Première
Précédente
Vérification de la Gestion du centre de données
3.4 Gestion des risques
Les évaluations des menaces et des risques sont préparées et prises en compte de façon appropriée. Les comités d'examen analysent et évaluent le risque sur une base permanente. On étudie des problèmes et des incidents pour déterminer les causes profondes et cerner les changements qui s'imposent afin d'éviter qu'ils se reproduisent.
Il y a toutefois matière à amélioration dans le domaine suivant :
Constatation no 5.0 : Plans de continuité de la TI et des activités
Les plans de continuité de la TI et des activités du chef de l'informatique sont incomplets et ils n'ont pas été testés.
En vertu de la Norme opérationnelle de sécurité — Programme de planification de la continuité des activités (PCA) du Conseil du Trésor, les ministères doivent établir un programme de planification de la continuité des activités pour permettre la disponibilité continue :
- des services et des biens afférents qui sont essentiels à la santé, la sûreté, la sécurité et au bien-être économique des Canadiens et des Canadiennes ainsi qu'à l'efficacité du gouvernement. La non-disponibilité de ces biens et services pourrait causer un préjudice élevé aux Canadiens et aux Canadiennes ainsi qu'au gouvernement.
- de tout autre service ou bien dont la disponibilité est jugée importante selon une évaluation des menaces et des risques.
Comme en font état les objectifs de contrôle de l'information et des technologies associées (COBIT), les plans de continuité visent à réduire l'incidence d'une interruption majeure sur les fonctions et processus opérationnels clés. Ces plans devraient être fondés sur une bonne compréhension des risques liés aux répercussions éventuelles sur l'exploitation et répondre aux exigences en matière de résilience, de traitement d'appoint et de capacité de reprise de tous les services essentiels de TI. Ils devraient aussi prévoir les lignes directrices régissant l'utilisation ainsi que les rôles et responsabilités, les procédures, les processus de communication et l'approche concernant les tests et essais.
L'équipe de vérification a examiné deux plans de continuité des activités (un plan adapté pour la grippe H1N1 et un pour les services du chef de l'informatique). Aucun de ces plans ne contenait tous les éléments requis dans un plan de continuité des activités détaillé. En ce qui a trait au plan de continuité des activités pour les services du chef de l'informatique, les documents sont encore à l'état d'ébauche. En outre, ces plans ne prévoient pas d'approche concernant les tests et essais.
Si aucun plan de continuité de la TI détaillé n'est adopté et mis à l'essai, le risque de défaillance imprévue du centre de données qui nuirait à l'exécution des programmes d'Industrie Canada pendant une période plus longue se trouve accru.
Recommandation no 5.0
Le chef de l'informatique devrait veiller à ce que son Plan de continuité de la TI et son Plan de continuité des activités soient finalisés et mis à l'essai sur une base périodique.
- Date de modification :
