Votre navigateur ne prend pas en charge JavaScript !

FAQ

FAQ sur la sécurité de l'information

Où puis-je trouver les politiques de gestion des ressources en technologies de l'information (ITRM) ?

Les politiques, normes et lignes directrices du Commonwealth peuvent être consultées sur le site ITRM Policies, Standards & Guidelines dans la section Policy $ Governance.

Un chef d'agence est-il responsable de la sécurité au sein de son agence ?

Oui, le chef d'agence est responsable en dernier ressort de la sécurité des systèmes informatiques et des données de l'agence.

Quelles sont les responsabilités spécifiques d'un chef d'agence en matière de sécurité ?

Selon la norme de sécurité de l'information informatique (SEC501-10.1) PDF "Rôles et responsabilités clés en matière de sécurité de l'information", les responsabilités spécifiques du responsable de l'agence sont les suivantes :

Désigner un responsable de la sécurité de l'information (ISO) pour l'agence, tous les deux ans.

Veiller à ce que l'agence dispose d'un programme de sécurité de l'information suffisant pour protéger ses systèmes informatiques, documenté et communiqué de manière efficace.

Examiner et approuver les analyses d'impact sur les activités (BIA), les évaluations des risques (RA) et le plan de continuité des opérations (COOP) de l'agence, y compris un plan de reprise après sinistre informatique, le cas échéant.

Examiner et approuver les plans de sécurité des systèmes pour tous les systèmes informatiques de l'agence classés comme sensibles.

Veiller à ce qu'un programme d'audit de la sécurité de l'information soit mis en place. Note : Veuillez consulter la norme d'audit de la sécurité informatique (norme COV ITRM SEC502-00) pour connaître les responsabilités spécifiques des chefs d'agence en ce qui concerne la conformité du programme d'audit.

Veiller à ce qu'un programme de sécurité de l'information soit mis en place.

Veiller à ce qu'un programme de sensibilisation et de formation à la sécurité de l'information soit mis en place.

Fournir les ressources nécessaires pour permettre aux employés d'assumer leurs responsabilités en matière de sécurisation des systèmes et des données informatiques.

Identifiez un propriétaire de système, généralement le propriétaire de l'entreprise, pour chaque système sensible de l'agence.

Prévenir les conflits d'intérêts en adhérant au concept de sécurité de la séparation des tâches pour le responsable de la sécurité de l'information, les propriétaires de systèmes/données et les administrateurs de systèmes.

Veiller à ce que les violations de données soient signalées au responsable de la sécurité de l'information. (Ne s'applique qu'aux agences du pouvoir exécutif).

Quelles sont les responsabilités en matière de sécurité qu'un chef d'agence peut déléguer à d'autres personnes ?

Le chef d'organisme peut déléguer toutes les responsabilités en matière de sécurité de l'information, à l'exception des suivantes :

Désignation d'un responsable de la sécurité de l'information.

Assurer la mise en œuvre d'un programme de sécurité de l'information.

Assurer la mise en œuvre d'un programme d'audit.

Note : La partie déléguée doit mettre le chef d'agence en copie des courriels adressés au responsable de la sécurité des informations.

Comment est désigné un responsable de la sécurité de l'information (RSI) ?

Le responsable de l'organisme désigne l'ISO en soumettant tous les deux ans le nom, le titre et les coordonnées de l'ISO et de l'ISO de secours au responsable principal de la sécurité de l'information (CISO). Pour plus de détails, consultez la norme de sécurité de l'information informatique (SEC501-10.1) PDF "Rôles et responsabilités clés en matière de sécurité de l'information".

Si la soumission est envoyée par courrier électronique, elle sera acceptée de la part d'une personne autre que le chef d'agence, si le chef d'agence est en copie.

Comment remplir et soumettre un plan d'audit ?

Le plan d'audit de la sécurité des technologies de l'information (TI) de votre agence doit être élaboré sur la base des orientations données dans la norme d'audit de la sécurité des TI (SEC 502) "Planning for IT Security Audits" et dans les lignes directrices relatives à l'audit de la sécurité des TI (SEC 512.00) "Plan d'audit de la sécurité des TI". Veuillez utiliser le modèle de plan d'audit de la sécurité informatique pour compléter votre plan.

Le chef d'agence ou la personne désignée doit soumettre chaque année le plan d'audit au responsable de la sécurité de l'information (CISO). Si la soumission est envoyée par courriel par la personne désignée, le chef d'agence doit être mis en copie.

Comment remplir et soumettre un plan d'action correctif (PAC) ?

Le plan d'action corrective pour la sécurité des technologies de l'information (TI) de votre agence doit être élaboré sur la base des orientations données dans la norme d'audit de la sécurité des TI (SEC 502) "Documentation des audits de la sécurité des TI" et dans les lignes directrices relatives aux audits de la sécurité des TI (SEC 512.00) "Plan d'action corrective" et "Rapports périodiques CAP". Veuillez utiliser le modèle de plan d'action corrective pour compléter votre plan.

Le chef d'agence ou son représentant doit soumettre le plan d'action correctif tous les trimestres au responsable de la sécurité de l'information (CISO) du Commonwealth.

Si le plan contient des informations sensibles, envoyez un courriel à CommonwealthSecurity@VITA.Virginia.Gov pour demander de l'aide afin d'identifier un moyen efficace et sécurisé de transmettre le plan.

Comment puis-je obtenir l'accès à des applications supplémentaires, à des lecteurs réseau, etc.

Si vous avez besoin d'un accès supplémentaire dans l'environnement réseau aux applications, aux lecteurs réseau, etc., demandez à la personne responsable des technologies de l'information de votre agence (AITR) ou au responsable de la sécurité de l'information (ISO) d'envoyer la demande par courrier électronique au Centre d'assistance à la clientèle VITA (VCCC) à l'adresse vccc@vita.virginia.gov.

Mon organisation/état peut-elle utiliser la vidéo "Duhs of Security" pour sa formation de sensibilisation à la sécurité ?

N'hésitez pas à utiliser la vidéo "Duhs of Security" dans le cadre de vos efforts de sensibilisation à la sécurité de l'information. Nous sommes heureux que vous trouviez suffisamment de valeur à notre produit pour l'ajouter à votre programme.

Quelles sont les coordonnées de Commonwealth Security and Risk Management (CS/RM) ?

Le Commonwealth Security and Risk Management peut être contacté de la manière suivante :

Courrier : Chief Information Security Officer, Virginia Information Technologies Agency, 7325 Beaufont Springs Drive, Richmond, VA 23225

Courriel : commonwealthsecurity@vita.virginia.gov.

Que dois-je faire si je soupçonne un incident de sécurité de l'information ou comment puis-je signaler un incident de sécurité connu ?

Il y a deux façons principales de soumettre un incident de sécurité suspecté ou connu. L'une des façons de signaler un incident de sécurité est de remplir le formulaire de signalement en ligne qui se trouve ici : Signaler un incident cybernétique.

La deuxième façon de soumettre un incident de sécurité est d'appeler le VITA Customer Care Center (VCCC) au 1-866-637-8482. Le CCVC acceptera les rapports d'incidents de sécurité pour les agences en partenariat avec les TI et celles qui ne le sont pas.

Il est impératif de ne pas toucher ou éteindre l'ordinateur jusqu'à ce que vous receviez des instructions.

Comment remplir et soumettre une exception à une norme de sécurité de l'information ?

Si un responsable d'agence estime que le respect des dispositions des normes de sécurité de l'information aurait un impact négatif sur un processus opérationnel de l'agence, il peut demander l'autorisation de s'écarter d'une exigence spécifique en soumettant une demande d'exception au responsable de la sécurité de l'information. Veuillez utiliser le formulaire d'exception de la norme de sécurité COV pour soumettre une exception.

La demande d'exception doit être soumise au responsable de la sécurité des informations (CISO). Si la soumission est envoyée par courrier électronique, l'ISO peut envoyer le courrier électronique et mettre le chef d'agence en copie.

Si l'exception contient des informations sensibles, envoyez un courriel à CommonwealthSecurity@VITA.Virginia.Gov pour demander de l'aide afin d'identifier une manière efficace et sécurisée de transmettre l'exception.