Directive sur la gestion de la sécurité

Vise à assurer une gestion efficiente, efficace et responsable de la sécurité dans les ministères et les organismes.
Modification : 2019-07-01

Outils sous-jacents

Procédures obligatoires :

Renseignements supplémentaires

Sujet :

Version imprimable XML

Annexe F : Procédures obligatoires relatives aux mesures de sécurité lors de l’octroi de contrats et d’autres ententes

F.1 Date d’entrée en vigueur

  • F.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

F.2 Procédures

  • F.2.1Les présentes procédures fournissent des renseignements sur les exigences en vue d’appuyer la responsabilisation de l’administrateur général.

    Voici les procédures et les sous sections.

    Procédure Sous section
    Sécurité dans le processus d’approvisionnement ou d’entente F.2.2
    Exigences de sécurité pour les contrats et les ententes d’échange de renseignements F.2.3
    Vérification de la conformité F.2.4
    Surveillance et mesures correctives F.2.5
  • F.2.2Sécurité dans le processus d’approvisionnement ou d’entente : Définir, consigner et tenir à jour les pratiques ministérielles en matière de sécurité pour l’approvisionnement et l’établissement d’ententes d’échange de renseignements ou de biens :
    • F.2.2.1définir des exigences de sécurité qui devraient s’appliquer à l’ensemble des contrats ou des ententes;
    • F.2.2.2établir un processus pour déterminer les exigences de sécurité propres à un contrat ou une entente en particulier;
    • F.2.2.3établir un processus pour vérifier et surveillance la conformité continue avec les exigences de sécurité, y compris toute exception permise et les mesures d’atténuation des risques, selon le cas;
    • F.2.2.4intégrer les considérations relatives à la sécurité au processus d’approvisionnement du ministère et aux processus de gestion de l’information, de gestion des biens et de gestion des programmes, tout en tenant compte des ententes d’échange de renseignements et de biens.
  • F.2.3Exigences de sécurité lors de l’octroi de contrats et d’ententes d’échange de renseignements : Déterminer et consigner les exigences de sécurité pour l’ensemble des contrats et des ententes, y compris :
    • F.2.3.1Déterminer les exigences en matière de sécurité selon la sensibilité des renseignements, des biens ou des sites auxquels les personnes doivent avoir accès, l’emplacement et le type de travail à accomplir, la nécessité, pour le fournisseur, le partenaire ou le ministère de protéger, de traiter ou de produire des renseignements ou des biens de nature délicate dans ses installations ou dans ses systèmes d’information, ainsi que tout autre facteur pertinent :
      • F.2.3.1.1assujettir à des mesures de sécurité les personnes qui doivent accéder à de l’information, des biens ou des sites de nature délicate dans l’exercice de leurs fonctions; les personnes sur qui il faut compter pour produire et livrer les biens et les services achetés; et les personnes qui, en raison de leur poste, pourraient avoir accès à de l’information, des biens ou des sites de nature délicate ou pourraient porter atteinte à la livraison de biens ou de services, y compris les points de contact en matière de sécurité du fournisseur et, pour certains contrats, les cadres supérieurs clés du fournisseur;
      • F.2.3.1.2vérifier et obtenir l’assurance d’une mise en oeuvre appropriée de ce qui suit :
        1. les mesures de sécurité matérielle dans les installations utilisées pour stocker et/ou produire des renseignements ou des biens de nature délicate, ou sur lesquelles on compte pour produire ou fournir les biens ou les services achetés;
        2. les mesures de sécurité visant à protéger les systèmes d’information qui servent à traiter ou à transmettre électroniquement de l’information de nature délicate ou sur lesquels on compte pour produire ou livrer les biens ou les services achetés;
        3. les mesures de sécurité administratives et opérationnelles (y compris la désignation de personnes-ressources en matière de sécurité, la gouvernance, la planification, la gestion de la sous-traitance ou des ententes avec des tiers, la sensibilisation et la formation en matière de sécurité, la surveillance des événements liés à la sécurité, la réponse à ces derniers et l’établissement de rapports, selon le cas);
        4. toutes autres exigences particulières en matière de sécurité visant à respecter des obligations découlant de lois ou de règlements, entre autres (p. ex., les exigences relatives à la gestion du matériel COMSEC; les contrats internationaux ou de défense assujettis à des traités négociés, des accords internationaux ou des accords multinationaux; et les exigences où les fonctions ou l’accès à l’information, aux biens ou aux installations se rapportent directement à des fonctions de sécurité et de renseignement ou appuient directement ces fonctions);
        5. une approche fondée sur les risques afin de vérifier et de surveillance la conformité des fournisseurs, des partenaires et du ministère avec les exigences de sécurité, selon le cas.
    • F.2.3.2Déterminer les exigences de sécurité dans les documents associés à un contrat ou une entente :
      • F.2.3.2.1pour les contrats et les autres ententes avec les fournisseurs, consigner les exigences de sécurité dans Liste de vérification des exigences relatives à la sécurité (LVERS) ou dans un document équivalent, et dans les autres documents associés au contrat ou à l’entente;
      • F.2.3.2.2pour les autres types d’ententes, consigner les exigences de sécurité dans l’entente;
      • F.2.3.2.3pour les contrats ou les ententes qui prévoient la participation d’un sous traitant ou d’un autre tiers, indiquer dans le contrat ou l’entente que le fournisseur ou le partenaire doit étendre les exigences de sécurité applicables à toute autre entité participant à la réalisation du contrat ou de l’entente;
      • F.2.3.2.4pour les contrats ou les ententes qui ne comportent pas d’exigences de sécurité, inclure une attestation qui l’indique dans les documents du contrat ou de l’entente.
  • F.2.4Vérification de la conformité : Confirmer et consigner le respect des exigences de sécurité avant d’attribuer un contrat ou de conclure une entente et avant d’accorder l’accès à de l’information, des biens ou des sites de nature délicate, selon le cas.
    • F.2.4.1Vérifier la conformité avec les exigences de sécurité à l’aide d’une approche fondée sur les risques définie pour le contrat ou l’entente, et obtenir une assurance de la mise en oeuvre de ces exigences. Pour éviter les dédoublements, lorsque c’est possible et conformément aux exigences relatives à la protection des renseignements personnels et à d’autres obligations relevant de lois ou de politiques :
      • F.2.4.1.1fournir les dossiers de sécurité des fournisseurs du gouvernement du Canada aux organisations de services internes intégrés et à d’autres ministères;
      • F.2.4.1.2consulter les dossiers de sécurité des fournisseurs du gouvernement du Canada au moment de vérifier la conformité des fournisseurs;
    • F.2.4.2mettre en oeuvre et consigner les mesures d’atténuation des risques lorsque les exigences de sécurité destinées à limiter l’accès à de l’information, des biens ou des sites de nature sensible ne peuvent pas être entièrement respectées avant d’attribuer un contrat ou de conclure une entente, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire;
    • F.2.4.3établir des ententes consignées qui définissent les responsabilités en matière de sécurité respectives s’appliquant à des contrats ou des ententes gérés pour ou par une autre organisation.
  • F.2.5Surveillance et mesures correctives : Surveiller la conformité des fournisseurs, des partenaires et du ministère avec les exigences de sécurité tout au long du processus lié au contrat ou à l’entente, à l’aide de l’approche fondée sur les risques définie pour le contrat ou l’entente, et prendre des mesures visant à aborder les problèmes de non conformité, les incidents de sécurité ou d’autres événements de sécurité.
Date de modification :