Directive sur la gestion de la sécurité - Annexe J : Norme sur la catégorisation de sécurité

Voici les procédures et les sous sections.

• J.2.2.1Examiner séparément le préjudice potentiel résultant d’une perte de confidentialité, d’intégrité ou de disponibilité.
• J.2.2.2Attribuer une catégorie de sécurité comme suit :
  • J.2.2.2.1une seule catégorie de sécurité qui indique l’incidence globale d’une compromission (voir la sous section J.2.3);
  • J.2.2.2.2des catégories distinctes pour indiquer les incidences potentielles de la perte de confidentialité, d’intégrité et de disponibilité (voir la sous section J.2.4), selon le cas.
• J.2.2.3Les éléments à prendre en considération qui suivent doivent être appliqués, selon le cas, au moment d’attribuer une catégorie de sécurité :
  • J.2.2.3.1les préoccupations relatives à la confidentialité portent principalement sur les ressources documentaires et, dans certains cas, les biens;
  • J.2.2.3.2la catégorisation de sécurité des services se rapporte surtout à leur disponibilité, mais peut aussi considérer leur intégrité.
  • J.2.2.3.3La catégorisation de sécurité des renseignements et des biens doit aussi prendre en compte :
    1. leur valeur monétaire et non monétaire globale
    2. les incidences pouvant résulter de la destruction non autorisée, du vol ou du retrait.
• J.2.2.4Pour les dépôts de renseignements ou de biens, la catégorisation de sécurité tient compte des incidences d’un regroupement, où un préjudice plus important peut se produire si un groupe de ressources documentaires ou de biens est compromis.
• J.2.2.5La catégorisation de sécurité détermine en partie les exigences de sécurité et doit donc établir un équilibre entre le risque de préjudice et le coût de l’application des mesures de protection tout au long du cycle de vie des renseignements, des biens, des installations ou des services.
• J.2.2.6Du point de vue de la confidentialité, la catégorisation de sécurité de l’information tient compte des critères de dispense et d’exclusion de la Loi sur l’accès à l’information ou de la Loi sur la protection des renseignements personnels afin de garantir qu’aucune ressource n’est destinée à protéger de l’information pouvant être rendue publique.

• J.2.3.1L’information, les biens et les services sont classés dans les catégories d’incidence « très élevée », « élevée », « moyenne » ou « faible » pour refléter le degré de préjudice qui peut vraisemblablement résulter d’une perte de confidentialité (résultant d’une divulgation non autorisée), d’intégrité (p. ex., résultant d’une modification ou destruction non autorisées) ou de disponibilité (résultant du retrait non autorisé ou d’autres perturbations) :
  • J.2.3.1.1Très élevé : S’applique si une compromission risque vraisemblablement de causer un préjudice grave, sinon exceptionnellement grave.
  • J.2.3.1.2Élevée : S’applique lorsqu’une compromission pourrait raisonnablement causer un préjudice allant de sérieux à grave.
  • J.2.3.1.3Moyenne : S’applique lorsqu’une compromission pourrait raisonnablement causer un préjudice allant de modéré à sérieux.
  • J.2.3.1.4Faible : S’applique lorsqu’une compromission pourrait raisonnablement causer un préjudice allant de limité à modéré.
• J.2.3.2Les renseignements, les biens et les services dont la compromission ne causerait aucun préjudice sont considérés comme étant de nature non délicate. Aux fins de l’attribution d’une catégorie de sécurité, de tels renseignements, biens et services peuvent se voir attribuer un niveau d’incidence « faible ».

• J.2.4.1Classifié : Un renseignement est catégorisé comme « classifié » (c’est à dire, « confidentiel », « secret » ou « très secret ») lorsque l’on peut raisonnablement s’attendre à ce que leur divulgation non autorisée porte atteinte à l’intérêt national :
  • J.2.4.1.1Très secret : S’applique à la quantité très limitée de renseignements dont on pourrait s’attendre raisonnablement à ce que la divulgation non autorisée porte un préjudice exceptionnellement grave à l’intérêt national.
  • J.2.4.1.2Secret : S’applique aux renseignements dont on pourrait s’attendre raisonnablement à ce que la divulgation non autorisée pourrait causer un préjudice grave à l’intérêt national.
  • J.2.4.1.3Confidentiel : S’applique lorsque l’on pourrait raisonnablement s’attendre à ce qu’une divulgation non autorisée cause un préjudice limité ou modéré à l’intérêt national.
• J.2.4.2Protégé : Les renseignements sont classés dans la catégorie « Protégé A », « Protégé B » ou « Protégé C » lorsque l’on pourrait raisonnablement s’attendre à ce que leur divulgation non autorisée cause un préjudice à des intérêts autres que l’intérêt national :
  • J.2.4.2.1Protégé C : S’applique à un nombre très restreint de renseignements dont on pourrait raisonnablement s’attendre à ce que la divulgation non autorisée cause un préjudice extrêmement grave à des intérêts autres que l’intérêt national, par exemple, la perte de vie.
  • J.2.4.2.2Protégé B : S’applique aux renseignements dont on pourrait vraisemblablement s’attendre à ce que la divulgation non autorisée cause un préjudice sérieux à des intérêts autres que l’intérêt national, par exemple, la perte de réputation ou d’avantage concurrentiel.
  • J.2.4.2.3Protégé A : S’applique aux renseignements on pourrait vraisemblablement s’attendre à ce que la divulgation non autorisée cause un préjudice limité ou modéré à des intérêts autres que l’intérêt national, par exemple, la divulgation d’un salaire exact.