- Responsable de la sécurité de l'information
-
Pour les articles homonymes, voir Responsable de la sécurité.Le responsable de la sécurité de l'information (RSI, ou CISO en anglais) est, dans l'administration publique québécoise, est la personne chargée dans un ministère ou un organisme pour le représenter le sous-ministre ou le dirigeant en matière de gestion et de coordination de la sécurité de l'information dans l’organisation. Le RSI assiste le sous-ministre ou le dirigeant d’organisme dans la détermination des orientations stratégiques et des priorités d’intervention. Ce rôle est identifié dans la Directive de sécurité de l'information gouvernementale[1] émise par le Gouvernement du Québec.
En conformité avec cette Directive, la Politique concernant la sécurité de l'information[2] du ministère des Ressources naturelles et de la Faune du Québec (MRNF) définit sommairement ce rôle. Dans son Cadre de gestion de la sécurité de l'information[3], le MRNF énonce en détaille un ensemble de rôles et des responsabilités en matière de sécurité de l'information, dont celui du RSI.
Sommaire
Responsabilités du RSI
En plus de soutenir et d’accompagner les différents intervenants de l'organisation, le RSI peut intervenir sur tout sujet ou activité concernant la sécurité de l'information (SI).
Le RSI doit notamment :
- mettre en place un programme de gestion de la sécurité de l'information (aussi appelé Système de gestion de la sécurité de l'information) comprenant notamment l'élaboration, le maintenir à jour et l'approbation d'une politique, d'un cadre de gestion, de directives ainsi qu'une cartographie de la criticité des systèmes d’information;
- mettre en place un programme de gestion de la continuité aussi appelé plan de continuité incluant la gestion de crise et la réalisation d’exercices;
- s’assurer de la réalisation d'évaluations des menaces et des risques (ÉMR) en SI ainsi que de l’élaboration et de l’approbation de plans de sécurité et de leur suivi;
- s’assurer que les intervenants prennent en compte dans leurs responsabilités les orientations stratégiques en SI;
- lorsque requis, être informé des incidents de sécurité;
- s’assurer de la formation et de la sensibilisation des utilisateurs;
- mettre en place une stratégie de veille concernant la SI;
- être informé des rapports de vérification (aussi appelé audit) concernant la SI;
- siéger aux différents comités auxquels il est convié;
- lorsque requis en matière de SI, siéger à des comités interministériels, représenter l’organisation et faire le lien avec les entités gouvernementales;
- rendre compte de ses travaux au sous-ministre ou au dirigeant d’organisme.
Position
Plusieurs RSI sont rattachés à une direction informatique (aussi appelé DSI). Cependant, compte tenu des enjeux d'affaires et des risques liés à la gestion et l'utilisation des différents systèmes d'information d'une organisation, les RSI sont de plus en plus rattachés au bureau du sous-ministre ou du dirigeant d’organisme, soit à la direction générale de l'organisation.
Notes et références
Bibliographie
- Directive de sécurité de l'information gouvernementale, Gouvernement du Québec, 2006
- Politique concernant la sécurité de l'information, MRNF, 2009
- Cadre de gestion de la sécurité de l'information, MRNF, 2009
- Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics, Gouvernement du Québec, 2010
Voir aussi
Articles connexes
- ISO/CEI 17799:2005
- Système de gestion de la sécurité de l'information
- Sécurité de l'information
- Responsable de la sécurité des systèmes d'information
- Sécurité des systèmes d'information
- Gestion des risques
- COSO
Liens externes
- (fr) Ministère des services gouvernemenataux du Québec (Gouvernance et gestion des ressources informationnelles)
- (fr) Ministère des services gouvernemenataux du Québec (Sécurité de l'information/Directives)
- (fr) Ministère des Ressources naturelles et de la Faune du Québec (MRNF)
- (fr) Description officielle de la norme ISO/IEC 27001:2005
Wikimedia Foundation. 2010.
