Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

L’ensemble des informations relatives aux personnes est valable aussi bien pour

L’ensemble des informations relatives aux personnes est valable aussi bien pour le personnel masculin que féminin. Néanmoins, pour des facilités de lecture, seule la forme masculine est utilisée. Original conservé au contrôle interne du département des finances REPUBLIQUE ET CANTON DE GENEVE Comité de sécurité de l'information Niveau de protection: Public DIRECTIVE TRANSVERSALE SÉCURITÉ ET USAGE DES RESSOURCES INFORMATIQUES ET DE COMMUNICATION DE L'ADMINISTRATION CANTONALE GENEVOISE EGE-10-06_v3 Domaine : Sécurité des systèmes d’information Date : 09.11.2015 (26.01.2016 : modifications mineures sur la forme, validées par le directeur général DGSI) Entrée en vigueur : Immédiate Rédacteur(s): Comité de sécurité de l'information (ComSec-I) Direction/Service transversal(e): ComSec-I Responsable(s) de la mise en œuvre : Direction générale des systèmes d'information (DGSI) Départements et entités rattachées Date : 16.12.2015 Approbateur : Commission de gouvernance des systèmes d'information et de communication (CGSIC) Date : 16.12.2015 1. Objet Sécurité et usage des ressources informatiques et de communication de l'administration cantonale genevoise. 2. Champ d’application Toute l'administration cantonale, conformément au champ d'application tel que défini dans le ROGSIC, incluant les intervenants des fournisseurs externes agissant directement ou indirectement sur les systèmes d'information ainsi que toute autre personne ayant accepté par voie contractuelle la présente directive. Toutes les ressources de l'administration sont concernées, y compris le matériel personnel connecté au réseau informatique (BYOD1), lorsqu'une telle connexion est dûment autorisée. 3. Exceptions Non applicable 4. Mots clés Utilisation, sécurité, ressource, informatique, information, administration, accès, usage, messagerie, internet, donnée, protection, système, moyen, contrôle 5. Documents de référence RS 943.03 (SCSE) Loi fédérale sur les services de certification dans le domaine de la signature électronique (loi sur la signature électronique) A 2 08 (LIPAD) Loi sur l’information du public, l’accès aux documents et la protection des données personnelles A 2.08.01 (RIPAD) Règlement d’application de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles B 2 15 (LArch) Loi sur les archives publiques B 2 15.01 (RArch) Règlement d'application de la loi sur les archives publiques B4 05.10 (ROAC) Règlement sur l’organisation de l’administration cantonale (ROAC) 1 BYOD : Bring your own device SÉCURITÉ ET USAGE DES RESSOURCES INFORMATIQUES ET DE COMMUNICATION DE L'ADMINISTRATION CANTONALE GENEVOISE EGE-10-06_v3 Domaine: Sécurité des systèmes d’information Page: 2/14 Original conservé au contrôle interne du département des finances B 4 23.03 (ROGSIC) Règlement sur l’organisation et la gouvernance des systèmes d'information et de communication B 5 05 (LPAC) Loi générale relative au personnel de l’administration cantonale, du pouvoir judiciaire et des établissements publics médicaux B 5 05.01 (RPAC) Règlement d’application de la loi générale relative au personnel de l’administration cantonale, du pouvoir judiciaire et des établissements publics médicaux B 5 05.13 (RTt) Règlement sur le télétravail B 5 10.04 (RStCE) Règlement fixant le statut des membres du corps enseignant primaire, secondaire et tertiaire ne relevant pas des hautes écoles F 1 05.01 (RPol) Règlement d’application de la loi sur la police F 1 50.01 (ROPP) Règlement sur l’organisation et le personnel de la prison Autres lois et règlements relatifs au personnel de l'État Politique de sécurité de l'information Catalogue de services standards de la DGSI Norme internationale ISO/CEI 27002:2013 (ch.7.2, 9.3, 13.2) 6. Directives(s) liée(s) Cette directive annule et remplace la version 2 du 18.11.2012 EGE-09-02 - Partage d'informations couvertes par le secret de fonction Toutes les directives transversales relatives aux systèmes d'information et de communication La politique de gouvernance et les procédures relatives à l'archivage SOMMAIRE DE LA DIRECTIVE 1. PRÉAMBULE ..................................................................................................................... 3 2. DÉFINITIONS ..................................................................................................................... 3 3. PRINCIPES GÉNÉRAUX .................................................................................................... 4 3.1. DROITS D'ACCÈS ............................................................................................................ 4 3.2. CONFIDENTIALITÉ ........................................................................................................... 5 3.3. UTILISATION PROFESSIONNELLE ET PRIVÉE ...................................................................... 5 3.4. MOYENS DE CONTRÔLE ET PROTECTION DE LA SPHÈRE PRIVÉE ......................................... 6 3.5. RESPONSABILITÉS ......................................................................................................... 6 3.6. DESTRUCTION DE SUPPORTS D'INFORMATION .................................................................. 7 4. MESURES DE PROTECTION SPÉCIFIQUES .................................................................... 8 4.1. MATÉRIEL INFORMATIQUE ET LOGICIELS .......................................................................... 8 4.2. MESSAGERIE ................................................................................................................. 9 4.3. STOCKAGE ET BUREAUTIQUE ........................................................................................ 10 4.4. TÉLÉPHONIE ET RÉSEAU ............................................................................................... 10 4.5. MOYENS D'IMPRESSION ET NUMÉRISATION ..................................................................... 11 4.6. SÉCURITÉ DE L'INFORMATION NOMADE ET TÉLÉTRAVAIL .................................................. 12 4.7. INTERNET .................................................................................................................... 13 SÉCURITÉ ET USAGE DES RESSOURCES INFORMATIQUES ET DE COMMUNICATION DE L'ADMINISTRATION CANTONALE GENEVOISE EGE-10-06_v3 Domaine: Sécurité des systèmes d’information Page: 3/14 Original conservé au contrôle interne du département des finances L’INFORMATION CONSTITUE POUR L'ETAT DE GENEVE UN CAPITAL PRECIEUX ET UN BIEN FONDAMENTAL QUI DOIVENT ETRE PROTEGES PAR DES MESURES DE SECURITE ADEQUATES 1. Préambule Le recours de plus en plus intensif et diversifié aux ressources informatiques et de communication, et aux services qui y sont associés, permettent à l'État et à ses partenaires d’augmenter leur efficience et la qualité du service fourni. Il induit notamment un accroissement des échanges dématérialisés d'informations, tant à l'intérieur de l'État que vis-à-vis des tiers, ainsi qu'une reproduction facilitée de ces informations. En parallèle, l'évolution des technologies et de l'usage qui en est fait, pose de nouvelles questions liées à leur utilisation et à la séparation entre monde professionnel et privé, du point de vue de la sécurité et des abus éventuels qui peuvent en découler. Ces moyens concernent en particulier les postes de travail multifonctions, les terminaux mobiles et les espaces de stockage amovibles, les serveurs en réseau et virtualisés, la messagerie électronique et Internet en tant qu’outils de travail professionnel. D’une part, l’ouverture de l'administration cantonale, quelle que soit son activité, sur le monde grâce à Internet, ainsi que l’utilisation des réseaux d’information et collaboratifs, la rend plus vulnérable à des attaques informatiques depuis l’extérieur. D’autre part, ces technologies qui sont tout à la fois ergonomiques, faciles d’emploi et parfois ludiques, peuvent conduire à une sous-estimation des dangers et des utilisations abusives ayant un impact sur la sécurité. Le Conseil d'Etat, dans son règlement sur l'organisation et la gouvernance des systèmes d'information et de communication (ROGSIC, B 4 23.03), a chargé la direction générale des systèmes d'information (DGSI), en collaboration avec les départements, offices et autres acteurs désignés, d'élaborer et de concrétiser une politique de sécurité de l'information qui définit les intentions et les dispositions générales relatives à la sécurité de l'information. Le présent document découle de cette politique. Il vise à fournir des consignes quant aux modalités d’usages des ressources informatiques et de communication, tant matérielles qu'immatérielles, mises à disposition par l'administration ou autorisées par celle-ci. Ce document vise également à informer officiellement les utilisateurs des ressources informatiques et de communication de l'administration que, pour des raisons d’exploitation, de sécurité, de contrôle ou liées aux intérêts de l'État, des mesures techniques sont prises afin d'assurer l'enregistrement régulier de données. 2. Définitions On entend par : • Activité professionnelle : celle prévue par les lois et règlements auxquels se réfère l’Etat, à savoir toutes les activités éducatives, administratives, de gestion et de soutien nécessaires à l’accomplissement des tâches de l’Etat. • Administration cantonale : tous les offices et services des départements selon le règlement sur l’organisation de l’administration cantonale (B 4 05.10). • Classement : action de mettre en ordre et de ranger en faisant référence à un plan de classement. • Classification : attribution d'un niveau de protection adapté à la valeur et l'importance d'une donnée ou d'un bien détenu par une organisation. SÉCURITÉ ET USAGE DES RESSOURCES INFORMATIQUES ET DE COMMUNICATION DE L'ADMINISTRATION CANTONALE GENEVOISE EGE-10-06_v3 Domaine: Sécurité des systèmes d’information Page: 4/14 Original conservé au contrôle interne du département des finances • Incident : tout événement indésirable ou inattendu, qui ne fait pas partie du fonctionnement recherché d’un service, qui cause ou peut compromettre les opérations liées à l'activité de l'organisation et/ou menacer la sécurité de l'information. • Protection de la sphère privée : protection de la personnalité et des droits fondamentaux des personnes, intégrant la protection des données personnelles2, par un traitement des données selon, notamment, les principes de licéité (conformité au droit), de finalité (but indiqué, prévu par la loi ou ressortant des circonstances), de proportionnalité (adéquation des moyens à un but recherché) et de transparence. • Ressources informatiques et de communication (ci-après "ressources") : les moyens informatiques et de communication (matériel, logiciels, outils et services) mis à disposition par l'administration ou autorisées par celle-ci (ci-après "ressources de l'administration"). • Système d’information : ensemble de moyens techniques, humains et organisationnels permettant à l'administration de recueillir, conserver, traiter, distribuer et présenter les informations relatives à son activité quelles que soient les formes et les supports. 3. Principes généraux 1 L’utilisation d’une information doit respecter les principes de disponibilité, d’intégrité et de confidentialité de celle-ci, tels que définis par les lois, règlements et directives en vigueur. 2 L'utilisation des ressources ne doit pas compromettre la sécurité de l'information. 3 Toute demande d'exception aux principes décrits dans cette directive doit être traitée selon une procédure spécifique et validée, qui doit comporter : • une justification basée sur un besoin métier reconnu et conforme à la loi, • une autorisation documentée, • des instances d'autorisation clairement identifiées, dont au moins le responsable hiérarchique, le responsable départemental de la sécurité de uploads/s1/directive-ege-10-06-v3.pdf