Pour pouvoir fournir nos services avec succ\u00e8s et surtout de mani\u00e8re durable, la confidentialit\u00e9, la disponibilit\u00e9, l\u2019int\u00e9grit\u00e9 ainsi que la tra\u00e7abilit\u00e9 de nos informations rev\u00eatent une importance d\u00e9cisive.<\/p>\n\n\n\n
\u00c0 cet effet, nous avons mis en place un syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l\u2019information (SGSI). Celui-ci est conforme \u00e0 la directive de l\u2019OFAS \u00abDirectives sur les exigences en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information et de protection des donn\u00e9es des syst\u00e8mes d\u2019information des organes d\u2019ex\u00e9cution du 1er<\/sup> pilier \/ des allocations familiales (D-SIPD)\u00bb. \u00c0 partir de 2025, le SGSI fera l\u2019objet d\u2019un audit externe et sera continuellement am\u00e9lior\u00e9.<\/p>\n\n\n\n Le pr\u00e9sent document d\u00e9crit les principes essentiels visant \u00e0 assurer une protection ad\u00e9quate de l\u2019ensemble des valeurs informationnelles contre toute forme de menace, qu\u2019elle soit interne ou externe, intentionnelle ou accidentelle. Ces principes visent \u00e0 garantir la protection des informations dans la mesure requise par l\u2019activit\u00e9.<\/p>\n\n\n\n L\u2019objectif du SGSI est de prot\u00e9ger nos valeurs informationnelles (donn\u00e9es, documents, infrastructure SI) en ce qui concerne les quatre objectifs de s\u00e9curit\u00e9, contre d\u2019\u00e9ventuelles menaces (p. ex. cyberattaque ou publication accidentelle de documents confidentiels).<\/p>\n\n\n\n Le SGSI s\u2019applique \u00e0 l\u2019ensemble de la caisse de compensation.<\/p>\n\n\n\n Les objectifs de s\u00e9curit\u00e9 \u00e9num\u00e9r\u00e9s ici constituent les exigences de la direction de la caisse concernant la confidentialit\u00e9, la disponibilit\u00e9 et l\u2019int\u00e9grit\u00e9 des donn\u00e9es. Les niveaux d\u00e9finis ici, ou \u00abgroupes de protection\u00bb, sont utilis\u00e9s notamment pour classifier la liste des valeurs.<\/p>\n\n\n\n \u00c0 la diff\u00e9rence de ceux-ci, l\u2019analyse des besoins de protection (AKIS) sert \u00e0 d\u00e9terminer s\u2019il existe un besoin de protection accru ou non.<\/p>\n\n\n\n Objectif de protection (conform\u00e9ment \u00e0 l\u2019art. 2 de l\u2019OPDo): acc\u00e8s r\u00e9serv\u00e9 \u00e0 un cercle de personnes d\u00fbment autoris\u00e9es.<\/p>\n\n\n\n Compr\u00e9hension CC: toutes les donn\u00e9es personnelles doivent \u00eatre prot\u00e9g\u00e9es, en particulier les donn\u00e9es personnelles sensibles conform\u00e9ment \u00e0 l\u2019article 5c de la LPD. Il s\u2019agit notamment de donn\u00e9es relatives \u00e0 l\u2019environnement de nos clientes et clients ainsi que de donn\u00e9es relatives \u00e0 notre personnel et nos partenaires. La notion de groupe de protection englobe \u00e9galement d\u2019autres donn\u00e9es \u00e0 prot\u00e9ger, comme les secrets commerciaux ou m\u00eame les donn\u00e9es de projet.<\/p>\n\n\n\n Objectif de protection (conform\u00e9ment \u00e0 l\u2019art. 2 de l\u2019OPDo): les informations doivent \u00eatre disponibles suffisamment rapidement pour des usages autoris\u00e9s.<\/p>\n\n\n\n Compr\u00e9hension CC: nous voulons \u00eatre disponibles pour nos clientes et clients dans une mesure raisonnable. Cela vaut pour notre disponibilit\u00e9 personnelle \/ t\u00e9l\u00e9phonique et bien s\u00fbr aussi pour la plateforme client connect. Par des mesures appropri\u00e9es (p. ex. sauvegardes, redondance des syst\u00e8mes critiques), nous r\u00e9duisons la probabilit\u00e9 de pannes de syst\u00e8me. Parall\u00e8lement, nous nous pr\u00e9parons \u00e0 des sc\u00e9narios catastrophes.<\/p>\n\n\n\n Objectif de protection (conform\u00e9ment \u00e0 l\u2019art. 2 de l\u2019OPDo): les donn\u00e9es ne doivent pas \u00eatre modifi\u00e9es de mani\u00e8re non autoris\u00e9e ou involontaire (int\u00e9grit\u00e9). Les modifications des donn\u00e9es doivent \u00eatre tra\u00e7ables (tra\u00e7abilit\u00e9).<\/p>\n\n\n\n Compr\u00e9hension CC: nous regroupons dans cet objectif de protection principalement les exigences de tra\u00e7abilit\u00e9 (ou de journalisation). Notre syst\u00e8me central AKIS comprend des mesures de journalisation \u00e9tendues. Des mesures sp\u00e9ciales pour cet objectif de protection ne sont donc n\u00e9cessaires qu\u2019en dehors d\u2019AKIS. Voir \u00e9galement art. 4 OPDo.<\/p>\n\n\n\n Remarque: dans notre SGSI, l\u2019objectif de protection de la tra\u00e7abilit\u00e9 est syst\u00e9matiquement int\u00e9gr\u00e9 dans l\u2019objectif d\u2019int\u00e9grit\u00e9.<\/p>\n\n\n\n Le tableau ci-dessous pr\u00e9sente les principaux r\u00f4les responsables de la mise en place et de la maintenance du SGSI. Il d\u00e9finit \u00e9galement la part (%) qu\u2019un poste \u00e0 plein temps devrait consacrer au fonctionnement r\u00e9current du SGSI.<\/p>\n\n\n\n Le fonctionnement du SGSI suit le principe PDCA, qui constitue le fondement de l\u2019am\u00e9lioration continue.<\/p>\n\n\n\n Des contr\u00f4les et des mesures ainsi que des formations de sensibilisation pour le personnel garantissent que les d\u00e9fauts sont d\u00e9tect\u00e9s \u00e0 temps. Un audit interne permet en outre de s\u2019assurer que les lacunes ne soient pas d\u00e9couvertes uniquement lors de la r\u00e9vision principale ordinaire.<\/p>\n\n\n\n Un \u00e9l\u00e9ment important pour une s\u00e9curit\u00e9 de l\u2019information \u00e9lev\u00e9e est de renforcer la conscience du personnel. Dans cette optique, nous proposons \u00e0 nos collaboratrices et collaborateurs des modules d\u2019apprentissage en ligne.<\/p>\n\n\n\n Les incidents de s\u00e9curit\u00e9 se produiront m\u00eame si nous avons pris des mesures appropri\u00e9es. Les collaborateurs et collaboratrices sont tenus de signaler tout type d\u2019observation, d\u2019\u00e9v\u00e9nement ou d\u2019incident.<\/p>\n\n\n\n Points importants:<\/p>\n\n\n\n Objectif Pour pouvoir fournir nos services avec succ\u00e8s et surtout de mani\u00e8re durable, la confidentialit\u00e9, la disponibilit\u00e9, l\u2019int\u00e9grit\u00e9 ainsi que\u2026<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":0,"menu_order":35,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-7802","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/aza.ch\/fr\/wp-json\/wp\/v2\/pages\/7802","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aza.ch\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/aza.ch\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/aza.ch\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/aza.ch\/fr\/wp-json\/wp\/v2\/comments?post=7802"}],"version-history":[{"count":0,"href":"https:\/\/aza.ch\/fr\/wp-json\/wp\/v2\/pages\/7802\/revisions"}],"wp:attachment":[{"href":"https:\/\/aza.ch\/fr\/wp-json\/wp\/v2\/media?parent=7802"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Champ d\u2019application et d\u00e9limitations<\/h2>\n\n\n\n
Champ d\u2019application<\/h3>\n\n\n\n
Groupes de protection<\/h3>\n\n\n\n
Confidentialit\u00e9<\/h3>\n\n\n\n
Niveau<\/td> Description<\/td> Exemples<\/td><\/tr> Public<\/td> – Toute information non interne ou confidentielle<\/td> – Pr\u00e9sence Internet
– Posts sur les m\u00e9dias sociaux
– Actualit\u00e9s et informations de presse<\/td><\/tr>Interne<\/td> – Toutes les donn\u00e9es personnelles non sensibles (conform\u00e9ment \u00e0 l\u2019art. 5c LPD)
– Toutes les donn\u00e9es internes, non confidentielles, relatives aux affaires et aux projets<\/td>– Donn\u00e9es des collaborateurs et collaboratrices
– Toutes les autres donn\u00e9es personnelles, par exemple les collaborateurs et collaboratrices des clients et des partenaires commerciaux<\/td><\/tr>Confidentiel<\/td> – Toutes les donn\u00e9es personnelles particuli\u00e8rement sensibles (conform\u00e9ment \u00e0 l\u2019art. 5c LPD)
– Toutes les informations internes dont la publication pourrait nuire \u00e0 la comp\u00e9titivit\u00e9 ou \u00e0 la r\u00e9putation de la Caisse.<\/td>– Donn\u00e9es\/documents relatifs aux indemnit\u00e9s journali\u00e8res ou aux rentes AI
– Dossier de ses propres collaborateurs et collaboratrices
– Comptabilit\u00e9 financi\u00e8re
– Documents de direction
– Plans de r\u00e9seau de l\u2019informatique<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nDisponibilit\u00e9<\/h3>\n\n\n\n
Niveau<\/td> Dur\u00e9e max. d\u2019interruption<\/td> Description<\/td> Exemples<\/td><\/tr> Normal<\/td> < 1 jour<\/td> Toutes les autres donn\u00e9es<\/td> <\/td><\/tr>
\u00c9lev\u00e9<\/td>> 1 jour<\/td> Toutes les donn\u00e9es qui sont n\u00e9cessaires dans connect pour les membres et les futurs assur\u00e9s<\/td> Liste de tous les collaborateurs, compte courant<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Int\u00e9grit\u00e9 et tra\u00e7abilit\u00e9<\/h3>\n\n\n\n
Niveau<\/td> Description<\/td> Exemples<\/td><\/tr> Normal<\/td> Toutes les autres donn\u00e9es<\/td> <\/td><\/tr> \u00c9lev\u00e9<\/td> Toutes les donn\u00e9es relatives aux droits aux prestations<\/td> – Donn\u00e9es relatives aux droits aux rentes, aux indemnit\u00e9s journali\u00e8res de l\u2019AI, aux allocations familiales, etc.
– Compte individuel
– Compte courant<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nOrganisation de la s\u00e9curit\u00e9 de l\u2019information<\/h2>\n\n\n\n
R\u00f4le<\/td> T\u00e2ches principales (chiffres de l\u2019annexe A de la norme 2022)RSI (responsable de la s\u00e9curit\u00e9 de l\u2019information)<\/td><\/tr> RSI (responsable de la s\u00e9curit\u00e9 de l\u2019information)<\/td> – Responsabilit\u00e9 globale de du SGSI<\/td><\/tr> <\/td> – Conseille la CC sur les questions de protection des donn\u00e9es<\/td><\/tr> DPD (d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es)<\/td> – Communication dans les sc\u00e9narios de catastrophe<\/td><\/tr> <\/td> – Responsable et point de contact dans la gestion des incidents<\/td><\/tr> Directeur de la communication<\/td> – S\u00e9curit\u00e9 physique<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Processus de s\u00e9curit\u00e9<\/h2>\n\n\n\n
Communication<\/h2>\n\n\n\n
Contenu<\/td> Collaborateurs<\/td> Clients<\/td> Autorit\u00e9s<\/td> Presse<\/td><\/tr> Informations g\u00e9n\u00e9rales sur la SIPD<\/td> RSI<\/td> G\u00e9rant CC [1]<\/td> G\u00e9rant CC [1]<\/td> —<\/td><\/tr> Information sur les incidents de s\u00e9curit\u00e9<\/td> RSI<\/td> G\u00e9rant CC [1]<\/td> G\u00e9rant CC [1]<\/td> Responsable de la CC en accord avec l\u2019OFAS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n[1] Si n\u00e9cessaire, avec un soutien externe (p. ex. repr\u00e9sentant d\u2019une assurance de cybers\u00e9curit\u00e9)<\/p>\n\n\n\n Formation et sensibilisation<\/h2>\n\n\n\n
Groupe de personnes<\/td> Quand<\/td> Mesure<\/td> Responsable<\/td><\/tr> Collaborateurs (tous)<\/td> Nouvelle entr\u00e9e dans l\u2019entreprise<\/td> Au cours des trois premiers jours de travail, les r\u00e8gles d\u2019utilisation de l\u2019informatique sont expliqu\u00e9es au nouveau collaborateur \/ \u00e0 la nouvelle collaboratrice.<\/td> Responsable RH<\/td><\/tr> Collaborateurs (tous)<\/td> Nouvelle entr\u00e9e dans l\u2019entreprise<\/td> Lors de l\u2019engagement, les modules d\u2019e-learning infosec actuels sont mis en ligne et doivent \u00eatre termin\u00e9s dans un d\u00e9lai d\u2019un mois.<\/td> Responsable IT<\/td><\/tr> Collaborateurs (tous)<\/td> Mise en ligne de nouveaux modules d\u2019e-learning par l\u2019IGAKIS<\/td> Les nouveaux modules d\u2019e-learning mis en ligne sont \u00e9valu\u00e9s par le service informatique, qui estime \u00e9galement le temps n\u00e9cessaire.<\/td> RSI<\/td><\/tr> Collaborateurs (tous)<\/td> P\u00e9riodiquement<\/td> S\u00e9ances d\u2019information internes<\/td>
RSI<\/td><\/tr>
Collaborateurs (tous)<\/td>P\u00e9riodiquement<\/td> Formations de sensibilisation (y compris tests)<\/td>
RSI<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nIncidents de s\u00e9curit\u00e9<\/h2>\n\n\n\n
\n
Autres dispositions<\/h2>\n\n\n\n
Gestion des fournisseurs<\/h3>\n\n\n\n
Type de fournisseur<\/td> R\u00e9glementation<\/td><\/tr> Fournisseurs de l\u2019IGAKIS tels que M&S<\/td> Un contr\u00f4le de s\u00e9curit\u00e9 de ces fournisseurs est effectu\u00e9 par l\u2019IGAKIS.<\/td><\/tr> Autres fournisseurs<\/td> Les fournisseurs figurant sur la \u00abliste des fournisseurs\u00bb doivent \u00eatre v\u00e9rifi\u00e9s chaque ann\u00e9e sur les points suivants:
– Existence d\u2019une r\u00e9glementation contractuelle
– Actualit\u00e9 de la relation commerciale
– Personne de contact avec coordonn\u00e9es
– Existence d\u2019un accord de confidentialit\u00e9
La liste des fournisseurs fait partie du \u00abmanuel d\u2019urgence\u00bb.<\/td><\/tr><\/tbody><\/table><\/figure>\n","protected":false},"excerpt":{"rendered":"