trouvant sur les systèmes de technologies de l’information de la Première Nation sont sauvegardés périodiquement. Les sauvegardes ont lieu progressivement sur une base journalière, et de manière complète sur une base hebdomadaire et mensuelle.

  3. Les disques de sauvegarde sont conservés dans un lieu sûr, auquel seuls le directeur principal et un personnel limité ont accès. Idéalement, les disques sont conservés en toute sécurité à l’externe et de manière facilement accessible aux personnes autorisées.

  4. Les disques de sauvegarde sont conservés pour une période de [●] [semaines / mois] avant d’être réécrits ou effacés.

Gestion de l’accès

  1. Toute personne ayant besoin d’accéder aux systèmes d’information de la Première Nation se voit attribuer un nom d’utilisateur unique. Le partage des noms d’utilisateur et mots de passe n’est pas permis.

  2. Les demandes d’accès au réseau, au système comptable et à tout autre système d’information à accès restreint de la Première Nation doivent inclure une description du rôle de l’employé et une justification du niveau d’accès demandé. À cet égard, il faut obtenir une approbation écrite du directeur principal (ou de la personne qu’il désigne).

  3. Le nom d’utilisateur et le mot de passe sont nécessaires pour accéder au réseau et à d’autres programmes/secteurs, tels que le système comptable. L’authentification automatique à l’aide de scripts et de macros qui inscrivent le nom d’utilisateur et le mot de passe est interdite.

  4. Les personnes concernées se voient accorder des privilèges d’accès dans la mesure nécessaire pour exercer leur fonction, sans plus. Les systèmes et les applications ne sont pas configurés avec un accès non restreint à l’ensemble des données.

  5. Lorsqu’une personne ou un entrepreneur est congédié ou son mandat résilié par la Première Nation, son nom d’utilisateur est désactivé immédiatement.

  6. Le personnel de soutien avise l’utilisateur avant de prendre contrôle d’un poste de travail. Dans tous les cas où un logiciel de contrôle à distance d’un poste de travail a été installé, ce logiciel doit être désinstallé lorsque la tâche administrative est terminée. L’utilisation d’un logiciel de contrôle à distance se fait en conformité avec les ententes applicables.

Sécurité des systèmes d’information

  1. Les outils et les techniques de sécurité sont implantés pour activer les restrictions d’accès aux programmes et aux données.

  2. Les outils et les techniques de sécurité sont gérés de manière à restreindre l’accès aux programmes et aux données.

  3. Chaque poste informatique est muni d’un programme antivirus (« AV ») approuvé. À cet égard, les normes suivantes doivent être respectées:

      1. Il ne faut pas désactiver le programme antivirus; ce dernier est configuré de manière à balayer tous les programmes et tous les fichiers lorsqu’ils sont sélectionnés et doit disposer d’un système de protection activé en temps réel. S’il est impossible de vérifier la présence de virus dans les fichiers cryptés et protégés par des mots de passe, il incombe à l’utilisateur de vérifier la présence de virus lorsque cette protection est désactivée;

      2. Les fichiers antivirus sont mis à jour dans le réseau toutes les deux semaines, ou lorsqu’une nouvelle menace est identifiée.

  1. Des coupe-feu du réseau sont configurés sur la base d’une approche d’accès restreint, permettant que seuls certains systèmes, services et protocoles puissent communiquer dans le périmètre du réseau. L’accès logique et physique à ces systèmes est strictement réservé aux membres du personnel ayant suivi une formation spécifique et obtenu une autorisation permettant de gérer le dispositif. Par ailleurs, les normes suivantes relatives aux coupe-feu doivent être respectées:

      1. Les coupe-feu et les serveurs mandataires sont installés de façon sécuritaire;

      2. Des registres coupe-feu détaillés sont conservés;

      3. L’alerte est sonnée en cas d’importante panne de services ou de processus.

Gestion des changements

  1. Toutes les nouvelles structures ou modifications de données sont mises à l’essai avant d’être implantées.

  2. Tous les systèmes informatiques, matériels informatiques, logiciels et systèmes de communication utilisés dans un environnement de production sont soumis à un processus de contrôle de changement documenté. Le processus de gestion des changements doit comprendre les éléments suivants :

      1. La structure des données répond aux besoins de la Première Nation;

      2. La description et la justification des nouveaux changements relatifs au réseau, aux matériels informatiques, aux communications, aux logiciels et aux systèmes et la manière dont ils répondent aux besoins de la Première Nation;

      3. L’évaluation de tout risque lié au changement;

      4. Les considérations liées à la procédure de retour en arrière;

      5. Les considérations liées à l’implantation;

      6. Une description des mises à l’essai nécessaires;

      7. L’approbation du directeur principal;

      8. La communication des changements au personnel de la Première Nation, s’il y a lieu.

Suivi

  1. Seuls les programmes approuvés et autorisés sont implantés aux systèmes de gestion de l’information de la Première Nation. Des examens périodiques des postes de travail et du système sont menés pour effectuer un suivi du respect de cette exigence.

  2. Un registre des membres du personnel, de leur nom d’utilisateur et de leur niveau d’accès aux systèmes d’information de la Première Nation est conservé. Tous les trimestres, le directeur principal examine le registre pour s’assurer que les utilisateurs et leurs droits d’accès respectifs sont appropriés. Les droits d’accès faisant l’objet d’un suivi sont les suivants :

      1. La gestion de l’accès des utilisateurs (ex. le système comptable);

      2. L’accès aux tiers (ex. professionnels des technologies de l’information externalisés);

      3. L’accès au réseau et le partage de fichiers;

      4. L’accès à distance et par l’intermédiaire d’un RPV.

  1. Le rendement du système de réseau fait régulièrement l’objet d’un suivi.

  2. Les coupe-feu font l’objet d’un suivi quotidien, et leur fonctionnalité fait l’objet d’une vérification semestrielle.

  1. Références et autorités connexes

  1. Normes relatives au système de gestion financière du CGFPN

      1. Norme 19.8 – Mesures de contrôle des technologies de l’information

  1. Normes relatives à la loi sur l’administration financière du CGFPN

      1. Norme 17.6.2 – Mesures de contrôle des technologies de l’information

  1. Pièce jointe

Aucune


similaire:

Note sur la mise en œuvre iconNote sur la mise en œuvre

Note sur la mise en œuvre iconNote sur la mise en œuvre
«ÉPP») qui est conforme aux exigences contenues dans les Normes relatives aux systèmes de gestion financière et dans les Normes relatives...

Note sur la mise en œuvre iconNote sur la mise en œuvre
«ÉPP») qui est conforme aux exigences contenues dans les Normes relatives aux systèmes de gestion financière et dans les Normes relatives...

Note sur la mise en œuvre iconNote sur la mise en œuvre
«ÉPP») qui est conforme aux exigences contenues dans les Normes relatives aux systèmes de gestion financière et dans les Normes relatives...

Note sur la mise en œuvre iconNote sur la mise en œuvre
«ÉPP») qui est conforme aux exigences contenues dans les Normes relatives aux systèmes de gestion financière et dans les Normes relatives...

Note sur la mise en œuvre iconNote sur la mise en œuvre
«ÉPP») qui est conforme aux exigences contenues dans les Normes relatives aux systèmes de gestion financière et dans les Normes relatives...

Note sur la mise en œuvre iconEvaluation de la mise en œuvre du programme de travail sur les aires...

Note sur la mise en œuvre iconManuel des procedures pour la mise en œuvre du financement base sur la performance a djibouti

Note sur la mise en œuvre iconRapports periodiques du burkina faso sur la mise en œuvre de la convention...

Note sur la mise en œuvre iconNote : certains prénoms ont été remplacés
«intentionnellement» prend ici une grande importance. On pourrait commencer à douter que ce n’est pas l’œuvre du hasard ou l’œuvre...






Tous droits réservés. Copyright © 2016
contacts
d.20-bal.com