Une accréditation complète qui assurent la sécurité et la confidentialité des données.
Basés sur 4 grandes sphères, les critères de l’accréditation IJPQ permettent de valider l’ensemble des éléments essentiels pour garantir que l’entreprise et ses produits respectent les plus hauts standards de sécurité.
Gouvernance
Ressources humaines
Opérationnel
Infrastructure
Gouvernance
Politique de sécurité
Établir et fournir une politique de sécurité concernant ses services.
Effectuer une revue à intervalles réguliers de la politique de sécurité.
Posséder une politique de sécurité concernant les appareils mobiles.
Posséder une politique de sécurité concernant le télétravail.
Personnes responsables
Établir et communiquer les personnes responsables en matière de sécurité de l’information.
Séparation des tâches entre les domaines incompatibles afin de limiter les possibilités de modification ou de mauvais usage.
Assurer l’intégration de la sécurité de l’information dans la gestion de projet.
Actifs
Posséder une assurance cyber risque, erreurs et omissions et de responsabilité générale.
Établir un plan de classification des actifs et leur niveau de sensibilité.
Gouvernance
Politique de sécurité
Établir et fournir une politique de sécurité concernant ses services.
Effectuer une revue à intervalles réguliers de la politique de sécurité.
Posséder une politique de sécurité concernant les appareils mobiles.
Posséder une politique de sécurité concernant le télétravail.
Personnes responsables
Établir et communiquer les personnes responsables en matière de sécurité de l’information.
Séparation des tâches entre les domaines incompatibles afin de limiter les possibilités de modification ou de mauvais usage.
Assurer l’intégration de la sécurité de l’information dans la gestion de projet.
Actifs
Posséder une assurance cyber risque, erreurs et omissions et de responsabilité générale.
Établir un plan de classification des actifs et leur niveau de sensibilité.
Ressources humaines
Règles de sécurité
Communiquer et appliquer les règles de sécurité de l’information aux employés et fournisseurs.
Établir un processus disciplinaire clair pour les salariés ayant enfreint les règles liées à la sécurité de l’information.
Encadrement
Assurer une séparation des responsabilités entre fournisseurs et employés.
Communiquer et former les requis en matière de sécurité de l’information aux employés et fournisseurs.
Vérification
Effectuer une vérification des antécédents criminels reliés aux exigences métier.
Ressources humaines
Règles de sécurité
Communiquer et appliquer les règles de sécurité de l’information aux employés et fournisseurs.
Établir un processus disciplinaire clair pour les salariés ayant enfreint les règles liées à la sécurité de l’information.
Encadrement
Assurer une séparation des responsabilités entre fournisseurs et employés.
Communiquer et former les requis en matière de sécurité de l’information aux employés et fournisseurs.
Vérification
Effectuer une vérification des antécédents criminels reliés aux exigences métier.
Opérationnel
Actifs
Assurer un inventaire des actifs informationnels ainsi que son maintien.
Restitution des actifs informationnels lors de la fin d’emploi ou de contrat.
Disposer des supports amovibles et des disques durs conformément au plan de classification de l’information. Aucune donnée sensible ne doit se retrouver sur ces médias.
Gestion des environnements
Les zones sécurisées doivent être identifiées et contrôlées par des mécanismes de sécurité.
Les équipements doivent être protégés contre les menaces environnementales.
Effectuer une séparation logique des environnements de tests, de développement et de production.
Les actifs informationnels doivent être protégés des coupures de courant et de toutes autres perturbations dues à une défaillance des services.
Quotidien
Appliquer une politique de bureau propre et d’écran verrouillé.
Des mesures contre les logiciels malveillants doivent être mises en place.
Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions, les défaillances et les événements liés à la sécurité de l’information doivent être créés, tenus à jour et vérifiés régulièrement.
Opérationnel
Actifs
Assurer un inventaire des actifs informationnels ainsi que son maintien.
Restitution des actifs informationnels lors de la fin d’emploi ou de contrat.
Disposer des supports amovibles et des disques durs conformément au plan de classification de l’information. Aucune donnée sensible ne doit se retrouver sur ces médias.
Gestion des environnements
Les zones sécurisées doivent être identifiées et contrôlées par des mécanismes de sécurité.
Les équipements doivent être protégés contre les menaces environnementales.
Effectuer une séparation logique des environnements de tests, de développement et de production.
Les actifs informationnels doivent être protégés des coupures de courant et de toutes autres perturbations dues à une défaillance des services.
Quotidien
Appliquer une politique de bureau propre et d’écran verrouillé.
Des mesures contre les logiciels malveillants doivent être mises en place.
Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions, les défaillances et les événements liés à la sécurité de l’information doivent être créés, tenus à jour et vérifiés régulièrement.
Infrastructure
Standards d'hébergement
Héberger les données dans un centre de données canadien Tier 3, certifié SOC2.
Rendre disponible l’infrastructure à un taux de 99.9%.
Gestion de l'environnement
Valider et assurer le maintien de l’environnement de relève.
Assurer la gestion des accès logiques et physiques à l’environnement.
Maintenir une revue régulière des accès aux environnements.
Données
Assurer l’intégrité et la confidentialité des données.
Appliquer la politique de destruction des données lorsque nécessaire.
Infrastructure
Standards d'hébergement
Héberger les données dans un centre de données canadien Tier 3, certifié SOC2.
Rendre disponible l’infrastructure à un taux de 99.9%.
Gestion de l'environnement
Valider et assurer le maintien de l’environnement de relève.
Assurer la gestion des accès logiques et physiques à l’environnement.
Maintenir une revue régulière des accès aux environnements.
Données
Assurer l’intégrité et la confidentialité des données.
Appliquer la politique de destruction des données lorsque nécessaire.
Situations d’urgence
Gestion des situations d'urgence
Avertir les personnes concernées et prendre les actions nécessaires en cas d’anomalies liées à la sécurité.
Confier la prise de décision à un comité de gestion de crise en cas de situation représentant un niveau d’urgence élevé.
Communiquer l’état des services à sa clientèle.
Actions proactives
Gestion des accès
Les accès octroyés doivent être revus à intervalles réguliers.
L’allocation et l’utilisation des droits d’accès à hauts privilèges doivent être restreintes et contrôlées.
L’utilisation des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application doit être limitée et étroitement contrôlée.
Authentification
Les utilisateurs doivent suivre les pratiques de l’organisation pour l’utilisation des informations secrètes d’authentification.
Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent garantir la qualité des mots de passe.
L'accréditation IJPQ procure aux avocats et professionnels du droit du Québec la tranquillité d'esprit par la confidentialité et la sécurité de leurs données.
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
