Sécurité de l'information
En vertu de la Loi sur l'accès et la protection de la vie privée (LAIPVP) et la Loi sur les renseignements médicaux personnels (LRMP), l'USB a certaines obligations en ce qui concerne la collecte, la maintenance, l'utilisation et la destruction appropriées des dossiers de l'Université. On doit aussi respecter d'autres obligations en lien avec le PCI DSS (Payment Card Industry), la propriété intellectuelle et certains accords.
Tous les documents, qu'ils constituent ou non un dossier officiel de l'Université, contiennent des données et doivent être classés en vertu de ce système de classification. Cela comprend les documents papiers et numériques.
Politique sur la sécurité de l'information
Le 25 février 2020, l'USB est dotée d'une politique sur la sécurité de l'information. Cette politique décrit l'engagement et les exigences de l'établissement pour s'assurer que ses actifs informationnels sensibles sont protégés contre l'accès, l'utilisation, la divulgation, l'interrutpion, la modification, l'inspection, l'enregistrement ou la destruction non autorisés par l'adoption d'un système de classification des données à l'échelle de l'Université. Cette politique doit être intégére à la culture organisationnelle.
Qu'est-ce qu'un système de classification de l'information?
Un système de classification de l'information est un modèle au sein duquel l'information est classée selon des niveaux de sécurité. les niveaux d e sécurité permettent d efournir aux personnes qui traitent des informations sensibles des indications concises sur le traitement et la protection qui s'imposent.
Quelles sortes de données nécessitent une protection?
Tous les documents, qu’ils constituent ou non un dossier officiel de l’Université, contiennent des données et doivent être classés en vertu de ce système de classification. Cela comprend les documents papiers et numériques.
Les données recueillies, utilisées et conservées par l'Université varient en sensibilité et en format. Des mesures de sécurité appropriées doivent être mises en place pour assurer le respect des exigences commerciales, juridiques et règlementaires. Les données sensibles peuvent comprendre des renseignements personnels, des renseignements médicaux personnels ou des renseignements confidentiels administratifs liés à la communauté universitaire (y compris le personnel, la population étudiante, les chercheurs, les contractuels, etc.). Ces données doivent être soigneusement contrôlées et exigent une protection élevée.
Les systèmes d’information, tels que les plateformes de bases de données (Blackbaud, Dayforce), les services nuagiques et les comptes courriel (@ustboniface.ca) contenant des données, doivent être classés au niveau du système conformément au niveau de classification le plus élevé applicable aux données.
Niveaux de classification
CONFIDENTIEL |
|
Informations hautement sensibles tant à l'externe qu'à l'interne de l'Université qui doivent être soigneusement contrôlées en raison du risque de préjudice ou qui sont soumises aux exigences légales et règlementaires de protection. |
Exemples :
- Renseignements personnels (ex. : NAS)
- Renseignements médicaux personnels
- Renseignements financiers sensibles (Ex. : numéro de carte de crédit)
- Ébauches de plans stratégiques, budgets, rapports annuels et rapports financiers
- Dossiers juridiques
- Données de recherche et propriété intellectuelle
|
INTERNE |
|
Informations moyennement sensibles auxquelles une partie ou la totalité des étudiants et/ou du personnel devraient avoir accès, mais qui ne doivent pas être rendues publiques. |
Exemples :
- MonUSB et eCAMPUS (portail Web)
- Contrats de service
- Dossiers des employés, demandes d'emploi, curriculum vitate, lettres de référence
- Renseignements sur les donateurs
- Documents de planification
- Plans d'étage des bâtiments, y compris des détails sur les matériaux de laboratoire ou les installations sécurisées
- Informations exclusives en vertu d'un accord de non-divulgation
- Notes de service internes
- Informations sur les plans de retraite et de bénéfices
|
NON CLASSIFIÉ |
|
Informations non sensibles auxquelles toutes les parties internes et externes peuvent avoir accès. |
Exemples :
- Site Web de l'Université
- Documents de marketing
- Informations générales publiqués publiquement
- Informations de recherches publiées
|
Lignes directrices sur le partage, la transmission et le stockage des données
La classification des données de l’Université de Saint-Boniface aide les membres de la communauté universitaire à identifier, à comprendre, à gérer et à utiliser correctement les données appartenant à l’Université.
Pour en savoir plus sur le partage, la transmission et le stockage de données, télécharger le tableau ci-dessous
Aide-mémoire
Stratégies
Bureau propre
Un bureau propre fait partie de la stratégie de sécurité de l'information de l'Université. Il s'agit de garder votre bureau en ordre. Garder votre espace de travail bien rangé permet d'empêche le vol de documents papier contenant des informations sensibles ou de documents sur votre ordinateur parce qu'une note manuscrite portant un mot de passe aurait été laissée négligemment sur votre bureau.
Lorsque vous effectuez vos activités quotidiennes de travail, nous vous demandons de garder à l'esprit la protection de l'information que vous manipulez. L'Université s'est dotée d'une politique sur le contrôle de l'accès fondé sur la classification de l'information. Cette politique exige que tous les membres du personnel s'assurent que les documents sensibles sont rangés hors de vue chaque fois qu'ils quittent le bureau. Cela signifie que dès que vous vous éloignez de votre bureau, ne serait-que pendant quelques minutes, nous vous demandons de mettre hors de vue les documents plus sensibles qui pourraient se trouver sur votre bureau.
Écran verrouillé
En plus de vous assurer qu'aucun document sensible n'est visible sur votre bureau, assurez-vous qu'ils ne sont pas visibles sur votre écran.
Ne vous fiez pas au verrouillage automatique de l'économiseur d'écran. Prenez le temps de verrouiller délibérément votre poste de travail ou votre ordinateur portable chaque fois que vous vous éloignez de votre bureau. Cela inclut toutes les pauses ou même si vous vous éloignez un instant pour prendre un verre d'eau par exemple, ainsi que quand vous terminez votre journée.
Sur un ordinateur utilisant le système d'exploitation Windows, vous avez simplement à appuyer simultanément sur les touches symboles Windows et L.
Renseignements