Contenu Menu
Accueil > Direction des technologies de l'information > Sécurité de l'information > Cadre normatif

Cadre normatif de sécurité de l'information


Le cadre normatif de sécurité de l’information (CNSI) est constitué d’un ensemble de documents (directives, processus, registres, standards, et autres) qui viennent appuyer et permettent la mise en œuvre de la politique de sécurité de l’information.

Le CNSI est inspiré des bonnes pratiques de l’industrie, telles que la série de norme ISO 27000, la méthode Mehari proposée par le CLUSIF et plusieurs standards notamment, ceux du « National Institute of Standards and Technology » (NIST).

Cette approche permet de fournir un modèle solide de mise en œuvre des bonnes pratiques de sécurité de l’information et suit les principes et les lignes directrices suivants :

  • l’appréciation des risques 
  • la conception et la mise en œuvre de la sécurité 
  • la gestion et la réévaluation de la sécurité de l’information



Directive générale

Objectif

L’objectif est de communiquer le cadre de mise en œuvre de la politique de sécurité de l’information de HEC Montréal. La directive générale présente le cadre normatif de sécurité de l’information (CNSI) et décrit l’approche adoptée. Elle présente les éléments qui le composent, soit les directives, les processus, la procédure, les standards et les registres.
 

Avantages

  • Permet d’assoir une base solide pour aborder la sécurité de l’information
  • Permet une compréhension commune du CNSI
     

Portée

Cette directive vient appuyer l’ensemble de la mise en œuvre de la politique de sécurité de l’information de HEC Montréal. Ainsi, la directive générale encadre toutes les personnes devant accéder aux ressources informationnelles de l’école indépendamment de leur support (documents papiers, documents électroniques et autres), incluant les enseignants, les chercheurs, les étudiants, le personnel administratif, les firmes contractuelles, les consultants, les retraités et les diplômés. Tel que mentionné dans la politique de sécurité de l’information de HEC Montréal, la sécurité de l’information est l’affaire de tous. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.
 

Directive - contrôle d’accès 

Objectifs 

Les objectifs sont de protéger les informations confidentielles ou utiles à la réalisation de la mission de l’école ainsi que les renseignements personnels afin de préserver l’intégrité de cette information et de permettre l’accès des personnes autorisées. Ainsi, cette directive permet de mitiger les risques d’accès non autorisés, la perte, le vol ou la divulgation de l’information à l’insu de l’école. 
 

Avantages

  • S’assurer que les informations sont consultées et modifiées seulement par les personnes autorisées
  • Identifier les contrôles de sécurité qui doivent être mis en place afin de protéger les actifs informationnels 
     

Portée

Cette directive encadre toutes les informations, peu importe le support (papier, document électronique, base de données, CD-ROM, etc.) et toutes les personnes devant accéder aux ressources informationnelles de l’école incluant les enseignants, les étudiants, les chercheurs, le personnel administratif, les firmes contractuelles et les consultants. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.

Directive - développement des systèmes

Objectif

L’objectif est d’assurer le développement d’applications sécuritaires permettant de protéger l’information personnelle, confidentielle ou utile à la réalisation de la mission de l’École afin de préserver l’intégrité de cette information et de permettre l’accès des personnes autorisées. Ainsi, cette directive permet d’intégrer la sécurité dans le cycle de vie du développement logiciel des systèmes d’information de HEC Montréal. Elle permet la mise en place de standard concernant les bonnes pratiques de programmation reconnu par l’industrie.
 

Avantages

  • Permettre d’avoir des applications robustes en termes de sécurité
  • Permettre d’améliorer la sécurité de l’information à HEC Montréal


Portée

Cette directive encadre toutes les initiatives de développement incluant les développements faits par le personnel de l’École, notamment celui de la direction des technologies de l’information ainsi que par les consultants et les entités morales mandatés par l’École. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.

 

Directive - incident de sécurité 

Objectif

L’objectif est de gérer les incidents de sécurité de l’information au sein de l’école afin d’agir efficacement pour protéger les renseignements personnels, l’information confidentielle ou utile à la réalisation de la mission de l’école. 
 

Avantages

  • Signaler, dans les meilleurs délais, les événements liés à la sécurité de l’information pouvant avoir un impact sur les activités de l’école
  • Définir une approche cohérente et efficace pour la gestion des incidents liés à la sécurité de l’information
  • Permettre une meilleure compréhension des rôles et responsabilités des intervenants
  • Permettre de meilleures communications entre l’ensemble des parties prenantes
  • Permettre d’améliorer la sécurité de l’information
     

Portée 

Cette directive encadre tous les événements liés à la sécurité de l’information, peu importe le support (papier, document électronique, base de données, CD-ROM, etc.), et toutes personnes, étant témoins de ces derniers, incluant les enseignants, les chercheurs, les étudiants, le personnel administratif, les firmes contractuelles et les consultants. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.
 

Directive - protection des renseignements personnels 

Objectif

L’objectif de cette directive est d’agir efficacement pour protéger les renseignements personnels au sein de l’École. À ce titre, elle est étroitement inspirée du texte de la « Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q., c. A-2.1 ».
 

Avantages

  • Permet d’assurer une relation de confiance envers ceux qui nous confient leurs renseignements personnels
  • Permet d’établir un encadrement afin d’assurer la protection des renseignements personnels
     

Portée

Cette directive encadre tous les renseignements personnels, peu importe le support (papier, document électronique, base de données, CD-ROM, etc.), et toutes personnes, détenant ces derniers, incluant les enseignants, les chercheurs, les étudiants, le personnel administratif, les firmes contractuelles et les consultants. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.
 

Directive - surveillance et journalisation 

Objectif

L’objectif est de détecter les traitements non autorisés de l’information. Cette directive permet de mettre en place une surveillance des systèmes, d’enregistrer les événements liés à la sécurité de l’information et de définir les requis en terme de journaux des opérations et des rapports de défaut pour garantir la détection des problèmes liés au système d’information.
 

Avantages

  • Détecter les traitements non autorisés pouvant mener à un incident de sécurité, ou compromettre les opérations de l’École
  • Identifier les contrôles de sécurité qui doivent être mis en place afin de protéger les actifs informationnels
  • Permettre d’améliorer la sécurité de l’information
     

Portée

Cette directive encadre tous les systèmes, applications et composantes réseau, et toutes les personnes devant accéder aux ressources informationnelles de l’École incluant les enseignants, les étudiants, les chercheurs, le personnel administratif, les firmes contractuelles et les consultants. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.

 

Directive - classification des systèmes d'information 

Objectif

L’objectif est de protéger avec un niveau de protection approprié l'information de l'École, en procédant à une classification des systèmes d'information pour indiquer les priorités de sécurité et le degré de protection souhaité.
 

Avantages

  • Permettre une approche de gestion de risque
  • Identifier les contrôles de sécurité en fonction des propriétés de sécurité des systèmes d'information
  • Permettre une optimisation des moyens et des coûts de protection
  • Permettre une meilleure compréhension des rôles et responsabilités des intervenants et une conformité à la politique de sécurité de l'information de HEC Montréal
     

Portée

Cette directive s'applique à tous les systèmes d'information de HEC Montréal. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.

  

Directive - relation avec les fournisseurs

Objectif

L’objectif est de protéger les informations confidentielles ou utiles à la réalisation de la mission de l’École dans les relations avec les fournisseurs.
 

Avantages

  • limiter les risques résultant de l’accès des fournisseurs aux actifs de HEC Montréal notamment la divulgation d’information confidentielle à des personnes non autorisées 
  • permettre d’avoir un contrat clair de la portée et de la responsabilité des parties pour tout aspect touchant à la sécurité de l’information
  • permettre de définir l’ensemble des exigences en matière de sécurité résultant de la collaboration avec des parties externes ou de mesures internes qui doivent être retranscrites dans l’accord avec le fournisseur
     

Portée

Cette directive encadre toutes les informations confidentielles, peu importe le support (papier, document électronique, base de données, CD-ROM, etc.), et toute personne physique (enseignant, chercheur, étudiant, diplômé, personnel administratif, retraité, consultant), ou toute entité morale, ayant une entente contractuelle donnant accès à de l’information confidentielle. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.

 

Directive - utilisation du stockage en infonuagique

Objectif 

L’objectif est de protéger les informations confidentielles ou utiles à la réalisation de la mission de l’École lors de l’utilisation de services en infonuagique. Ainsi, cette directive permet de mitiger les risques d’accès non autorisés, la perte, le vol ou la divulgation de l’information à l’insu de l’École.
 

Avantages

  • Identifier ce qui peut être utilisé et stocké dans l’infonuagique
  • Identifier les contrôles de sécurité qui doivent être mis en place afin de protéger les actifs informationnels
  • S’assurer que les actifs informationnels sont consultés et modifiés seulement par les personnes autorisées

Portée

Cette directive encadre les systèmes d’information et tous les utilisateurs qui font usage d’une solution en infonuagique impliquant un actif informationnel. Pour lire la directive complète (format PDF).

Pour accéder aux directives en format PDF  à partir de l'extérieur de HEC Montréal, il est nécessaire d'installer un client VPN sur votre ordinateur. Pour connaitre la procédure.

 
Logo HEC Montréal

Facebook YouTube Flickr Twitter LinkedIn Instagram
© HEC Montréal, 2024  Tous droits réservés.