Secrétariat du Conseil du trésor – Québec
Résumé: Le présent guide propose une démarche visant à soutenir les organismes publics dans l’élaboration et la mise en œuvre d’un processus de gestion des risques de sécurité de l’information (PGRSI).
Conforme à la norme ISO/IEC 27005 et prenant appui sur la norme ISO/IEC 31000, le PGRSI permet aux organismes publics (OP) de prendre en charge les risques de sécurité de l’information auxquels ils sont exposés. Le processus se décline en sept étapes et permet l’analyse des risques ainsi que l’établissement de leur plan de traitement.
Tenant compte du fait que certains risques peuvent dépasser les limites d’un organisme public, le PGRSI prend également en compte les risques ayant une portée gouvernementale; le processus décrit donc les procédures nécessaires à leur déclaration au dirigeant principal de l’information (DPI).
Le présent guide fournit des exemples concrets, une liste d’indicateurs d’appréciation d’un PGRSI pour s’assurer de l’efficacité de la mise en œuvre du processus et une étude de cas portant sur un OP fictif, suffisamment élaborée pour permettre une bonne compréhension de la démarche proposée.