Point le plus sensible | Lors de la catégorisation d’un regroupement d’informations, il convient de toujours utiliser le point d’information le plus sensible à l’intérieur du regroupement. |
|---|---|
Pire des scénarios | Lors de la catégorisation d’un regroupement d’informations, l’approche « pire des scénarios » doit être utilisée. Cette méthode consiste à faire abstraction de toutes méthodes de protection déjà existantes couvrant cette information. Prenons le cas d’informations étant déjà couvertes par une procédure de copie de sécurité. Pour réaliser l’évaluation de cette information en termes de disponibilité, il faut faire abstraction de cette mesure de protection en classifiant l’information. |
Indépendance des attributs | Chacun des trois attributs de l’information (confidentialité, intégrité, disponibilité) doit être évalué individuellement. Le résultat d’une évaluation n’a aucune incidence sur les deux autres et ne doit en aucun cas être pris en compte. Certaines informations peuvent être de nature peu confidentielle, mais très critiques en termes de disponibilité. |
| Du plus haut niveau au plus bas | La catégorisation d'un groupement d'information doit se faire en analysant la définition du premier niveau de la dimension. Si celle-ci s'applique, il s'agit de la catégorisation à assigner. Sinon, il faut passer à la seconde et ainsi de suite. |
Catégorisations par dimensions
| Confidentialité | |
|---|---|
| Catégorie | Définition |
Renseignements personnels Exigence de confidentialité maximale | Tous les renseignements personnels dans le cadre de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels. |
Informations à usage restreint Exigence de confidentialité élevée | Informations dont la divulgation publique pourrait avoir des impacts importants pour l'institution sur l'un des aspects suivants :
L'accès à ces informations est strictement contrôlé et n'est octroyé aux utilisateurs que dans la mesure où elles sont nécessaires à l'exercice de leurs fonctions. |
Informations à usage interne Exigence de confidentialité moyenne | Informations ne devant pas être divulguées au grand public mais dont la divulgation aurait des impacts modérés ou faibles sur l'institution.
|
Informations publiques Exigence de confidentialité inexistante | Informations n'étant soumises à aucune restriction et que le grand public peut consulter. |
| Intégrité | |
|---|---|
| Catégorie | Définition |
Impacts sur la santé/sécurité et la mission Exigence d'intégrité maximale | Informations dont l’altération ou la perte pourrait entraîner des impacts majeurs sur la sécurité des personnes ou sur la capacité de l'institution à réaliser sa mission. |
Impacts académiques et institutionnels Exigence d'intégrité élevée | Informations dont l’altération ou la perte pourrait entraîner des impacts importants sur le plan académique, éthique, financier, juridique ou réputationnel. |
Impacts sur la performance de l'institution Exigence d'intégrité moyenne | Informations dont l'altération ou la perte pourrait entraîner des impacts sur la performance d'un nombre important d'employés ou d'unités de l'institution. |
Impacts mineurs sur l'institution Exigence d'intégrité limitée | Informations dont l'altération ou la perte pourrait entraîner des impacts mineurs sur l'institution. |
| Disponibilité | |
|---|---|
| Catégorie | Définition |
Impacts la santé/sécurité et la mission Exigence de disponibilité maximale | Informations pour lesquelles un délai dans leur disponibilité pourrait entraîner des impacts sur la sécurité des personnes ou sur la capacité de l'institution à réaliser sa mission. |
Impacts académiques et institutionnels Exigence de disponibilité élevée | Informations pour lesquelles un délai dans leur disponibilité ou la perte pourrait entraîner des impacts importants sur le plan académique, éthique, financier, juridique ou réputationnel. |
Impacts sur la performance de l'institution Exigence de disponibilité moyenne | Informations pour lesquelles un délai dans leur disponibilité pourrait entraîner des impacts sur la performance d'un nombre important d'employés ou d'unités de l'institution. |
Impacts mineurs sur l'institution Exigence de disponibilité limitée | Informations pour lesquelles un délai dans leur disponibilité pourrait entraîner des impacts mineurs sur l'institution. |