Aller au contenu principal

Gouvernance, gestion et processus

Le Centre d'expertise en sécurité de l'information (CESI) met à la disposition des membres de la communauté du réseau une série de documents à télécharger qui offre des informations pertinentes, des outils et des recommandations pour se protéger au mieux de la cybercriminalité.

Les documents de cette catégorie offrent des lignes directrices et de meilleures pratiques pour établir une gouvernance efficace de la cybersécurité. Ils couvrent la définition des politiques de sécurité, la structuration de plan de réponse aux incidents, et l'instauration de processus de gestion pour créer une culture de sécurité proactive et durable.

Aide-mémoire pour rédiger un plan de reprise informatique  

Ce document vise à aider les organisations avec la rédaction d’un plan de reprise en cas de sinistre ou urgence informatique. Il offre une structure et les éléments importants à élaborer afin que le plan de reprise informatique des établissements du réseau couvre tous les éléments requis permettant de remettre sur pied l’infrastructure informatique.

Catégorisation des actifs basée sur l’approche de l’analyse des préjudices   
Formulaire d'analyses de préjudices de sécurité et de validation des résultats  

Guide expliquant ce qu'est la catégorisation des actifs, pourquoi il est important de suivre ce processus en définissant ce qu’est un préjudice et comment quantifier les préjudices pouvant affecter la confidentialité, l’intégrité et la disponibilité des actifs internes. Aussi, le formulaire fournit un chiffrier permettant de faire l’analyse des préjudices d’un actif.

Gabarit de politique générale de la sécurité de l’information  

La présente politique constitue le cadre général qui vise la gestion des actifs informationnels dans le respect des droits et obligations de l’université en cette matière pour garantir et répondre aux objectifs de sécurité de l’information.

Guide d'évaluation des menaces et des risques

Ce guide décrit de manière explicite la méthode utilisée, ainsi que les étapes nécessaires à la réalisation de l’analyse des menaces et des risques. Il permettra aussi d'informer les décideurs et de soutenir les réponses aux risques en identifiant les menaces pertinentes ainsi que les vulnérabilités internes et externes pour les universités.

Guide du plan de sauvegarde

Le guide vise à préciser les exigences de sécurité entourant la sauvegarde et décrit de manière explicite les étapes nécessaires pour la réalisation d’un bon plan de sauvegarde des données afin de s’assurer de leur disponibilité et de leur intégrité en tout temps.

Guide de création d'un programme de cybersécurité (nouveau)

Ce guide décrit la marche à suivre pour développer un programme de sécurité efficace, c’est-à-dire un programme qui est aligné sur la stratégie des établissements universitaires. Ce n’est pas un cadre normatif, par conséquent, chaque établissement est libre de choisir les mesures à mettre en place en fonction de son profil et de son appétit pour le risque.

Guide sur la mise en place d'un plan de réponse aux incidents de cybersécurité (nouveau) 
Gabarits en lien avec le plan de réponses aux incidents (outils)

Ce guide pratique est conçu pour aider les établissements à développer, mettre en œuvre et maintenir un plan de réponse aux incidents de cybersécurité. Il présente les meilleures pratiques et les étapes clés pour identifier rapidement les incidents de sécurité, les évaluer et y répondre. 

Guide de la mise en place du processus de gestion des menaces, des vulnérabilités et des incidents (nouveau)

Le guide de la mise en place de la gestion des menaces, vulnérabilités et incidents est un manuel détaillé conçu pour encadrer et standardiser la gestion des risques liés à la sécurité de l'information au sein des établissements de l’Université du Québec. Ce guide propose une démarche méthodique pour identifier, évaluer, et traiter les menaces, vulnérabilités, et incidents (MVI) qui pourraient compromettre la confidentialité, l'intégrité ou la disponibilité des ressources informationnelles. Il vise à fournir un cadre opérationnel permettant d'assurer la protection efficace des systèmes d'information contre les cybermenaces. Il se conforme aux exigences légales et aux directives du gouvernement du Québec, spécifiquement la Loi sur la gouvernance et la gestion des ressources informationnelles (LGGRI).

© Université du Québec, 2024