Politique de Sécurité de l’Information d’Entreprise (à l’échelle de l’État)

POLITIQUE DTS 5000-0002.1

Type de Politique: Entreprise
Section / Groupe: Sécurité
Autorité: UCA 63F-1-103; UCA 63F-1-206; Code administratif de l’Utah R895-7 Utilisation acceptable des Technologies de l’information Ressources

Historique du document

Soumission originale

Soumise le: NA
Soumise par: Boyd Webb, Chef de la sécurité de l’information
Approuvée par: Michael Hussey, CIO
Date d’émission: NA
Date d’entrée en vigueur: 15 Mai 2015

Révisions

Dernière Date de révision: 10/03/2020
Dernière Révision par: Ben Mehr
Dernière Approbation par: Stephanie Weteling

Avis

Date de révision: Juillet 2021
Dernière Révision par: Ben Mehr
Prochaine révision: Juillet 2022

1.0 Objet

Cette politique constitue le fondement de la politique de sécurité d’entreprise de la Division des services technologiques de l’État de l’Utah.

1.1 Contexte

Cette politique a été élaborée à la suite d’un audit externe exhaustif auquel ont participé toutes les agences du pouvoir exécutif et le réseau des entreprises. L’audit a révélé que les lacunes en matière de sécurité n’avaient pas été correctement abordées dans les documents antérieurs sur les politiques et les normes.
La Politique de sécurité de l’information de l’entreprise développera et établira des contrôles essentiels et appropriés pour minimiser les risques de sécurité; pour répondre aux exigences de diligence raisonnable conformément aux réglementations étatiques et fédérales applicables; pour faire respecter les obligations contractuelles; et pour protéger les actifs de l’information électronique et des technologies de l’information de l’État de l’Utah.

1.2 Portée

Cette politique s’applique à toutes les agences et sous-unités administratives du gouvernement de l’État telles que définies par UCA §63F-1-102(7), et suivants.

1.3 Exceptions

Le dirigeant principal de l’information, ou la personne désignée autorisée, peut reconnaître que, dans de rares circonstances, certains associés peuvent avoir besoin d’utiliser des systèmes qui ne sont pas conformes à ces objectifs de politique. Le dirigeant principal de l’information, ou le représentant autorisé, doit approuver par écrit tous ces cas.

1.4 Examen annuel

Afin de s’assurer que la présente politique est à jour et efficace, le STD révisera la politique chaque année et apportera des modifications au besoin.

2.0 Définitions

Politiques de l’organisme

Les ministères et organismes relevant de l’État de l’Utah ont le pouvoir d’établir des politiques internes liées aux objectifs de sécurité de l’information propres au ministère ou à l’organisme. Les politiques de l’Agence doivent être compatibles avec la Politique de sécurité de l’information de l’entreprise, ainsi qu’avec les réglementations fédérales et étatiques.

Disponibilité

Maintien de l’accès des utilisateurs aux données sans interruptions imprévues.

Confidentialité

Le concept de permettre uniquement aux utilisateurs et aux processus autorisés d’accéder aux données nécessaires à leurs fonctions.La confidentialité des données et des informations protégées est l’un des principaux objectifs de la triade sur la sécurité de l’information; y compris la confidentialité, l’intégrité et la disponibilité.

Cryptage

Transformation cryptographique des données (appelées ” texte clair “) en une forme (appelée ” texte chiffré “) qui dissimule la signification originale des données pour éviter qu’elles ne soient connues ou utilisées par une personne non autorisée. Si la transformation est réversible, le processus d’inversion correspondant est appelé “décryptage”, qui est une transformation qui restaure les données chiffrées à leur état d’origine.

Intégrité

Le principe d’assurer l’exhaustivité et l’exactitude des données.

NIST

National Institute for Standards and Technologies

Évaluation des risques

Processus par lequel les risques sont identifiés et l’impact de ces risques est déterminé. De plus, un processus permettant de choisir des mesures de sécurité et de contrôle rentables peut être mis en balance les coûts de diverses mesures de sécurité et de contrôle avec les pertes qui seraient attendues si ces mesures n’étaient pas en place.

3.0 Politique

3.1 Protection des médias

Résumé: Les systèmes d’information capturent, traitent et stockent des informations à l’aide d’une grande variété de supports. Ces informations se trouvent non seulement sur le support de stockage prévu, mais également sur les périphériques utilisés pour créer, traiter ou transmettre ces informations. Ces médias peuvent nécessiter une disposition spéciale afin d’atténuer le risque de divulgation non autorisée d’informations et d’en assurer la confidentialité. Une gestion efficiente et efficace de l’information créée, traitée et stockée par un système d’information tout au long de sa vie (de sa création à sa destruction) est une préoccupation primordiale d’une stratégie de protection des médias.

Objet: L’État de l’Utah est tenu par la loi réglementaire fédérale et étatique de fournir une assurance raisonnable, proportionnellement à la confidentialité des données, que tous les supports numériques, papier et autres supports non électroniques (tels que les microfilms et les bandes magnétiques) contenant des informations doivent être protégés en tout temps contre tout accès non autorisé.

Objectifs de la politique : État de l’Utah, les ministères et organismes doivent : protéger les médias du système d’information, tant sur papier que sur support numérique; limiter l’accès à l’information sur les médias du système d’information aux utilisateurs autorisés; et désinfecter ou détruire les supports du système d’information avant leur élimination ou leur rejet en vue de leur réutilisation, conformément aux publications spéciales 800-53 Rev4 MP1-6 de l’Institut national des normes et de la technologie, Annexe F-MP, Page F-119, 800-88.

Les employés ne doivent utiliser des supports cryptés appartenant à l’État que lorsqu’ils téléchargent des données d’État contenant des Informations Personnelles identifiables, des Informations de Santé Protégées, des Informations fiscales fédérales ou des Services d’Information de Justice pénale, ou toute autre donnée sensible sur un périphérique multimédia amovible tel que, mais sans s’y limiter, des clés USB, des cassettes, des CD et des DVD.

3.2 Contrôle d’accès

Résumé: Le contrôle d’accès, sous une forme ou une autre, est considéré par la plupart des organisations comme la pierre angulaire de leurs programmes de sécurité. Les différentes caractéristiques des mécanismes de contrôle d’accès physiques, techniques et administratifs travaillent ensemble pour construire l’architecture de sécurité si importante dans la protection des actifs d’informations critiques et sensibles d’une organisation.

Objet: L’administration de l’accès des utilisateurs à l’information électronique est requise pour appliquer les principes du moindre privilège et du ” besoin de savoir “, et doit être administrée de manière à s’assurer que le niveau de contrôle d’accès approprié est appliqué pour protéger le bien d’information dans chaque application ou système.

Objectifs de la politique: Les ministères et organismes de l’État de l’Utah doivent limiter l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux dispositifs (y compris les autres systèmes d’information) et aux types de transactions et de fonctions que les utilisateurs autorisés sont autorisés à exercer, conformément aux publications spéciales 800-53 Rev4 MP1-6 (Annexe F-MP, page F-119), 800-88 de l’Institut national des normes et de la technologie. De plus, seuls les utilisateurs autorisés auront un accès administratif aux postes de travail afin de télécharger, d’installer et d’exécuter de nouvelles applications.

4.0 Conformité à la politique

L’État de l’Utah, les ministères et organismes, les employés et les sous-traitants sont tenus de se conformer à cette politique de sécurité d’entreprise. Les politiques et normes supplémentaires élaborées et mises en œuvre par les départements et agences de l’État peuvent inclure des objectifs ou des détails supplémentaires, mais elles doivent être compatibles avec les objectifs de sécurité décrits dans le présent document de politique.

5.0 Application

Les personnes travaillant dans un département ou une agence de l’État de l’Utah qui ont enfreint cette politique peuvent faire l’objet de sanctions légales prescrites par une loi, une règle et / ou un règlement d’État et / ou fédéral.