Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

CA-03 - Échange d’information   (PaF-)


Énoncés :


a. Approuver et gérer l’échange d’information entre le système et d’autres systèmes au moyen de [Sélection (un choix ou plus) : ententes sur la sécurité des interconnexions; ententes sur la sécurité de l’échange d’information; ententes ou protocoles d’entente; accords d’échange de renseignements; ententes d’échange de renseignements; accords sur les niveaux de service; ententes avec les utilisatrices et utilisateurs; accords de non-divulgation; {Affectation : type d’entente défini par l’organisation}]
b. Consigner, dans le cadre des ententes d’échange, les caractéristiques d’interface, les exigences de sécurité et de protection de la vie privée ainsi que les responsabilités liées à chacun des systèmes, et le niveau d’incidence de l’information communiquée
c. Examiner et tenir à jour les ententes [Affectation : fréquence définie par l’organisation]

Paramètres :

Responsable : Aucun

Discussion :

Les exigences en matière d’échange d’information du système s’appliquent aux échanges d’information entre au moins deux systèmes. Les échanges d’information du système comprennent les connexions par des liaisons louées ou des RPV, des connexions aux fournisseurs d’accès Internet, le partage ou l’échange de renseignements sur les transactions de bases de données, des connexions et des échanges avec des services infonuagiques, des échanges par des services sur le Web, ou des échanges de fichiers par des protocoles de transfert de fichiers, des protocoles réseau (par exemple, IPv4, IPv6), courriel ou d’autres communications entre organisations. L’information échangée devrait se limiter à la quantité minimale de renseignements personnels nécessaires. Les organisations doivent considérer les risques associés aux menaces nouvelles ou grandissantes qui peuvent être introduites lorsque les systèmes échangent de l’information avec d’autres systèmes qui peuvent avoir des contrôles et des exigences de sécurité et de protection de la vie privée différents. Cela comprend les systèmes au sein de la même organisation et les systèmes qui sont à l’extérieur de l’organisation. Une autorisation conjointe des systèmes qui échangent de l’information, comme il est décrit dans le contrôle CA-06(01) ou CA-06(02), peut faciliter la communication et réduire le risque. Les autorités responsables déterminent le risque associé à l’échange d’information du système et les contrôles requis pour appliquer des mesures d’atténuation des risques adéquates. Les types d’ententes doivent être sélectionnés en fonction de facteurs comme le niveau d’incidence de l’information échangée, la relation entre les organisations qui échangent de l’information (par exemple, d’un organisme gouvernemental à un autre, d’un organisme gouvernemental à une entreprise, d’une entreprise à une autre, d’un organisme gouvernemental ou d’une entreprise à un fournisseur de services, d’un organisme gouvernemental ou d’une entreprise à personne) ou le niveau d’accès au système organisationnel par les utilisatrices et utilisateurs de l’autre système. Si les systèmes qui échangent de l’information sont associés à la même autorité responsable, les organisations peuvent ne pas avoir besoin d’élaborer des ententes. En effet, les caractéristiques d’interface entre les systèmes (par exemple, la façon dont l’information est échangée, comment l’information est protégée et l’utilisation autorisée de l’information) sont décrites dans les plans de sécurité et de protection de la vie privée. Si les systèmes qui échangent de l’information sont associés aux mêmes autorités responsables au sein de la même organisation, les organisations peuvent élaborer des ententes ou fournir la même information qui serait fourni dans le type d’entente approprié à partir du contrôle CA-03A dans les plans respectifs de sécurité et de protection de la vie privée pour les systèmes. Les organisations peuvent intégrer l’information des ententes dans des contrats officiels, en particulier pour les échanges d’information entre des ministères et organismes gouvernementaux et des organisations non gouvernementales (comme des prestataires de services, des entrepreneures et entrepreneurs, des développeuses et développeurs de systèmes et des intégratrices et intégrateurs de systèmes). Les risques concernent les systèmes qui partagent les mêmes réseaux.