GSMGC-016 (2022)
Guide du processus d'évaluation et d'autorisation de sécurité des installations
Sur cette page
Formats substituts
Liste des acronymes et abréviations
Liste des acronymes et abréviations
- AIA
- Analyse de l'impact sur les activités
- AOI
- Autorisation d'occupation de l'installation
- DGS
- Directive sur la gestion de la sécurité
- DPS
- Dirigeant principal de la sécurité
- EASI
- Évaluation et autorisation liées à la sécurité des installations
- EMR
- Évaluation des menaces et des risques
- ESA
- Évaluation de sécurité et autorisation
- GRC
- Gendarmerie royale du Canada
- IPF
- Identification du programme fonctionnel
- PGPI
- Processus de gestion de projet d'installation
- POSM
- Principal organisme responsable de la sécurité matérielle
- PSG
- Politique sur la sécurité du gouvernemen
- SPAC
- Services publics et Approvisionnement Canada
Liste des tableaux
Avant-propos
Le Guide du processus d'évaluation et d'autorisation de sécurité des installations est une publication NON CLASSIFIÉE, diffusée avec l'autorisation du principal organisme responsable de la sécurité matérielle (POSM) de la Gendarmerie royale du Canada (GRC).
Cette publication du gouvernement du Canada constitue un guide sur les éléments à considérer et les pratiques exemplaires pour la construction des zones de discussion sécurisées destinées à assurer la confidentialité des entretiens à l'intention des ministères, des agences et des employés du gouvernement du Canada.
Les suggestions de modifications et les autres renseignements peuvent être envoyés au principal organisme responsable de la sécurité de la GRC par courriel : rcmp.lsa-grc.posm@rcmp-grc.gc.ca.
Date d'entrée en vigueur
La date d'entrée en vigueur du Guide du processus d'évaluation et d'autorisation de sécurité des installations est le 2022-12-06.
Registre des modifications
| No de modification | Date | Auteur | Sommaire des modifications |
|---|---|---|---|
Remarque : Le responsable des modifications est le principal organisme responsable de la sécurité matérielle de la Gendarmerie royale du Canada (POSM de la GRC).
1. Introduction
La GRC, en tant que principal organisme responsable (POSM) de la sécurité matérielle pour le gouvernement du Canada, est responsable de fournir des conseils et des orientations sur les questions concernant la sécurité matérielle. Cela comprend les mesures de sécurité dont on doit tenir compte lors de l'acquisition, de l'aménagement ou de la mise hors service d'une installation du gouvernement du Canada.
La Politique sur la sécurité du gouvernement (PSG) énonce huit mesures de sécurité, dont la sécurité matérielle. Selon la PSG :
Les exigences, les pratiques et les contrôles liés à la sécurité physique sont définis, documentés, mis en œuvre, évalués, surveillés et maintenus à toutes les étapes des cycles de vie de la gestion des biens immobiliers et du matériel pour donner l'assurance raisonnable que les personnes, l'information et les biens sont correctement protégés, et appuyer de ce fait l'exécution des programmes, la prestation des services et l'accomplissement des activités du gouvernement.
La Directive sur la gestion de la sécurité (DGS) énonce les procédures obligatoires relatives aux mesures de sécurité matérielle (annexe C). Selon la DGS, les ministères du gouvernement du Canada sont chargés de mettre en œuvre des processus d'évaluation et d'autorisation de sécurité des installations afin d'établir et de préserver la confiance dans la sécurité des installations utilisées, occupées ou gérées par le ministère, tout en tenant compte des exigences des intervenants.
1.1. Objet
L'objectif du présent guide est d'aider les ministères du gouvernement du Canada à mettre en place un processus d'évaluation et d'autorisation de sécurité des installations (EASI) afin de respecter les procédures obligatoires énoncées dans la DGS.
Ce guide est destiné à être utilisé conjointement avec la trousse à outils FSA&A créée et maintenue par le Centre d'excellence en sécurité (CEeS) du Bureau du Conseil privé (BCP). La trousse à outils se trouve sur le site GCCollab du Centre d'excellence en sécurité. Le lien est ici - Trousse EASI et dans la section des références de ce guide.
Le guide décrit l'approche structurée que doivent adopter les ministères locataires et gardiens pour assurer une sécurité efficace lors de l'acquisition, de l'aménagement et de la mise hors service d'installations dans l'ensemble du gouvernement du Canada. L'utilisation d'une approche cohérente de gestion des risques pour évaluer les exigences de sécurité d'une installation occupée par un locataire permet de garantir que les organisations du gouvernement du Canada ont établi des bases minimales en matière de sécurité et de mettre en œuvre des mesures de sécurité supplémentaires au besoin. Cela favorise l'établissement d'un lieu de travail conçu selon des principes, des normes et des concepts de sécurité qui permettent à la sécurité d'évoluer en fonction d'un contexte de menace changeant au fil du temps.
Les trois éléments à considérer suivants décrivent les résultats attendus du processus d'EASI :
- Établir une approche structurée d'EASI pour l'ensemble du gouvernement du Canada - afin de s'assurer que le résultat final d'une EASI n'est pas temporaire ou provisoire et dû à un manque d'évaluations et d'autorisations formelles de sécurité pour les installations du gouvernement du Canada, mais une solution durable en matière de sécurité qui répond aux besoins de la plupart des organisations, peu importe leur taille ou leur capacité;
- Affecter des ressources et investir dans les technologies appropriées - pour qu'une EASI soit menée avec précision et que les recommandations qui en résultent soient mises en œuvre, des ressources financières et humaines suffisantes doivent être affectées pour répondre aux exigences du projet. L'affectation de ressources suffisantes comprend le fait de le faire de manière efficace, notamment en investissant dans des technologies qui répondent non seulement à la demande actuelle, mais aussi aux besoins futurs; et
- Promouvoir la conformité - l'établissement d'un processus d'EASI bien structuré permet aux organisations de répondre aux exigences de la Politique sur la sécurité du gouvernement (PSG) de manière efficace, efficiente et complète.
1.2. Applicabilité
Ce guide doit être utilisé lors de l'acquisition, de l'aménagement et de la mise hors service d'installations afin de garantir que la sécurité est prise en compte à toutes les étapes d'un projet d'installation.
Le processus d'EASI présenté dans le présent guide est principalement destiné aux locataires, bien que les principes clés puissent également être adaptés par les ministères gardiens. Un ministère gardien est généralement responsable de l'ensemble du cycle de vie d'un immeuble, depuis l'acquisition du site, la gestion et l'entretien de l'installation jusqu'à son éventuelle mise hors service. Les gardiens s'occupent principalement de la structure de l'immeuble et de l'infrastructure de soutien. Un ministère locataire occupe un espace dans un immeuble pour une certaine période et est concerné par les exigences de sécurité de l'espace qu'il occupe. Dans cette optique, un ministère gardien participera à de multiples processus d'EASI tout au long de la durée de vie de l'immeuble, au fur et à mesure que les locataires changent et que le contexte de sécurité évolue.
Les ministères locataires travaillent souvent en étroite collaboration avec les ministères gardiens lors de la réalisation du processus d'EASI pour la période de leur occupation d'un immeuble. Le gardien est responsable de l'immeuble de base et des aires communes, tandis que le locataire se concentre sur son propre espace. En travaillant en collaboration, les exigences de sécurité incombant à toutes les parties intéressées peuvent être satisfaites. Les outils fournis dans le présent guide sont principalement axés sur les besoins des petits, moyens et grands ministères locataires.
*Remarque : ce processus d'EASI ne prend pas en charge l'autorisation d'une zone de sécurité SIGINT (SSA) ou d'une installation renfermant des informations de nature délicate cloisonnées (installation SCI). Les ministères qui souhaitent mettre en place une SSA ou une installation SCI doivent se référer aux normes de sécurité canadiennes du SIGINT du CST.
1.3. Considérations relatives à la technologie de l'information
En raison des menaces en constante évolution qui nous entourent et de la convergence de la sécurité matérielle et de la sécurité des technologies de l'information, il est crucial d'évaluer le risque associé à l'utilisation des applications et/ou des logiciels connectés à un réseau qui servent à faire fonctionner l'équipement et à le prendre en charge dans les édifices à accès contrôlé du gouvernement du Canada. Quelques exemples de ces applications ou de ces logiciels de commande peuvent comprendre, entre autres, l'éclairage de sécurité, les barrières de périmètre, les portes, le CVCA, etc.
Avant de mettre en place une application et/ou un logiciel pour commander et/ou automatiser certaines fonctions de l'édifice, la sécurité ministérielle demande qu'une évaluation de sécurité et autorisation (ESA) soit effectuée. Cette ESA garantira le maintien de l'intégrité et de la disponibilité des composants contrôlés par les applications et/ou les logiciels ainsi que l'atténuation de tout risque mis en évidence. Il est fortement recommandé de commencer le processus d'ESA tôt pour s'assurer du respect de l'échéancier de livraison du projet. Pour plus d'information sur le processus d'ESA, consulter la sécurité ministérielle
2. Coordonnées
Pour plus d'informations, contacter :
- Courrier
-
GRC Principale organisme responsable de la sécurité matérielle
73 promenade Leikin, arrêt postal 165
Ottawa ON K1A 0R2 - Courriel
- rcmp.lsa-grc.posm@rcmp-grc.gc.ca
3. Glossaire
3. Glossaire
- Analyse de l'impact sur les activités (AIA)
- Définit les exigences ministérielles en matière de gestion de la continuité des activités pour la totalité des services et des activités du ministère qui appuient la disponibilité continue des services et des biens connexes essentiels à la santé, à la sûreté, à la sécurité ou au bien-être économique de la population canadienne ou au fonctionnement efficace du gouvernement, en se fondant sur une analyse des répercussions possibles des perturbations.
- Autorisation d'occupation d'une installation (AOI)
- Déclaration officielle de l'autorité désignée autorisant l'occupation d'une installation avec un ensemble particulier de mesures de protection de la sécurité matérielle dans les limites d'un niveau acceptable de risque résiduel, tel que résumé dans le guide de sécurité de la conception.
- Atténuation des risques
- Activités entreprises pour réduire les risques qui peuvent être déterminés au moyen du processus d'EMR.
- Autorité chargée de la recommandation
- L'autorité chargée de la recommandation sera généralement le dirigeant principal de la sécurité. Il lui incombe de s'assurer que toutes les évaluations de sécurité applicables ont été effectuées et, en se basant sur les résultats de ces évaluations, de formuler une recommandation concernant l'occupation de l'installation.
- Autorité déléguée
- La personne à qui est délégué le pouvoir de signature pour la conclusion de contrats de location, de construction et d'aménagement.
- Autorité en matière de gestion des risques
- Personne désignée au niveau approprié de l'organisation pour accepter ou atténuer les risques.
- Biens
- Biens corporels ou incorporels du gouvernement du Canada. Ce terme s'applique, sans toutefois s'y limiter, aux renseignements, sous toutes leurs formes, et quel que soit leur support, aux réseaux, aux systèmes, au matériel, aux biens immobiliers, aux ressources financières, à la confiance des employés et du public et à la réputation internationale.
- Évaluation et autorisation de sécurité des installations (EASI)
- Processus utilisé par les organisations pour s'assurer que les installations nouvelles et existantes du gouvernement du Canada et les projets d'aménagement font l'objet d'évaluations de la sécurité. Des contrôles de sécurité appropriés sont déterminés et mis en œuvre avant que l'autorisation d'occuper l'installation soit accordée.
- Évaluation de la menace et des (EMR)
- Processus d'évaluation des biens d'une installation, des menaces qui pèsent sur eux et du rendement des mesures de protection contre ces menaces, visant à définir les risques.
- Évaluation et autorisation de sécurité (ESA)
- La composante d'évaluation de la sécurité de l'ESA vise à vérifier si les exigences de sécurité établies pour un système ou un service particulier sont respectées et si les contrôles et les mesures de protection fonctionnent comme prévu. L'objectif de la composante d'autorisation de l'ESA est de signifier que la direction a accepté le risque résiduel d'exploitation du système ou du service et a autorisé son utilisation en s'appuyant sur la preuve.
- Évaluation de la sécurité
- Le processus d'évaluation des pratiques et des contrôles de sécurité ayant pour but d'établir la mesure dans laquelle ils sont mis en œuvre correctement, fonctionnent comme prévu et produisent les résultats souhaités en ce qui concerne le respect des exigences établies en matière de sécurité.
- Évaluations continues de la sécurité
- Évaluations menées pour évaluer et tenir à jour l'autorisation tout au long de l'utilisation, de l'occupation et de l'entretien d'une installation.
- Guide de sécurité de la conception (GSC)
- Document dans lequel sont décrits les principes de base de la sécurité matérielle ainsi que les mesures de sécurité matérielle qui doivent être mises en œuvre pour une installation en tenant compte de ses opérations. Le GSC approuvé servira de base aux recommandations sur l'autorisation d'occupation de l'installation.
- Installation
- Lieu physique utilisé dans un but particulier. On entend par installation une partie ou la totalité d'un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n'est pas un immeuble. Le terme désigne non seulement l'objet même, mais aussi son usage (par example, champs de tir, terres agricoles).
- Identification du programme fonctionnel (IPF)
- Détermination et description des activités ou opérations.
- Processus de gestion de projet d'installation (PGPI)
- Le processus définit les principes clés et fournit les directives, les feuilles de route, les produits livrables et les outils nécessaires pour mener à bien les projets d'installation en respectant la portée, les délais et le budget.
Remarque : les Biens immobiliers de SPAC désignent ce processus sous le nom de « Système national de gestion de projet (SNGP) » et ce processus est de nature semblable aux processus externes au gouvernement du Canada où le secteur privé est propriétaire de l'installation. - Plan de projet (EASI)
- Un plan de projet fournit des détails sur la portée du projet, y compris l'adresse de l'immeuble et le ou les étages concernés, le budget pour tous les aspects du projet du point de vue de la sécurité, notamment en ce qui a trait aux déplacements, le matériel et les services de sécurité, le calendrier prévu pour le projet (lorsque l'organisation prend possession de l'espace et lorsqu'il doit être opérationnel), et les résultats attendus. Le plan doit être approuvé par la direction afin de confirmer que les exigences financières du projet seront respectées.
4. Aperçu
Le processus d'EASI consiste à effectuer des évaluations de sécurité d'une installation, et le point central du processus est l'acquisition ou l'aménagement d'une installation. L'EASI doit donc être intégrée dès le départ dans un processus de gestion de projet d'installation (PGPI).
Le PGPI est conçu pour suivre le processus d'identification des besoins, de détermination de la manière dont l'investissement sera réalisé, du type d'acquisition (approvisionnement traditionnel, conception-construction, location, conception-construction-exploitation, etc.) de conception, de mise en œuvre et de clôture du projet.
Le PGPI peut être divisé en trois étapes : début de projet, identification de projet et réalisation de projet. Lorsque le PGPI est en cours, l'EASI est introduite en cinq étapes : lancement, planification, risques et analyse, mise en œuvre/autorisation/évaluation continue de la sécurité, et mise hors service.
5. EASI et processus de gestion de projet d'installation
Étant donné que le PGPI est déjà bien établi, il est essentiel que le processus d'EASI s'y intègre sans heurt. Notez que l'étape finale de l'EASI (mise hors service) a lieu en dehors du PGPI, après la clôture de la réalisation.
| Étapes du processus de gestion de projet d'installation | Phase du processus de gestion de projet d'installation | Étape de l'EASI |
|---|---|---|
| Début de projet | Définition | |
| Identification de projet | Lancement |
|
| Faisabilité | ||
| Analyse | ||
| Clôture de l'identification | ||
| Réalisation de projet | Planification |
|
| Conception |
|
|
| Mise en œuvre |
|
|
| Clôture de la livraison |
|
|
6. Étapes de l'EASI
6.1. Étape 1 - Lancement
Description de l'étape
Avant que la sécurité ne participe de manière significative à un projet d'installation, il est important que les experts des bureaux de la Sécurité et des installations entament des discussions préliminaires. Cela permet de s'assurer que chaque intervenant comprend bien ce à quoi on s'attend et ce qui est requis de chacun.
Lorsqu'un besoin opérationnel est déterminé pour une installation, les experts en matière d'installations s'adresseront au dirigeant principal de la sécurité (DPS) ou à un délégué autorisé pour l'informer du projet à venir. À ce stade, une entente formelle est préparée entre le DPS ou son délégué et les experts en matière d'installations afin de définir pleinement la portée de l'espace et du projet et d'esquisser les responsabilités spécifiques en fonction des ressources (humaines et financières) disponibles.
Lignes directrices
L'ensemble de ce processus dépend de l'établissement préalable d'un partenariat solide entre les experts en matière de sécurité et des installations. Ce partenariat garantira des communications ouvertes et permettra aux experts d'être informés du projet d'installation dès que possible. En plus d'un solide partenariat entre les experts en matière de sécurité et les experts en matière d'installations, les experts en matière de sécurité doivent maintenir des communications ouvertes entre les différents intervenants qui pourraient éventuellement participer au projet. L'efficacité et le respect des échéances doivent être une priorité pour toutes les parties concernées puisqu'un groupe peut à lui seul entraîner des retards pour l'ensemble du projet. Pour faciliter ces communications, l'adhésion dès le départ et la coopération des intervenants sont essentielles. Cet objectif peut être atteint par les moyens suivants :
- la publication d'un communiqué informant les intervenants d'un nouveau projet; et
- la préparation d'un avis, d'un message, d'une entente ou de dispositions officiels au début d'un projet avec les intervenants, décrivant les résultats attendus par souci de clarté et afin d'éviter toute incertitude.
6.2. Étape 2 - Planification
Description de l'étape
Une fois le partenariat établi et les intervenants mobilisés, l'étape suivante consiste à planifier le projet lui-même. Au cours de cette étape, un plan de projet d'EASI est rédigé par les experts en matière de sécurité. Il doit être examiné et approuvé par le DPS ou son délégué. Le plan de projet d'EASI précise les fonds propres au projet d'EASI et établit le calendrier et les produits livrables dans le cadre du plan de gestion de projet d'installation. La planification précoce définit le cadre et les résultats attendus du projet d'EASI.
Après avoir clairement défini la portée de l'EASI, le financement, le niveau d'effort, les produits livrables et le calendrier, la progression naturelle est de déterminer les opérations qui auront lieu dans l'installation. Il est essentiel de connaître le type d'activité qui se déroulera dans l'installation. Une description complète des opérations de l'installation ainsi que de la façon dont la construction et l'aménagement de l'installation se dérouleront est saisie dans un document distinct d'Identification du programme fonctionnel (IPF). Une fois les activités déterminées, le plan de projet d'EASI est finalisé, garantissant une intégration des éléments de sécurité dans la construction ou l'aménagement soutenant les opérations avec le soutien humain et financier nécessaire.
Lignes directrices
À ce stade, une ébauche de document d'établissement de la planification de l'installation sera produite, décrivant l'utilisation de l'espace (bureaux, y compris du ministère, de la direction, des gestionnaires, etc., entreposage, zones publiques et zones d'opérations). Cette responsabilité incombe principalement aux installations; toutefois, la Sécurité doit être disponible à des fins de consultation. Une fois que les installations ont établi les plans d'étage en ce qui concerne les opérations, les experts en matière de sécurité peuvent alors déterminer au mieux quels contrôles de sécurité sont nécessaires.
6.3. Étape 3 - Risques et analyse
Description de l'étape
L'analyse de l'impact sur les activités (AIA) de l'organisation existante est intégrée au processus afin de s'assurer que les services essentiels ont été identifiés. Cela permettra de hiérarchiser les opérations en fonction du niveau de sécurité et de protection requis. Il n'est pas nécessaire de procéder à une nouvelle AIA si une telle analyse a déjà été effectuée dans le cadre du processus de gestion de la continuité des activités (GCA) au cours des cinq dernières années. Après l'AIA, des évaluations de la menace et des risques (EMR) matériels et liés aux TI seront réalisées en mettant l'accent sur l'immeuble de la base, les opérations et les besoins et actifs de TI.
Lignes directrices
S'il s'agit d'une installation existante, l'analyse et les étapes ultérieures sont simples; toutefois, si l'installation n'a pas encore été construite ou si d'importants travaux de modernisation sont prévus, le processus devient un exercice sur papier.
Une fois les opérations cernées, il faut leur attribuer un ordre de priorité. Ainsi, des niveaux de sécurité accrus pourront être appliqués aux opérations qui le nécessitent.
Les AIA ne sont pas des concepts nouveaux et font partie de la gestion de la continuité des activités d'une organisation du gouvernement du Canada. Les AIA existantes rendent compte des fonctions essentielles qui peuvent être inhérentes au mandat des opérations.
L'évaluation de la menace et des risques matériels de l'immeuble de base est essentielle pour la sécurité d'une installation. Connaître la sécurité d'une installation en ce qui a trait à l'intégrité structurelle et à la capacité à résister à certains types de menaces, en plus des capacités d'alimentation, aidera à planifier l'emplacement des opérations dans l'immeuble.
L'achèvement de cette étape est le moment idéal pour effectuer une évaluation de la menace et des risques matériels en tenant compte de la disposition spécifique de l'installation et des opérations qui s'y déroulent, ainsi que pour effectuer une évaluation de la menace et des risques liés aux TI.
Il est important de réaliser les évaluations de la sécurité une par une afin d'éviter de déployer inutilement des efforts et de s'assurer que tous les éléments à considérer, notamment les activités organisationnelles, la disposition ou le plan d'étage et les fonctions essentielles, sont pris en compte lors de la conception de la sécurité de l'installation.
6.4. Étape 4 - Mise en œuvre, autorisation et évaluations continues de la sécurité
Description de l'étape
Mise en œuvre
Les experts en matière de sécurité examineront le plan de conception de l'installation afin de déterminer quels dispositifs de sécurité seront ajoutés, conformément aux EMR réalisées. À la fin de cette étape, la partie évaluation de la sécurité de l'installation de l'EASI est terminée. Un guide de sécurité de la conception sera généré et rempli par les experts en matière de sécurité résumant les EMR qui ont été menées avec contribution de l'AIA. C'est également au cours de cette étape qu'il faut mettre en œuvre les contrôles de sécurité qui ont été déterminés pour assurer la sûreté et la sécurité de tous les occupants et des renseignements et actifs de nature délicate et importants du gouvernement du Canada.
Autorisation
L'achèvement de la phase de mise en œuvre, en particulier le guide de sécurité de la conception, permet d'évaluer si l'autorisation d'occupation de l'installation (AOI) doit être accordée et d'éventuellement l'approuver du point de vue de la sécurité. Cela répondra aux exigences de la partie autorisation d'une EASI. Ceci conclut la fonction principale de l'EASI; cependant, l'étape de mise hors service aura lieu à la fin du cycle de vie de l'installation et est requise dans le cadre de la fin de l'utilisation et de l'occupation continues de l'installation.
S'il survient une situation où les recommandations en matière de sécurité ne sont que partiellement réalisables ou ne sont pas réalisables, l'autorité chargée de la recommandation (DPS) doit noter qu'un suivi est nécessaire pour qu'une approbation complète soit accordée.
Remarque : si, à tout moment au cours du processus, il y a désaccord entre l'autorité chargée de la recommandation (DPS), l'autorité déléguée pour les projets d'installations et les intervenants, cela doit être noté dans le rapport final; toutefois, le processus doit se poursuivre afin que l'AOI soit accordée. Les désaccords entre les intervenants doivent être définis dans un document de résolution des litiges, décrivant les préoccupations et les moyens proposés pour les résoudre.
Évaluations continues de la sécurité
Une fois qu'une EASI a été effectuée pour une nouvelle installation ou pendant l'aménagement d'une installation existante, et que l'installation a reçu l'AOI, cette autorisation doit être maintenue tout au long de l'utilisation, de l'occupation et de l'entretien du cycle de vie d'une installation. Les évaluations continues de la sécurité sont un aspect important d'une EASI permettant de maintenir l'autorisation à jour et valide. Ceci est particulièrement important lorsque des recommandations en matière de sécurité présentées dans l'EASI ont été identifiées, mais que certains contrôles de sécurité n'ont pas pu être mis en œuvre avant la date proposée d'occupation. Par conséquent, les évaluations continues de la sécurité contribuent à donner suite à toute recommandation en matière de sécurité de l'EASI en suspens et améliorent ainsi la posture de sécurité de l'installation.
En général, les évaluations continues de la sécurité sont effectuées sur une base cyclique prédéterminée (en fonction du mandat de l'organisation, de ses fonctions essentielles, etc.). Les évaluations cycliques continues de la sécurité de l'installation à des fins d'autorisation d'occupation accordent suffisamment de temps pour la mise en œuvre des recommandations conformément au calendrier établi.
Les évaluations de la sécurité, telles que les évaluations de la menace et des risques, peuvent permettre de déceler les contrôles de sécurité matérielle et liée aux TI obsolètes qui doivent être remplacés ou mis à niveau à l'aide de technologies plus récentes au fur et à mesure que l'installation vieillit. Des EMR, ou d'autres évaluations de la sécurité, doivent également être réalisées lors d'un changement significatif du niveau de menace ou lors d'une modification du mandat de l'organisation exigeant la réévaluation des exigences de sécurité matérielle et liée aux TI.
Remarque : si le mandat de l'organisation située dans l'installation venait à changer et à nécessiter la construction de zones de sécurité distinctes, cela déclencherait un PGPI comprenant la construction de murs, etc. Une nouvelle EASI serait nécessaire puisque cela serait considéré comme un projet d'aménagement soumis aux exigences d'une EASI formelle.
Lignes directrices
Jusqu'à ce point, des analyses approfondies ont été menées sur les installations et les opérations. Le document de planification de l'installation ayant été achevé au cours de l'étape précédente, l'équipe de la sécurité peut maintenant remplir un guide de sécurité de la conception pour indiquer l'emplacement des dispositifs et des produits de sécurité à l'intérieur et à l'extérieur (le cas échéant) de l'installation. Une fois le guide de sécurité de la conception terminé, il est joint aux rapports d'EMR et à l'analyse de l'impact sur les activités qui sont soumis au dirigeant principal de la sécurité pour examen et approbation.
L'approbation tiendra compte des éléments suivants :
- les opérations qui auront lieu;
- les niveaux de risque déterminés;
- l'aménagement de l'espace tel qu'il a été conçu par le personnel des installations ou de l'infrastructure;
- la disposition des dispositifs de sécurité; et
- les contraintes financières et de temps.
Des évaluations continues de la sécurité seront effectuées sur une base cyclique.
6.5. Étape 5 - Mise hors service
Description de l'étape
La dernière étape de l'EASI est l'étape de mise hors service. Elle survient à la fin du cycle de vie de l'installation, lorsque celle-ci doit être rasée, que sa propriété est transférée, qu'elle est cédée ou qu'elle arrive au terme d'un bail. Bien que le personnel n'ait plus accès à l'installation, il est impératif de n'y laisser aucun bien ou renseignement, en particulier de nature délicate. Il faut pour cela planifier la déconnexion et le retrait des biens de sécurité tels que l'équipement vidéo en circuit fermé (EVCF), les lecteurs de cartes, les détecteurs de mouvement, les serrures, tous les meubles et toutes les armoires (qui doivent être vides), etc. Il est également nécessaire de planifier la manière dont les renseignements, notamment les dossiers papier, seront transférés vers un nouveau site. Une fois que tout a été retiré de l'installation, une inspection de sécurité doit être effectuée à titre de confirmation finale et le DPS ou son délégué identifié doit obtenir la confirmation que l'espace a été vidé. Si quoi que ce soit a été laissé sur place, il faut l'étiqueter, et le gestionnaire responsable doit en être informé avant le transfert de la garde de l'installation.
Lignes directrices
Cette dernière étape est l'une des plus essentielles puisqu'elle est souvent négligée en tant qu'étape formelle de l'EASI. Il est essentiel d'inspecter adéquatement l'espace pour s'assurer que tous les renseignements et biens de nature délicate ont été retirés et que le matériel de sécurité identifié a été déconnecté et déplacé au besoin. Cela requière une planification minutieuse et doit être fait de manière à ce que les mesures de contrôle d'accès et les alarmes en cas d'intrusion ne soient pas déconnectées avant que les renseignements et biens aient été déplacés. De plus, étant donné que les classeurs de sécurité doivent être vides pour pouvoir être déplacés, il convient de planifier soigneusement et de respecter le délai entre le moment où les classeurs sont vidés et celui où les renseignements et biens de nature délicate sont déplacés. Il faut également tenir compte que ces derniers doivent être emballés adéquatement avant d'être déplacés de manière sécurisée. La coordination des déménageurs, des entrepreneurs et le respect des échéances pour le transfert de l'espace seront généralement sous le contrôle du personnel des installations.
7. Références
- Politique sur la sécurité du gouvernement
- La gestion des risques liés à la sécurité des TI
- Directive sur la gestion de la sécurité
- Guide de la gestion des biens immobiliers
- Système national de gestion de projet (SPAC)
- Guide de la GRC sur le transport et la transmission
- Trousse sur l'évaluation et l'autorisation de la sécurité des installations : GCcollab
8. Promulgation
- Révisé et recommandé en vue de l'approbation.
-
J'ai examiné le document GSMGC-016 - (2022) - Guide du processus d'évaluation et d'autorisation de sécurité des installations et je recommande son approbation.
Shawn Nattress
Gestionnaire
Principal organisme responsable de la sécurité matérielle de la GRC
2022-12-12 - Approuvé
-
Par la présente, j'approuve le document GSMGC-016 - (2022) Guide du processus d'évaluation et d'autorisation de sécurité des installations.
Andre St-Pierre
Directeur, Sécurité matérielle
Gendarmerie royale du Canada
2022-12-13
- Date de modification :