Ligne directrice sur l’élaboration d’un plan de sécurité ministériel (PSM) GÉNÉRAL juin 2010
Aperçu Contexte de politique Plan ministériel de sécurité – Aperçu Gestion intégrée des risques liés à la sécurité Processus d’élaboration du PSM Modèle du PSM Succession d’activités pour l’élaboration d’un PSM Présenter les grandes lignes de la présentation Prévoir passer environ 10 minutes pour laisser du temps pour les commentaires et les questions.
Contexte de politique La Politique sur la sécurité du gouvernement (PSG) définit les exigences envers l’administrateur général qui consistent à : approuver le plan de sécurité ministériel qui détaille les décisions en matière de gestion de risques liés à la sécurité et expose les stratégies, les buts, les objectifs et les échéanciers élaborés en vue d'améliorer la sécurité ministérielle; voir à ce que les gestionnaires de tous niveaux intègrent les exigences relatives à la gestion de la sécurité et de l'identité aux plans, aux programmes, aux activités et aux services. La Directive sur la gestion de la sécurité ministérielle (DGSM) définit les exigences envers les autres personnes du ministère : les agents de sécurité du ministère (ASM) doivent élaborer, mettre en œuvre, surveiller et actualiser le PSM; les praticiens de la sécurité doivent participer à l’évaluation des menaces et des risques et contribuer à l’élaboration du PSM; les gestionnaires de tous niveaux doivent évaluer les risques pour la sécurité et accepter officiellement les risques résiduels ou en recommander l'acceptation tels que définis dans le PSM. La Ligne directrice sur l’élaboration d’un plan PSM : fournit de l’information supplémentaire facultative sur les méthodes acceptables de mise en œuvre des exigences de la politique; permet la discrétion, la flexibilité et la prise de risques réfléchis.
Responsabilités définies dans la DGSM Section 1.2 La période de transition en vue de la pleine mise en œuvre des exigences liées au plan de sécurité ministériel énoncées aux sections 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.8, 6.1.11, 6.1.12, 6.1.21 et 6.1.23 a débuté le 1er juillet 2009 et prendra fin le 30 juin 2012. ASM Planification Plan de sécurité ministériel Coordonner la mise en œuvre avec les praticiens de la sécurité Évaluer et établir des rapports Faire des mises à jour à la lumière des résultats de la mesure du rendement Gestion des risques pour la sécurité Obtenir l’acceptation officielle des risques résiduels Mesure du rendement Continue, afin de maintenir un niveau acceptable de risques résiduels Programme d'assurance de la qualité Praticiens de la sécurité Évaluations des risques Élaboration du PSM Gestionnaires de tous niveaux Évaluation des risques Acceptation des risques résiduels
Plan de sécurité ministériel – Aperçu Est présenté comme un nouvel élément de la PSG et de la DGSM. Offre à l’administrateur général et aux cadres supérieurs un moyen de discuter de différents risques liés à la sécurité, de les comparer et de les évaluer, sur la même base. Se concentre stratégiquement sur les initiatives et les buts de haut niveau. Démontre la façon dont la sécurité appuie les opérations et les priorités ministérielles. Donne des détails sur les décisions de gestion des risques en matière de sécurité qui ont été identifiés par le biais d’évaluations des risques. Fournit de l’information sur le rendement pour évaluer la façon dont les contrôles de sécurité gèrent les risques et atteignent les objectifs de contrôle (résultats escomptés). Fournit de l’information sur les plans de sécurité opérationnels (p. ex., les plans de projet) et annuels (p. ex., les plans de travail), et est appuyé par ceux-ci. Est mis à jour régulièrement ou lorsque les circonstances changent. Mentionner quelques mots au sujet de la planification et du fait que cet élément ait été mis en évidence comme une priorité dans les trois derniers rapports du greffier sur le renouvellement des plans de sécurité. Présenté comme un nouvel élément de la PSG et de la DGSM visant à améliorer les pratiques et les responsabilités en matière de gestion. La ligne directrice présente une approche pour élaborer un PSM qui: Offre un moyen de fournir aux cadres supérieurs et aux administrateurs généraux une vision intégré des exigences en matière de sécurité ministérielle qui s’harmonise avec les affaires du ministère - en d’autres mots, qui s’harmonise avec l’architecture des activités de programmes (AAP); En d’autres mots, la sécurité s’harmonise avec les priorités, les programmes, les plans et les processus stratégiques ainsi que les autres pratiques au sein de chaque ministère. Présente des stratégies, des objectifs des priorités, etc. basées sur une analyse fiable des risques pour la sécurité dont les résultats peuvent être suivis et réévalués et auxquels on peut se référer, au besoin. Les étapes sont basées sur des principes reconnus et des pratiques exemplaires liées à la planification et à la gestion du risque. Ils ont été regroupés à partir des instruments de politique et des lignes directrices du Conseil du Trésor, des rapports d’autres compétences, de l’industrie privée et d’autres pays et à partir d’organisme rédacteur de normes comme l’Organisation internationale de normalisation (ISO) et le National Institute of Standards and Technology (NIST). La planification de la sécurité ministérielle ne devrait pas seulement avoir lieu dans le cadre du programme de sécurité, mais plutôt en tant que partie intégrante de la planification et de la gestion du risque du ministère. La planification de la sécurité ministérielle est un processus itératif continu qui ne devrait pas avoir lieur uniquement dans le cadre du programme de sécurité, mais qui devrait être une partie intégrante des activités ministérielles de planification et de gestion du risque.
Objectif et portée de la Ligne directrice Clarifie les exigences des politiques en rendant une intention générale par des étapes concrètes. Vise les ASM, les praticiens de la sécurité, et les gestionnaires de tous niveaux (rôles particuliers et responsabilités présentés dans la DGSM). Décrit une approche pour élaborer un PSM selon un processus de gestion des risques en matière de sécurité qui prend en compte les risques pour tous les programmes et toutes les ressources (information, biens, services et personnes). Voit à ce que les décisions de gestion des risques puissent être justifiées au moyen d’analyses approfondies et appuyées par des processus rigoureux, reproductibles et documentés.
Gestion des risques pour la sécurité Est un élément d’une pratique globale de gestion du risque pour évaluer et gérer les risques pour la sécurité des ressources (information, biens, services et personnes) essentielles à la mise en œuvre des programmes et à l’atteinte des objectifs opérationnels. Lie la sécurité des ministères à la gestion globale, à la planification opérationnelle et aux activités ministérielles de gestion du risque (telles qu’elles sont définies dans le Rapport sur les plans et les priorités (RPP), l’architecture des activités de programmes (AAP) et d’autres plans). Fournit un point de vue global sur la sécurité ministérielle, permet ou gêne l’atteinte des objectifs opérationnels et des impératifs en matière de prestation de services à tous les niveaux (stratégie, activités de programmes, opérations).
Gestion intégrée des risques pour la sécurité Ministère Programme Opérations Activités de programmes Sous-sous-activités Sous-activités Information Biens Services Personnes Résultats stratégiques Risques de sécurité stratégiques Risques de sécurité opérationnels La gestion des ressources en équipe (CRM) a lieu au sommet de l’image (stratégie, programme). La gestion des risques en matière de sécurité tend à avoir lieu à la base (les évaluations de la menace et des risques et l’évaluation des risques sur les systèmes, les installations et les autres biens essentiels). L’approche intégrée aidera à réduire les écarts. La gestion des risques en matière de sécurité doit adopter une vision plus holistique des risques en matière de sécurité du ministère et explorer les possibilités d’être intégré au CRM et CRP. De plus, il faut que l’accent soit davantage mis sur la gestion des risques en matière de sécurité aux niveaux des activités de programme et des sous activités. Des différentes méthodologies devront être employées selon le niveau d’évaluation du risque menée – les évaluations des risques sur le plan opérationnel pourraient exiger une méthodologies plus rigoureuse qui évaluera les risques. L’intégration est le fait de regrouper les plans, les activités et le processus de façon à ce qu’ils s’harmonisent entre eux dans le but d’atteinte des objectifs opérationnels communs. L’harmonisation est le fait de lier les objectifs à court et à long terme aux résultats stratégiques et aux activités de programme du ministère définies dans leur AAP. Il se peut que de nombreuses évaluations du risques soient menées et harmonisées pour fournir une vision à l’échelle du ministère. Il est important de considérer comment chaque évaluation est liée aux autres évaluations du risque et commet les résultats peuvent être harmonisés et comparés et, au besoin, intégrés au PMS. L’élément clé dont il faut se rappeler dans ce graphique est que toutes les évaluations du risque doivent tenter de fournir une vision intégrée des risques en matière de sécurité qui s’harmonise avec le priorités stratégiques. Remarque « opérations » - est-ce que ce terme décrit adéquatement ce niveau de gestion des risques en matière de sécurité ? Est-ce que « tactiques « serait un terme plus approprié?
Processus d’élaboration du PSM Le processus reflète les exigences de la DGSM : Établissement du contexte – Renferme une vision commune des exigences en matière de sécurité ministérielle. Évaluation des risques pour la sécurité – Définit les menaces à la sécurité, les risques et les vulnérabilités afin de fixer un ensemble approprié d'objectifs de contrôle. Gestion des risques pour la sécurité – Définit et établit, au besoin, des mesures de contrôle minimales supplémentaires en vue d'atteindre les objectifs en matière de contrôle et un niveau acceptable de risques résiduels. Mise en œuvre, suivi, mise à jour – Énonce des stratégies, des objectifs, des priorités et des délais pour améliorer la posture de sécurité du ministère.
Processus d’élaboration du PSM Établissement du contexte Contexte opérationnel Contexte organisationnel Contexte de la sécurité Méthode d’élaboration du PSM Méthode de gestion des risques en matière de sécurité Évaluation des risques en matière de sécurité Détermination des risques Analyse des risques Évaluation des risques Traitement des risques en matière de sécurité Décisions relatives à la traitement des risques liés à la sécurité Objectifs des contrôles de sécurité Contrôles de sécurité Indicateurs de rendement Analyse des écarts Priorités Mise en œuvre, suivi et mise à jour Stratégie de mise en œuvre Surveillance Établissement de rapports Mise à jour Processus de gestion des risques en matière de sécurité Plan de sécurité ministériel Communication et consultation Rétroaction / mise à jour Le but de présenter ce processus est d’aider les ministères à définir, ou selon le besoin, à redéfinir l’approche d’élaboration d’un PSM fondée sur les résultats de la gestion des risques en matière de sécurité et qui prend en compte le contexte unique et les exigences de chaque ministère. Il ne s’agit pas d’une méthodologie – c’est plutôt un moyen de positionner la réalisation d’évaluations de risques pour la sécurité en lien avec les opérations, les activités d’exploitation, le mandat et les objectifs stratégiques du ministère, peu importe leur ampleur ou leur profondeur. Communication et consultation (participation des intervenants) Il s’agit d’un échange constant d’information pertinente qui devrait avoir lieu à toutes les étapes du processus d’élaboration du PSM. La communication et la consultation démontrent que les intervenants ont participé à l’élaboration du PSM et que leurs commentaires et leurs préoccupations ont été considérés. Le processus de gestion des risques en matière de sécurité est un mélange de différents modèles de planification et de gestion du risque qui sont décrits dans des documents de référence utilisés pour élaborer la présente ligne directrice. Il s’agit d’un processus générique qui a été planifié selon les exigences obligatoires de la PSG et de la DGSM de manière à assurer le respect des conditions et l’objectif des exigences de la Politique. Le PSM offre à l’administrateur général et aux cadres supérieurs une vision intégrée des exigences ministérielles en matière de sécurité selon les résultats de la gestion des risques en matière de sécurité. Il devrait être actualisé et révisé régulièrement pour voir à ce que les ressources soient allouées de façon efficace pour atteindre les résultats et pour assurer des liens continus entre les Structure de gestion, des ressources et des résultats (SGRR), le Rapport ministériel sur le rendement (RMR), le Rapport sur les plans et les priorités (RPP), etc.
Modèle du PSM Élément du PSM Approbation Une déclaration de l’administrateur général (ou l’équivalent) pour appuyer les décisions concernant le traitement des risques et le soutien à l’égard de la mise en œuvre de contrôles et d’indicateurs de rendement. Sommaire exécutif Un synopsis non technique du PSM qui présente les points, les questions et les conclusions principales et qui contient suffisamment de renseignements pour montrer aux lecteurs ce dont il est question dans le plan intégral. Communications et consultations Une brève description de la structure de gouvernance et du processus liés à l’élaboration du PSM (p. ex., qui a participé et de quelle façon, les rôles, les responsabilités et le pouvoir des principaux intervenants). Contexte Un aperçu du contexte opérationnel, du contexte organisationnel, du contexte de sécurité, de la méthode d’élaboration du PSM et de la méthode de gestion des risques en matière de sécurité du ministère. Évaluation des risques en matière de sécurité Un sommaire des principaux risques pour la sécurité des ressources et des services ministériels (selon l’évaluation des risques menée) comprenant une analyse et une évaluation de ceux-ci pour déterminer s’ils sont acceptables ou inacceptables, et s’ils doivent être traités. Traitement des risques en matière de sécurité Un sommaire des options choisies pour le traitement des risques pour chaque risque jugé inacceptable, incluant les objectifs de contrôle, les contrôles, les indicateurs de rendement, l’analyse des écarts et les priorités pour le traitement. Mise en œuvre Un sommaire des objectifs à court et long termes pour la mise en œuvre des contrôles de sécurité et des indicateurs de rendement, une description de l’approche pour le suivi et l’établissement de rapports, et un processus et des échéances pour l’actualisation du PSM.
Succession d’activités pour l’élaboration d’un PSM Établi la gouvernance pour le développement, la mise en œuvre et la mise à jour du plan de sécurité Analyser et définir le contexte; commencer les consultations. Mener ou terminer les évaluations des risques : Regrouper les résultats de l’évaluation existante des risques liés à la sécurité et déterminer les lacunes de la couverture (p. ex., les activités de programmes qui ne sont pas couvertes par les évaluations actuelles des risques pour la sécurité en ce qui a trait à l’information, aux biens et aux autres ressources). Déterminer les exigences pour les contrôles supplémentaires et les indicateurs de rendement. Définir les priorités en matière de sécurité selon les résultats des évaluations des risques liés à la sécurité et de l’analyse des options de traitement; élaborer une stratégie de mise en œuvre. Élaborer un PSM et le faire approuver par l’administrateur général Entreprendre la mise en œuvre et assurer le suivi du rendement. Mener ou terminer les évaluations des risques nécessaires pour réduire les écarts déterminés. Présenter à l’administrateur général et aux cadres supérieurs des rapports sur le progrès. Actualiser le PSM selon le besoin. Poursuivre les activités de gestion des risques pour la sécurité et la mise en œuvre, et le suivi des contrôles. Maintenir le PSM et présenter des rapports à l’administrateur général et aux cadres supérieurs. Question des ASM : Les plans doivent-ils être terminés avant la fin de mars 2010? – NON. Ce « calendrier » est prévu comme une séquence d’activité plutôt qu’un calendrier « coulé dans le roc » devant être suivi. Nous comprenons que la préparation et le maintien d’un PSM seront un processus de maturité semblable à l’élaboration et à la mise en œuvre des AAP et des plans intégrés de ressources humaines et d’exploitation – la majorité des ministères ont révisé au moins une fois, si ce n’est pas plus, depuis que les exigences ont été mises en place pour la première fois, et ce, dans un effort pour bien faire les choses. Cette approche s’harmonise avec l’approche de la mise en place des plans intégrés des ressources humaines et d’exploitation. Le temps permet que le PSM soit élaboré (ou révisé) selon les priorités soulignées dans les RPP de cette année et permettrait l’élaboration de rapports pour l’année et demie à venir, si le RMR devait devenir une source de production de rapports (une considération pour aller de l’avant). Chaque ministère devra déterminer une approche qui convient le mieux à leur contexte tout en considérant les responsabilités en matière de politiques. Certains ministères ont fait part de leurs préoccupations quant au fait qu’ils ne seraient peut-être pas en mesure d’élaborer, de faire approuver et de commencer la mise en place de leurs plans pour les deux prochaines années, en raison de défis tels un remaniement interne, le besoin et la portée de la consultation avec les autres secteurs ou le fait que les activités en matière de sécurité sont gérées par des secteurs séparés au sein du ministère, etc. Nous croyons que ces situations ne peuvent pas être bien différentes des situations auxquelles font face ces ministères dans d’autres secteurs de planification, qui n’attendront pas que la situation se stabilise. Le Secrétariat du Conseil du Trésor appuiera la mise en œuvre avec les moyens suivants (recommandés par le groupe de travail) : SPIN Fiche de renseignements Dossier de présentation Séances d’information