CAN/DGSI 100-8:2023

La présente norme vise à spécifier les exigences minimales que les organisations doivent respecter pour protéger les données en leur possession des risques territoriaux tout en profitant des avantages des écosystèmes technologiques mondiaux. Elle n’a pas pour but de dicter la façon dont les organisations devraient mettre en place certaines mesures de sécurité en particulier. Elle servira plutôt à les guider à l’aide d’approches indépendantes des technologies utilisées et des instances compétentes, qui peuvent s’adapter aux exigences individuelles. Elle aborde les points suivants : ? Recensement et catégorisation des données ? Élaboration d’un modèle adéquat de lutte aux menaces ? Recensement des risques, notamment dans la législation d’administrations étrangères ? Options d’atténuation de ces risques La présente norme s’applique à tous les secteurs : sociétés ouvertes ou fermées, organismes gouvernementaux et organismes sans but lucratif. Elle suppose que l’organisation qui la met en oeuvre possède déjà des politiques et des procédures de gestion du risque. Note : À l’application de cette norme, pour ce qui est des renseignements personnels, les définitions administratives, légales et réglementaires locales s’appliquent.