Les technologies de l’information
Table des matières
Comment utiliser cet outil
- Le présent outil est conçu à l’intention des spécialistes de la gestion de l’information chargés de répertorier les ressources documentaires à valeur opérationnelle (RDVO) et les délais de conservation dans les secteurs d’activités pertinents.
- Les RDVO et les délais de conservation figurant dans ce document ne sont que des recommandations qui doivent être adaptées à chaque contexte institutionnel avant d’être utilisées. Veuillez lire le présent document dans son intégralité avant de mettre en œuvre les recommandations.
- Cet outil générique d’évaluation ne donne pas aux institutions du gouvernement du Canada l’autorisation de disposer de ressources documentaires. Les outils générique d’évaluation (OGE) ne constituent pas des autorisations de disposer de documents (ADD) et ne remplacent pas les autorisations pluriinstitutionnelles de disposer de documents (APDD).
Validation : Des experts en la matière de ministère suivant ont validé les processus opérationnels et les RDVO : Services partagés Canada (printemps 2014).
Définition de l'activité
Dans le Guide sur les dépenses dans les services internes : comptabilisation, établissement de rapports et attribution Footnote1du Secrétariat du Conseil du Trésor (SCT), les services de technologie de l’information font partie des sous-programmes et ils sont communs à l’ensemble du gouvernement du Canada (GC). Ces services comprennent des activités dont le but est d’assurer l’utilisation efficiente et efficace de la technologie de l’information, à l’appui des priorités gouvernementales et de la mise en œuvre de programmes afin d’accroître la productivité et d’améliorer les services offerts au public. La gestion de la technologie de l’information comprend la planification, la création (ou l’acquisition) d’applications, l’exploitation et la mesure du rendement Footnote2.
Les technologies de l’information jouent un rôle important dans le fonctionnement du gouvernement du Canada, en plus de représenter un catalyseur clé dans le cadre de la transformation des services gouvernementaux. Elles représentent également une composante essentielle de la stratégie du gouvernement visant à relever les défis que représentent l’accroissement de la productivité et l’amélioration des services au public dans l’intérêt des citoyens, des entreprises, des contribuables et des employés Footnote3.
Avec la création de Services partagés Canada, il y a des activités décrites ci-dessous qui ne sont plus exercées par certains organismes. Toutefois, le présent OGE vise toutes les activités énumérées dans le Profil des services de la technologie de l’information (TI) du GC Footnote4, et il est vivement conseillé aux ministères de l’utiliser pour les processus opérationnels liés à la TI qui s’opèrent toujours au sein de leur organisation.
Cet OGE peut servir de point de départ pour les organismes dont le mandat consiste à fournir des services de TI ou des services liés à la TI pour déterminer leurs RDVO. Dans ces cas, ils doivent comparer soigneusement les processus opérationnels définis dans cet OGE avec ceux qu’ils entreprennent pour s’assurer qu’ils sont alignés convenablement et pour y intégrer les autres activités qu’ils mènent.
Rapport avec les autres OGE
Il arrive souvent que les processus opérationnels se chevauchent. Lorsqu’une RDVO a été repérée dans le cadre d’une sous-activité au moyen d’un autre OGE, une note figure au tableau des RDVO et des recommandations aux délais de conservation (présenté ci-dessous) afin de diriger l’utilisateur vers l’outil approprié.
Gestion et surveillance : Il y a des rapports étroits entre l’OGE visant la gestion et la surveillance, et la gestion à proprement parler de la TI. Plusieurs processus de planification globale figurent déjà dans la section traitant de la planification de la gestion et de la surveillance comme l’élaboration de toutes les politiques touchant les opérations. De plus, les RDVO créées dans le cadre des activités de planification des investissements – voir la section 3.5 (Gestion financière de la TI) ci-dessous – sont aussi prises en compte dans la gestion et la surveillance.
Gestion des ressources humaines : Comme c’est souvent le cas dans les services internes, la formation et les mesures disciplinaires font partie des processus opérationnels courants des organismes. Pour assurer l’uniformité de la gestion des RDVO, ces processus figurent dans l’OGE visant la gestion des ressources humaines.
Services de communication : Des avis au personnel concernant des mises à jour de logiciels ou de matériel et des avis de sécurité sont émis fréquemment dans la gestion de la TI. Toutefois, toutes les RDVO liées à ce processus sont indiquées dans la section consacrée aux communications internes de l’OGE visant les services de communication. De plus, toutes les activités ayant pour but la collecte et l’utilisation de ressources documentaires liées à l’analytique Web sont abordées dans l’OGE visant les services de communication.
Services des acquisitions : La gestion de la TI comprend l’achat du matériel et des logiciels nécessaires pour permettre à l’organisme de remplir son mandat. Toutes les activités d’acquisition ou les marchés de services visant à mettre au point du matériel ou des logiciels sont abordés dans l’OGE visant les services des acquisitions.
Gestion du matériel : Comme de nombreuses activités opérationnelles liées à la gestion de la TI consistent en la gestion de matériel (serveurs, ordinateurs de bureau, ordinateurs portatifs, téléphones, etc.), toutes les activités qui y sont liées (entretien, élimination) sont abordées dans l’OGE visant la gestion du matériel.
Gestion financière : Le processus de gestion financière de la TI présente des chevauchements importants avec l’OGE visant la gestion financière. La préparation de budgets, de relevés comptables, etc. sont pris en compte dans l’OGE visant la gestion financière. Toutefois, certains éléments de gestion financière faisant partie de la gestion de la TI ne sont pas pris en compte dans la gestion financière générale, comme l’établissement de coûts propres à la TI, et ils figurent donc dans le présent OGE.
Processus opérationnels
À titre de ligne directrice du SCT, le Profil des services de la technologie de l’information (TI) du GC (juin 2008) « fournit une vue intégrée et un point de référence pour les programmes de TI du GC qui appuient l’élaboration de descriptions uniformes des services de TI […] ainsi que le fondement d’une planification, d’une conception et de communications communes des services de TI du GC à l’échelle du gouvernement » Footnote5 Le Profil décrit les catégories de services et les procédés opérationnels pour la TI, mais il accorde plus d’importance aux catégories qu’aux procédés. Aux fins du présent document, l’accent est mis plutôt sur les procédés et les RDVO qui sont créées dans le but de fournir des indications claires aux utilisateurs. Conformément à la Directive sur la gestion des technologies de l’information Footnote6, les ministères doivent élaborer et maintenir des pratiques ministérielles efficientes et efficaces en matière de gestion des TI en tenant compte de l’Information Technology Infrastructure Library (ITIL Footnote7) et du Control Objectives for Information and related Technology (COBIT Footnote8). Par conséquent, les procédés décrits dans le présent document sont basés sur ceux décrits dans l’ITIL et le COBIT avec des ajouts pour qu’ils soient conformes à la politique et aux procédures du SCT.
Le Profil des services de la technologie de l’information regroupe les procédés en trois catégories générales, à savoir les procédés de gestion des programmes, les procédés de prestation des services et les procédés de soutien des services. Ces trois catégories et les procédés détaillés qui y sont décrits forment la base de la gestion de la TI.
Il se peut que les procédés opérationnels énumérés ci-dessous ne soient pas mis en œuvre par tous les groupes de services ou qu’ils ne soient pas appliqués dans l’ordre indiqué ici. Toutefois, ces procédés représentent globalement la gestion de la TI.
Procédés de gestion des programmes des services de TI Footnote9
Ce groupe de fonctions de gestion des programmes vise à gérer l’orientation, l’investissement et le rendement global du programme. Les procédés de gestion des programmes des services de TI sont répartis en trois groupements.
1. Planification et organisation:
Ce processus opérationnel vise à établir l’orientation et les objectifs du programme des services de TI. Il comprend également les procédés requis pour gérer les ressources communes au programme, notamment : définir un plan stratégique de TI, définir l’architecture de l’entreprise, établir l’orientation technologique, définir les procédés, l’organisation et les liens de TI, gérer l’investissement en TI, communiquer les buts et l’orientation de la gestion, gérer les ressources humaines de TI, gérer la qualité, évaluer et gérer les risques de TI et gérer les projets.
2. Acquisition et mise en œuvre:
Ce processus opérationnel vise à élaborer ou à acquérir et à mettre en œuvre les solutions de TI ainsi que leur amélioration et leur maintenance. Il comprend notamment les procédés suivants : identifier les solutions automatisées, acquérir et maintenir les applications logicielles, acquérir et maintenir l’infrastructure de la technologie, permettre l’exploitation et l’utilisation (ce qui comprend la formation des utilisateurs), obtenir les ressources de TI, gérer les changements du programme, finalement installer et valider les solutions et les changements.
3. Surveillance et évaluation:
Ce processus opérationnel vise à surveiller et à évaluer l’efficacité globale d’un programme de services de TI. Il comprend notamment les procédés suivants : surveiller et évaluer le rendement de la TI, surveiller et évaluer le contrôle interne, assurer le respect des règlements et instaurer une gouvernance de la TI.
Procédés de prestation des services de TI:
Ce groupe de procédés met l’accent sur les procédés de planification, d’approvisionnement, de prestation, de continuité, de sécurité et de désaffectation particuliers à un service dans le cas des services fournis par le programme.
4. Gestion des niveaux de service:
La gestion des niveaux de service fait intervenir les procédés de planification, de coordination et de présentation de rapports sur les accords sur les niveaux de service (ANS) conclus entre le fournisseur de services de TI et le groupe de clients ainsi que l’examen permanent des réalisations des services pour veiller à ce que les niveaux de service et la qualité soient fournis et maintenus de manière constante. La gestion des niveaux de service doit chercher à assurer la qualité des services de TI en harmonisant la technologie avec les procédés opérationnels d’une façon efficiente.
5. Gestion financière de la TI:
La gestion financière de la TI fait intervenir trois procédés principaux, à savoir la budgétisation, la comptabilité de la TI et la tarification, pour assurer la gérance économique des ressources et des biens de TI utilisés pour fournir les services de TI. La tarification est une activité facultative qui dépend de la politique de tarification de l’organisation dans son ensemble. L’objectif principal de la gestion financière est l’évaluation et le contrôle des coûts liés aux services de TI tout en offrant aux clients des services de haute qualité avec une utilisation efficace des ressources de TI nécessaires.
6. Gestion de la disponibilité:
La gestion de la disponibilité s’intéresse à la conception, à la mise en œuvre, à la mesure et à la gestion de l’infrastructure de TI pour veiller à ce que les objectifs opérationnels soient constamment atteints conformément aux niveaux convenus. La gestion de la disponibilité exige l’optimisation et la surveillance des services de TI pour qu’ils fonctionnent de manière fiable sans interruption de façon à respecter les accords sur les niveaux de service à un coût raisonnable.
7. Gestion de la capacité:
La gestion de la capacité est le point central de l’ensemble des questions liées à la performance et à la capacité de la TI. Elle vise à optimiser la quantité de capacités requise pour fournir un niveau constant de services courants et futurs. La gestion de la capacité fait en sorte que la capacité de traitement et de stockage de la TI répond aux besoins actuels et futurs de l’organisation dans son ensemble d’une manière opportune et à un coût que l’on peut justifier.
8. Gestion de la continuité des services de TI:
La gestion de la continuité des services de TI suppose l’adoption d’une approche systématique en matière de création d’un plan ou d’une série de procédures (qui sont mise à jour et à l’essai périodiquement) servant à prévenir la perte de services critiques pendant de longues périodes, à composer avec une telle perte et à reprendre les activités après une telle perte, conformément aux plans de continuité des activités. La gestion de la continuité des services s’intéresse à la prévention d’interruptions prolongées de service inattendues (causées par une catastrophe naturelle ou une attaque contre les systèmes) qui pourraient avoir une incidence catastrophique sur les opérations. Les procédés visés par cette activité concernent uniquement la TI et non la planification de la continuité des opérations à l’échelle de l’organisation.
9. Gestion de la sécurité de la TI:
La gestion de la sécurité de la TI fait intervenir l’organisation de la collecte, du stockage, de la manutention, du traitement et de la gestion des données et des services, de manière à ce que soient remplies les conditions opérationnelles liées à l’intégrité, à la disponibilité et à la confidentialité. Les activités de gestion de la sécurité doivent faire en sorte que l’information sur support électronique soit exacte et complète, qu’elle soit toujours disponible à des fins opérationnelles et qu’elle soit utilisée uniquement par les personnes autorisées. Au sein du gouvernement du Canada, la gestion de la sécurité de la TI constitue un procédé distinct de la gestion de la sécurité du personnel et des bâtiments. Les procédés décrits dans ce document ne visent que la sécurité de la TI.
Procédés de soutien des services de TI:
Le groupement des procédés de soutien des services est centré sur les services opérationnels quotidiens qui sont communs à tous les services de TI et qui sont accessibles aux clients/utilisateurs. Il englobe les procédés des centres de service et de dépannage qui interagissent directement avec les clients des programmes de TI.
10. Centre de service et de dépannage:
Le centre de service et de dépannage est le point de contact unique à l’intérieur de l’organisation où tous les utilisateurs peuvent s’adresser pour obtenir de l’aide et du soutien relatifs aux services de TI ou aux problèmes, incidents, questions et plaintes connexes.
11. Gestion des incidents:
La gestion des incidents vise principalement à rétablir le service normal le plus rapidement possible après la perte de service ainsi qu’à minimiser les effets négatifs sur les opérations, ce qui assure le maintien du meilleur niveau possible de qualité et de disponibilité des services.
La section 18 de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information Footnote10 se réfère explicitement à l’intervention et à la reprise lors d’incidents de sécurité de la TI. Elle détaille les mesures que les ministères doivent prendre dans l’éventualité d’un tel incident et dresse la liste des ressources documentaires connexes qu’ils sont tenus de conserver. La section 18.3 se lit comme suit : « Les ministères doivent maintenir des dossiers opérationnels où l’on indique comment les incidents ont été traités et où est consigné le déroulement des faits au cours de l’incident, et où l’on précise le moment où l’incident a été détecté; les mesures prises; la logique à l’appui des décisions; le détail des communications; les autorisations de la direction ou ses consignes; et les rapports externes et internes » Footnote11. Ces exigences ne sont pas définies comme des RDVO distinctes, mais il est prévu qu’elles seront associées à différentes RDVO.
12. Gestion des problèmes:
La gestion des problèmes vise à minimiser les effets négatifs des incidents et des problèmes sur les opérations qui sont causés par des erreurs à l’intérieur de l’infrastructure de TI, ainsi qu’à prévenir la récurrence des incidents liés à ces erreurs. Les activités entreprises en vue de déterminer et d’analyser la cause sous-jacente d’un incident donné, font partie de la gestion des problèmes.
13. Gestion du changement:
La gestion du changement vise à faire en sorte que des méthodes et des procédures normalisées soient employées pour traiter rapidement et avec efficience tous les changements afin de minimiser l’impact sur le service de tous les incidents qui y seraient liés et à améliorer les opérations quotidiennes. La gestion du changement consiste à évaluer et à planifier les processus de changement pour faire en sorte qu’un changement soit effectué le plus efficacement possible selon des procédures établies et que la qualité et la continuité des services de TI soient assurées en tout temps.
14. Gestion des versions:
La gestion des versions est étroitement liée à la gestion de la configuration et à la gestion du changement et vise la planification, la conception, la construction et la mise à l’essai du matériel et des logiciels pour veiller à ce que tous les aspects d’une nouvelle version, tant techniques que non techniques, soient pris en compte ensemble. La gestion des versions est responsable de l’installation et du contrôle de la qualité de l’ensemble du matériel et des logiciels dans l’environnement réel.
15. Gestion de la configuration:
La gestion de la configuration traite de l’identification des composantes importantes de l’infrastructure de TI, ainsi que de l’enregistrement des détails de ces composantes dans la base de données de gestion des configurations (BDGC). La principale tâche de la gestion de la configuration consiste à tenir à jour une liste de toutes les composantes de la configuration de l’infrastructure de TI et de leurs interdépendances.
Délais de conservation
Les recommandations concernant les spécifications relatives à la conservation dans les outils génériques d’évaluation sont déterminées en fonction des pratiques traditionnelles ou exemplaires, d'une revue de la législation et des politiques à l'échelle gouvernementale et de la validation des experts en la matière. Les délais de conservation ne sont que des suggestions : les ministères sont tenus de prendre en considération leurs propres exigences législatives et leurs besoins opérationnels.
Ressources documentaires à valeur opérationnelle et délais de conservation recommandés
1. Planification et organisation
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Définir le plan stratégique de la TI
Établir l’orientation technologique
Gérer l’investissement en TI
Évaluer et gérer les risques sur le plan de la TI
Gérer les projets
|
Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance
|
Définir l’architecture d’entreprise
Identifier et classer par catégories les actifs de la TI
Définir les méthodes de travail, l’organisation et les liens de la TI
|
Diagrammes de l’architecture d’entreprise
Liste des services et des systèmes de la TI
Diagrammes des processus de la TI
|
Deux ans après la dernière mesure administrative
|
Gérer les ressources humaines de la TI
|
Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines
|
Communiquer les objectifs de la direction et son orientation
|
Pour les RDVO veuillez consulter l’OGE – Services de communication
|
Pour les délais de conservation veuillez consulter l’OGE – Services de communication
|
2. Acquisition et mise en œuvre
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Permettre l’exploitation et l’utilisation (y compris la formation des utilisateurs)
|
Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines
|
Acquérir une infrastructure technologique
Acquérir des logiciels
Obtenir des ressources de TI
|
Pour les RDVO veuillez consulter l’OGE – Services des acquisitions
|
Pour les délais de conservation veuillez consulter l’OGE – Services des acquisitions
|
Assurer l’entretien de l’infrastructure technologique
Assurer l’entretien des logiciels
|
Pour les RDVO veuillez consulter l’OGE – Services du matériel
|
Pour les délais de conservation veuillez consulter l’OGE – Services du matériel
|
3. Surveillance et évaluation
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Surveiller le rendement de la TI
Surveiller les contrôles internes (inventaire, accès physique, accès logique)
Assurer la conformité avec les normes internationales
Signaler au SCT les noms des agents qui participent aux activités liées aux normes
|
Rapports sur le rendement
Rapports sur les systèmes de contrôle internes
Liste des noms des agents et de leurs responsabilités
|
Deux ans après la dernière mesure administrative
|
Assurer la gouvernance de la TI
|
Pour les RDVO veuillez consulter l’OGE l’OGE – Gestion et surveillance
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance
|
4. Gestion du niveau de service
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Planifier les ententes sur les niveaux de service (ENS)
Identifier les services de TI et les exigences à cet égard
Définir, élaborer et gérer le catalogue des services de TI
Définir, élaborer et négocier les ANS
Définir, élaborer et négocier les ententess sur les niveaux opérationnels (ENO)
Définir les exigences en matière de niveaux de service (EMNS), les feuilles de spécifications se rapportant aux services, et les plans concernant la qualité des services
Identifier les exigences contractuelles sous-jacentes (ECS)
Coordonner et mettre en œuvre des ANS
|
Catalogue de services
Exigences en matière de niveaux de service
Feuilles de spécifications se rapportant aux services
Accords sur les niveaux de service
Accords sur les niveaux opérationnels
Protocole d’entente
Exigences contractuelles sous-jacentes (ECS)
Plans concernant la qualité des services
|
Deux ans après la dernière mesure administrative
|
Établir des rapports sur les ANS
Passer en revue les réalisations en matière de services
Préparer des rapports sur le rendement
Surveiller et gérer les ANS, les ANO et les ECS
Préparer des programmes d’amélioration du service (PAS)
Fournir de l’information administrative au sujet de la qualité de la gestion des niveaux de service et des opérations connexes
|
Rapports statistiques sur le rendement
Rapports d’étape, de référence et de surveillance
Programmes pour l’amélioration
|
Deux ans après la dernière mesure administrative
|
5. Gestion financière de la TI
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Budgétisation
Entreprendre l’élaboration du budget pour les services de TI
|
Pour les RDVO veuillez consulter l’OGE – Gestion financière
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion financière
|
Comptabilisation
Établir les coûts
Définir les éléments de coût
Surveiller les coûts
Réaliser les activités liées à la tarification et à la facturation des services de TI
|
Pour les RDVO veuillez consulter l’OGE – Gestion financière
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion financière
|
Tarification
Définir une politique d’établissement des prix
|
Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance
|
Établir un tarif pour les services fournis ou les produits offerts
|
Listes des tarifs
|
Six ans après la fin de l’exercice auquel correspond la ressource
|
6. Gestion de la disponibilité
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Concevoir la disponibilité de l’infrastructure
Déterminer les besoins en matière de disponibilité
Dresser des plans de gestion de la disponibilité
|
Plan de gestion de la disponibilité
Mesures en rapport avec les interruptions de service
Avis d’interruption de service à l’intention des clients
|
Deux ans après la dernière mesure administrative
|
Assurer la disponibilité de l’infrastructure
Effectuer des vérifications diagnostiques de la disponibilité des systèmes et des services
|
Rapports de diagnostic
|
Deux ans après la dernière mesure administrative
|
Mesurer la disponibilité de l’infrastructure
Surveiller la disponibilité
Surveiller les obligations en matière d’entretien
|
Rapports sur la disponibilité.
|
Deux ans après la dernière mesure administrative
|
Gérer la disponibilité de l’infrastructure de TI
Rédiger des rapports sur la qualité de la gestion des incidents et des opérations
Rédiger des rapports d’étape
Évaluer les répercussions des politiques de sécurité sur la disponibilité
Informer les responsables de la gestion du changement au sujet des répercussions possibles d’un changement sur la disponibilité
|
Rapports d’étape
Analyse des répercussions des pannes de composantes
Analyse arborescente des pannes
Analyse des pannes de service
Avis aux responsables de la gestion du changement
|
Deux ans après la dernière mesure administrative
|
7. Gestion de la capacité
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Élaborer le plan de capacité
Modéliser et simuler divers scénarios de capacité
Surveiller l’utilisation et le rendement de l’infrastructure de TI
Résoudre les problèmes causés par la dégradation du service qu’entraînent l’accroissement de la demande et les interruptions partielles de service causées par des pannes de matériel ou de logiciel
Créer et maintenir la base de données sur la capacité
Effectuer des changements liés à la capacité
|
Plan de capacité
Base de données sur la capacité
Avis sur les accords sur les niveaux de service
Évaluations de l’infrastructure de la TI
Demande de changement
Rapports de rendement sur la gestion de la capacité
|
Deux ans après la dernière mesure administrative
|
8. Gestion de la continuité des services de TI
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Définir la portée de la gestion de la continuité des services de TI
Réaliser une analyse des répercussions sur les opérations
Effectuer une évaluation des risques liés à la TI
Élaborer un plan de continuité des opérations et des procédures pour les services de TI
Définir une stratégie de continuité des services de TI qui cadre avec la stratégie de continuité des opérations
Réaliser des activités de planification liées à l’organisation et à la mise en œuvre de la continuité des services de TI
Mettre en œuvre des accords d’aide éventuelle et des mesures de réduction des risques
Élaborer des plans et des procédures de reprise des opérations de TI
Mettre à l’essai les plans et les procédures de reprise des opérations de TI
Revoir les plans à la suite de changements apportés à l’infrastructure de la TI
Valider la capacité permanente des stratégies de continuité des services de TI pour répondre aux besoins opérationnels
Fournir de l’information administrative sur la continuité des services de TI
|
Politique sur la gestion de la continuité des services de TI
Évaluation des risques pour l’infrastructure de la TI
Plan de prévention des risques
Plan de gestion des urgences (pour la TI)
Plan de reprise des opérations (pour la TI)
Plan de reprise des opérations (après sinistre) (pour la TI)
Ressources pour aviser les utilisateurs d’une interruption ou d’une dégradation de services, et des procédures et des protocoles à suivre en cas d’incident
Plans modifiés à la suite d’un changement apporté à l’infrastructure
Rapports d’analyse des risques
Évaluation des rapports d’analyse des risques
Évaluation de simulation de sinistres
Rapports sur les coûts liés aux plans de prévention et de reprise des opérations
Procédures de prévention et de reprise des opérations
|
Deux ans après la dernière mesure administrative
|
Réaliser des activités de formation et de sensibilisation sur la continuité des services de TI
|
Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines
|
Revoir et vérifier les plans et les procédures de reprise des opérations de TI
|
Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance
|
9. Gestion de la sécurité (risques) de la TI
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Planifier
Établir une politique ou des normes de sécurité (procédures d’intervention)
Établir un plan de sécurité
|
Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance
|
Demander au Centre de la sécurité des télécommunications (CST) d’examiner les procédures de sécurité et les télécommunications ministérielles
|
Auto-évaluation de la gestion de la TI
Correspondance avec le CST (relative à la demande)
Plan d’action découlant de l’examen du CST
Calendrier des changements à apporter découlant de l’examen du CST
|
Deux ans après la dernière mesure administrative
|
Partager et échanger des actifs de TI
|
Ententes écrites concernant la sécurité
|
Deux ans après la dernière mesure administrative
|
Évaluer
Réaliser une évaluation de la menace et des risques
Agréer les systèmes ou les services
Examiner les demandes de propositions et les autres documents contractuels qui concernent la sécurité de la TI
|
Rapports d’incidents
Évaluation de la menace et des risques
Évaluation des facteurs relatifs à la vie privée
Évaluation des vulnérabilités
Évaluation des répercussions sur les opérations
Énoncé de sensibilité
Commentaires sur les demandes de propositions
|
Deux ans après la dernière mesure administrative
|
Mettre en œuvre
Mettre en œuvre le plan de sécurité
Nommer un gardien de la sécurité des communications (SECOM)
Coordonner la mise en œuvre de la gestion de la sécurité de la TI (personnes, processus et technologies)
Assurer la gestion de la sécurité (personnes, processus et infrastructure technique)
|
Comptes rendus d’exécution
Communication au SCT des coordonnées du gardien de la sécurité des communications (SECOM)
|
Deux ans après la dernière mesure administrative
|
Mettre sur pied une formation sur les mesures de sécurité
|
Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines
|
Surveiller
Surveiller et évaluer la conformité à l’égard du plan
Examiner toutes les politiques comportant des incidences sur le plan de sécurité
Superviser les niveaux de sécurité en analysant les tendances, les nouveaux risques et les vulnérabilités
Informer le personnel des risques sur le plan de la sécurité
Surveiller l’application de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du SCT
|
Rapports de surveillance et évaluations de la conformité
Copies des rapports de vérification de la sécurité
Demandes de changement découlant de vérifications/d’auto-évaluations
Communications avec le personnel concernant les risques sur le plan de la sécurité
|
Deux ans après la dernière mesure administrative
|
Intervenir
Coordonner les interventions en cas d’incident
Établir des rapports sur les incidents
|
Rapports d’incidents
|
Deux ans après la dernière mesure administrative
|
Prendre des sanctions lors de violations de la politique en matière de TI
|
Pour les RDVO veuillez consulter l’OGE – Gestion des ressources humaines
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion des ressources humaines
|
Établir des rapports
Assurer la surveillance des réseaux et des services en ligne pour détecter les intrusions et les attaques
Fournir de l’information administrative sur la qualité de la gestion de la sécurité et des opérations connexes
|
Rapports de surveillance
|
Deux ans après la dernière mesure administrative
|
Procéder à l’évaluation et à la vérification de l’infrastructure de soutien en matière de gestion de la sécurité
|
Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance
|
10. Centre de service et de dépannage
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Consigner et surveiller les incidents
Préparer des rapports sur les incidents et les interventions
Classer les problèmes et documenter les diagnostics
Appliquer des solutions temporaires à des erreurs connues en collaboration avec les responsables de la gestion des problèmes
Collaborer avec les responsables de la gestion de la configuration pour assurer la mise à jour des bases de données pertinentes
Gérer les changements demandés dans le cadre de demandes de service en collaboration avec les responsables de la gestion du changement et de la gestion des versions
Vérifier que les services de soutien requis sont inclus dans l’accord sur les niveaux de service connexe
Communiquer avec les utilisateurs
Aviser le coordonnateur de la sécurité des TI lorsque des problèmes de sécurité sont signalés
Clore l’incident
|
Registre des appels/Registre ou base de données des événements opérationnels
Rapports sur les incidents et les problèmes
Avis au coordonnateur de la sécurité
|
Deux ans après la dernière mesure administrative
|
11. Gestion des incidents
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Planifier
Établir des mécanismes pour intervenir en cas d’incidents de TI et pour échanger de l’information avec des ministères responsables désignés
Établir une procédure pour aviser le personnel opérationnel pertinent au sujet d’incidents
Diffuser des bulletins et des avis de sécurité au personnel au besoin
|
Copie des coordonnées fournies au SCT et à Sécurité publique (coordonnateur de la sécurité/personne-ressource désignée et secondaire pour la TI)
Liste à jour des personnes-ressources
Copies des bulletins de TI de la GRC
Copies des bulletins d’information et des avis de sécurité du CST
Copies des communications diffusées au personnel
|
Deux ans après la dernière mesure administrative
|
Identifier
Détecter et consigner les incidents
Classer les incidents
Fournir un soutien initial en cas d’incident
|
Résultats obtenus à l’aide des outils de détection des incidents
Registres de surveillance
Registre et base de données des incidents
|
Deux ans après la dernière mesure administrative
|
Intervenir
Enquêter sur les incidents et établir un diagnostic
Résoudre les incidents et rétablir les services aux niveaux convenus
Clore les incidents
|
Procédures d’intervention en cas d’incident
Documentation concernant la gestion des incidents, notamment :
détails de l’incident
mesures prises
justification des décisions
communications
Approbation ou directives des responsables de la gestion
rapports internes et externes
|
Deux ans après la dernière mesure administrative
|
Établir des rapports
Signaler les incidents ou les menaces
Participer aux séances d’information et aux téléconférences sur les menaces et les risques
Consulter les services juridiques lorsqu’une activité criminelle est soupçonnée
|
Rapports sur les incidents et les menaces
Correspondance relative aux incidents et aux menaces avec Sécurité publique
Avis à l’organisme d’application de la loi concerné
Correspondance avec les services juridiques, avis aux utilisateurs
Demande de changement découlant d’un incident
|
Deux ans après la dernière mesure administrative
|
Assurer la reprise
Effectuer régulièrement la sauvegarde de tous les systèmes (données, logiciels, données de configuration)
Mettre à l’essai les procédures de sauvegarde
Élaborer des procédures de restauration
Mettre à l’essai les procédures de restauration
Déterminer les délais de conservation
Documenter les mesures prises pour la sauvegarde des systèmes à l’extérieur (tiers)
Communiquer avec Sécurité publique au besoin
|
Bandes magnétiques de sauvegarde
Procédures de restauration
Documentation concernant les délais de conservation
Ententes conclues avec des tiers
Correspondance avec Sécurité publique
|
Deux ans après la dernière mesure administrative
|
Analyser
Fournir de l’information administrative sur la qualité de la gestion des incidents et les opérations connexes
|
Rapport d’évaluation et de clôture d’un incident
Analyse postérieure à l’incident
|
Deux ans après la dernière mesure administrative
|
12. Gestion des problèmes
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Enquêter sur les causes sous-jacentes de toute anomalie réelle ou éventuelle dans le service des TI
Définir des solutions possibles aux anomalies
Soumettre des demandes de changement nécessaires pour rétablir la qualité des services
Réaliser des examens après la mise en œuvre
|
Base de données des incidents
Registre des problèmes
Dossier des problèmes (gestion)
Rapports d’analyse sur l’infrastructure
Demandes de changement
Base de connaissances (base de données)
Rapports sur les incidents classés
Examens après la mise en œuvre
|
Deux ans après la dernière mesure administrative
|
13. Gestion du changement
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Élaborer une politique de gestion du changement
|
Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance
|
Surveiller et gérer le processus de changement
Enregistrer, évaluer et accepter ou rejeter les demandes de changement reçues
Organiser les réunions du Comité consultatif des changements
Coordonner l’élaboration et la mise en œuvre du changement
Évaluer les résultats à la suite de la mise en œuvre du changement
Clore le changement
|
Demandes de changement approuvées ou rejetées (autorisation, documentation et contrôle des changements)
Nouvelle demande de changement approuvée
Registre des changements
Graphique de configuration du matériel
Mandat, rôle et responsabilités du Comité consultatif des changements
Comptes rendus de décisions du Comité consultatif des changements
Calendrier des changements
Rapports d’évaluation
|
Deux ans après la dernière mesure administrative
|
14. Gestion des versions
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Établir une politique de planification pour la mise en œuvre de nouvelles versions
|
Pour les RDVO veuillez consulter l’OGE – Gestion et surveillance
|
Pour les délais de conservation veuillez consulter l’OGE – Gestion et surveillance
|
Acheter ou concevoir de nouveaux logiciels
|
Pour les RDVO veuillez consulter l’OGE – Services des acquisitions (pour l’achat de nouveaux logiciels ou la sous-traitance aux fins de conception de logiciels si cette dernière n’est pas réalisée à l’interne)
|
Pour les délais de conservation veuillez consulter l’OGE – Services des acquisitions
|
Mettre à l’essai les nouvelles versions dans un environnement qui simule d’aussi près que possible l’environnement réel
Valider les nouvelles versions
Mettre en œuvre les nouvelles versions dans l’environnement réel
Mettre à exécution des plans de retour en arrière pour retirer la nouvelle version au besoin
Mettre à jour la bibliothèque de logiciels définitive, le stockage définitif du matériel et la base de données de configuration
Renseigner les utilisateurs et leur fournir une formation sur la fonctionnalité de la nouvelle version récente
|
Bibliothèque de logiciels définitive (inventaire)
Stockage définitif du matériel (inventaire)
Base de données de configuration
Politique de mise en œuvre des versions
Plan de retour en arrière
Rapports d’essais
Protocole d’essai
Études de cas sur les essais d’acceptation par l’utilisateur
Rapports à la suite des essais d’acceptation par l’utilisateur
Calendrier de mise en œuvre ou de mise en production
Plan de mise en œuvre ou de mise en production
Procédure de mise en œuvre ou de mise en production
Communication avec le Centre de service et de dépannage
Communications avec les utilisateurs
Matériel de formation
Rapports sur la mise en œuvre ou la mise en production
|
Deux ans après la dernière mesure administrative
|
15. Gestion de la configuration
Processus opérationnels communs |
Recommandations : Ressources documentaires à valeur opérationnelle |
Recommandations : Délai de conservation |
Identifier les éléments faisant partie de l’infrastructure de technologie de l’information
Enregistrer les éléments de l’infrastructure de TI dans la base de données de gestion de la configuration
Surveiller les éléments dans la base de données de gestion de la configuration
Faire rapport au sujet des éléments conservés dans la base de données de gestion de la configuration
|
Base de données de gestion de la configuration, incluant un registre des licences de logiciels
Rapports sur la base de données de gestion de la configuration
|
Deux ans après la dernière mesure administrative
|