Vérification de la gestion de l’information et des dossiers
Table des matières
Sommaire
1. Introduction et contexte
1.1 Autorisation du projet
1.2 Contexte
2. Objectif
3. Portée
4. Approche et méthodologie
5. Constatations et recommandations
5.1 Stratégie de GI
5.2 Sensibilisation/formation et rôles/responsabilités en matière de GI
5.3 Normes, pratiques et outils en matière de GI
5.4 Pratiques de conservation et de disposition
5.5 Protection de l’information sensible
Annexe A –Critères de vérification
Annexe B – Définitions et sigles
Annexe C – Plan d’action de la direction
Réalisé par le Bureau du dirigeant principal de la vérification et de l’évaluation
Direction des services de vérification et d’assurance
Septembre 2011
La présente publication est disponible sur demande en médias substituts.
© Sa Majesté la Reine du chef du Canada, 2011.
No de catalogue : CH6-7/2011F-PDF
ISBN : 978-1-100-98768-2M
Sommaire
Introduction
L’objectif de cette vérification est de fournir une assurance sur la pertinence et l’efficacité du cadre de contrôle au ministère du Patrimoine canadien (PCH) pour gérer et protéger l’information conformément aux lois pertinentes ainsi qu’aux politiques, procédures et pratiques du Secrétariat du Conseil du Trésor (SCT) et du Ministère.
Le Ministère est chargé d’élaborer des politiques et d’exécuter des programmes liés à l’identité, aux valeurs, au développement culturel et au patrimoine canadiens. L’information est un élément essentiel d’une gestion efficace. Elle appuie la mise en œuvre des programmes et des services et permet à PCH d’être plus réceptif aux besoins des Canadiens et mieux en mesure de rendre des comptes à la population. L’information gérée par le Ministère est aussi diversifiée que les initiatives et les activités entreprises dans le cadre de son mandat. Cela comprend l’information liée aux subventions et aux contributions (S et C) (p. ex. correspondance, demandes), aux services ministériels (p. ex. RH, élaboration de politiques, analyse et recherche) et aux opérations du Ministère (p. ex. plans d’activités, rapports).
La Direction de la gestion du savoir et de l’information (DGSI) au sein de la Direction générale du dirigeant principal de l’information (DGDPI) a le mandat de fournir l’orientation stratégique, les outils et l’aide nécessaires à la gestion appropriée de l’information au sein du Ministère, notamment en ce qui concerne l’élaboration de la Politique sur la gestion de l’information (GI) de PCH.
Il incombe à tous les employés du Ministère d’appliquer les principes, les normes et les pratiques de gestion de l’information dans l’exercice de leurs fonctions, et de documenter leurs activités et leurs décisions. Les ressources de GI à l’extérieur de la DGSI varient entre les directions générales et les secteurs, selon le niveau de ressources, le rôle et la classification. Dans certaines directions générales, il y a un poste attitré responsable de la GI; tandis que dans d’autres, une personne peut exercer des responsabilités de GI à temps partiel. En général, le personnel investi de responsabilités de GI à l’extérieur de la DGSI joue un rôle impliquant la « gestion des dossiers » axé sur la gestion des documents papier, plutôt que celui d’un spécialiste de la GI.
L’information à PCH se situe et est gérée en grande partie au niveau des programmes, aussi bien en format électronique qu’en format papier. Les documents papier actifs demeurent généralement dans les secteurs de programme, mais une salle des archives ministérielles gérée par la DGSI est utilisée pour entreposer les dossiers inactifs ou dormants.Toutefois, le processus de gestion d’information se fait en grande partie manuellement.
Les constatations découlant de la présente vérification devraient être vues dans le contexte des développements actuels en matière de GI, tant au sein de PCH que dans l’environnement plus large du gouvernement fédéral, qui pourraient avoir une incidence importante sur la Stratégie de GI de PCH ainsi que sur les constatations et les recommandations de la vérification. Plus particulièrement, cela comprend ce qui suit :
- L’Initiative de modernisation des subventions et contributions (IMSC) a pour objet la normalisation et la rationalisation des processus de S et C à l’échelle du Ministère, y compris la mise à niveau des systèmes existants de S et C (p. ex. Système de gestion de l’information sur les subventions et contributions [SGISC]). Cette initiative, qui a débuté au printemps 2010 et qui devrait être terminée d’ici 2013, aura une incidence importante sur les pratiques de GI des programmes de S et C.
- Le contexte fiscal actuel, par exemple, l’examen stratégique des dépenses de fonctionnement des institutions fédérales, le plan d’action du gouvernement fédéral pour la réduction du déficit, l’examen des services administratifs et l’examen des services internes, signifie que les ressources disponibles pourraient être restreintes et que des ressources additionnelles de GI pourraient ne pas être disponibles.
- Le gouvernement du Canada (GC), par l’entremise de la nouvelle entité, Services partagés Canada (SPC), a l’intention de rationaliser et de consolider l’infrastructure et les opérations de la technologie de l’information (TI), plus particulièrement le courrier électronique, les centres de données et les réseaux.
- Les institutions du gouvernement fédéral ont jusqu’au printemps 2014 pour mettre en œuvre les exigences de la Directive sur la tenue de documents du SCT. L’objectif de cette directive est d’assurer l’adoption de pratiques efficaces de tenue de documents qui permettent aux ministères de créer, d’acquérir, de saisir, de gérer et de protéger l’intégrité des ressources documentaires ayant une valeur opérationnelle relativement à l’exécution des programmes et à la prestation des services du gouvernement du Canada.
- Le Secrétariat du Conseil du Trésor a commencé à élaborer des normes par rapport aux rôles et responsabilités en matière de GI, et il prévoit créer des descriptions de travail génériques en GI.
Principales constatations
Forces
Tout au long du travail sur le terrain, l’équipe de vérification a pu observer plusieurs exemples démontrant la bonne conception des contrôles en matière de GI et l’efficacité de leur mise en œuvre. L’exercice a donné lieu à des constatations positives, dont les suivantes :
- La Politique sur la gestion de l’information de PCH est en vigueur depuis le 1er avril 2010. Cette Politique énonce les rôles et les responsabilités en matière de GI au sein du Ministère, conformément à la Politique sur la gestion de l’information et à la Directive sur les rôles et responsabilités en matière de gestion de l’information du Conseil du Trésor.
- Les processus et le temps de traitement des demandes d’accès à l’information (AI) ont connu une grande amélioration au cours de la dernière année.
- Certains secteurs du Ministère ont entrepris un « nettoyage » de leurs lecteurs réseau.
- L’intranet de PCH contient des ressources de GI qui sont accessibles au personnel aux fins d’examen.
- L’information ayant une valeur opérationnelle est définie et conservée par les secteurs de programme; pour ce faire, bon nombre d’entre eux ont recours à des formulaires et des processus normalisés.
Observations
L’équipe de vérification a également identifié des secteurs où les pratiques et les processus de gestion peuvent être améliorés. Elle a fait les observations suivantes qui font ressortir les éléments où PCH devrait apporter des améliorations.
- Dans sa version provisoire actuelle, la Stratégie de GI de 2011 à 2016 comporte des objectifs, des initiatives et des échéanciers qui doivent être harmonisés avec les niveaux actuels de ressources, priorisés et faire l’objet de consultations auprès des intervenants du Ministère et des comités de gouvernance en matière de GI de PCH.
- La coordination et la sensibilisation entre la DGSI et les directions générales/régions de PCH en ce qui concerne les rôles et responsabilités en matière de GI, la collaboration sur des initiatives liées à la GI ainsi que la communication des normes et des pratiques de GI et la formation connexe sont peu fréquentes en raison des contraintes de ressources et des priorités concurrentes.
- Il faut élaborer un ensemble exhaustif de normes, de pratiques et d’outils en matière de GI à l’appui de la Politique sur la GI de PCH. Les pratiques de GI, notamment en ce qui concerne la classification et l’organisation de l’information, manquent d’uniformité à l’échelle du Ministère.
- Il faut obtenir des autorisations de disposer de documents (ADD) pour près de la moitié des 100 programmes et unités de PCH qui ont été désignés comme nécessitant des ADD pour les documents propres au programme dont ils assurent la gestion. L’information est conservée plus longtemps que nécessaire, particulièrement en ce qui concerne les documents sous forme électronique.
- Les normes de classification de sécurité de l’information et les mesures de protection de l’information sensible manquent d’uniformité ou ne sont pas appliquées.
Recommandations
- 1.1 La dirigeante principale de l’information (DPI) devrait faire participer activement les comités de gouvernance du Ministère pour obtenir leur rétroaction sur l’ébauche de Stratégie de GI actuelle et, compte tenu des ressources disponibles, établir l’ordre de priorité des objectifs et des initiatives, y compris un plan de mesure du rendement, et examiner les risques pour le Ministère de ne pas atteindre les objectifs précis de la Stratégie.
Les autres constatations de la vérification fournissent également une indication des secteurs de la GI qui présentent des risques pour le Ministère et qui devraient être pris en compte dans la détermination des priorités de la Stratégie.
Dans l’établissement des priorités de la Stratégie de GI, le DPI devrait tenir compte de ce qui suit :
- 2.1 Collaborer avec les directions générales/régions afin de définir les capacités de GI actuelles dans les directions générales/régions, et permettre une collaboration accrue afin que ces ressources de GI puissent être utilisées efficacement. Les activités devraient avoir pour objet d’aider à positionner le Ministère de façon à ce qu’il puisse normaliser davantage les rôles des ressources de GI.
- 2.2 Veiller à ce que la DGSI collabore davantage avec le Secrétariat de l’accès à l’information et de la protection des renseignements personnels (AIPRP) et la Sécurité ministérielle afin d’établir des mécanismes officiels pour la prise en compte des exigences en matière de GI pendant l’évaluation et l’élaboration de contrôles de protection des renseignements personnels et de sécurité à l’échelle de PCH.
- 3.1 Prioriser le parachèvement de l’architecture de l’information pour le Ministère, en privilégiant d’abord la classification des documents à l’échelle du Ministère, peu importe le format ou le support.
- 4.1 Déterminer la mesure dans laquelle des ADD plus génériques peuvent être utilisées pour les secteurs de programme qui n’ont pas une ADD approuvée à l’heure actuelle, de façon à réduire le nombre d’ADD pour lesquelles une approbation est nécessaire. Le travail de normalisation des processus effectué dans le cadre de l’IMSC pourrait être mis à profit dans ce contexte.
- 4.2 Aider les secteurs de programme à définir l’information n’ayant plus une valeur opérationnelle. Cela devrait comprendre l’élaboration de stratégies en collaboration avec les secteurs de programme sur la disposition de l’information qui est stockée dans les bases de données électroniques.
Dans l’établissement des priorités de la Stratégie de GI, la DPI, en collaboration avec l’agent de sécurité du Ministère et le coordonnateur de l’AIPRP, devrait tenir compte de ce qui suit :
- 5.1 Veiller à ce que l’élaboration de l’architecture de l’information du Ministère inclue les considérations liées à la classification de sécurité de l’information, et veiller également à ce que des mesures de protection appropriées soient mises en œuvre et à ce que des outils soient disponibles pour la gestion de l’information classifiée. Cela comprend la tenue d’évaluations de la menace et des risques (EMR), par exemple, de la salle des archives ministérielles, et d’évaluations des facteurs relatifs à la vie privée (EFVP), par exemple, de la mise à niveau de PeopleSoft.
- 5.2 Veiller à offrir au personnel des séances de formation et de sensibilisation en matière de classification de sécurité de l’information portant sur les mesures de protection appropriées en fonction du niveau de sensibilité de l’information qui est gérée.
Énoncé d’assurance
Selon mon jugement professionnel en tant que dirigeant principal de la vérification et de l’évaluation, j’estime que les procédures de vérification qui ont été menées sont suffisantes et adéquates et que les éléments de preuve recueillis soutiennent l’opinion fournie dans le présent rapport. Celle-ci s’appuie sur la comparaison des conditions de l’époque et des critères de vérification préétablis qui ont été acceptés par la direction. L’opinion ne porte que sur l’objet de la vérification de l’entité examinée et de la portée décrite. Les éléments de preuve ont été recueillis en conformité avec la politique, les directives et les normes du Conseil du Trésor en matière de vérification interne. Les éléments de preuve réunis sont suffisants pour convaincre la haute direction du bien‑fondé de l’opinion découlant de la vérification interne.
Opinion de vérification*
À mon avis, la gouvernance de la GI ainsi que le cadre de risque et de contrôle à PCH pour gérer et protéger l’information conformément aux lois pertinentes ainsi qu’aux politiques, procédures et pratiques du Secrétariat du Conseil du Trésor (SCT) et du Ministère présentent des faiblesses en matière de contrôle et une exposition modérée au risque qui nécessitent l’attention de la direction en ce qui concerne la stratégie; les rôles et responsabilités; les normes, les pratiques et les outils; la protection de l’information relative au cadre de contrôle de la GI.
Richard Willan
Dirigeant principal de la vérification et de l’évaluation
Ministère du Patrimoine canadien
Membres de l’équipe de vérification
Maria Lapointe-Savoie
Dylan Edgar
Siriseng Malichanh
Yves Christian
Caroline Dulude
Avec l’aide de ressources externes
1. Introduction et contexte
1.1 Autorisation du projet
L’autorisation de mener le projet de vérification découle du Plan de vérification pluriannuel axé sur les risques (PVAR) de 2011‑2012 à 2013‑2014, qui a été recommandé par le Comité ministériel de vérification (CMV) et approuvé par le sous‑ministre en mars 2011.1.2 Contexte
Le ministère du Patrimoine canadien (PCH) est chargé d’élaborer des politiques et d’exécuter des programmes liés à l’identité, aux valeurs, au développement culturel et au patrimoine canadiens. Il s’acquitte de ce mandat au moyen d’un large éventail d’activités et d’initiatives, impliquant divers fonds de renseignements, dont ceux ayant trait au droit d’auteur, aux investissements étrangers et à la radiodiffusion, aux arts, à la culture, au patrimoine, aux langues officielles et au sport ainsi qu’au cérémonial d’État et au protocole. L’information est un élément essentiel d’une gestion efficace; par exemple, de l’information exacte en temps opportun est nécessaire pour une prise de décisions judicieuses en matière de gestion, ce qui inclut les décisions concernant la conception et l’exécution de politiques et de programmes et les rapports du Ministère aux organismes centraux du gouvernement du Canada (GC). De plus, elle appuie la mise en œuvre des programmes et des services et permet à PCH d’être plus réceptif aux besoins des Canadiens et mieux en mesure de rendre des comptes à la population.
La Direction de la gestion du savoir et de l’information (DGSI) au sein de la Direction générale du dirigeant principal de l’information (DGDPI) a le mandat de fournir l’orientation stratégique, les outils et l’aide nécessaires à la gestion appropriée de l’information au sein du Ministère, notamment en ce qui concerne l’observation des exigences du gouvernement fédéral en matière de gestion de l’information (GI), comme celles de la Loi sur la Bibliothèque et les Archives du Canada ainsi que celles de la Politique sur la gestion de l’information et de la Directive sur la tenue de documents du Secrétariat du Conseil du Trésor.
La DGSI compte 15 postes, qui sont actuellement dotés. Depuis 2007, le nombre de postes est passé de 10 à 15. La Direction est composée des unités suivantes :
- Stratégies de GI/GS (gestion de l’information/gestion du savoir) et gestion du changement – Les principales activités de l’unité comprennent la planification stratégique, l’élaboration de politiques et la mesure du rendement ainsi que les communications et la sensibilisation en matière de GI.
- Services à la clientèle de la GI – L’unité offre aux employés de PCH du soutien opérationnel et de la formation qui tiennent compte des exigences du cycle de vie de la GI, notamment pour ce qui est de fournir un soutien aux utilisateurs actuels d’InfoCentre et du Système intégré de gestion de l’information des dossiers (SIGID) et de répondre aux demandes de renseignements par l’entremise d’un Bureau d’aide de la GI. La salle des archives ministérielles est une sous‑unité des Services à la clientèle de la GI.
- Centre du savoir – L’unité est un guichet unique multifonctionnel aux services d’information et du savoir, y compris les services de bibliothèque (qui ne tombent pas sous la portée de la vérification). L’unité comprend le Centre d’apprentissage et de conférences, un espace réservé à la formation et à l’apprentissage au sein du Ministère. Ces services n’étaient pas inclus dans la vérification.
Il incombe à tous les employés de PCH d’appliquer les principes, les normes et les pratiques de gestion de l’information dans l’exercice de leurs fonctions, et de documenter leurs activités et leurs décisions. Les postes comportant des responsabilités en matière de GI et les ressources de GI à l’extérieur de la DGSI varient entre les directions générales et les secteurs, selon le niveau de ressources, le rôle et la classification. Dans certaines directions générales, il y a un poste attitré responsable de la GI; tandis que dans d’autres, une personne peut exercer des responsabilités de GI à temps partiel. En général, le personnel investi de responsabilités de GI à l’extérieur de la DGSI joue un rôle impliquant la « gestion des dossiers » axé sur la gestion des documents papier, plutôt que celui d’un spécialiste de la GI.
L’information à PCH se situe et est gérée en grande partie au niveau des programmes, aussi bien en format électronique qu’en format papier. Les principaux référentiels d’information électronique sont les suivants :
- Courriel (Lotus Notes);
- Lecteurs réseau du Ministère (par exemple, le lecteur G:);
- InfoCentre (Système de gestion des documents et des dossiers électroniques [SGDDE]);
- Applications ministérielles comme PeopleSoft (système des RH), Système de gestion de l’information sur les subventions et contributions (SGISC) et CCM Mercury;
- Nombreuses applications propres à des programmes.
La même information est souvent à plusieurs endroits et dans différents formats. Par exemple, l’information relative aux S et C, comme les formulaires de demande et la correspondance des programmes, est souvent gérée par le biais de courriels, de documents ou de bases de données sur le lecteur réseau, du SGISC ou de documents papier. La plupart des secteurs de programme conservent encore des documents papier, car ils ont besoin de copies signées, étant donné que PCH considère les « originaux signés » comme étant le dossier officiel. Donc, le processus de gestion d’information se fait en grande partie manuellement.
Les documents papier actifs demeurent généralement dans les secteurs de programme, mais une salle des archives ministérielles gérée par la DGSI est utilisée pour entreposer les dossiers inactifs ou dormants. La Direction utilise le Système intégré de gestion de l’information des dossiers (SIGID) pour gérer les documents papier dans sa salle des archives ministérielles.
2. Objectif
L’objectif de cette vérification est de fournir une assurance sur la pertinence et l’efficacité du cadre de contrôle à PCH pour gérer et protéger l’information conformément aux lois pertinentes ainsi qu’aux politiques, procédures et pratiques du SCT et du Ministère.3. Portée
La portée de cette vérification comprend toute l’information gérée par PCH, peu importe le format (papier ou électronique) et couvre la gestion de l’information tout au long du cycle de vie complet de la GI, comme le définit Bibliothèque et Archives Canada (BAC) :
- Planification de la GI;
- Collecte, création, réception et saisie;
- Organisation de l’information;
- Utilisation et diffusion;
- Maintien, protection et conservation;
- Disposition;
- Évaluation et surveillance.
4. Approche et méthodologie
L’approche et la méthodologie de la vérification étaient en conformité avec la Politique sur la vérification interne du Conseil du Trésor et les normes connexes du gouvernement du Canada.
PCH s’efforce de mettre en place un cadre de contrôle de la GI allant dans le sens des exigences des organismes centraux et des principales pratiques de l’industrie. Par conséquent, les exigences relatives à la GI de la Loi sur la protection des renseignements personnels, la Loi sur l’accès à l’information et la Loi sur la Bibliothèque et les Archives du Canada ont été mises à contribution aux fins de la vérification. Outre les exigences relatives à la GI de ces trois lois, celles des politiques et des directives suivantes du SCT ont été prises en considération :
- Politique sur la gestion de l’information
- Directive sur les rôles et responsabilités en matière de gestion de l’information;
- Directive sur la tenue de documents;
- Politique sur la protection de la vie privée et directives connexes;
- Politique sur l’accès à l’information et directives connexes;
- Politique sur la sécurité du gouvernement.
Les activités de vérification ont été menées au sein de la DGDPI (plus particulièrement de la DGSI), ainsi que dans différentes directions générales/régions à l’échelle de PCH afin d’évaluer si des pratiques efficaces en matière de GI ont été mises en place dans l’ensemble du Ministère. Des secteurs précis ont été choisis pour l’activité de vérification au cours de l’évaluation préliminaire (c.‑à‑d. phase de planification) effectuée dans le cadre de la vérification. Les secteurs ont été choisis en raison de leurs fonds de renseignements comportant un risque élevé inhérent et afin de constituer un échantillon représentatif de directions générales en fonction de leurs pratiques actuelles en matière de GI. La vérification a porté sur les éléments suivants de PCH :
- Direction générale des affaires autochtones (DGAA);
- Examen des investissements dans le secteur culturel (EISC);
- Réseau canadien d’information sur le patrimoine (RCIP);
- Gestion des ressources humaines et du milieu de travail (GRHMT);
- Jeux panaméricains de 2015 (utilisation d’InfoCentre);
- Accès à l’information et protection des renseignements personnels (ATIP);
- Région de l’Atlantique;
- Région de l’Ontario;
- Direction générale des événements majeurs et des célébrations (EMC).
Les procédures de vérification effectuées dans ces secteurs sont les suivantes :
- Examen des politiques, procédures, normes et évaluations en matière de GI;
- Examen des plans stratégiques et opérationnels en matière de GI propres à des directions générales, ainsi que du mandat et des comptes rendus de réunion des comités de surveillance;
- Quarante-sept entrevues et révisions des processus avec des employés et des membres de la direction de PCH portant sur les pratiques de GI;
- Examen et analyse des référentiels d’information (p. ex. documents papier, lecteurs réseau et bases de données électroniques).
5. Constatations et recommandations
En se fondant sur les entrevues, l’analyse et les éléments de preuve recueillis au cours de la vérification, l’équipe de vérification a évalué chacun des critères de vérification et formulé des conclusions (annexe A).
Les contrôles de gestion de l’information et des dossiers ont été jugés comme étant conçus adéquatement et appliqués efficacement dans des secteurs précis. D’autre part, l’équipe de vérification a cerné des possibilités d’amélioration, ce qui a donné lieu à huit recommandations dans les domaines de la gouvernance, des contrôles internes et de la gestion des risques en matière de GI.5.1 Stratégie de GI
Analyse
Une stratégie de GI a été élaborée initialement en 2007 pour couvrir la période de cinq ans allant de 2007 à 2012, et elle a été mise à jour en 2010. Cette stratégie antérieure a obtenu la rétroaction et l’approbation de la haute direction de PCH. La Direction de la gestion du savoir et de l’information (DGSI) ayant déterminé qu’une nouvelle stratégie était nécessaire, une ébauche de la Stratégie de GI de PCH est en élaboration. Celle‑ci présente l’orientation que le programme de GI du Ministère prendra de 2011 à 2016. Plusieurs objectifs stratégiques (16 au total) ont été déterminés par rapport aux cinq objectifs stratégiques de la Stratégie. Les échéanciers liés à ces objectifs indiquent une quantité importante de travail à entreprendre en 2011‑2012, et qui devra être terminé avant la fin de l’exercice financier 2013‑2014, ce qui comprend l’élaboration d’une Stratégie de mesure du rendement de la GI.
Les quatre premiers objectifs stratégiques et les objectifs et initiatives qui s’y rattachent portant essentiellement sur la tenue de documents, la stratégie vise à servir de feuille de route afin de satisfaire aux exigences de conformité pour 2014 de la Directive sur la tenue de documents du SCT. Le cinquième objectif stratégique, Alimenter les voies d’acheminement du savoir et de la collaboration, concerne moins la tenue de documents, et contient sept des seize objectifs du plan. On n’a pas encore établi l’ordre de priorité de ces objectifs en ce qui concerne la Stratégie; cependant, les principaux risques ont été présentés, et les stratégies visant à atténuer ces risques ont été déterminées.
La DGSI a indiqué que PCH ne dispose actuellement pas des ressources nécessaires pour atteindre les objectifs de l’ébauche de Stratégie de GI actuelle. Une évaluation externe commandée par la DGDPI a aussi indiqué que, pour que PCH soit en mesure d’assurer la conformité à la Directive sur la tenue de documents du SCT, il faut améliorer les capacités des spécialistes de la GI au sein de la DGSI. Compte tenu du contexte fiscal actuel, il est peu probable que toutes les ressources nécessaires pour l’atteinte des objectifs de la Stratégie de GI soient fournies.
La Stratégie de GI actuelle doit toujours être examinée en 2011 par les comités de gouvernance en matière de GI de PCH, soit par le Comité des affaires opérationnelles (CAO) de niveau 3, soit par le Comité de l’architecture d’entreprise (CAE) de niveau 4. Il importe de signaler que le cadre de gouvernance en matière de GI du Ministère a récemment été modifié et que ces comités n’ont établi que depuis peu leur mandat et leur calendrier de réunions.
Évaluation des risques
Une Stratégie de GI exhaustive devrait tenir compte des contraintes de ressources du Ministère et des autres risques liés à la non‑atteinte des objectifs, notamment la conformité aux exigences des lois et des politiques, afin d’établir l’ordre de priorité des objectifs et des initiatives. Ceci assure que la haute direction est consciente des risques liés à la non‑atteinte des objectifs de la Stratégie de GI et qu’elle est en mesure de fournir une rétroaction éclairée sur les décisions d’affectation de ressources de GI. La rétroaction de la haute direction augmente la probabilité que les objectifs énoncés dans la Stratégie de GI soient atteints.
Recommandation
La dirigeante principale de l’information (DPI) devrait :
- 1.1. Faire participer activement les comités de gouvernance du Ministère afin d’obtenir leur rétroaction sur l’ébauche de Stratégie de GI actuelle et, compte tenu des ressources disponibles, établir l’ordre de priorité des objectifs et des initiatives, y compris un plan de mesure du rendement, et examiner les risques pour le Ministère de ne pas atteindre les objectifs précis de la Stratégie.
Les constatations de vérification suivantes du présent rapport fournissent également une indication des secteurs de la GI qui présentent des risques pour le Ministère et qui devraient être pris en compte dans la détermination des priorités de la Stratégie.
5.2 Sensibilisation/formation et rôles/responsabilités en matière de GI
Analyse
Compte tenu des contraintes de ressources relatives à l’environnement actuel auxquelles fait face le Ministère et d’une orientation interne par rapport aux initiatives axées sur la DGSI, comme l’élaboration de politiques, la Direction a décidé de ne fournir qu’un soutien ponctuel en matière de GI aux opérations de programme et aux activités des directions générales/régions au sein du Ministère. Cela comprend des activités limitées de formation et de sensibilisation offertes au personnel du Ministère. Un peu de formation en matière de GI est également dispensé lors des séances d’orientation des nouveaux employés. De la formation ponctuelle en matière de GI est également offerte par la DGSI à la demande des secteurs de programme. Il reste toujours à élaborer une stratégie et un plan de formation en matière de GI.
Les ressources de GI à l’extérieur de la DGSI varient entre les directions générales et les secteurs, selon le niveau de ressources, le rôle et la classification. Dans certaines directions générales, il y a un poste attitré responsable de la GI; tandis que dans d’autres, une personne peut exercer des responsabilités de GI à temps partiel. En général, le personnel investi de responsabilités de GI à l’extérieur de la DGSI joue un rôle impliquant la « gestion des dossiers » axé sur la gestion des documents papier, plutôt que celui d’un spécialiste de la GI.
Bien qu’une communauté de pratique de la GI ait été établie pour les intervenants en GI du Ministère, la collaboration entre la DGSI et les directions générales/régions est peu fréquente. Cette situation est attribuable à la variation des profils de ressources à l’échelle du Ministère et au peu de normes et d’outils officiels en matière de GI élaborés par la DGSI aux fins d’utilisation au sein des secteurs de programme.
Par le biais de la nouvelle structure de gouvernance de PCH pour les projets axés sur la TI, la DGSI assure la liaison avec le Secrétariat de l’AIPRP et la Sécurité ministérielle sur des questions ayant trait à la GI, à la protection des renseignements personnels et aux exigences de sécurité.
Évaluation des risques
Des rôles et des responsabilités bien définis et une sensibilisation appropriée, réduisent le risque que PCH ne soit pas conforme aux exigences du gouvernement du Canada (GC) en matière de GI, plus particulièrement les exigences de la Directive sur la tenue de documents, ce qui est requis pour 2014. D’autre part, des rôles et des responsabilités bien définis assurent que les pratiques de GI sont uniformes entre les secteurs de programme, ce qui facilite l’intégration des programmes aux initiatives de GI à l’échelle du Ministère, comme une nouvelle structure de classification ou une solution de Système de gestion des documents et des dossiers électroniques (SGDDE), et nécessite moins de ressources. Cela permet également d’améliorer l’efficacité de l’échange d’information au sein du Ministère et la probabilité d’atteindre les objectifs énoncés dans la Stratégie de GI augmente.
Recommandations
Dans l’établissement des priorités de la Stratégie de GI, la DPI devrait tenir compte de ce qui suit :
- 2.1 Collaborer avec les directions générales/régions afin de définir les capacités de GI actuelles dans les directions générales/régions, et permettre une collaboration accrue afin que ces ressources de GI puissent être utilisées efficacement. Les activités devraient avoir pour objet d’aider à positionner le Ministère de façon à ce qu’il puisse normaliser davantage les rôles des ressources de GI.
- 2.2 Veiller à ce que la DGSI collabore davantage avec le Secrétariat de l’AIPRP et la Sécurité ministérielle afin d’établir des mécanismes officiels pour la prise en compte des exigences en matière de GI pendant l’évaluation et l’élaboration de contrôles de protection des renseignements personnels et de sécurité à l’échelle de PCH.
5.3 Normes, pratiques et outils en matière de GI
Analyse
La nouvelle Politique sur la gestion de l’information de PCH est en vigueur depuis le 1er avril 2010. Cette politique énonce les rôles et les responsabilités en matière de GI au sein du Ministère, conformément à la Politique du CT. Un ensemble exhaustif de normes et de lignes directrices en matière de GI à l’appui de la Politique sur la GI n’a pas encore été élaboré, ce qui comprend des directives ou des normes précises en ce qui concerne le partage de données. Dans l’ensemble, peu de cas de partage de données avec les partenaires et les intervenants du gouvernement ont été relevés au cours de la vérification. Cependant, lorsque cela s’est avéré, il n’y avait pas d’ententes officielles en place. La DGSI a entrepris le projet sur l’ensemble des politiques en matière de GI, et elle a été chargée d’élaborer des instruments stratégiques connexes, comme des normes et des lignes directrices.
L’intranet de PCH contient du matériel de référence en matière de GI qui est accessible au personnel aux fins de consultation sous les titres Gestion de l’information (GI) : Fiche de consultation rapide; Pratiques exemplaires : Nettoyage du disque partagé; Guide de protection et de classification des renseignements. Ces ressources ne sont pas très bien connues et le contenu n’est pas bien compris par le personnel, car il n’existe pas de programme de sensibilisation ou d’orientation en matière de GI offrant un contexte ou de la formation sur l’utilisation de ces ressources.
L’information ayant une valeur opérationnelle est définie et conservée par les secteurs de programme. Cependant, l’information de nature plus éphémère et n’ayant pas une valeur opérationnelle est également recueillie en même temps et conservée par la suite sans qu’on fasse la différence entre les deux types d’information. Ce dernier type d’information concerne souvent les activités quotidiennes et la collaboration au sein des programmes par courriel et sur les lecteurs réseau.
La même information est souvent à plusieurs endroits et dans différents formats. Par exemple, l’information relative aux S et C, comme les formulaires de demande et la correspondance des programmes, est souvent gérée par le biais de courriels, de documents ou de bases de données sur le lecteur réseau, du SGISC ou de documents papier. Les secteurs de programme conservent encore des documents papier, étant donné que PCH considère les « originaux signés » comme étant le dossier officiel.
Le Ministère se sert d’un système de classification utilisant le SIGID pour les documents papier. Un nettoyage additionnel des entrées du SIGID de documents papier pour certains secteurs de programme serait utile. Ce système de classification n’est pas utilisé uniformément avec les documents papier dans l’ensemble du Ministère. Les bureaux régionaux visités ont créé leurs propres systèmes de classification des documents pour les besoins de la cause.
Il est nécessaire d’élaborer un système de classification normalisé pour l’information dans un format ou support électronique comme l’information dans les lecteurs réseau ou les bases de données. Les lecteurs réseau ne sont pas organisés uniformément dans l’ensemble du Ministère, et l’information dans ces lecteurs n’est pas étiquetée (c.‑à‑d. au moyen de conventions d’appellation) ni gérée de façon uniforme. Il n’existe pas de normes uniformes en ce qui concerne l’appellation des documents électroniques. Par conséquent, PCH a entrepris un projet de classification et d’architecture de l’information, avec pour objectif de créer une structure de classification et d’architecture de l’information pour le Ministère, applicable non seulement à une mise en œuvre éventuelle du Système de gestion des documents et des dossiers électroniques (SGDDE), mais aussi à d’autres référentiels d’information à l’échelle du Ministère. Un modèle conceptuel de classification a été établi dans le cadre de ce projet.
Une mise en œuvre pilote du SGDDE (InfoCentre), utilisé plus particulièrement par le Secrétariat fédéral des Jeux olympiques et paralympiques d’hiver de 2010 (de 2007 à 2010), est en cours au sein du Ministère depuis 2006. InfoCentre est également utilisé depuis 2008 par la communauté de gestion de la correspondance de la haute direction (en l’intégrant à l’application de suivi de CCM Mercury). D’autres projets pilotes sont toujours en cours, notamment au sein du Secrétariat des Jeux panaméricains de 2015 et de la DGDPI. Pour les utilisateurs d’InfoCentre, aucune procédure normalisée n’est fournie et les conventions de classification et d’appellation ne sont pas uniformes entre les secteurs pilotes. L’élargissement actuel de ce projet pilote a été arrêté. La DGDPI élabore actuellement une analyse de rentabilisation pour la mise en œuvre à l’échelle du Ministère d’une nouvelle solution de SGDDE.
Le Système de gestion de l’information sur les subventions et contributions (SGISC) n’est pas utilisé de façon uniforme par les secteurs de programme de S et C. Chaque secteur de programme a élaboré ses propres normes pour l’information qui peut être stockée dans le SGISC et la façon de l’organiser. Il a été noté que l’IMSC a pour but de normaliser davantage les processus de S et C.
Évaluation des risques
L’élaboration et la diffusion de normes, de pratiques et d’outils en matière de GI à l’échelle du Ministère augmentent la probabilité que PCH soit conforme aux exigences du GC en matière de GI, plus particulièrement les exigences de la Directive sur la tenue de documents, ce qui est requis pour 2014. D’autre part, la définition de normes, de pratiques et d’outils en matière de GI assure que les pratiques de GI sont uniformes entre les secteurs de programme, ce qui facilite l’intégration des programmes aux initiatives de GI à l’échelle du Ministère, comme une nouvelle structure de classification ou une solution de SGDDE, et nécessite moins de ressources. Cela permet également d’améliorer l’efficacité de l’échange d’information au sein du Ministère.
Veiller à ce que l’information n’ayant pas une valeur opérationnelle soit supprimée en temps opportun assure l’utilisation optimale des ressources (capacité de l’infrastructure, coûts d’entreposage des documents papier et personnel de la gestion des dossiers affecté à la gestion des documents papier). Ne pas avoir à examiner de l’information dépourvue de pertinence améliore la capacité de répondre en temps opportun aux demandes d’accès à l’information (AI) ou d’effectuer la recherche d’information en matière de litiges. Une plus grande quantité d’information liée à ces événements, qui est classifiée de façon structurée pour la recherche ou la conservation, a une incidence sur le nombre de ressources et le temps nécessaires pour répondre à ces demandes.
Recommandation
Dans l’établissement des priorités de la Stratégie de GI, la DPI devrait tenir compte de ce qui suit :
- 3.1 Prioriser le parachèvement de l’architecture de l’information pour le Ministère, en privilégiant d’abord la classification des documents à l’échelle du Ministère, peu importe le format ou le support.
5.4 Pratiques de conservation et de disposition
Analyse
PCH détient un certain nombre d’ADD de Bibliothèque et Archives Canada (BAC) couvrant ses collections de ressources d’information qui remontent au début des années 1990. La DGSI travaille actuellement avec les secteurs de programme et BCA afin d’obtenir d’autres ADD. Près de la moitié des 100 programmes et unités de PCH qui ont été désignés par la DGSI comme nécessitant des ADD propres à leur institution n’en ont pas encore obtenu. Pour disposer de documents, PCH utilise dans la mesure du possible des autorisations pluriinstitutionnelles de disposer de documents (APDD). Cette autorisation vise les documents que gèrent toutes les institutions fédérales ou du moins un bon nombre d’entre elles et habilite les organismes à disposer des documents pourvu qu’ils respectent certaines modalités.
L’équipe de vérification a constaté qu’on ne dispose pas des dossiers électroniques de façon uniforme. Par exemple :
- Les bases de données ministérielles comme le SGISC et PeopleSoft et celles utilisées dans des programmes particuliers ont conservé de l’information pour une durée indéterminée, ce qui signifie que de l’information remontant à la fin des années 1990 demeure accessible dans ces systèmes.
- Les lecteurs réseau dans les secteurs de programme n’ont pas fait l’objet de processus de disposition officiels, et l’information n’ayant pas une valeur opérationnelle ou n’en ayant plus a été définie par l’équipe de vérification (p. ex. ébauches de rapport datant du milieu des années 1990).
L’équipe de vérification a constaté que les documents papier portant sur des activités dans le cadre de programmes particuliers (p. ex. programmes de S et C) étaient régulièrement pris en considération aux fins de disposition. Les documents papier ayant trait à d’autres activités opérationnelles, comme l’administration de programmes (p. ex. planification, rapports, politiques, etc.) ne faisaient pas l’objet d’un tel processus de disposition officiel. Des exemples d’information n’ayant aucune valeur opérationnelle ont été relevés dans des bureaux de documents de secteurs de programme qui conservaient de l’information remontant à plus de cinq ans, alors que ces dossiers auraient normalement migré à la salle des archives du Ministère. Des membres du personnel de PCH ont indiqué que, dans bien des cas, ils avaient adopté la pratique de classer l’information sur le lecteur réseau et avaient laissé le document papier « tel quel » dans la salle des dossiers.
Évaluation des risques
Il faut obtenir des ADD pour disposer légalement de l’information. Veiller à ce que l’information soit éliminée en temps opportun assure l’utilisation optimale des ressources (capacité de l’infrastructure, coûts d’entreposage des documents papier et personnel de la gestion des dossiers affecté à la gestion des documents papier). Ne pas avoir à examiner de l’information dépourvue de pertinence améliore la capacité de répondre en temps opportun aux demandes d’accès à l’information (AI) ou d’effectuer la recherche d’information en matière de litiges. Une plus grande quantité d’information aux fins de recherche ou de conservation liée à ces événements a une incidence sur le nombre de ressources et le temps nécessaires pour répondre à ces demandes.
Des pratiques appropriées de conservation et de disposition aideront à assurer la conformité aux exigences de la Directive sur la tenue de documents, ce qui est requis pour 2014.
Recommandations
Dans l’établissement des priorités de la Stratégie de GI, la DPI devrait tenir compte de ce qui suit :
- 4.1 Déterminer la mesure dans laquelle des ADD plus génériques peuvent être utilisées pour les secteurs de programme qui n’ont pas une ADD approuvée à l’heure actuelle, de façon à réduire le nombre d’ADD pour lesquelles une approbation est nécessaire. Le travail de normalisation des processus effectué dans le cadre de l’IMSC pourrait être mis à profit dans ce contexte.
- 4.2 Aider les secteurs de programme à définir l’information n’ayant plus une valeur opérationnelle. Cela devrait comprendre l’élaboration de stratégies en collaboration avec les secteurs de programme sur la disposition de l’information qui est stockée dans les bases de données électroniques.
5.5 Protection de l’information sensible
Analyse
Bien que la formation sur la classification de l’information dispensée à l’échelle du Ministère ait été bien accueillie, même si elle était limitée, la classification de sécurité de l’information n’est pas appliquée uniformément. Dans notre échantillon, l’information qui aurait dû être classifiée n’était pas marquée comme telle et était stockée dans un dossier non classifié. L’équipe de vérification a constaté que, lorsque l’information était marquée comme étant sensible ou confidentielle, il n’y avait pas d’indication sur le type précis de classification de l’information (p. ex. protégée A ou B).
De l’information qui devrait être considérée comme étant « protégée B » est envoyée par courriel sans être chiffrée. Cette information est gérée à même le lecteur réseau du Ministère et se trouve dans le SGISC, qui est censé ne transmettre/gérer que de l’information qui porte, au maximum, la cote « protégée A ». Les contrôles d’accès liés à l’information gérée dans le lecteur réseau du Ministère sont difficiles à maintenir, compte tenu de la nécessité de gérer l’accès aux différents dossiers. Dans certains cas, le lecteur réseau d’une direction générale est accessible à tous au sein de celle‑ci.
La salle des archives ministérielles gérée par la DGSI n’a pas fait de distinction particulière entre les dossiers selon le niveau de sensibilité, et les documents secrets sont stockés au même endroit que les autres documents moins sensibles. Une évaluation officielle des mesures de protection de la salle des archives ministérielles n’a pas été effectuée.
PCH n’a pas encore élaboré un cadre officiel de gestion de la protection des renseignements personnels pour le Ministère afin de déterminer et d’atténuer les risques d’entrave à la vie privée et d’aider à assurer la conformité à la Loi sur la protection des renseignements personnels et aux exigences connexes du Conseil du Trésor. Une composante de ce cadre serait l’évaluation et la gestion des risques liés à la protection des renseignements personnels par la tenue d’évaluations des facteurs relatifs à la vie privée (EFVP). Par exemple, une EFVP n’a pas été effectuée pour l’application PeopleSoft actuelle, et on ne s’attend pas à ce qu’il y en ait une pour la mise à niveau prévue de cette application.
Évaluation des risques
Un cadre approprié de gestion de la protection des renseignements personnels ou des normes pour la classification de sécurité de l’information atténuent le risque que des mesures de protection relatives à la sensibilité de l’information ne soient pas mises en œuvre. L’absence d’un cadre augmente également le risque d’utilisation inappropriée et de communication de l’information sensible, ce qui pourrait donner lieu à une violation de la vie privée ou de la sécurité ou à un incident connexe, y compris la non‑conformité à la Loi sur la protection des renseignements personnels ou à la Politique sur la sécurité du gouvernement. Cela augmente également le risque que de l’information critique fasse l’objet d’une modification ou d’une suppression non autorisée.
Recommandations
Dans l’établissement des priorités de la Stratégie de GI, la DPI, en collaboration avec l’agent de sécurité du Ministère et le coordonnateur de l’AIPRP, devrait tenir compte de ce qui suit :
- 5.1 Veiller à ce que l’élaboration de l’architecture de l’information du Ministère inclue les considérations liées à la classification de sécurité de l’information, et veiller également à ce que des mesures de protection appropriées soient mises en œuvre et à ce que des outils soient disponibles pour la gestion de l’information classifiée. Cela comprend la tenue d’évaluations de la menace et des risques (EMR), par exemple, de la salle des archives ministérielles, et d’évaluations des facteurs relatifs à la vie privée (EFVP), par exemple, de la mise à niveau de PeopleSoft.
- 5.2 Veiller à ce que soient offertes au personnel des séances de formation et de sensibilisation en matière de classification de sécurité de l’information portant sur les mesures de protection appropriées en fonction du niveau de sensibilité de l’information qui est gérée.
Annexe A –Critères de vérification
Les conclusions énoncées pour chacun des critères de vérification utilisés dans la vérification ont été développées selon les définitions suivantes.
| Catégorisation numérique | Conclusion relative aux critères de vérification | Définition de la conclusion |
|---|---|---|
|
1 |
Bien contrôlé |
|
|
2 |
Contrôlé |
|
|
3 |
Problèmes modérés |
Certains problèmes modérés nécessitent l’attention de la direction (satisfaire à au moins un des deux critères suivants) :
|
|
4 |
Améliorations importantes requises |
Il est nécessaire d’apporter des améliorations importantes (satisfaire à au moins un des trois critères suivants) :
Nota : Chaque critère de vérification qui est classé « 4 » doit immédiatement être communiqué au DPVE et au directeur général concerné ou à un niveau plus élevé pour la prise de mesures correctives. |
Voici les critères de vérification employés et un résumé des données en fonction desquelles l’équipe de vérification a tiré ses conclusions. Dans les cas où des améliorations importantes (4) ou des problèmes modérés (3) ont été observés, ceux‑ci ont été consignés dans le rapport de vérification. Le tableau ci‑dessous indique l’exposition au risque.
| Nos des critères | Critères de vérification | Conclusion relative aux critères de vérification | Preuves/observations clés |
|---|---|---|---|
|
1. Planification de la GI |
|||
|
1.1 - La structure de gouvernance, les rôles et responsabilités ainsi que les stratégies en matière de GI sont définis, attribués et communiqués à l’échelle de PCH. |
|||
|
1.1.1 |
Un cadre de gouvernance et de responsabilisation en matière de GI a été établi afin d’assurer que la haute direction discute régulièrement de la GI et qu’elle exerce une surveillance adéquate de la GI en ce qui concerne le leadership, la vision et le financement. |
2 |
Un nouveau cadre de gouvernance et de responsabilisation en matière de GI a récemment été établi. Il est bien conçu, même si l’efficacité opérationnelle de sa surveillance ne peut pas encore être déterminée étant donné la nature préliminaire du cadre de gouvernance. |
|
1.1.2 |
Les rôles et responsabilités en matière de GI ont été définis, attribués et communiqués à tout le personnel. |
3 |
Le ressourcement du personnel de GI varie au sein du Ministère. Dans certaines directions générales, il y a un poste attitré responsable de la GI; tandis que dans d’autres, une personne peut exercer des responsabilités de GI à temps partiel. Ces postes ne sont pas normalisés à l’échelle du Ministère, ni sur le plan de la classification ni sur celui des rôles et responsabilités. |
|
1.1.3 |
Les plans stratégiques en matière de GI sont en harmonie avec les priorités du Ministère et tiennent compte des risques liés à la GI et des exigences des lois et des politiques. |
3 |
Dans sa version provisoire actuelle, la Stratégie de GI comporte des objectifs, des initiatives et des échéanciers qui ne concordent pas avec les niveaux actuels de ressources. Ces objectifs et initiatives n’ont pas fait l’objet d’une priorisation et les risques liés à la non‑atteinte de ces objectifs n’ont pas été énoncés dans la Stratégie. D’autre part, la rétroaction sur la stratégie n’a pas été sollicitée officiellement aux comités de gouvernance en matière de GI ou d’autres secteurs du Ministère pour aider à établir l’ordre de priorité des initiatives et à déterminer les risques. |
|
1.1.4 |
Les plans opérationnels des directions générales, des secteurs et des régions comportent des exigences en matière de GI. |
3 |
Des considérations de GI ont été incluses dans le modèle du Plan d’activités intégré (PAI) de PCH; toutefois, lorsque la planification des directions générales et des régions tenait compte de la GI, elle ne le faisait que pour les exigences et les risques s’y rattachant à un haut niveau. |
|
1.1.5 |
Les capacités des RH en matière de GI sont suffisantes pour répondre aux besoins de l’organisation. |
3 |
Les entrevues des employés de PCH ont indiqué que, pour qu’il soit en mesure d’assurer la conformité à la Directive sur la tenue de documents du SCT, il faudrait qu’il améliore les capacités des spécialistes de la GI au sein de la DGSI. Le ressourcement du personnel de GI varie au sein du Ministère. En général, il n’y a pas de spécialistes de la GI attitrés dans les directions générales de PCH. Une évaluation des capacités et des exigences en matière de GI au sein des secteurs de programme ou des régions n’a pas été effectuée par le Ministère. |
|
1.2 - Un cadre stratégique exhaustif a été établi, et il est appuyé par des procédures et des lignes directrices appropriées, ainsi que par un programme de formation et de sensibilisation. |
|||
|
1.2.1 |
Des politiques et des directives en matière de GI fondées sur les exigences des lois et des politiques ont été élaborées, mises en œuvre, communiquées et revues régulièrement. |
3 |
La nouvelle Politique sur la gestion de l’information de PCH est en vigueur depuis le 1er avril 2010. Cette politique énonce les rôles et les responsabilités en matière de GI au sein du Ministère, conformément à la Politique du CT. Un ensemble exhaustif de normes et de lignes directrices en matière de GI à l’appui de la Politique sur la GI n’a pas été élaboré, mais la DGSI a entrepris le projet sur l’ensemble des politiques en matière de GI, et elle a été chargée d’élaborer des instruments stratégiques connexes, comme des normes et des lignes directrices. |
|
1.2.2 |
Des procédures et des lignes directrices ont été établies pour assurer l’adhésion aux politiques de GI au sein des directions générales et des régions. |
3 |
Les directions générales et les régions ont des niveaux variables de normes en matière de GI; certaines normes ont été documentées officiellement, alors que beaucoup ne l’ont pas été. Les normes et les pratiques ne sont pas uniformes dans l’ensemble du Ministère. |
|
1.2.3 |
Un processus a été mis en œuvre pour faire en sorte que tous les membres du personnel de PCH reçoivent des séances de formation et de sensibilisation appropriées selon leur poste, y compris pendant la période d’orientation des nouveaux employés. |
3 |
Une stratégie et un plan de formation en matière de GI n’ont pas été élaborés. La DGSI a entrepris plusieurs activités ponctuelles de sensibilisation à la GI; toutefois, il y a quand même eu une participation limitée du personnel des directions générales/régions en ce qui concerne la sensibilisation et les exigences en matière de GI. |
|
2. Collecte, création, réception et saisie |
|||
|
2.1 - Des procédures et des lignes directrices officielles ont été élaborées et sont suivies afin que l’information soit évaluée au moment de la création par rapport à son rôle et à sa valeur opérationnelle. |
|||
|
2.1.1 |
Un processus a été mis en œuvre pour évaluer l’information au moment de la création par rapport à son rôle et à sa valeur opérationnelle, et l’information est recueillie en conformité avec les exigences de la Loi sur la protection des renseignements personnels. |
3 |
L’information ayant une valeur opérationnelle est définie et conservée par les secteurs de programme. Cependant, il n’y a pas de processus normalisés pour faire en sorte que seule l’information ayant une valeur opérationnelle soit collectée/créée et conservée. L’information de nature éphémère et n’ayant pas une valeur opérationnelle a été définie par les directions générales et les régions. |
|
3. Organisation de l’information |
|||
|
3.1 - Des référentiels d’information (électronique et papier) ont été désignés pour conserver les ressources d’information ayant une valeur opérationnelle. |
|||
|
3.1.1 |
Des référentiels d’information ont été établis de façon appropriée et sont utilisés. |
2 |
Il n’y a pas de normes officielles pour l’établissement de référentiels d’information; cependant, des référentiels sont utilisés dans l’ensemble de PCH pour la gestion de l’information ayant une valeur opérationnelle. |
|
3.1.2 |
Un processus a été établi afin que les référentiels d’information soient la méthode préférée d’entreposage. |
3 |
La plupart des secteurs de programme conservent encore des documents papier, étant donné que PCH considère les « originaux signés » comme étant le dossier officiel. Un SGDDE a été lancé sous forme de projet pilote, mais la stratégie actuelle pour la mise en œuvre d’une solution est en suspens, dans l’attente d’une nouvelle analyse de rentabilisation. |
|
3.2 - L’information est organisée selon un ensemble structuré de règles opérationnelles et d’exigences en matière de TI, qui prescrivent les façons d’entreposer et de traiter l’information. |
|||
|
3.2.1 |
Une architecture de l’information a été définie pour PCH, y compris les taxonomies et les normes de classification de l’information, ainsi que la documentation à l’appui énonçant l’organisation et la structure appropriées de l’information. |
3 |
Une architecture de l’information exhaustive n’a pas été définie pour le Ministère. Des normes de classification existent pour certains documents; par exemple, les documents papier pour lesquels on utilise le SIGID et certaines bases de données ministérielles. |
|
3.2.2 |
Des outils et des lignes directrices ont été fournis afin que l’information ayant une valeur opérationnelle puisse être classifiée selon les normes de classification de PCH. |
3 |
Un ensemble exhaustif d’outils et de directives n’a pas été fourni afin que l’information puisse être classifiée selon la valeur opérationnelle, bien qu’il existe certains outils comme le SIGID (pour les documents papier) et des bases de données ministérielles. |
|
4. Utilisation et diffusion |
|||
|
4.1 - L’utilisation et la diffusion efficaces de l’information donnent de l’information opportune, exacte et disponible qui est accessible à ceux qui en ont besoin, et dans une forme qu’ils peuvent utiliser. |
|||
|
4.1.1 |
Outils et systèmes de GI qui permettent la recherche et l’extraction de l’information à l’échelle du Ministère. |
3 |
Compte tenu de l’utilisation actuelle des référentiels (c.‑à‑d. lecteurs réseau à accès restreint) et de l’absence d’une architecture de l’information exhaustive, la capacité de chercher et d’extraire de l’information dans l’ensemble de PCH est limitée. En général, les documents sont demandés et fournis par courriel. |
|
4.1.2 |
Les secteurs des directions générales/régions ont défini leurs exigences relatives à l’utilisation et à la communication de l’information par rapport à leur mandat, y compris leurs exigences en matière de réglementation et de production de rapports. |
1 |
Pour les secteurs des directions générales/régions qui ont des exigences particulières en matière de réglementation et de production de rapports, des processus officiels ont été établis pour faire en sorte que ces exigences soient satisfaites. |
|
4.1.3 |
Les processus et les systèmes sont intégrés afin de limiter l’entrée de données multiples et d’avoir plus d’une source de la même information. |
3 |
La même information est souvent à plusieurs endroits et dans différents formats. Par exemple, l’information relative aux S et C, comme les formulaires de demande et la correspondance des programmes, est souvent gérée par le biais de courriels, de documents ou de bases de données sur les lecteurs réseau, du SGISC ou de documents papier. |
|
4.1.4 |
Des ententes appropriées de partage de données sont établies lorsque l’information est partagée avec d’autres organisations. |
3 |
La DGSI n’a pas fourni de directives ou de normes précises en ce qui concerne le partage de données. Dans l’ensemble, peu de cas de partage de données avec les partenaires et les intervenants du gouvernement ont été relevés au cours de la vérification. Cependant, lorsque cela s’est avéré, il n’y avait pas d’ententes officielles en place. |
|
4.1.5 |
Les demandes d’accès à l’information sont répondues en temps opportun et approprié. |
1 |
Les demandes d’accès à l’information sont répondues en temps opportun et approprié. |
|
5. Maintien, protection et conservation |
|||
|
5.1 - La disponibilité, l’intelligibilité et la facilité d’utilisation à long terme des actifs d’information documentaire sont maintenues. |
|||
|
5.1.1 |
Les référentiels d’information sont dotés de contrôles suffisants pour protéger la disponibilité, l’intelligibilité et la facilité d’utilisation de l’information. |
2 |
Il n’y a actuellement pas de normes précises pour assurer la mise en place de contrôles pour les référentiels d’information en ce qui concerne la disponibilité, l’intelligibilité et la facilité d’utilisation de l’information; toutefois, selon les vérifications, l’information était disponible, intelligible et facile d’utilisation. |
|
5.2 - Des mesures relatives à la protection et à la sécurité de l’information ont été mises en œuvre selon la sensibilité de l’information afin qu’elle soit protégée contre une utilisation ou une communication non autorisée. |
|||
|
5.2.1 |
Des pratiques sont établies pour faire en sorte que les politiques et les procédures liées à la protection et à la sécurité de l’information concordent avec la sensibilité de l’information. |
3 |
Les normes de classification de sécurité de l’information et les mesures de protection des renseignements personnels et d’autres renseignements sensibles manquent d’uniformité ou ne sont pas appliquées. De plus, PCH n’a pas encore élaboré un cadre exhaustif de gestion de la protection des renseignements personnels pour le Ministère afin de déterminer et d’atténuer les risques d’entrave à la vie privée et d’aider à assurer la conformité à la Loi sur la protection des renseignements personnels. |
|
5.2.2 |
Les contrôles d’accès sont utilisés pour limiter l’accès en fonction du besoin de savoir, tant pour les données électroniques que pour les données papier. |
3 |
Les contrôles d’accès aux bases de données et aux documents papier sont généralement bien contrôlés, bien qu’il convienne de souligner ce qui suit : (i) la salle des archives ministérielles gérée par la DGSI n’a pas fait de distinction particulière entre les dossiers selon le niveau de sensibilité; (ii) les contrôles d’accès liés à l’information gérée dans le lecteur réseau du Ministère sont difficiles à maintenir, compte tenu de la nécessité de gérer l’accès aux différents dossiers. Dans certains cas, le lecteur réseau d’une direction générale est accessible à tous au sein de celle‑ci. |
|
6. Disposition |
|||
|
6.1 - On dispose de façon adéquate de l’information n’ayant plus une valeur opérationnelle, ou on la transfère aux fins d’archivage à Bibliothèque et Archives Canada. |
|||
|
6.1.1 |
Un processus a été établi pour obtenir et revoir les autorisations de disposer de documents (ADD) pour tous les fonds de renseignements. |
3 |
PCH détient un certain nombre d’ADD de BAC couvrant ses collections de ressources d’information qui remontent au début des années 1990. La DGSI travaille actuellement avec les secteurs de programme et BCA afin d’obtenir d’autres ADD. Près de la moitié des 100 programmes et unités de PCH qui ont été désignés par la DGSI comme nécessitant des ADD propres à leur institution n’en ont pas encore obtenu. |
|
6.1.2 |
Les directions générales/régions se conforment à des calendriers de conservation et de disposition appropriés tels qu’ils sont établis dans l’ADD applicable. |
3 |
On ne dispose pas des dossiers électroniques de façon uniforme et, dans bien des cas, on les conserve pour une durée indéterminée. Les documents papier portant sur des activités dans le cadre de programmes particuliers étaient régulièrement pris en considération aux fins de disposition. Les documents papier ayant trait à d’autres activités opérationnelles ne faisaient pas l’objet d’un tel processus de disposition officiel. |
|
7. Évaluation et surveillance |
|||
|
7.1 - Un processus de gestion du rendement a été établi, ce qui comprend la surveillance de la conformité et l’évaluation de l’amélioration continue. |
|||
|
7.1.1 |
Un processus de gestion du rendement a été mis en œuvre, et des activités de surveillance ont été mises en œuvre en conformité avec les exigences en matière de GI. |
3 |
Un processus de gestion du rendement n’a pas été mis en œuvre, quoique PCH prépare un plan pour l’élaboration de mesures du rendement. |
Annexe B – Définitions et sigles
Sigles
ACD Autorisations de conservation et de disposition
ASM Agent de sécurité du ministère
AI Accès à l’information
AIPRP Accès à l’information et protection des renseignements personnels
APDD Autorisations pluri-institutionnelles de disposer des documents
BAC Bibliothèque et Archives Canada
CAE Comité d’architecture de l’entreprise
CEA Conseil d’examen de l’architecture
CAO Comité des activités et des opérations
CMV Comité ministériel de vérification
CRG Cadre de responsabilisation de la gestion
DGDPI Direction générale du dirigeant principal de l’information
DGSI Direction de la gestion et du savoir de l’information
DPI Dirigeant principal de l’information
EFVP Évaluation des facteurs relatifs à la vie privée
EMR Évaluation de la menace et des risques
GC Gouvernement du Canada
GI Gestion de l’information
GSI Gestion du savoir et de l’information
IMSC Initiative de modernisation des subventions et contributions
PAE Planification et architecture d’entreprise
PCH Ministère du Patrimoine canadien
PVAR Plan de vérification axé sur les risques
S et C Subventions et contributions
SCT Secrétariat du Conseil du Trésor du Canada
SGDDE Système de gestion des documents et des dossiers électroniques
SGISC Système de gestion de l’information sur les subventions et contributions
SIGID Système intégré de gestion de l’information des dossiers
Définitions
|
Disposition |
La disposition est un processus qui permet aux institutions fédérales de disposer des documents qui sont sans valeur opérationnelle, soit en permettant leur destruction (cette décision est laissée à la discrétion des institutions) ou en exigeant leur transfert à BAC. Les institutions fédérales ne peuvent détruire un document sans une ADD appropriée. Les ADD peuvent être : 1) une autorisation pluriinstitutionnelle de disposer de documents (APDD) qui concerne les documents gérés par toutes les institutions fédérales ou du moins un grand nombre d’entre elles, et qui habilite les institutions à disposer des documents en autant qu’elles respectent certaines modalités; 2) une autorisation spécifique de disposer de documents (ASDD) qui concerne les documents gérés par une institution fédérale en particulier, et qui habilite l’institution à disposer de ses documents en autant qu’elle respecte certaines modalités. |
|
Classification de sécurité de l’information |
La Politique sur la sécurité du gouvernement exige que les organisations du gouvernement fédéral mettent en œuvre des mesures de protection appropriées en fonction de la sensibilité de l’information qu’elles gèrent. En outre, la Directive sur la gestion de la sécurité ministérielle hausse cette exigence en indiquant que les organisations doivent définir et classer les renseignements en fonction du degré de préjudice qui pourrait résulter de la compromission de leur confidentialité, laquelle est définie comme suit : « qualité conférée à des renseignements pour signifier qu’ils ne peuvent être divulgués qu’à des personnes autorisées, afin de prévenir tout préjudice à l’intérêt national ou à d’autres intérêts. » |
|
Directive sur la tenue de documents |
La Politique sur la gestion de l’information définit la tenue de documents comme suit : « Cadre de responsabilisation et de régie dans lequel les documents sont créés, saisis et gérés comme un actif opérationnel essentiel et une ressource du savoir à l’appui d’un processus décisionnel efficace et de la réalisation de résultats pour les Canadiens et les Canadiennes. »
|
Annexe C – Plan d’action de la direction
Plan d’action de la direction en réponse à la vérification de la gestion de l’information et des dossiers
Direction générale du dirigeant principal de l’information (DGDPI)
Gestion du savoir et de l’information (GSI)
Le présent document décrit le plan d’action de la direction en réponse à la vérification de la gestion de l’information et des dossiers, qui a été menée par la Direction des services de vérification et d’assurance de PCH. La réponse est organisée selon l’ordre des thèmes suivants :
-
A. Établissement des bases – Sections 5.1, 5.2 et 5.3
Ces sections concernent la Stratégie, la sensibilisation/formation, les rôles/responsabilités ainsi que les normes, pratiques et outils en matière de GI. Tous ces éléments constituent des composantes importantes des fonctions de GI et de tenue des documents. Les activités décrites dans cette section présentent la manière dont la DGDPI prévoit traiter ce sujet dans le rapport de vérification. Les résultats escomptés de ces activités sont des employées mieux informés et avisés et une prise de conscience que l’information ayant une valeur opérationnelle constitue une ressource stratégique au service d’une prise de décision améliorée. -
B. Tenue de documents améliorée– Sections 5.3 et 5.4
Cette section concerne les normes, pratiques et outils en matière de GI ainsi que les pratiques de conservation et de disposition. Ces éléments nécessitent une amélioration de la tenue de documents à PCH. Les activités décrites dans cette section décrivent la manière dont la DGDPI prévoit traiter ce sujet dans le rapport de vérification. De plus, elles démontrent l’engagement de la DPI à travailler en collaboration avec la Bibliothèque et les Archives Canada (BAC) pour donner suite aux constatations du rapport de vérification à cet égard. Ces activités permettront d’établir une approche uniforme et normalisée aux ressources d’information, ce qui améliorera la recherche de l’information ministérielle. Trouver plus facilement l’information ayant une valeur opérationnelle aidera à exécuter plus efficacement les programmes et les services et, ultimement, améliorera les services aux Canadiens. -
C. Partenariats / Engagement – Sections 5.2 et 5.5
Cette section concerne la sensibilisation/formation, les rôles/responsabilités en matière de GI, ainsi que la protection de l’information sensible. Ceci implique la collaboration avec les intervenants en GI au sein de PCH et de la collectivité du GC. Les activités conjointes décrites dans cette section présentent le niveau d’engagement que prendra la DDPI pour donner suite aux possibilités soulevées dans les constatations de la vérification. Ces activités augmenteront l’esprit de collaboration au sein de PCH et de la collectivité du GC. Il est bien connu qu’une collaboration accrue augmente la productivité au sein du milieu de travail. Les activités liées à la protection de l’information sensible permettront également de protéger les ressources d’information en tant qu’actifs stratégiques, tel qu’il est énoncé dans l’AAP ministérielle.
|
Plan d’action de la direction |
|||
|
5.1 Stratégie de GI (Établissement des bases) |
|||
| Recommandation | Mesures | Responsable | Date cible |
|---|---|---|---|
|
La dirigeante principale de l’information (DPI) devrait :
|
Acceptée. 1.1.1 Comités de gouvernance : |
1.1.1a.) Directeur, DGSI |
1.1.1a.) 4e trimestre 2011‑2012
|
|
b.) Présenter la Stratégie de GI à la gouvernance de niveau 3 et à un niveau plus élevé pour approbation, et incorporer la rétroaction reçue du niveau 4. |
1.1.1b.) DPI / directeur, DGSI |
1.1.1b.) 4e trimestre 2011‑2012 |
|
|
Acceptée. 1.1.2. Plan de mesure du rendement: |
1.1.2a.) Directeur, DGSI – Politique et planification stratégique de la GI |
1.1.2a.) 3e trimestre 2011‑2012 |
|
|
b.) Élaboration complète du cadre de mesure du rendement du Ministère en matière de gestion de l’information, comme partie intégrante à la phase 3 de la mise en oeuvre de la politique ministérielle sur la gestion de l’information. Cette inititiative sera effectuée par étapes tel qu’il est prévu dans le Plan de mise en œuvre de la politique de GI du Ministère. |
1.1.2b.) Directeur, DGSI - Politique et planification stratégique de la GI |
1.1.2b.) L’élaboration sera effectuée par étapes. |
|
|
Acceptée. 1.1.3. Risque: |
1.1.3. Directeur, DGSI - Politique et planification stratégique de la GI |
1.1.3. 3e trimestre 2011‑2012 |
|
|
5.2 Sensibilisation/formation et rôles/responsabilités en matière de GI (Établissement des bases / Partenariats et engagement) |
|||
| Recommandation | Mesures | Responsable | Date cible |
|
Dans l’établissement des priorités de la Stratégie de GI, la DPI devrait tenir compte de ce qui suit :
|
Acceptée. 2.1. Définir les capacités de GI des directions générales/régions et, normaliser les rôles de la GI : |
2.1a.) Directeur, DGSI – Services à la clientèle de la GI |
2.1a.) 4e trimestre 2011‑2012 |
|
b.) Élargir les méthodes utilisées afin de communiquer aux gestionnaires de GI les rôles et les responsabilités – en collaboration avec les RH (Gérer@PCH et Travailler@PCH présentations de séances d’orientation aux nouveaux employés et gestionnaires) et se servir de la page du Guide de la GI dans le site intranet. |
2.1b.) Directeur, DGSI – Politique et planification de la GI |
2.1b.) 3e trimestre 2011‑2012 |
|
|
c.) Étudier les options pour créer des postes de spécialistes de GI au sein de la structure des centres de services sectoriels et définir les rôles et responsabilités possibles. |
2.1c.) Directeur, DGSI – Services à la clientèle de la GI |
2.1c.) 4e trimestre 2011‑2012 |
|
|
d.) Sensibiliser tous les employés aux rôles et responsabilités en matière de GI par le biais de séances de sensibilisation incluant des présentations des principes de base de la GI dans le cadre de la série Échange du savoir du Centre de savoir et par le biais d’autres forums. |
2.1d.) Directeur, DGSI – Politique et planification stratégique de la GI |
2.1d.) |
|
|
e.) Explorer la prestation de séances de sensibilisation obligatoires annuelles en matière de GI par rotation à toutes les directions générales et à tous les nouveaux employés (de façon similaire aux séances d’information annuelles de l’agent de sécurité du Ministère [ASM]) |
2.1e.) Directeur, DGSI – Politique et planification de la GI |
2.1e.) 3e trimestre 2011‑2012 |
|
|
f.) Mener un examen organisationnel sur la façon dont la GI est structurée et exécutée dans les bureaux régionaux de PCH en vue d’améliorer la normalisation et l’uniformité. Le recours à des fonds d’urgence sera probablement nécessaire pour cette activité. |
2.1f.) DPI / Directeur, DGSI |
2.1f.) 2012‑2013 |
|
|
g.) Élaborer un ensemble exhaustif de normes et d’outils en matière de GI à l’appui de la Politique de GI de PCH (ensemble des politiques en matière de GI) afin de guider et de mettre en pratique l’uniformité en GI. Cette initiative est en cours, et des groupes de travail provenant de tous les secteurs, y compris des régions, participent à sa formulation et à son examen. |
2.1g.) Directeur, DGSI - Politique et planification stratégique de la GI |
2.1g.) 4e trimestre 2011‑2012 – 2012‑13 |
|
|
h.) Continuer de participer et de tirer profit des initiatives du SCT ou du Ministère en ce qui concerne les approches génériques aux modèles organisationnels et aux descriptions de travail en matière de GI en prévision d’une normalisation. |
2.1h.) Directeur, DGSI - Politique et planification stratégique de la GI |
2.1h.) 2011‑2012 et de façon continue |
|
| Recommandation | Mesures | Responsable | Date cible |
|
Dans l’établissement des priorités de la Stratégie de GI, la DPI devrait tenir compte de ce qui suit :
|
Acceptée. Établir des mécanismes formels concernant les exigences de la GI pendant l’évaluation et l’élaboration de contrôles de protection des renseignements personnels et de sécurité : |
2.2a.) Directeur(s),
|
2.2 2011‑12 et de façon continue
|
|
b.) Assurer que le groupe ministériel de la GI soit informé des évaluations et des résultats de l’évaluation de la menace et des risques (EMR) et de l’évaluation des facteurs relatifs à la vie privée (EFRV). |
2.2b.) Directeur(s), |
2.2b.) 3e trimestre 2011‑12 |
|
|
c.) Augmenter la disponibilité des outils de l’agent de sécurité du Ministère et continuer la consultation avec les clients de GI/TI. |
2.2c.) ASM |
2.2c.) 4e trimestre 2011‑2012 |
|
|
d.) Assurer la représentation de l’AIPRP, l’ASM et la sécurité de la TI au Comité des affaires opérationnelles (CAO) |
2.2d.) DPI |
2.2d.) 4e trimestre 2011‑2012 |
|
|
5.3 Normes, pratiques et outils en matière de GI (Établissement des bases / Tenue de documents améliorée) |
|||
| Recommandation | Mesures | Responsable | Date cible |
|
Dans l’établissement des priorités de la Stratégie de GI, la DPI devrait tenir compte de ce qui suit :
l’architecture de l’information pour le Ministère, en privilégiant d’abord la classification des documents à l’échelle du Ministère, peu importe le format ou le support. |
Acceptée. 3.1. Architecture de l’information chez PCH en privilégiant d’abord la classification des dossiers : |
3.1a.) Directeur, |
3.1a.) 2011-2013 |
|
b.) Dans le contexte de l’élaboration d’un nouveau schéma de classification, il faut s’assurer que le nouvel ensemble des politiques de GI comprendra les normes et les procédures de classification requises.
|
3.1b.) Directeur, DGSI - Politique et planification stratégique de la GI |
3.1b.) De 2011à 2013 |
|
|
5.4 Pratiques de conservation et de disposition (Tenue de documents améliorée) |
|||
| Recommandation | Mesures | Responsable | Date cible |
|
Dans l’établissement des priorités de la Stratégie de GI, la DPI devrait tenir compte de ce qui suit :
|
Acceptée. La DPI suivra les directives de BAC sur les ADD génériques. 4.1. ADD génériques |
4.1a.) BAC en collaboration avec DGSI – Services à la clientèle de la GI |
4.1a.) Selon la disponibilité de BAC pour les ADD génériques des programmes (BAC vise le 3e trimestre 2011‑2012) |
|
|
b.) Le nouveau schéma de classification regroupera des fonctions ministérielles similaires afin de faciliter la création d’ADD génériques par BAC pour PCH. |
4.1b.) Directeur, DGSI – Services à la clientèle de la GI |
4.1b.) 2e trimestre 2011‑2012 |
|
Dans l’établissement des priorités de la Stratégie de GI, la DPI devrait tenir compte de ce qui suit:
|
Acceptée. 4.2. Définir l’information n’ayant plus une valeur opérationnelle : |
4.2a.) Directeur, DGSI – Politique et planification de la GI
|
4.2a.) 3e trimestre 2011‑12
|
|
b) Créer une équipe spéciale pour les activités préalables au déploiement de la phase de préparation du SGDDE telles que le nettoyage des lecteurs partagés; l’identification et l’inventaire des ressources documentaires ayant une valeur opérationnelle; la consolidation des dépôts, la clarification des délais de conservation et de disposition; la mise en œuvre d’une nouvelle structure de classification. La création de cette équipe devra être financée par des fonds d’urgence.
|
4.2b.) Directeur, DGSI - Services à la clientèle de la GI |
4.2b.) De 2012 à 2014 |
|
|
5.5 Protection de l’information sensible (Partenariats et engagement) |
|||
| Recommandation | Mesures | Responsable | Date cible |
|
Dans l’établissement des priorités de la Stratégie de GI, la DPI, en collaboration avec l’agent de sécurité du Ministère et le coordonnateur de l’AIPRP, devrait tenir compte de ce qui suit :
|
Acceptée. La DPI travaillera en collaboration avec l’ASM pour déterminer des mesures appropriées concernant l’espace physique, notamment en ce qui concerne la salle des archives ministérielles. |
5.1a.) Directeur, DGSI / l’équipe de projet du SGDDE |
5.1a.) 4e trimestre 2011‑2012 |
|
b.) Maintenir l’objectif d’établir un environnement Protégé B pour le SGDDE. Cela dépendra de la configuration éventuelle de GCDOCS de la solution du SGDDE des Services partagés Canada. |
5.1b.) Directeur, KIM - l’équipe de projet du SGDDE/Services partagés Canada
|
5.1b.) De 2012 à 2014
|
|
|
c.) S’assurer que les métadonnées visant à refléter la classification de la sécurité d’information sont introduites lors de la mise en œuvre du nouveau système de classification et évaluées durant la phase de validation de principe et d’essai. |
5.1c.) Directeur, DGSI – Services à la clientèle de la GI |
5.1c.) 4e trimestre 2011‑2012 |
|
|
d.) Les évaluations des mesures de protection appropriées seront effectuées. |
5.1d.) Dans le cadre du processus de l’examen du projet de GI/TI qui est en cours. |
5.1d.) 2011‑2012 et de façon continue |
|
|
e.) Les évaluations des mesures de protection appropriées seront effectuées. |
5.1e.) Directeur, Gestion des installations |
5.1e.) 2011‑2012 et de façon continue |
|
|
f.) Fournir l’orientation et l’aide/les conseils nécessaires afin que les protocoles/contrôles de confidentialité appropriés DDES soient suivis et que les EFVP soient entreprises au besoin. |
5.1f.) Directeur, DGSI /et AIPRP |
5.1f.) 2011‑2012 et de façon continue |
|
|
g.) Promouvoir le recours au Guide de classification de l’information en ligne, à la Directive sur la gestion de l’identité, au logiciel Entrust, à des consultations sur la sécurité physique et à des séances de sensibilisation à la sécurité. |
5.1g.) DGSI/AIPRP/ASM |
5.1g.) 2011‑2012 et de façon continue |
|
|
h.) Promouvoir l’utilisation d’équipement de sécurité (contrôle d’accès; classeurs et salles de classement sécurisés; télécopieurs, téléphones et déchiqueteuses sécurisés) |
5.1.h.) ASM |
5.1h.) 4e trimestre 2011‑2012 |
|
|
i.) Accroître les ratissages de sécurité physique. Tel que stipulée dans la politique de balayage de sécurité de PCH qui découle de la politique de sécurité du Gouvernement du Canada. |
5.1.i) ASM |
5.1i.) 4e trimestre 2011‑2012 |
|
|
Dans l’établissement des priorités de la Stratégie de GI, le DPI, en collaboration avec l’agent de sécurité du Ministère et le coordonnateur de l’AIPRP, devrait tenir compte de ce qui suit :
|
Acceptée. 5.2. Formation et sensibilisation sur la classification secrète de l’information |
5.2a.) Directeur, DGSI – Politique et planification stratégique de la GI/ AIPRP /ASM/Sécurité de la TI
|
5.2a.) 2012‑2013 et de façon continue
|
|
b.) Fournir des séances obligatoires annuelles portant sur la sensibilisation de la sécurité aux directions générales et aux nouveaux employés. |
5.2b.) ASM |
5.2b.) 2011‑2012 et de façon continue |
|
|
c.) Assurer la disponibilité de consultations en sécurité. |
5.2c.) ASM |
5.2c.) 2011‑2012 et de façon continue |
|
|
d.) Assurer le maintien de kiosques sur la sensibilisation à la sécurité et de courriels concernant la protection des renseignements. |
5.2d.) ASM |
5.2d.) 2011-2012 et de façon continue |
|
* L’opinion se fonde sur l’importance globale des éléments et sur le niveau de risque, comme en témoignent les constatations et recommandations clés décrites dans le présent rapport.
