Sécurité matérielle du Ministère

RESPONSABILITÉS

1. Le commissaire adjoint, Opérations et programmes correctionnels, est responsable de l’élaboration et de l’approbation des lignes directrices à l’appui de toutes les directives en matière de sécurité ministérielle.
2. Le directeur général, Sécurité, assurera la liaison entre les membres du Comité de direction et ceux du Comité consultatif sur la sécurité. De plus, il présidera le Comité, lequel supervise les orientations en matière de sécurité ministérielle au sein du SCC.
3. L’agent de sécurité du Ministère (ASM) :
   1. assurera une approche normalisée de la sécurité ministérielle au sein de l’organisation
   2. agira comme expert en normes de Sécurité matérielle du Conseil du Trésor qui s'appliquent à toutes les installations du SCC.
4. Le directeur général, Services techniques et installations :
   1. agira comme expert en exigences relatives à la Sécurité technique auprès des établissements, des centres correctionnels communautaires (CCC) et des bureaux de libération conditionnelle du SCC
   2. assurera une liaison étroite avec la Division de la sécurité du Ministère concernant les questions de sécurité ministérielle
   3. approuvera et supervisera les projets de construction, de rénovation et de réaménagement des installations du SCC.
5. Les sous-commissaires régionaux veilleront à ce que la présente directive soit mise en application dans toutes les installations du SCC.
6. Les responsables des activités de sécurité ministérielle désignés dans les régions :
   1. veilleront à ce qu’une Évaluation de la menace et des risques (EMR) soit effectuée et à ce que des mesures de sécurité soient en place pour assurer la sûreté et la sécurité des personnes, des renseignements et des biens du SCC
   2. veilleront à ce que les lacunes constatées soient corrigées et à ce que les mesures correctives soient prises
   3. enquêteront sur tous les incidents de sécurité et toutes les atteintes à la sécurité
   4. collaboreront avec le gestionnaire régional, Sécurité de la technologie de l’information (GRSTI), afin de cerner et de valider les risques afférents à la sécurité de la technologie de l'information, conformément à la DC 225 – Sécurité en matière de technologie de l’information
7. Les gestionnaires de tous les niveaux respecteront la Norme opérationnelle sur la Sécurité matérielle du Conseil du Trésor ainsi que les instruments de politique, lignes directrices et outils de la GRC dans les domaines suivants :
   1. la sécurité matérielle
   2. la protection des renseignements et des biens
   3. la protection des installations
   4. la protection de toutes les personnes.
8. Les personnes mettront en application les exigences de Sécurité matérielle et les mesures de protection en conformité avec la Norme opérationnelle sur la Sécurité matérielle du Conseil du Trésor.

PROCÉDURES RELATIVES À LA SÉCURITÉ MATÉRIELLE

9. Les menaces et les risques résiduels constatés dans le cadre de l’EMR seront contrés grâce à la mise en place de mesures de protection appropriées pour réduire les risques à un niveau acceptable. Ces mesures de protection doivent être conformes à la Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor et aux critères techniques du SCC s’appliquant aux établissements correctionnels.
10. Tous les incidents de sécurité, toutes les atteintes à la sécurité et toutes les lacunes connexes seront signalés conformément à la DC 568-1 – Consignation et signalement des incidents de sécurité.

Normes régissant les installations

11. Les normes visant les bureaux et les administrations (p. ex., l’administration centrale et les administrations régionales, y compris les bureaux dans les établissements), les entrepôts ou autres installations non précisées du SCC sont régies par les obligations du SCC en vertu de la Politique sur la sécurité du gouvernement les normes qui y sont associées et les critères techniques du SCC s’appliquant aux établissements correctionnels.
12. Lorsqu’il est simplement l’occupant d’une installation, le SCC doit informer l’organisation ou le ministère gardien de ses exigences en matière de sécurité afin de déterminer son emplacement et de prendre les dispositions nécessaires pour respecter ces exigences
13. Lorsqu’il est le gardien d’une installation qu’il partage avec d’autres organisations, le SCC doit prendre les mesures appropriées indiquées dans l’EMR afin de préserver la sécurité du bâtiment et de ses occupants, en tenant compte des risques générés par chacun.
14. Lorsqu’un bureau du SCC est situé dans un immeuble à locataires multiples, les murs mitoyens seront construits conformément au Guide de la GRC G13-02 Mur mitoyen sécuritaire.
15. Le SCC doit veiller à ce que l’accès aux biens et aux renseignements protégés et classifiés, de même que les mesures prises pour les protéger, soit fondé sur une hiérarchie de zones qui est nettement discernable. Il y a cinq zones qui devraient être appliquées en fonction de l’EMR, selon les définitions contenues dans le Guide de la GRC G1-026 Guide pour l’établissement des zones de sécurité matérielle : (Note : La zone accessible aux détenus/délinquants a été ajoutée à la hiérarchie des zones du Conseil du Trésor afin de répondre aux exigences opérationnelles du SCC.)
1. zone d’accès public
2. zone d’accueil
3. zone accessible aux détenus/délinquants (les renseignements protégés et classifiés ne doivent être ni conservés ni traités dans cette zone, sauf en cas de nécessité et uniquement si les détenus/délinquants sont sous surveillance directe)
4. zone de travail (il faut à tout le moins traiter et conserver les renseignements protégés A et B et les renseignements confidentiels dans cette zone)
5. zone de sécurité (il faut à tout le moins traiter et conserver les renseignements protégés C et les renseignements secrets et très secrets dans cette zone)
6. zone de haute sécurité

La définition de chacune de ces zones et des exemples des biens qui s’y trouvent selon leur niveau de sensibilité sont présentés à l’annexe A, et les mesures minimales de protection sont définies à l’annexe B de la Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor.

Contrôle de l’accès

16. Le contrôle de l’accès à toutes les installations autres qu’un établissement désigné (p. ex., l’administration centrale, les administrations régionales, CORCAN et les centres de formation locaux) est défini dans la Norme opérationnelle sur la Sécurité matérielle du Conseil du Trésor et dans le Guide de la GRC G1-024 Contrôle de l’accès.
17. Toutes les mesures de contrôle de l’accès aux établissements sont définies dans la DC 566-1 – Contrôle des entrées et sorties des établissements.

Normes d’entreposage

18. L’annexe B de la Norme opérationnelle sur la Sécurité matérielle du Conseil du Trésor définit les normes minimales et les équipements de sécurité requis pour l’entreposage des biens, selon le niveau de sensibilité, de protection et de classification des renseignements et des biens.
19. Selon la Norme opérationnelle sur la Sécurité matérielle du Conseil du Trésor, tous les employés qui travaillent à l’extérieur du Ministère doivent protéger les renseignements conformément aux normes minimales précisées à l’annexe B. La Politique de télétravail du Conseil du Trésor apporte des précisions connexes.
20. Les entrepreneurs doivent se conformer aux exigences de sécurité précisées dans le contrat et dans la Liste de vérification des exigences relatives à la sécurité (LVERS).
21. L’entreposage de renseignements protégés et/ou classifiés sur rayons ouverts doit être conforme à la section 7.6.7 Pièces sécuritaires de la Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor et au Guide de la GRC G13-01 Pièces d’entreposage sécuritaire.

Normes de transport et de transmission des renseignements

22. Des normes régissant le transport et la transmission de biens protégés et classifiés ont été établies et sont présentées à l’annexe C de la Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor.
23. Le Guide de la GRC G1-009 transport et transmission de renseignements protégés ou classifiés

s’applique dans de telles circonstances.

Normes de destruction du matériel et des renseignements

24. Chaque unité doit suivre les procédures approuvées par le SCC pour la destruction des biens précieux, protégés et classifiés. Il faut communiquer avec la Division de la gestion de l'information à l’administration centrale, le registre central ou le bureau central des dossiers pour obtenir d’autres consignes et directives.
25. Il faut se doter de normes et de mécanismes de destruction différents pour les biens protégés et classifiés :
    1. les renseignements protégés A et B sur support papier doivent être détruits à la taille de déchiquetage maximale, conformément au Guide de la GRC G1-001 Guide d’équipement de sécurité, section Guide de sélection de l’équipement de destruction
    2. les renseignements protégés C et tous les niveaux de renseignements classifiés sur support papier doivent êtres détruits par déchiqueteuse approuvée selon leur niveau de classification, en conformité avec le Guide de la GRC G1-001 Guide d’équipement de sécurité, section Guide de sélection de l’équipement de destruction.
26. La personne chargée de détruire du matériel protégé ou classifié doit posséder une cote de fiabilité valide ou une cote de sécurité appropriée selon le matériel détruit.
27. Les fournisseurs de services de destruction approuvés, en vertu d’un contrat ou d’une offre à commandes, par la Direction de la sécurité industrielle canadienne de Travaux publics et Services gouvernementaux Canada peuvent détruire des renseignements protégés A et B uniquement, et ils peuvent le faire sans être accompagnés d’un employé du SCC si toutes les autres exigences en matière de destruction sécuritaire prévues à la section du Guide de la GRC G1-001 Guide d’équipement de sécurité, section Guide de sélection de l’équipement de destruction

, sont respectées. En ce qui concerne les renseignements classifiés et protégés C, toutes les étapes du processus de destruction, de la cueillette au transport, jusqu’à la destruction définitive, doivent être réalisées sous la surveillance constante d’un employé du Service détenant une cote de sécurité valide.

Les renseignements sur support électronique doivent être détruits en conformité avec les guides et rapports sur la sécurité des technologies de l'information contenus dans la publication du Centre de la sécurité des télécommunications Canada, Effacement et déclassification des supports d’information électroniques – ITSG-06.

DEMANDES DE RENSEIGNEMENTS

29. Division de la politique stratégique
    Administration centrale
    Courriel : Gen-NHQPolicy-Politi@csc-scc.gc.ca

Le Commissaire,

Original signé par :
Don Head

ANNEXE A

RENVOIS

• DC 225 – Sécurité en matière de technologie de l’information
• DC 564 – Sécurité ministérielle
• DC 566-1 – Contrôle des entrées et sorties des établissements
• DC 568-1 – Consignation et signalement des incidents de sécurité
• Effacement et déclassification des supports d’information électroniques – ITSG-06 du Centre de la sécurité des télécommunications Canada
• Guide de la GRC G1-001 Guide d’équipement de sécurité (l’accès est réservé aux ministères et organismes du gouvernement du Canada)
• Guide de la GRC G1-009 Transport et transmission de renseignements protégés ou classifiés (l’accès est réservé aux ministères et organismes du gouvernement du Canada)
• Guide de la GRC G1-024 Contrôle de l’accès
• Guide de la GRC G1-025 Protection, détection et intervention
• Guide de la GRC G1-026 Guide pour l’établissement des zones de Sécurité matérielle
• Guide de la GRC G13-01 Pièces d’entreposage sécuritaire
• Guide de la GRC G13-02 Mur mitoyen sécuritaire
• Lignes directrices et rapports sur la sécurité des TI de la GRC
• Politique de télétravail du Conseil du Trésor
• Norme opérationnelle sur la Sécurité matérielle du Conseil du Trésor

DÉFINITIONS

Les définitions fournies ci-après ont été adoptées aux fins de l’élaboration de la présente directive (au sens de la politique du Conseil du Trésor).

Biens : éléments d’actifs corporels ou incorporels du gouvernement du Canada. Ce terme s’applique, sans toutefois s’y limiter, aux renseignements, sous toutes leurs formes et quel que soit leur support, aux réseaux, aux systèmes, au matériel, aux biens immobiliers, aux ressources financières, à la confiance des employés et du public, et à la réputation internationale.

Biens classifiés : biens dont la compromission risquerait vraisemblablement de porter préjudice à l’intérêt national.

Biens ou renseignements protégés : biens ou renseignements pouvant être visés par une exemption ou une disposition d’exclusion de la Loi sur l’accès à l’information ou de la Loi sur la protection des renseignements personnels parce que l’on peut raisonnablement s’attendre à ce que leur divulgation compromette l’intérêt non national.

Information : donnée, publication ou autre document, sous toute forme, qui est recueilli, créé ou reçu et qui est conservé à titre d’élément de preuve en exécution d'obligations légales ou dans le déroulement des activités.

Installation : désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d’un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n’est pas un immeuble. Le terme désigne non seulement l’objet même mais aussi son usage (p. ex., champs de tir, terres agricoles).

Matériel : objet corporel à l’exclusion de ceux qui renferment des renseignements.

Menace : tout événement ou acte éventuel, délibéré ou accidentel, qui pourrait porter préjudice aux employés ou aux biens.

Ministère gardien : ministère responsable de l’administration d’un immeuble attribué à d’autres ministères au titre de l’exécution de programmes gouvernementaux.

Protection : en matière de sécurité matérielle, « protection » désigne le recours à des obstacles matériels, psychologiques et de procédure visant à retarder l’accès non autorisé ou à exercer un effet dissuasif à cet égard, y compris les obstacles visuels et auditifs.

Renseignements classifiés : renseignements d’intérêt national susceptibles d’être visés par une exclusion ou une exception en vertu de la Loi sur l’accès àl’information ou de la Loi sur la protection des renseignements personnels, et dont la compromission risquerait vraisemblablement de porter préjudice à l’intérêt national.

Risque : possibilité qu’une vulnérabilité soit exploitée.

Sécurité matérielle : mesures de sauvegarde matérielle pour empêcher ou retarder l’accès non autorisé aux biens, pour détecter l’accès non autorisé recherché et obtenu et pour déclencher une intervention appropriée.

Zone accessible aux détenus/délinquants : zones auxquelles les délinquants peuvent accéder sans escorte, à l’intérieur ou à l’extérieur des établissements correctionnels. Exemples : le terrain délimité par une clôture autour d’un établissement correctionnel fédéral, certains secteurs à l’intérieur des établissements correctionnels fédéraux, des centres correctionnels communautaires et des bureaux de libération correctionnelle.

Zone d’accès public : zone où l’accès est libre pour le public et qui entoure habituellement un immeuble gouvernemental ou en fait partie. Exemples : les terrains entourant un immeuble et les corridors publics, ainsi que les vestibules d’ascenseur dans des immeubles à plusieurs occupants. Dans les établissements à sécurité moyenne et maximale du SCC, la zone d’accès public se trouve à l’extérieur de la clôture qui entoure l’établissement.

Zone d’accès restreint : zones de travail où l’accès sans escorte est strictement limité aux personnes autorisées et ayant été soumises à une enquête de sécurité, incluant les zones de travail, de sécurité et de haute sécurité.

Zone d’accueil : où la transition d’une zone d’accès public à une zone à accès restreint est délimitée et contrôlée. Elle est située généralement à l’entrée de l’immeuble où survient le premier contact entre le public et le ministère, y compris des endroits où des services sont fournis et où des renseignements sont échangés. L’accès au public peut être restreint pendant certaines heures de la journée ou pour des motifs particuliers.

*Zone de haute sécurité : zone dont l’accès est limité au personnel autorisé qui détient une cote de sécurité valide et de niveau approprié et aux visiteurs autorisés et accompagnés comme il se doit; elle doit être indiquée au moyen d’un périmètre bâti selon les caractéristiques techniques recommandées dans l’EMR, surveillée continuellement (jour et nuit, sept jours par semaine) et être un secteur où les détails de l’accès sont enregistrés et vérifiés. Exemple : une zone où des biens de grande valeur sont manipulés par des employés sélectionnés.

*Zone de sécurité : zone dont l’accès est limité au personnel autorisé et aux visiteurs autorisés et accompagnés comme il se doit; elle doit être indiquée par un périmètre reconnaissable et surveillée continuellement (jour et nuit, sept jours par semaine). Exemple : une zone où des renseignements protégés C et des renseignements secrets sont traités et/ou conservés.

*Zone de travail : secteur dont l’accès est limité au personnel qui y travaille et aux visiteurs accompagnés comme il se doit; elle doit être indiquée par un périmètre reconnaissable et surveillée sur une base périodique. Exemples : les espaces à bureaux à aire ouverte types, les secteurs où des renseignements protégés A ou B sont traités et/ou mis en sécurité ou les locaux types abritant des installations électriques ou de télécommunication ou le réseau local.

Zones : série d’espaces nettement discernables permettant de contrôler progressivement l’accès.

*Les trois zones suivantes sont des zones d’accès restreint strictement réservées aux personnes autorisées et ayant été soumises à une enquête de sécurité ainsi qu’aux visiteurs accompagnés comme il se doit : zone de travail, zone de sécurité et zone de haute sécurité.