EXIGENCES

Une accréditation complète qui assurent la sécurité et la confidentialité des données. 

Basés sur 4 grandes sphères, les critères de l’accréditation IJPQ permettent de valider l’ensemble des éléments essentiels pour garantir que l’entreprise et ses produits respectent les plus hauts standards de sécurité.
Gouvernance
Ressources humaines
Opérationnel
Infrastructure

Gouvernance

Politique de sécurité

  • Établir et fournir une politique de sécurité concernant ses services.
  • Effectuer une revue à intervalles réguliers de la politique de sécurité.
  • Posséder une politique de sécurité concernant les appareils mobiles.
  • Posséder une politique de sécurité concernant le télétravail.

Personnes responsables

  • Établir et communiquer les personnes responsables en matière de sécurité de l’information.
  • Séparation des tâches entre les domaines incompatibles afin de limiter les possibilités de modification ou de mauvais usage.
  • Assurer l’intégration de la sécurité de l’information dans la gestion de projet.

Actifs

  • Posséder une assurance cyber risque, erreurs et omissions et de responsabilité générale.
  • Établir un plan de classification des actifs et leur niveau de sensibilité.

Gouvernance

Politique de sécurité

  • Établir et fournir une politique de sécurité concernant ses services.
  • Effectuer une revue à intervalles réguliers de la politique de sécurité.
  • Posséder une politique de sécurité concernant les appareils mobiles.
  • Posséder une politique de sécurité concernant le télétravail.

Personnes responsables

  • Établir et communiquer les personnes responsables en matière de sécurité de l’information.
  • Séparation des tâches entre les domaines incompatibles afin de limiter les possibilités de modification ou de mauvais usage.
  • Assurer l’intégration de la sécurité de l’information dans la gestion de projet.

Actifs

  • Posséder une assurance cyber risque, erreurs et omissions et de responsabilité générale.
  • Établir un plan de classification des actifs et leur niveau de sensibilité.

Ressources humaines

Règles de sécurité

  • Communiquer et appliquer les règles de sécurité de l’information aux employés et fournisseurs.
  • Établir un processus disciplinaire clair pour les salariés ayant enfreint les règles liées à la sécurité de l’information.

Encadrement

  • Assurer une séparation des responsabilités entre fournisseurs et employés.
  • Communiquer et former les requis en matière de sécurité de l’information aux employés et fournisseurs.

Vérification

  • Effectuer une vérification des antécédents criminels reliés aux exigences métier.

Ressources humaines

Règles de sécurité

  • Communiquer et appliquer les règles de sécurité de l’information aux employés et fournisseurs.
  • Établir un processus disciplinaire clair pour les salariés ayant enfreint les règles liées à la sécurité de l’information.

Encadrement

  • Assurer une séparation des responsabilités entre fournisseurs et employés.
  • Communiquer et former les requis en matière de sécurité de l’information aux employés et fournisseurs.

Vérification

  • Effectuer une vérification des antécédents criminels reliés aux exigences métier.

Opérationnel

Actifs

  • Assurer un inventaire des actifs informationnels ainsi que son maintien.
  • Restitution des actifs informationnels lors de la fin d’emploi ou de contrat.
  • Disposer des supports amovibles et des disques durs conformément au plan de classification de l’information. Aucune donnée sensible ne doit se retrouver sur ces médias.

Gestion des environnements

  • Les zones sécurisées doivent être identifiées et contrôlées par des mécanismes de sécurité.
  • Les équipements doivent être protégés contre les menaces environnementales.
  • Effectuer une séparation logique des environnements de tests, de développement et de production.
  • Les actifs informationnels doivent être protégés des coupures de courant et de toutes autres perturbations dues à une défaillance des services.

Quotidien

  • Appliquer une politique de bureau propre et d’écran verrouillé.
  • Des mesures contre les logiciels malveillants doivent être mises en place.
  • Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions, les défaillances et les événements liés à la sécurité de l’information doivent être créés, tenus à jour et vérifiés régulièrement.

Opérationnel

Actifs

  • Assurer un inventaire des actifs informationnels ainsi que son maintien.
  • Restitution des actifs informationnels lors de la fin d’emploi ou de contrat.
  • Disposer des supports amovibles et des disques durs conformément au plan de classification de l’information. Aucune donnée sensible ne doit se retrouver sur ces médias.

Gestion des environnements

  • Les zones sécurisées doivent être identifiées et contrôlées par des mécanismes de sécurité.
  • Les équipements doivent être protégés contre les menaces environnementales.
  • Effectuer une séparation logique des environnements de tests, de développement et de production.
  • Les actifs informationnels doivent être protégés des coupures de courant et de toutes autres perturbations dues à une défaillance des services.

Quotidien

  • Appliquer une politique de bureau propre et d’écran verrouillé.
  • Des mesures contre les logiciels malveillants doivent être mises en place.
  • Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions, les défaillances et les événements liés à la sécurité de l’information doivent être créés, tenus à jour et vérifiés régulièrement.

Infrastructure

Standards d'hébergement

  • Héberger les données dans un centre de données canadien Tier 3, certifié SOC2.
  • Rendre disponible l’infrastructure à un taux de 99.9%.

Gestion de l'environnement

  • Valider et assurer le maintien de l’environnement de relève.
  • Assurer la gestion des accès logiques et physiques à l’environnement.
  • Maintenir une revue régulière des accès aux environnements.

Données

  • Assurer l’intégrité et la confidentialité des données.
  • Appliquer la politique de destruction des données lorsque nécessaire.

Infrastructure

Standards d'hébergement

  • Héberger les données dans un centre de données canadien Tier 3, certifié SOC2.
  • Rendre disponible l’infrastructure à un taux de 99.9%.

Gestion de l'environnement

  • Valider et assurer le maintien de l’environnement de relève.
  • Assurer la gestion des accès logiques et physiques à l’environnement.
  • Maintenir une revue régulière des accès aux environnements.

Données

  • Assurer l’intégrité et la confidentialité des données.
  • Appliquer la politique de destruction des données lorsque nécessaire.

Situations d’urgence

Gestion des situations d'urgence

  • Avertir les personnes concernées et prendre les actions nécessaires en cas d’anomalies liées à la sécurité.
  • Confier la prise de décision à un comité de gestion de crise en cas de situation représentant un niveau d’urgence élevé.
  • Communiquer l’état des services à sa clientèle. 

Situations d’urgence

Gestion des situations d'urgence

  • Avertir les personnes concernées et prendre les actions nécessaires en cas d’anomalies liées à la sécurité.
  • Confier la prise de décision à un comité de gestion de crise en cas de situation représentant un niveau d’urgence élevé.
  • Communiquer l’état des services à sa clientèle. 

Actions proactives

Gestion des accès

  • Les accès octroyés doivent être revus à intervalles réguliers.
  • L’allocation et l’utilisation des droits d’accès à hauts privilèges doivent être restreintes et contrôlées.
  • L’utilisation des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application doit être limitée et étroitement contrôlée.

Authentification

  • Les utilisateurs doivent suivre les pratiques de l’organisation pour l’utilisation des informations secrètes d’authentification.
  • Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent garantir la qualité des mots de passe.

Actions proactives

Gestion des accès

  • Les accès octroyés doivent être revus à intervalles réguliers.
  • L’allocation et l’utilisation des droits d’accès à hauts privilèges doivent être restreintes et contrôlées.
  • L’utilisation des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application doit être limitée et étroitement contrôlée.

Authentification

  • Les utilisateurs doivent suivre les pratiques de l’organisation pour l’utilisation des informations secrètes d’authentification.
  • Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent garantir la qualité des mots de passe.

Vous aimeriez obtenir plus d’informations ?

Contactez-nous
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from Youtube
Vimeo
Consent to display content from Vimeo
Google Maps
Consent to display content from Google
Spotify
Consent to display content from Spotify
Sound Cloud
Consent to display content from Sound