Les technologies de l’information

Table des matières

Comment utiliser cet outil

  • Le présent outil est conçu à l’intention des spécialistes de la gestion de l’information chargés de répertorier les ressources documentaires à valeur opérationnelle (RDVO) et les délais de conservation dans les secteurs d’activités pertinents.
  • Les RDVO et les délais de conservation figurant dans ce document ne sont que des recommandations qui doivent être adaptées à chaque contexte institutionnel avant d’être utilisées. Veuillez lire le présent document dans son intégralité avant de mettre en œuvre les recommandations.
  • Cet outil générique d’évaluation ne donne pas aux institutions du gouvernement du Canada l’autorisation de disposer de ressources documentaires. Les outils générique d’évaluation (OGE) ne constituent pas des autorisations de disposer de documents (ADD) et ne remplacent pas les autorisations pluriinstitutionnelles de disposer de documents (APDD).

Validation : Des experts en la matière de ministère suivant ont validé les processus opérationnels et les RDVO : Services partagés Canada (printemps 2014).

Définition de l'activité

Dans le Guide sur les dépenses dans les services internes : comptabilisation, établissement de rapports et attribution Footnote1du Secrétariat du Conseil du Trésor (SCT), les services de technologie de l’information font partie des sous-programmes et ils sont communs à l’ensemble du gouvernement du Canada (GC). Ces services comprennent des activités dont le but est d’assurer l’utilisation efficiente et efficace de la technologie de l’information, à l’appui des priorités gouvernementales et de la mise en œuvre de programmes afin d’accroître la productivité et d’améliorer les services offerts au public. La gestion de la technologie de l’information comprend la planification, la création (ou l’acquisition) d’applications, l’exploitation et la mesure du rendement Footnote2.

Les technologies de l’information jouent un rôle important dans le fonctionnement du gouvernement du Canada, en plus de représenter un catalyseur clé dans le cadre de la transformation des services gouvernementaux. Elles représentent également une composante essentielle de la stratégie du gouvernement visant à relever les défis que représentent l’accroissement de la productivité et l’amélioration des services au public dans l’intérêt des citoyens, des entreprises, des contribuables et des employés Footnote3.

Avec la création de Services partagés Canada, il y a des activités décrites ci-dessous qui ne sont plus exercées par certains organismes. Toutefois, le présent OGE vise toutes les activités énumérées dans le Profil des services de la technologie de l’information (TI) du GC Footnote4, et il est vivement conseillé aux ministères de l’utiliser pour les processus opérationnels liés à la TI qui s’opèrent toujours au sein de leur organisation.

Cet OGE peut servir de point de départ pour les organismes dont le mandat consiste à fournir des services de TI ou des services liés à la TI pour déterminer leurs RDVO. Dans ces cas, ils doivent comparer soigneusement les processus opérationnels définis dans cet OGE avec ceux qu’ils entreprennent pour s’assurer qu’ils sont alignés convenablement et pour y intégrer les autres activités qu’ils mènent.

Rapport avec les autres OGE

Il arrive souvent que les processus opérationnels se chevauchent. Lorsqu’une RDVO a été repérée dans le cadre d’une sous-activité au moyen d’un autre OGE, une note figure au tableau des RDVO et des recommandations aux délais de conservation (présenté ci-dessous) afin de diriger l’utilisateur vers l’outil approprié.

Gestion et surveillance : Il y a des rapports étroits entre l’OGE visant la gestion et la surveillance, et la gestion à proprement parler de la TI. Plusieurs processus de planification globale figurent déjà dans la section traitant de la planification de la gestion et de la surveillance comme l’élaboration de toutes les politiques touchant les opérations. De plus, les RDVO créées dans le cadre des activités de planification des investissements – voir la section 3.5 (Gestion financière de la TI) ci-dessous – sont aussi prises en compte dans la gestion et la surveillance.

Gestion des ressources humaines : Comme c’est souvent le cas dans les services internes, la formation et les mesures disciplinaires font partie des processus opérationnels courants des organismes. Pour assurer l’uniformité de la gestion des RDVO, ces processus figurent dans l’OGE visant la gestion des ressources humaines.

Services de communication : Des avis au personnel concernant des mises à jour de logiciels ou de matériel et des avis de sécurité sont émis fréquemment dans la gestion de la TI. Toutefois, toutes les RDVO liées à ce processus sont indiquées dans la section consacrée aux communications internes de l’OGE visant les services de communication. De plus, toutes les activités ayant pour but la collecte et l’utilisation de ressources documentaires liées à l’analytique Web sont abordées dans l’OGE visant les services de communication. 

Services des acquisitions : La gestion de la TI comprend l’achat du matériel et des logiciels nécessaires pour permettre à l’organisme de remplir son mandat. Toutes les activités d’acquisition ou les marchés de services visant à mettre au point du matériel ou des logiciels sont abordés dans l’OGE visant les services des acquisitions.

Gestion du matériel : Comme de nombreuses activités opérationnelles liées à la gestion de la TI consistent en la gestion de matériel (serveurs, ordinateurs de bureau, ordinateurs portatifs, téléphones, etc.), toutes les activités qui y sont liées (entretien, élimination) sont abordées dans l’OGE visant la gestion du matériel.

Gestion financière : Le processus de gestion financière de la TI présente des chevauchements importants avec l’OGE visant la gestion financière. La préparation de budgets, de relevés comptables, etc. sont pris en compte dans l’OGE visant la gestion financière. Toutefois, certains éléments de gestion financière faisant partie de la gestion de la TI ne sont pas pris en compte dans la gestion financière générale, comme l’établissement de coûts propres à la TI, et ils figurent donc dans le présent OGE.

Processus opérationnels

À titre de ligne directrice du SCT, le Profil des services de la technologie de l’information (TI) du GC (juin 2008) « fournit une vue intégrée et un point de référence pour les programmes de TI du GC qui appuient l’élaboration de descriptions uniformes des services de TI […] ainsi que le fondement d’une planification, d’une conception et de communications communes des services de TI du GC à l’échelle du gouvernement » Footnote5 Le Profil décrit les catégories de services et les procédés opérationnels pour la TI, mais il accorde plus d’importance aux catégories qu’aux procédés. Aux fins du présent document, l’accent est mis plutôt sur les procédés et les RDVO qui sont créées dans le but de fournir des indications claires aux utilisateurs. Conformément à la Directive sur la gestion des technologies de l’information Footnote6, les ministères doivent élaborer et maintenir des pratiques ministérielles efficientes et efficaces en matière de gestion des TI en tenant compte de l’Information Technology Infrastructure Library (ITIL Footnote7) et du Control Objectives for Information and related Technology (COBIT Footnote8). Par conséquent, les procédés décrits dans le présent document sont basés sur ceux décrits dans l’ITIL et le COBIT avec des ajouts pour qu’ils soient conformes à la politique et aux procédures du SCT.

Le Profil des services de la technologie de l’information regroupe les procédés en trois catégories générales, à savoir les procédés de gestion des programmes, les procédés de prestation des services et les procédés de soutien des services. Ces trois catégories et les procédés détaillés qui y sont décrits forment la base de la gestion de la TI. 

Il se peut que les procédés opérationnels énumérés ci-dessous ne soient pas mis en œuvre par tous les groupes de services ou qu’ils ne soient pas appliqués dans l’ordre indiqué ici. Toutefois, ces procédés représentent globalement la gestion de la TI.

Procédés de gestion des programmes des services de TI Footnote9

Ce groupe de fonctions de gestion des programmes vise à gérer l’orientation, l’investissement et le rendement global du programme. Les procédés de gestion des programmes des services de TI sont répartis en trois groupements.

1. Planification et organisation:

Ce processus opérationnel vise à établir l’orientation et les objectifs du programme des services de TI. Il comprend également les procédés requis pour gérer les ressources communes au programme, notamment : définir un plan stratégique de TI, définir l’architecture de l’entreprise, établir l’orientation technologique, définir les procédés, l’organisation et les liens de TI, gérer l’investissement en TI, communiquer les buts et l’orientation de la gestion, gérer les ressources humaines de TI, gérer la qualité, évaluer et gérer les risques de TI et gérer les projets.

2. Acquisition et mise en œuvre:

Ce processus opérationnel vise à élaborer ou à acquérir et à mettre en œuvre les solutions de TI ainsi que leur amélioration et leur maintenance. Il comprend notamment les procédés suivants : identifier les solutions automatisées, acquérir et maintenir les applications logicielles, acquérir et maintenir l’infrastructure de la technologie, permettre l’exploitation et l’utilisation (ce qui comprend la formation des utilisateurs), obtenir les ressources de TI, gérer les changements du programme, finalement installer et valider les solutions et les changements.

3. Surveillance et évaluation:

Ce processus opérationnel vise à surveiller et à évaluer l’efficacité globale d’un programme de services de TI. Il comprend notamment les procédés suivants : surveiller et évaluer le rendement de la TI, surveiller et évaluer le contrôle interne, assurer le respect des règlements et instaurer une gouvernance de la TI.

Procédés de prestation des services de TI:

Ce groupe de procédés met l’accent sur les procédés de planification, d’approvisionnement, de prestation, de continuité, de sécurité et de désaffectation particuliers à un service dans le cas des services fournis par le programme.

4. Gestion des niveaux de service:

La gestion des niveaux de service fait intervenir les procédés de planification, de coordination et de présentation de rapports sur les accords sur les niveaux de service (ANS) conclus entre le fournisseur de services de TI et le groupe de clients ainsi que l’examen permanent des réalisations des services pour veiller à ce que les niveaux de service et la qualité soient fournis et maintenus de manière constante. La gestion des niveaux de service doit chercher à assurer la qualité des services de TI en harmonisant la technologie avec les procédés opérationnels d’une façon efficiente.

5. Gestion financière de la TI:

La gestion financière de la TI fait intervenir trois procédés principaux, à savoir la budgétisation, la comptabilité de la TI et la tarification, pour assurer la gérance économique des ressources et des biens de TI utilisés pour fournir les services de TI. La tarification est une activité facultative qui dépend de la politique de tarification de l’organisation dans son ensemble. L’objectif principal de la gestion financière est l’évaluation et le contrôle des coûts liés aux services de TI tout en offrant aux clients des services de haute qualité avec une utilisation efficace des ressources de TI nécessaires.

6. Gestion de la disponibilité:

La gestion de la disponibilité s’intéresse à la conception, à la mise en œuvre, à la mesure et à la gestion de l’infrastructure de TI pour veiller à ce que les objectifs opérationnels soient constamment atteints conformément aux niveaux convenus. La gestion de la disponibilité exige l’optimisation et la surveillance des services de TI pour qu’ils fonctionnent de manière fiable sans interruption de façon à respecter les accords sur les niveaux de service à un coût raisonnable.

7. Gestion de la capacité:

La gestion de la capacité est le point central de l’ensemble des questions liées à la performance et à la capacité de la TI. Elle vise à optimiser la quantité de capacités requise pour fournir un niveau constant de services courants et futurs. La gestion de la capacité fait en sorte que la capacité de traitement et de stockage de la TI répond aux besoins actuels et futurs de l’organisation dans son ensemble d’une manière opportune et à un coût que l’on peut justifier.

8. Gestion de la continuité des services de TI:

La gestion de la continuité des services de TI suppose l’adoption d’une approche systématique en matière de création d’un plan ou d’une série de procédures (qui sont mise à jour et à l’essai périodiquement) servant à prévenir la perte de services critiques pendant de longues périodes, à composer avec une telle perte et à reprendre les activités après une telle perte, conformément aux plans de continuité des activités. La gestion de la continuité des services s’intéresse à la prévention d’interruptions prolongées de service inattendues (causées par une catastrophe naturelle ou une attaque contre les systèmes) qui pourraient avoir une incidence catastrophique sur les opérations. Les procédés visés par cette activité concernent uniquement la TI et non la planification de la continuité des opérations à l’échelle de l’organisation.

9. Gestion de la sécurité de la TI:

La gestion de la sécurité de la TI fait intervenir l’organisation de la collecte, du stockage, de la manutention, du traitement et de la gestion des données et des services, de manière à ce que soient remplies les conditions opérationnelles liées à l’intégrité, à la disponibilité et à la confidentialité. Les activités de gestion de la sécurité doivent faire en sorte que l’information sur support électronique soit exacte et complète, qu’elle soit toujours disponible à des fins opérationnelles et qu’elle soit utilisée uniquement par les personnes autorisées. Au sein du gouvernement du Canada, la gestion de la sécurité de la TI constitue un procédé distinct de la gestion de la sécurité du personnel et des bâtiments. Les procédés décrits dans ce document ne visent que la sécurité de la TI.

Procédés de soutien des services de TI:

Le groupement des procédés de soutien des services est centré sur les services opérationnels quotidiens qui sont communs à tous les services de TI et qui sont accessibles aux clients/utilisateurs. Il englobe les procédés des centres de service et de dépannage qui interagissent directement avec les clients des programmes de TI.

10. Centre de service et de dépannage:

Le centre de service et de dépannage est le point de contact unique à l’intérieur de l’organisation où tous les utilisateurs peuvent s’adresser pour obtenir de l’aide et du soutien relatifs aux services de TI ou aux problèmes, incidents, questions et plaintes connexes.

11. Gestion des incidents:

La gestion des incidents vise principalement à rétablir le service normal le plus rapidement possible après la perte de service ainsi qu’à minimiser les effets négatifs sur les opérations, ce qui assure le maintien du meilleur niveau possible de qualité et de disponibilité des services.

La section 18 de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information Footnote10 se réfère explicitement à l’intervention et à la reprise lors d’incidents de sécurité de la TI. Elle détaille les mesures que les ministères doivent prendre dans l’éventualité d’un tel incident et dresse la liste des ressources documentaires connexes qu’ils sont tenus de conserver. La section 18.3 se lit comme suit : « Les ministères doivent maintenir des dossiers opérationnels où l’on indique comment les incidents ont été traités et où est consigné le déroulement des faits au cours de l’incident, et où l’on précise le moment où l’incident a été détecté; les mesures prises; la logique à l’appui des décisions; le détail des communications; les autorisations de la direction ou ses consignes; et les rapports externes et internes » Footnote11. Ces exigences ne sont pas définies comme des RDVO distinctes, mais il est prévu qu’elles seront associées à différentes RDVO.

12. Gestion des problèmes:

La gestion des problèmes vise à minimiser les effets négatifs des incidents et des problèmes sur les opérations qui sont causés par des erreurs à l’intérieur de l’infrastructure de TI, ainsi qu’à prévenir la récurrence des incidents liés à ces erreurs. Les activités entreprises en vue de déterminer et d’analyser la cause sous-jacente d’un incident donné, font partie de la gestion des problèmes.

13. Gestion du changement:

La gestion du changement vise à faire en sorte que des méthodes et des procédures normalisées soient employées pour traiter rapidement et avec efficience tous les changements afin de minimiser l’impact sur le service de tous les incidents qui y seraient liés et à améliorer les opérations quotidiennes. La gestion du changement consiste à évaluer et à planifier les processus de changement pour faire en sorte qu’un changement soit effectué le plus efficacement possible selon des procédures établies et que la qualité et la continuité des services de TI soient assurées en tout temps.

14. Gestion des versions:

La gestion des versions est étroitement liée à la gestion de la configuration et à la gestion du changement et vise la planification, la conception, la construction et la mise à l’essai du matériel et des logiciels pour veiller à ce que tous les aspects d’une nouvelle version, tant techniques que non techniques, soient pris en compte ensemble. La gestion des versions est responsable de l’installation et du contrôle de la qualité de l’ensemble du matériel et des logiciels dans l’environnement réel.

15. Gestion de la configuration:

La gestion de la configuration traite de l’identification des composantes importantes de l’infrastructure de TI, ainsi que de l’enregistrement des détails de ces composantes dans la base de données de gestion des configurations (BDGC). La principale tâche de la gestion de la configuration consiste à tenir à jour une liste de toutes les composantes de la configuration de l’infrastructure de TI et de leurs interdépendances.

Délais de conservation

Les recommandations concernant les spécifications relatives à la conservation dans les outils génériques d’évaluation sont déterminées en fonction des pratiques traditionnelles ou exemplaires, d'une revue de la législation et des politiques à l'échelle gouvernementale et de la validation des experts en la matière. Les délais de conservation ne sont que des suggestions : les ministères sont tenus de prendre en considération leurs propres exigences législatives et leurs besoins opérationnels.

Ressources documentaires à valeur opérationnelle et délais de conservation recommandés

1. Planification et organisation

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Définir le plan stratégique de la TI

Établir l’orientation technologique

Gérer l’investissement en TI

Évaluer et gérer les risques sur le plan de la TI

Gérer les projets

Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance

Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance

Définir l’architecture d’entreprise

Identifier et classer par catégories les actifs de la TI

Définir les méthodes de travail, l’organisation et les liens de la TI

Diagrammes de l’architecture d’entreprise

Liste des services et des systèmes de la TI

Diagrammes des processus de la TI

Deux ans après la dernière mesure administrative

Gérer les ressources humaines de la TI

Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines

Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines

Communiquer les objectifs de la direction et son orientation

Pour les RDVO veuillez consulter l’OGE – Services de communication

Pour les délais de conservation veuillez consulter l’OGE – Services de communication

2. Acquisition et mise en œuvre

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Permettre l’exploitation et l’utilisation (y compris la formation des utilisateurs)

Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines

Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines

Acquérir une infrastructure technologique

Acquérir des logiciels

Obtenir des ressources de TI

Pour les RDVO veuillez consulter l’OGE – Services des acquisitions

Pour les délais de conservation veuillez consulter l’OGE – Services des acquisitions

Assurer l’entretien de l’infrastructure technologique

Assurer l’entretien des logiciels

 

Pour les RDVO veuillez consulter l’OGE – Services du matériel

Pour les délais de conservation veuillez consulter l’OGE – Services du matériel

3. Surveillance et évaluation

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Surveiller le rendement de la TI

Surveiller les contrôles internes (inventaire, accès physique, accès logique)

Assurer la conformité avec les normes internationales

Signaler au SCT les noms des agents qui participent aux activités liées aux normes

Rapports sur le rendement

Rapports sur les systèmes de contrôle internes

Liste des noms des agents et de leurs responsabilités

Deux ans après la dernière mesure administrative

Assurer la gouvernance de la TI

Pour les RDVO veuillez consulter l’OGE l’OGE – Gestion et surveillance

Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance

4. Gestion du niveau de service

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Planifier les ententes sur les niveaux de service (ENS)

Identifier les services de TI et les exigences à cet égard

Définir, élaborer et gérer le catalogue des services de TI

Définir, élaborer et négocier les ANS

Définir, élaborer et négocier les ententess sur les niveaux opérationnels (ENO)

Définir les exigences en matière de niveaux de service (EMNS), les feuilles de spécifications se rapportant aux services, et les plans concernant la qualité des services

Identifier les exigences contractuelles sous-jacentes (ECS)

Coordonner et mettre en œuvre des ANS

Catalogue de services

Exigences en matière de niveaux de service

Feuilles de spécifications se rapportant aux services

Accords sur les niveaux de service

Accords sur les niveaux opérationnels

Protocole d’entente

Exigences contractuelles sous-jacentes (ECS)

Plans concernant la qualité des services

Deux ans après la dernière mesure administrative

Établir des rapports sur les ANS

Passer en revue les réalisations en matière de services

Préparer des rapports sur le rendement

Surveiller et gérer les ANS, les ANO et les ECS

Préparer des programmes d’amélioration du service (PAS)

Fournir de l’information administrative au sujet de la qualité de la gestion des niveaux de service et des opérations connexes

Rapports statistiques sur le rendement

Rapports d’étape, de référence et de surveillance

Programmes pour l’amélioration

Deux ans après la dernière mesure administrative

5. Gestion financière de la TI

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Budgétisation

Entreprendre l’élaboration du budget pour les services de TI

Pour les RDVO veuillez consulter l’OGE – Gestion financière

Pour les délais de conservation veuillez consulter l’OGE – Gestion financière

Comptabilisation

Établir les coûts

Définir les éléments de coût

Surveiller les coûts

Réaliser les activités liées à la tarification et à la facturation des services de TI

Pour les RDVO veuillez consulter l’OGE – Gestion financière

Pour les délais de conservation veuillez consulter l’OGE – Gestion financière

Tarification

Définir une politique d’établissement des prix

Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance

Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance

Établir un tarif pour les services fournis ou les produits offerts

Listes des tarifs

Six ans après la fin de l’exercice auquel correspond la ressource

6. Gestion de la disponibilité

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Concevoir la disponibilité de l’infrastructure

Déterminer les besoins en matière de disponibilité

Dresser des plans de gestion de la disponibilité

Plan de gestion de la disponibilité

Mesures en rapport avec les interruptions de service

Avis d’interruption de service à l’intention des clients

Deux ans après la dernière mesure administrative

Assurer la disponibilité de l’infrastructure

Effectuer des vérifications diagnostiques de la disponibilité des systèmes et des services

Rapports de diagnostic

Deux ans après la dernière mesure administrative

Mesurer la disponibilité de l’infrastructure

Surveiller la disponibilité

Surveiller les obligations en matière d’entretien

Rapports sur la disponibilité.

Deux ans après la dernière mesure administrative

Gérer la disponibilité de l’infrastructure de TI

Rédiger des rapports sur la qualité de la gestion des incidents et des opérations

Rédiger des rapports d’étape

Évaluer les répercussions des politiques de sécurité sur la disponibilité

Informer les responsables de la gestion du changement au sujet des répercussions possibles d’un changement sur la disponibilité

Rapports d’étape

Analyse des répercussions des pannes de composantes

Analyse arborescente des pannes

Analyse des pannes de service

Avis aux responsables de la gestion du changement

Deux ans après la dernière mesure administrative

7. Gestion de la capacité

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Élaborer le plan de capacité

Modéliser et simuler divers scénarios de capacité

Surveiller l’utilisation et le rendement de l’infrastructure de TI

Résoudre les problèmes causés par la dégradation du service qu’entraînent l’accroissement de la demande et les interruptions partielles de service causées par des pannes de matériel ou de logiciel

Créer et maintenir la base de données sur la capacité

Effectuer des changements liés à la capacité

Plan de capacité

Base de données sur la capacité

Avis sur les accords sur les niveaux de service

Évaluations de l’infrastructure de la TI

Demande de changement

Rapports de rendement sur la gestion de la capacité

Deux ans après la dernière mesure administrative

8. Gestion de la continuité des services de TI

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Définir la portée de la gestion de la continuité des services de TI

Réaliser une analyse des répercussions sur les opérations

Effectuer une évaluation des risques liés à la TI

Élaborer un plan de continuité des opérations et des procédures pour les services de TI

Définir une stratégie de continuité des services de TI qui cadre avec la stratégie de continuité des opérations

Réaliser des activités de planification liées à l’organisation et à la mise en œuvre de la continuité des services de TI

Mettre en œuvre des accords d’aide éventuelle  et des mesures de réduction des risques

Élaborer des plans et des procédures de reprise des opérations de TI

Mettre à l’essai les plans et les procédures de reprise des opérations de TI

Revoir les plans à la suite de changements apportés à l’infrastructure de la TI

Valider la capacité permanente des stratégies de continuité des services de TI pour répondre aux besoins opérationnels

Fournir de l’information administrative sur la continuité des services de TI

Politique sur la gestion de la continuité des services de TI

Évaluation des risques pour l’infrastructure de la TI

Plan de prévention des risques

Plan de gestion des urgences (pour la TI)

Plan de reprise des opérations (pour la TI)

Plan de reprise des opérations (après sinistre) (pour la TI)

Ressources pour aviser les utilisateurs d’une interruption ou d’une dégradation de services, et des procédures et des protocoles à suivre en cas d’incident

Plans modifiés à la suite d’un changement apporté à l’infrastructure

Rapports d’analyse des risques

Évaluation des rapports d’analyse des risques

Évaluation de simulation de sinistres

Rapports sur les coûts liés aux plans de prévention et de reprise des opérations

Procédures de prévention et de reprise des opérations

Deux ans après la dernière mesure administrative

Réaliser des activités de formation et de sensibilisation sur la continuité des services de TI

Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines

Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines

Revoir et vérifier les plans et les procédures de reprise des opérations de TI

Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance

Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance

9. Gestion de la sécurité (risques) de la TI

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Planifier
Établir une politique ou des normes de sécurité (procédures d’intervention)

Établir un plan de sécurité

Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance

Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance

Demander au Centre de la sécurité des télécommunications (CST) d’examiner les procédures de sécurité et les télécommunications ministérielles

Auto-évaluation de la gestion de la TI

Correspondance avec le CST (relative à la demande)

Plan d’action découlant de l’examen du CST

Calendrier des changements à apporter découlant de l’examen du CST

Deux ans après la dernière mesure administrative

Partager et échanger des actifs de TI

Ententes écrites concernant la sécurité

Deux ans après la dernière mesure administrative

Évaluer

Réaliser une évaluation de la menace et des risques

Agréer les systèmes ou les services

Examiner les demandes de propositions et les autres documents contractuels qui concernent la sécurité de la TI

Rapports d’incidents

Évaluation de la menace et des risques

Évaluation des facteurs relatifs à la vie privée

Évaluation des vulnérabilités

Évaluation des répercussions sur les opérations

Énoncé de sensibilité

Commentaires sur les demandes de propositions

Deux ans après la dernière mesure administrative

Mettre en œuvre

Mettre en œuvre le plan de sécurité

Nommer un gardien de la sécurité des communications (SECOM)

Coordonner la mise en œuvre de la gestion de la sécurité de la TI (personnes, processus et technologies)

Assurer la gestion de la sécurité (personnes, processus et infrastructure technique)

Comptes rendus d’exécution

Communication au SCT des coordonnées du gardien de la sécurité des communications (SECOM)

Deux ans après la dernière mesure administrative

Mettre sur pied une formation sur les mesures de sécurité

Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines

Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines

Surveiller

Surveiller et évaluer la conformité à l’égard du plan

Examiner toutes les politiques comportant des incidences sur le plan de sécurité

Superviser les niveaux de sécurité en analysant les tendances, les nouveaux risques et les vulnérabilités

Informer le personnel des risques sur le plan de la sécurité

Surveiller l’application de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du SCT

Rapports de surveillance et évaluations de la conformité

Copies des rapports de vérification de la sécurité

Demandes de changement découlant de vérifications/d’auto-évaluations

Communications avec le personnel concernant les risques sur le plan de la sécurité

Deux ans après la dernière mesure administrative

Intervenir

Coordonner les interventions en cas d’incident

Établir des rapports sur les incidents

Rapports d’incidents

Deux ans après la dernière mesure administrative

Prendre des sanctions lors de violations de la politique en matière de TI

Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines

Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines

Établir des rapports

Assurer la surveillance des réseaux et des services en ligne pour détecter les intrusions et les attaques

Fournir de l’information administrative sur la qualité de la gestion de la sécurité et des opérations connexes

Rapports de surveillance

Deux ans après la dernière mesure administrative

Procéder à l’évaluation et à la vérification de l’infrastructure de soutien en matière de gestion de la sécurité

Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance

Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance

10. Centre de service et de dépannage

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Consigner et surveiller les incidents

Préparer des rapports sur les incidents et les interventions

Classer les problèmes et documenter les diagnostics

Appliquer des solutions temporaires à des erreurs connues en collaboration avec les responsables de la gestion des problèmes

Collaborer avec les responsables de la gestion de la configuration pour assurer la mise à jour des bases de données pertinentes

Gérer les changements demandés dans le cadre de demandes de service en collaboration avec les responsables de la gestion du changement et de la gestion des versions

Vérifier que les services de soutien requis sont inclus dans l’accord sur les niveaux de service connexe

Communiquer avec les utilisateurs

Aviser le coordonnateur de la sécurité des TI lorsque des problèmes de sécurité sont signalés

Clore l’incident

Registre des appels/Registre ou base de données des événements opérationnels

Rapports sur les incidents et les problèmes

Avis au coordonnateur de la sécurité

Deux ans après la dernière mesure administrative

11. Gestion des incidents

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Planifier

Établir des mécanismes pour intervenir en cas d’incidents de TI et pour échanger de l’information avec des ministères responsables désignés

Établir une procédure pour aviser le personnel opérationnel pertinent au sujet d’incidents

Diffuser des bulletins et des avis de sécurité au personnel au besoin

Copie des coordonnées fournies au SCT et à Sécurité publique (coordonnateur de la sécurité/personne-ressource désignée et secondaire pour la TI)

Liste à jour des personnes-ressources

Copies des bulletins de TI de la GRC

Copies des bulletins d’information et des avis de sécurité du CST

Copies des communications diffusées au personnel

Deux ans après la dernière mesure administrative

Identifier

Détecter et consigner les incidents

Classer les incidents

Fournir un soutien initial en cas d’incident

Résultats obtenus à l’aide des outils de détection des incidents

Registres de surveillance

Registre et base de données des incidents

Deux ans après la dernière mesure administrative

Intervenir

Enquêter sur les incidents et établir un diagnostic

Résoudre les incidents et rétablir les services aux niveaux convenus

Clore les incidents

Procédures d’intervention en cas d’incident

Documentation concernant la gestion des incidents, notamment :

détails de l’incident
mesures prises
justification des décisions
communications

Approbation ou directives des responsables de la gestion
rapports internes et externes

Deux ans après la dernière mesure administrative

Établir des rapports

Signaler les incidents ou les menaces

Participer aux séances d’information et aux téléconférences sur les menaces et les risques

Consulter les services juridiques lorsqu’une activité criminelle est soupçonnée

Rapports sur les incidents et les menaces

Correspondance relative aux incidents et aux menaces avec Sécurité publique

Avis à l’organisme d’application de la loi concerné

Correspondance avec les services juridiques, avis aux utilisateurs

Demande de changement découlant d’un incident

Deux ans après la dernière mesure administrative

Assurer la reprise

Effectuer régulièrement la sauvegarde de tous les systèmes (données, logiciels, données de configuration)

Mettre à l’essai les procédures de sauvegarde

Élaborer des procédures de restauration

Mettre à l’essai les procédures de restauration

Déterminer les délais de conservation

Documenter les mesures prises pour la sauvegarde des systèmes à l’extérieur (tiers)

Communiquer avec Sécurité publique au besoin

Bandes magnétiques de sauvegarde

Procédures de restauration

Documentation concernant les délais de conservation

Ententes conclues avec des tiers

Correspondance avec Sécurité publique

Deux ans après la dernière mesure administrative

Analyser

Fournir de l’information administrative sur la qualité de la gestion des incidents et les opérations connexes

Rapport d’évaluation et de clôture d’un incident

Analyse postérieure à l’incident

Deux ans après la dernière mesure administrative

12. Gestion des problèmes

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Enquêter sur les causes sous-jacentes de toute anomalie réelle ou éventuelle dans le service des TI

Définir des solutions possibles aux anomalies

Soumettre des demandes de changement nécessaires pour rétablir la qualité des services

Réaliser des examens après la mise en œuvre

Base de données des incidents

Registre des problèmes

Dossier des problèmes (gestion)

Rapports d’analyse sur l’infrastructure

Demandes de changement

Base de connaissances (base de données)

Rapports sur les incidents classés

Examens après la mise en œuvre

Deux ans après la dernière mesure administrative

13. Gestion du changement

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Élaborer une politique de gestion du changement

Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance

Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance

Surveiller et gérer le processus de changement

Enregistrer, évaluer et accepter ou rejeter les demandes de changement reçues

Organiser les réunions du Comité consultatif des changements

Coordonner l’élaboration et la mise en œuvre du changement

Évaluer les résultats à la suite de la mise en œuvre du changement

Clore le changement

Demandes de changement approuvées ou rejetées (autorisation, documentation et contrôle des changements)

Nouvelle demande de changement approuvée

Registre des changements

Graphique de configuration du matériel

Mandat, rôle et responsabilités du Comité consultatif des changements

Comptes rendus de décisions du Comité consultatif des changements

Calendrier des changements

Rapports d’évaluation

Deux ans après la dernière mesure administrative

14. Gestion des versions

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Établir une politique de planification pour la mise en œuvre de nouvelles versions

Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance

Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance

Acheter ou concevoir de nouveaux logiciels

Pour les RDVO veuillez consulter l’OGE – Services des acquisitions (pour l’achat de nouveaux logiciels ou la sous-traitance aux fins de conception de logiciels si cette dernière n’est pas réalisée à l’interne)

Pour les délais de conservation veuillez consulter l’OGE – Services des acquisitions

Mettre à l’essai les nouvelles versions dans un environnement qui simule d’aussi près que possible l’environnement réel

Valider les nouvelles versions

Mettre en œuvre les nouvelles versions dans l’environnement réel

Mettre à exécution des plans de retour en arrière pour retirer la nouvelle version au besoin

Mettre à jour la bibliothèque de logiciels définitive, le stockage définitif du matériel et la base de données de configuration

Renseigner les utilisateurs et leur fournir une formation sur la fonctionnalité de la nouvelle version récente

Bibliothèque de logiciels définitive (inventaire)

Stockage définitif du matériel (inventaire)

Base de données de configuration

Politique de mise en œuvre des versions

Plan de retour en arrière

Rapports d’essais

Protocole d’essai

Études de cas sur les essais d’acceptation par l’utilisateur

Rapports à la suite des essais d’acceptation par l’utilisateur

Calendrier de mise en œuvre ou de mise en production

Plan de mise en œuvre ou de mise en production

Procédure de mise en œuvre ou de mise en production

Communication avec le Centre de service et de dépannage

Communications avec les utilisateurs

Matériel de formation

Rapports sur la mise en œuvre ou la mise en production

Deux ans après la dernière mesure administrative

15. Gestion de la configuration

Processus opérationnels communs Recommandations : Ressources documentaires à valeur opérationnelle Recommandations : Délai de conservation

Identifier les éléments faisant partie de l’infrastructure de technologie de l’information

Enregistrer les éléments de l’infrastructure de TI dans la base de données de gestion de la configuration

Surveiller les éléments dans la base de données de gestion de la configuration

Faire rapport au sujet des éléments conservés dans la base de données de gestion de la configuration

Base de données de gestion de la configuration, incluant un registre des licences de logiciels

Rapports sur la base de données de gestion de la configuration

Deux ans après la dernière mesure administrative