Nom de l'objet à protéger
INTERNE
Analyse des besoins de protection <Nom de l'objet à protéger>
Nom du projet / Nom de l'objet à protéger
Nom de l'objet à protéger
Processus d'affaires pris en charge
Responsable du processus d'affaires
Chef de projet
Responsable de la sécurité de l'information et de la protection des données (resp. SIPD)
Délégué à la sécurité informatique DSIO
Document rempli par
Résultat de l'évaluation
Confidentialité: Le traitement des données personnelles ne présente pas de risque élevé selon l'examen préalable des risques
Classification: INTERNE
Pas d'exigences accrues en matière de confidentialité
Disponibilité: Plus de 12 heures
24 heures
ITSCM / BCM non nécessaire
Intégrité: Pas d'exigences spéciales
Traçabilité: Pas d'exigences spéciales
Contrôle des modifications
Version Date Nom / Remarque
Le présent document est valable au maximum cinq ans.
Signatures Date / Nom / Signature
Contrôlé par: DSIO
Approuvé par: mandant
Approuvé par: responsable du processus d'affaires
Autres signatures
Nom de l'objet à protéger
INTERNE
Critères Questions Réponses (liste déroulante à choix)
Commentaires, justifications Remplir toutes les lignes
Confidentialité Des données personnelles seront- elles traitées [par le biais de cet objet à protéger] au sens de la législation sur la protection des données? Si oui, en résulte-t-il un risque élevé pour les droits fondamentaux des personnes concernées? Si oui: l'AIPD a-t-il été rempli?
Le traitement des données personnelles ne présente pas de risque élevé selon l'examen préalable des risques
[L'objet à protéger] traite-t-il des informations classifiées au sens de l'ordonnance concernant la loi sur la sécurité de l’information (LSI)? Si oui, quels sont les niveaux de classification (cf. art.
18 à 20 LSI)
concernés?
Classification: INTERNE
[L'objet à protéger] traite-t-il des informations ou données de-vant être particulièrement protégées pour une autre raison (législations spécifiques)? Si oui, quel est le degré des exi-gences en matière de protection?
Pas d'exigences accrues en matière de confidentialité
Disponibilité Durée de défaillance maximale admissible?
Plus de 12 heures
Perte de données maximale admissible?
24 heures
La gestion de la continuité des services informatiques (ITSCM) est-elle pertinente [pour l'objet à protéger], vu qu'elle fait partie de la gestion de la continuité des affaires (BCM) pour les processus critiques?
ITSCM / BCM non nécessaire
Intégrité L'authenticité, l'exactitude et/ou l'intégrité des données doivent-elles pouvoir être garanties?
Pas d'exigences spéciales
Traçabilité Certains processus de travail doivent-ils pouvoir être retracés?
Pas d'exigences spéciales
Nom de l'objet à protéger
INTERNE
Description du projet ou de l'objet à protéger
Partenaire de communication et stockage des données
Partenaire de communication (au niveau du réseau)
Accès interne?
Oui Si non, vérifier dans quelle mesure le système doit vraiment être exploité dans le réseau de l'organisation
Accès externe (Internet)?
Non Si oui, vérifier les modalités d'accès dans la matrice d'accès.
Stockage des données
Interne? Oui Aucune exigence qui n'outrepasse celles de la protection informatique de base dans l'administration fédérale.
Externe (Internet)?
Non Si oui, vérifier si le stockage des données en dehors de l'organisation est autorisé. Si les données sont stockées au moyen d'une solution en nuage (cloud), il faut alors examiner les recommandations de sécurité sur l'informatique en nuage du NCSC.
Esquisse de l'architecture
Les feuilles suivantes font partie de l'analyse des besoins de protection:
Page de garde: - À remplir entièrement. - Le résultat de la classification est issu de la feuille «Evaluation». - Dans cette feuille, les couleurs des champs permettent de faire ressortir clairement si les besoins de sécurité sont normaux ou accrus et d'en déduire les exigences qui conviennent en matière de protection. --> Voir les explications plus bas Évaluation: - Sélectionner une réponse dans la liste déroulante de la colonne «Réponses» pour chaque ligne. - Remplir la colonne «Commentaires, justifications» de manière à la fois précise et concise. Description: - Description détaillée du projet ou de l'objet à protéger. - Remplir les partenaires de communication et le stockage des données. - Une première esquisse architecturale doit être insérée ici (en lieu et place de l'exemple). Elle peut éventuellement faire l'objet d'un document séparé. Dans ce cas, on mentionnera dans cette feuille de calcul comment s'appelle ce document, quelle version se réfère à cette analyse des besoins de protection et où il est enregistré.
Besoin de protection accru: Le besoin de protection est considéré comme accru dès que l’un des champs d’évaluation de la confidentialité est surligné en rouge ou lorsque plus de deux critères en matière de disponibilité, d’intégrité ou de traçabilité sont surlignés en rouge. Si une protection accrue est nécessaire, il convient d’élaborer au titre de l’art. 14d OPCy un concept de sécurité de l’information et de protection des données (concept SIPD). En plus de la mise en œuvre des directives en matière de sécurité relevant de la protection de base, d’autres mesures de sécurité spécifiques au projet ou à l’objet informatique à protéger doivent être définies sur la base d’une analyse des risques, documentées et mises en œuvre. Si les exigences sont plus élevées uniquement dans les domaines de la disponibilité, de l’intégrité ou de la traçabilité (deux critères au maximum), des mesures supplémentaires en matière de sécurité doivent être énoncées à titre d’extension de la protection de base, de préférence dans le document «Mise en œuvre des mesures de protection informatique de base dans l’administration fédérale», par exemple par l’ajout d’un chapitre. Mise en œuvre de la protection informatique de base: La mise en œuvre des prescriptions de sécurité minimales (protection informatique de base) doit être documentée. Pour cela, le document «Mise en œuvre des mesures de protection informatique de base» est à votre disposition sur le site internet d'application des assurances sociales (https:// sozialversicherungen.admin.ch/fr/, eGov, modèles). L'analyse des besoins de protection est valable durant cinq ans au maximum.