Passer au contenu | Passer aux liens institutionnels

Liens de la barre de menu commune

Liens institutionnels

Vérification des plans de continuité des opérations

Rapport de vérification interne
Novembre 2009

Table des matières

Sommaire
Introduction
Opinion de la vérification
Constatations, recommandations et plans d'action de la direction
Annexe A : Criteres de verification
Annexe B : Liste des sigles

Sommaire

Contexte

Conformément à la Politique du gouvernement sur la sécurité (PGS), les ministères doivent établir un programme de planification de la continuité des activités (PCA) afin d'assurer la disponibilité continue des services essentiels et des biens à l'appui de ces services essentiels. En juillet 2009, la nouvelle Politique sur la sécurité du gouvernement (PSG) est entrée en vigueur et elle a remplacé la PGS de 2002. Toutefois, la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités constituait la norme applicable à la gestion de la continuité des activités dans le cadre de la nouvelle politique.

Les plans de continuité des activités, y compris les plans de continuité de la gestion de l'information (GI) et de la technologie de l'information (TI), constituent le résultat clé du Programme de PCA. L'objectif des plans de continuité des activités consiste à permettre à l'Agence des services frontaliers du Canada (ASFC) d'accomplir les activités essentielles tant pour l'organisme que pour le public à la frontière en cas d'interruption des opérations.

Le Programme de PCA de l'ASFC comprend quatre éléments figurant dans la PGS et dans la norme connexe, à savoir :

Structure de régie du Programme de PCA – permet de définir l'orientation stratégique, les autorités, la structure de responsabilisation et les responsabilités dans le cadre du Programme de PCA;
Analyse des répercussions sur les opérations – permet d'évaluer les répercussions sur les opérations de l'Agence afin de déterminer les services essentiels et les biens correspondants et d'établir l'ordre de priorités à cet effet;
Plans de continuité des activités et préparatifs – permettent d'élaborer des plans, des mesures, des procédures et des mécanismes visant le maintien des opérations en cas d'interruption, et de donner la formation pertinente sur l'utilisation des procédures;
État de préparation du Programme de PCA – permet d'enclencher un cycle de contrôle permanent de tous les plans de continuité, y compris l'essai et la validation des plans sur une base régulière.

Une vérification des plans de continuité des activités était comprise dans le Plan de vérification triennal axé sur les risques (exercices 2008-2009 à 2010-2011) approuvé par le Comité de vérification.

Objectif et étendue de la vérification

L'objectif de la vérification consistait à donner une assurance sur le caractère adéquat de la création et de la gestion du Programme de PCA de l'ASFC.

La vérification a permis d'examiner la structure de régie, les plans et les préparatifs de continuité, de même que les domaines visant l'état de préparation du Programme de PCA relativement à la PGS antérieure et à la norme connexe. Une analyse des répercussions sur les opérations ne faisait pas partie de l'étendue de la vérification puisqu'il a été déterminé au cours de la phase de planification qu'elle présentait un faible risque.

Énoncé d'assurance

La mission de la vérification a été planifiée et effectuée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

Opinion de la vérification

Le Programme de PCA de l'ASFC a été établi conformément à la PGS et à la norme connexe. L'ASFC a réalisé une analyse des répercussions sur les opérations et élaboré des plans de continuité des activités visant les services essentiels et les biens correspondants. Une surveillance et un effort soutenus sont requis de la part de la direction pour combler les écarts décelés dans les plans de continuité des activités, y compris les plans de continuité de la GI/TI, et pour enclencher un cycle de contrôle permanent pour tous les plans de continuité, notamment l'essai, la validation et la mise à jour des plans sur une base régulière.

Observations principales

Une structure de régie et de gestion du programme était en place pour le Programme de PCA. Même si cette structure était fonctionnelle et que des plans de continuité des activités avaient été élaborés, le cadre stratégique n'était pas bien intégré et certains écarts n'avaient pas été comblés. Il est toutefois possible d'examiner et de mettre à jour le cadre stratégique de la PCA à l'ASFC en raison de la nouvelle PSG de 2009.

Plus de 400 plans de continuité des activités sont mis en place à l'ASFC. La plus grande partie des plans régionaux renfermait le genre de renseignements requis dans le cadre de la PGS, même si tous les renseignements clés ne figuraient pas dans les plans des directions générales à l'Administration centrale. Lors de la vérification, des travaux étaient en cours en vue d'achever les plans, en particulier les composantes de la GI/TI. Toutefois, le financement de certains plans devait être approuvé. Une analyse additionnelle est requise pour déterminer l'efficacité de chaque plan.

La direction avait pris des mesures pour enclencher un cycle de contrôle et un processus de gestion des changements concernant la PCA afin d'assurer la mise à jour des plans et des préparatifs, d'accroître la visibilité du Programme de PCA auprès du personnel et de le mettre à l'essai de façon régulière. Ces éléments constituaient des priorités clés pour l'exercice 2009-2010. Certains progrès ont été soulignés au chapitre de la mise à jour des plans et du processus de sensibilisation des employés. En raison de l'importance et de la portée du Programme de PCA, il serait avantageux de prévoir une stratégie nationale de façon à donner des informations utiles sur le contrôle de la PCA, de même que sur la formation et les essais à cet égard afin que les gestionnaires et le personnel comprennent les rôles et responsabilités à assumer.

La direction avait déployé des efforts initiaux pour surveiller le rendement du Programme de PCA. Toutefois, des renseignements sur le rendement, les besoins en ressources, les coûts et les calendriers permettant de tenir compte des étapes clés et des risques étaient fragmentés en fonction des diverses composantes. La direction de l'ASFC tirerait parti d'une stratégie plus coordonnée visant l'établissement de rapports sur le Programme de PCA.

Introduction

Contexte

La Politique du gouvernement sur la sécurité (PGS) et les normes connexes prévoient des mesures de protection à l'appui de l'intérêt national et des objectifs opérationnels du gouvernement du Canada visant à protéger les employés et les biens et à assurer la prestation continue des services essentiels. Conformément à la PGS, les ministères doivent établir un programme de planification de la continuité des activités (PCA) afin d'assurer la disponibilité continue des services essentiels et des biens à l'appui de ces services essentiels. En juillet 2009, la nouvelle Politique sur la sécurité du gouvernement (PSG) est entrée en vigueur et elle a remplacé la PGS de 2002. Toutefois, la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités constituait la norme applicable à la gestion de la continuité des activités dans le cadre de la nouvelle politique.

Les plans de continuité des activités, y compris les plans de continuité de la gestion de l'information (GI) et de la technologie de l'information (TI) constituent le résultat clé du Programme de PCA. L'objectif des plans de continuité des activités consiste à permettre à l'Agence des services frontaliers du Canada (ASFC) d'accomplir les activités essentielles tant pour l'organisme que pour le public à la frontière en cas d'interruption des opérations.

Le Programme de PCA de l'ASFC comprend quatre éléments, lesquels sont indiqués dans la PGS et dans la norme connexe, à savoir :

Structure de régie du Programme de PCA – permet de définir l'orientation stratégique, les autorités, la structure de responsabilisation et les responsabilités dans le cadre du Programme de PCA;
Analyse des répercussions sur les opérations – permet d'évaluer les répercussions sur les opérations de l'Agence afin de déterminer les services essentiels et les biens correspondants et d'établir l'ordre de priorités à cet effet;
Plans de continuité des activités et préparatifs – permettent d'élaborer des plans, des mesures, des procédures et des mécanismes visant le maintien des opérations en cas d'interruption, et de donner la formation pertinente sur l'utilisation des procédures. L'étendue et les mécanismes concernant les plans comprennent des plans de continuité de la GI de façon à assurer une interruption minimale, voire aucune, de la disponibilité des ressources d'information, de même que des plans de continuité de la TI de façon à assurer une interruption minimale, voire aucune, de la disponibilité des services et des biens essentiels de la TI;
État de préparation du Programme de PCA – permet d'enclencher un cycle de contrôle permanent de tous les plans de continuité, y compris l'essai et la validation des plans sur une base régulière.

L'Agence avait effectué, avant le début de la vérification, une analyse des répercussions sur les opérations, et elle avait indiqué cinq fonctions de gestion essentielles ainsi que les services de soutien indispensables à l'exercice de ces fonctions. Au cours de la période déterminée en vue de la vérification, les travaux dans le cadre du Programme de PCA de l'ASFC étaient axés sur l'examen et la mise à jour des plans de continuité des activités, sur l'élaboration de plans de continuité des systèmes d'application et des infrastructures de la TI, de même que sur l'élaboration de la stratégie et des lignes directrices visant le contrôle et la mise à l'essai des plans de façon continue.

L'ASFC a examiné son programme de GI et, en juin 2009, la responsabilité de ce programme est passée de la Direction générale du contrôle à la Direction générale de l'innovation, des sciences et de la technologie (DGIST). Par conséquent, la DGIST était en voie d'adopter une approche et une stratégie pour assurer la GI, y compris l'intégration des besoins visant les plans de continuité de la GI aux plans et aux préparatifs concernant la continuité des activités.

En octobre 2008, la Direction de la vérification interne a publié le rapport de la Vérification sur les préparatifs d'urgence. La vérification a révélé que l'Agence disposait d'une structure de gestion et d'organisation pour le Programme de préparatifs d'urgence. Les recommandations de la vérification portaient sur l'amélioration des fonctions de planification et de surveillance du programme. Ces recommandations comprenaient la mise à jour du mandat du comité de surveillance du programme, l'élaboration d'une orientation stratégique pour le programme, l'établissement de plans de travail, de calendriers et de processus de gestion du budget, de même que la préparation de rapports harmonisés à l'orientation stratégique approuvée. Les mesures de la direction étaient prévues d'ici mars 2009, des plans de travail opérationnels étant établis pour l'exercice 2009-2010 et par la suite. Étant donné que le Programme de PCA complète les préparatifs d'urgence, ces recommandations et ces plans d'action de la direction ont été examinés dans le cadre de la présente vérification.

Un examen des résultats des vérifications des programmes de PCA dans d'autres ministères, de même que les évaluations du Cadre de responsabilisation de gestion (CRG) – Rondes V et VI du Secrétariat du Conseil du Trésor du Canada sur la continuité des activités, ont permis de constater les progrès effectifs accomplis aux chapitres de la régie des programmes de PCA et de l'analyse des répercussions sur les opérations. Les améliorations recommandées portaient sur les plans et les mécanismes, de même que sur les éléments touchant la préparation des programmes de PCA.

Évaluation des risques

Une évaluation préliminaire des risques a été réalisée en vue d'appuyer la planification de la vérification et d'établir les priorités et secteurs potentiels de vérification. L'évaluation des risques a permis d'examiner le statut et les plans du Programme de PCA de l'ASFC pour chacun des quatre éléments d'un programme de PCA, lesquels sont indiqués dans la PGS et dans la norme connexe. Les secteurs de risques suivants ont été indiqués comme étant des éléments clés pour la mise en œuvre fructueuse du Programme de PCA de l'Agence :

Structure de régie du Programme de PCA – il est possible que le cadre de gouvernance du Programme de PCA ne comprenne pas toutes les composantes requises pour déceler et combler les écarts entre l'infrastructure et les outils de la GI/TI nécessaires à l'appui de la prestation de services essentiels et la disponibilité de ces outils.
Plans de continuité des activités et préparatifs – il est possible que les plans et procédures de reprise des activités ne prennent pas en compte tous les liens requis pour assurer le maintien de la prestation des services à des niveaux de services minimums.
État de préparation du Programme de PCA – il est possible que les essais permettant de confirmer que les plans vont satisfaire aux exigences de continuité des activités en matière de services essentiels de l'Agence ne soient pas accomplis, et qu'un processus de contrôle visant à tenir à jour les plans de continuité ne soit pas mis en application.

Objectif et étendue de la vérification

L'objectif de la vérification consistait à donner une assurance sur le caractère adéquat de la création et de la gestion du Programme de PCA de l'ASFC. La vérification a permis d'examiner la structure de régie, les plans de continuité et les préparatifs, de même que les domaines visant l'état de préparation du Programme de PCA.

Une analyse des répercussions sur les opérations ne faisait pas partie de l'étendue de la vérification puisqu'il a été déterminé au cours de la phase de planification qu'elle présentait un faible risque, l'Agence ayant indiqué ses fonctions de gestion et ses services opérationnels essentiels.

Comme l'Agence en était à la première phase d'une initiative liée à la préparation de la PCA, l'examen de vérification visant l'élément préparation du Programme de PCA a porté sur les progrès accomplis au chapitre de l'élaboration de plans et de calendriers en vue de mettre en œuvre des processus de contrôle du plan, d'assurer la formation et la sensibilisation du personnel et de faire l'essai et de valider les plans.

Des travaux de vérification ont été réalisés au cours de la période allant d'avril à août 2009, et la documentation a été examinée au cours de la période allant d'avril 2008 à mars 2009. L'étendue de la vérification comprenait les plans de continuité des activités et de la GI/TI. Un échantillon des plans de continuité approuvés en mars 2009 à l'Administration centrale et dans les régions a été constitué en vue d'un examen de vérification.

Des visites ont été faites dans les régions du Nord de l'Ontario, des Prairies et du Pacifique. Les visites sur place ont permis d'examiner les volumes de transactions traitées de faible et de grande valeur, y compris les déclarations visant les voyageurs et les marchandises commerciales dans les modes terrestre, ferroviaire, maritime et aérien et les opérations postales aux points d'entrée.

Stratégie et méthodes

La vérification a permis de recueillir des éléments de preuve à l'aide d'entrevues, de documents et d'observations directes, et d'analyser et d'évaluer le Programme de PCA en regard des critères de vérification retenus.

Les activités suivantes ont été entreprises dans le cadre de la vérification :

Entrevues avec des représentants des bureaux de première responsabilité en matière de continuité des activités et de la GI/TI et avec des coordonnateurs de la PCA afin d'obtenir des renseignements sur leurs priorités, leurs plans et leurs processus visant la mise au point du programme.
Examen de la politique, de la structure de régie, de la planification et de la documentation sur l'état du Programme de PCA afin d'évaluer les processus et les résultats visant la gestion du programme, y compris le protocole d'entente entre l'ASFC et un tiers fournisseur de services pour l'infrastructure et le service de soutien de la TI. Cet examen a permis d'évaluer de quelle façon les exigences en matière de disponibilité et de continuité de la TI de l'ASFC ont été indiquées dans les accords sur les niveaux de service.
Examen d'un échantillon de 41 plans de continuité des activités à l'Administration centrale et dans les régions afin d'évaluer si leur contenu comprenait les éléments proposés décrits dans la PGS et dans la norme connexe.
Comparaison des services opérationnels essentiels documentés dans les plans de continuité des activités aux services essentiels indiqués dans les nouveaux tableaux d'identification des services visant 22 sites opérationnels afin de comprendre le processus suivi pour approuver les modifications apportées à la liste de services essentiels.
Visites des régions du Nord de l'Ontario, des Prairies et du Pacifique, et entrevues avec les coordonnateurs de la PCA sur place afin de comprendre le processus suivi dans les régions pour élaborer des plans de continuité des activités, en assurer le contrôle et faire le suivi de questions précises indiquées par la vérification après examen de la PCA dans les régions.
Examen des données sur le budget et les dépenses dans les Systèmes administratifs d'entreprise (SAE) de l'Agence afin de savoir si les données sur le budget et les dépenses réelles touchant le Programme de PCA ont été consignées dans les SAE.

Critères de vérification

Les critères de vérification ont été établis en fonction d'un certain nombre de sources autorisées, notamment la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du gouvernement du Canada, les Objectifs de contrôle dans le domaine de l'information et des technologies connexes (CobiT) et le « NIST 800-34 Contingency Planning Guide for Information Technology Systems » (guide de planification des mesures d'urgence visant la technologie de l'information NIST 800-34) du « National Institute of Standards and Technology » (NIST). Les critères détaillés figurent à l'annexe A du présent rapport de vérification.

Énoncé d'assurance

La mission de la vérification a été planifiée et effectuée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

Opinion de la vérification

Le Programme de PCA de l'ASFC a été établi conformément à la Politique du gouvernement sur la sécurité (PGS) et à la norme connexe. L'ASFC a réalisé une analyse des répercussions sur les activités et élaboré des plans de continuité des activités visant les services essentiels et les biens correspondants. Une surveillance et un effort soutenus sont requis de la part de la direction pour combler les écarts décelés dans les plans de continuité des activités, y compris les plans de continuité de la GI/TI, et pour enclencher un cycle de contrôle permanent pour tous les plans de continuité, notamment l'essai, la validation et la mise à jour des plans sur une base régulière.

Constatations, recommandations et plans d'action de la direction

Une structure de régie et de gestion du programme était mise en place pour le Programme de PCA. Même si cette structure était fonctionnelle et que des plans de continuité des activités avaient été élaborés, le cadre stratégique n'était pas bien intégré et certains écarts n'avaient pas été comblés. Il est toutefois possible d'examiner et de mettre à jour le cadre stratégique de la PCA à l'ASFC en raison de la nouvelle Politique sur la sécurité du gouvernement (PSG) de 2009.

Plus de 400 plans de continuité des activités sont mis en place à l'ASFC. La plus grande partie des plans régionaux renfermait le genre de renseignements requis dans le cadre de la Politique du gouvernement sur la sécurité (PGS), même si tous les renseignements clés ne figuraient pas dans les plans des directions générales à l'Administration centrale. Lors de la vérification, des travaux étaient en cours en vue d'achever les plans, en particulier les composantes de la GI/TI. Toutefois, le financement de certains plans devait être approuvé. Une analyse supplémentaire est requise pour déterminer l'efficacité de chaque plan.

La direction avait pris des mesures pour enclencher un cycle de contrôle et un processus de gestion des changements concernant la PCA afin d'assurer la mise à jour des plans et des préparatifs, d'accroître la sensibilisation des employés envers le Programme de PCA et de le mettre à l'essai de façon régulière. Ces éléments constituaient des priorités clés pour l'exercice 2009-2010. Certains progrès ont été soulignés au chapitre de la mise à jour des plans et du processus d'accroissement de la sensibilisation des employés. En raison de l'importance et de la portée du Programme de PCA, il serait avantageux de prévoir une stratégie nationale de façon à donner des informations utiles sur le contrôle de la PCA, de même que sur la formation et les essais à cet égard afin que les gestionnaires et les employés comprennent les rôles et responsabilités à assumer.

Structure de régie et de gestion du Programme de PCA

Une structure de régie et de gestion du programme était en place pour le Programme de PCA. Même si elle était fonctionnelle et que des plans de continuité des activités avaient été élaborés, le cadre stratégique n'était pas bien intégré et certains écarts n'avaient pas été comblés. Il est toutefois possible d'examiner et de mettre à jour le cadre stratégique de la PCA à l'ASFC en raison de la nouvelle Politique sur la sécurité du gouvernement (PSG) de 2009.

Il faut établir les autorités compétentes et les responsabilités, créer la structure de responsabilisation, donner des directives à la gestion et au personnel et attribuer des ressources pour la mise œuvre du programme afin d'assurer l'efficacité de la régie et de la gestion du programme.

La vérification a révélé que l'ASFC était dotée d'une politique relative à la PCA : Chapitre 4 du Manuel de Contrôle - Volume de sécurité. Le manuel donne un aperçu de l'ensemble des rôles et responsabilités des principales directions générales, des régions et des gestionnaires de l'ASFC. La politique fait référence à la Politique du gouvernement sur la sécurité (PGS) et à d'autres documents d'orientation du gouvernement fédéral. Outre la politique, des directives complémentaires étaient en voie d'être menées à bonne fin au cours de la vérification. Cela comprenait des modèles illustrant la présentation réglementaire et le contenu des plans de continuité, de même que l'élaboration d'une stratégie visant le contrôle, l'essai et la validation du plan de continuité. Ces directives doivent tenir compte d'une norme opérationnelle de sécurité fondamentale du gouvernement fédéral dans le cadre du Programme de PCA. Ces initiatives permettront de consolider l'ensemble des directives du Programme de PCA.

Le Comité de la sécurité et de la protection civile (CSPC) est un sous-comité du Comité de gestion de la haute direction (CGHD) dont le rôle consistait à donner des conseils éclairés et le soutien sur des questions visant les préparatifs d'urgence et la continuité des activités. L'examen des comptes rendus de réunions du CSPC a révélé que le Comité avait abordé la question du Programme de PCA. Le Comité a assuré la surveillance de l'état d'avancement du plan de continuité des activités et de la TI, il a établi des liens avec les directions générales afin d'obtenir leur appui pour l'achèvement des plans de continuité et il a discuté des priorités visant la mise en œuvre des activités de préparation du Programme de PCA.

La vérification a révélé que la politique et les documents d'orientation n'étaient pas intégrés. Par exemple, la politique ne faisait pas référence à une politique de continuité de la TI ou aux politiques de l'ASFC sur la gestion des urgences et des renseignements, des composantes pertinentes du cadre stratégique global pour le Programme de PCA. De plus, le rôle du CSPC et du coordonnateur du Programme de PCA et les composantes clés de la structure de régie et de gestion du programme ne figuraient pas dans la politique. La Direction générale du contrôle avait préparé des documents distincts sur la gouvernance afin de combler les écarts au chapitre de l'énoncé des responsabilités dans le cadre de la politique, et elle avait décrit plus précisément les responsabilités touchant le programme que les directions générales à l'Administration centrale et les régions devaient assumer. En outre, la Direction générale du contrôle avait également prévu un examen de la politique afin de prendre aussi en compte les exigences de la nouvelle PSG, mais elle a donné la priorité à l'achèvement des plans de continuité des activités.

En dépit de ces divers documents, les entrevues effectuées lors de la vérification ont permis de constater que les directions générales comprenaient mal leurs rôles et responsabilités, en particulier en ce qui a trait à l'examen, au contrôle et à l'essai du plan. L'échange de renseignements et la coordination entre les directions générales visant à examiner la qualité des plans de continuité et à valider les exigences au chapitre de la continuité de la TI ont soulevé des défis.

La vérification a révélé que la Direction générale du contrôle, de concert avec la Direction générale de la stratégie et de la coordination, a ébauché une stratégie de communication de la PCA en juin 2009, laquelle a fait l'objet d'un examen. L'objectif global de la stratégie consistait à accroître la sensibilisation de la direction et des employés de l'ASFC sur la façon dont ils sont visés par le Programme de PCA. Une version subséquente et mise à jour de la stratégie était prévue afin de tenir compte des besoins des intervenants de l'ASFC en matière de communication touchant la PCA. L'élaboration de la stratégie relative à la PCA a été coordonnée dans le plan global de l'Agence pour les communications en situation d'urgence. La stratégie en question aurait donc une influence sur les produits et outils de communications déjà élaborés dans le cadre du plan de préparation aux mesures d'urgence de l'Agence.

Au chapitre de l'engagement visant à affecter des ressources dans le cadre du Programme de PCA, aucun budget centralisé n'avait été alloué et chaque direction générale devait assumer ses responsabilités de ressourcement à cet égard. Les coûts avaient été prévus pour tenir compte du plan de continuité de la TI, mais la direction était arrivée à la conclusion que cela allait au delà des niveaux actuels de ressources de l'Agence, et elle avait envisagé d'autres options pour aller de l'avant.

Dans l'ensemble, l'ASFC a mis en place une structure de régie et de gestion pour le Programme de PCA, mais l'orientation requise n'a pas encore été donnée. L'intégration de diverses politiques et autres documents pour le Programme de PCA permettrait aux gestionnaires de mieux comprendre les attentes dans le cadre du programme.

Recommandations

1. Le vice-président de la Direction générale du contrôle devrait effectuer un examen de la politique concernant la PCA et des documents connexes afin d'harmoniser les directives dans le cadre de la PCA à la nouvelle Politique sur la sécurité du gouvernement (PSG) de 2009. Le cadre stratégique devrait être intégré et les écarts suivants devraient être comblés :

les exigences précises liées à la continuité des activités, y compris les exigences en matière de la continuité GI et TI de la PSG;
les procédures/lignes directrices visant la gestion du Programme de PCA;
une description de tous les rôles et responsabilités dans le cadre du Programme de PCA.

Plan d'action de la direction	Date d'achèvement
La Direction générale du contrôle est en train d'examiner et de mettre à jour la politique de l'ASFC concernant la PCA afin de s'assurer qu'elle tient compte des modifications de la PSG de juillet 2009. Tout au long du processus de mise à jour de la politique, des consultations seront entreprises avec la Direction générale des opérations et la Direction générale de l'innovation, des sciences et de la technologie (DGIST) afin de s'assurer que les exigences spécifiques de continuité des activités de tous les domaines sont incluses et répondent aux exigences de la PSG.	Février 2010
Les responsables de la gestion de l'information (GI) travaillent en collaboration avec leurs associés. Les exigences du plan de continuité de la GI seront intégrées aux plans des opérations et de la TI afin d'établir une approche globale de la GI-TI lors de la planification de la continuité des activités. À cette fin, on s'engage à : Établir un groupe de travail pour la GI/GC (Gestion de l'information/Gestion du contenu) avec la Division de la continuité TI. La première réunion est prévue en janvier 2010; Mettre sur pied un comité chargé des politiques de la GI comportant des membres de la Division de la politique TI afin de s'assurer que les politiques de la GI rendent compte des politiques dans d'autres secteurs (y compris la continuité des activités) et qu'elles sont intégrées à ces dernières. La première réunion est prévue en janvier 2010.	Janvier 2010
Des procédures et des directives pour l'administration du programme ont été élaborées et continueront à être examinées et mises à jour pour assurer l'existence d'une administration efficace du Programme de PCA pour l'Agence.	En cours
Les rôles et les responsabilités du Programme de PCA sont identifiés dans les documents de l'Administration centrale et des régions sur la structure de régie de la PCA qui ont été mis au point afin de compléter la politique actuelle concernant la PCA. Ces documents ont été rédigés en juin 2008 et sont actuellement en révision pour inclure les rôles et les responsabilités de continuité de la TI. Une fois qu'ils seront révisés et achevés, la direction veillera à ce que les rôles et les responsabilités soient mis en valeur dans tous les documents de politique et documents-cadres. La DGIST sera consultée tout au long du processus de modification.	Decembre 2009

2. Le vice-président de la Direction générale du contrôle devrait mettre la dernière main à la stratégie de communication relative à la PCA et établir un plan et un calendrier visant à inclure tous les intervenants dans la stratégie.

Plan d'action de la direction	Date d'achèvement
Au printemps de 2009, une stratégie interne de communication a été développée dans le but d'informer les employés de l'ASFC au sujet du Programme de PCA et de promouvoir son importance au sein de l'Agence. Cette stratégie a été approuvée par les membres du Comité de la sécurité et de la protection civile à l'automne 2009.	Achevé
Les communications continues ont été entreprises avec diverses organisations du gouvernement fédéral et organisations externes. Nous continuerons à rencontrer et à informer nos associés et nos intervenants sur une base régulière.	En cours
Compte tenu de la situation pandémique actuelle avec le virus H1N1, il a été convenu que le plan actuel de communication en cas de pandémie serait élargi pour inclure une composante externe. Cela rassurera les intervenants clés et montrera que l'ASFC est prête en cas d'interruption des opérations. Le plan de communication en cas de pandémie de l'ASFC, approuvé par l'Agence, (qui aborde précisément la pandémie du virus H1N1) formera un cadre pour la stratégie externe élargie des communications relativement à la PCA qui sera développée en collaboration avec Sécurité publique Canada et qui servira de cadre de travail ou de directives en matière de communication lors d'événements tels que l'interruption des opérations.	En cours

Plans de continuité des activités et préparatifs de la PCA

Plus de 400 plans de continuité des activités sont mis en place à l'ASFC. La plupart des plans régionaux renfermaient le genre de renseignements requis dans le cadre de la PGS, même si tous les renseignements clés ne figuraient pas dans les plans des directions générales à l'Administration centrale. Lors de la vérification, des travaux étaient en cours en vue d'achever les plans, en particulier les composantes de la GI/TI. À ce titre, l'approbation de financement est requise pour certains des plans. Une analyse supplémentaire est nécessaire de la part de la direction afin de déterminer la pertinence de chacun de ces plans.

Des plans de continuité des activités, y compris des plans de continuité de la GI/TI, doivent être élaborés pour les services opérationnels essentiels de l'Agence. Ces plans devraient documenter les responsabilités, les procédures, les ressources et les mécanismes de coordination afin d'assurer la gestion des étapes de la reprise des activités. En outre, des mécanismes devraient être mis en place pour exécuter ces plans. Étant donné que l'Agence est tributaire de la TI pour la prestation de ses services essentiels, les plans de continuité de la GI/TI font partie intégrante du Programme de PCA. Également, les plans de continuité devraient être examinés afin d'indiquer tout changement requis en cas de niveaux élevés d'absentéisme lors d'une pandémie.

Plus de 400 plans de continuité des activités sont mis en place à l'Agence. Dans les régions, on compte environ 260 plans, soit des plans de l'ancienne Agence des douanes et du revenu du Canada (ADRC) ayant fait l'objet de mises à jour. À l'Administration centrale, qui ne comptait aucun plan de continuité provenant de l'ADRC, environ 140 plans de continuité des activités ont été élaborés en fonction d'un modèle du Programme de PCA. En septembre 2008, la haute direction de l'ASFC a approuvé des plans de continuité des activités, y compris des plans visant des services essentiels de la TI. À ce moment-là, d'autres travaux étaient requis pour mener à bien l'élaboration du plan sur les politiques et les programmes à l'Administration centrale. Ces plans ont été approuvés en décembre 2008.

Un échantillon de 41 plans de continuité des activités dans les régions et à l'Administration centrale ont été examinés. La plupart des plans régionaux renfermaient le genre de renseignements requis dans le cadre de la PSG et de la norme connexe à la PCA. Des exemples de pratiques exemplaires figuraient dans des plans individuels examinés, y compris des stratégies de reprise des activités à court et à long termes, la priorité en matière de rétablissement des services essentiels et des stratégies de reprise par suite d'un incident visant un seul site ou une région géographique plus étendue.

Les plans de continuité des activités à l'Administration centrale n'étaient pas aussi complets que dans les régions. Ces plans comprenaient des services essentiels, des stratégies de reprise, le temps d'interruption maximum admissible, des listes de personnes-ressources, des niveaux de services et de connaissances minimums, des liens externes, de même que des biens et documents essentiels, notamment en matière de TI. Aucune définition des rôles, des responsabilités et des étapes requises pour assurer la gestion de la reprise des activités après une interruption ne figurait dans les plans de continuité des activités. La vérification a noté que le modèle utilisé pour documenter les plans à l'Administration centrale ne demandait pas ces renseignements même s'il s'agit d'une exigence dans le cadre de la PSG. La DGIST était en voie de donner ces renseignements visant environ 83 services essentiels de la TI dont la prestation lui incombe.

La vérification a noté que certains plans de continuité des activités dans les régions et à l'Administration centrale renfermaient des renseignements incomplets sur les mécanismes d'exécution des plans. Les liens avec des organisations chargées de la prestation de services partagés étaient incomplets dans tous les plans examinés, et les mécanismes d'accès à des sites de remplacement, en particulier des sites ne faisant pas partie de l'ASFC, n'étaient pas officialisés. La négociation d'un grand nombre de protocoles d'entente, d'accords sur les niveaux de service ou d'autres ententes avec des organisations externes avait été centralisée. Cela étant dit, les sites locaux ne disposaient pas nécessairement de renseignements sur ces ententes leur permettant d'achever les plans de continuité des activités.

La vérification a noté que des travaux étaient en cours pour examiner les plans afin de déceler et de combler les écarts et les irrégularités. Ces travaux dépendaient, en partie, de la disponibilité du modèle de norme de l'ASFC illustrant la présentation réglementaire et le contenu des plans de continuité, lequel n'avait pas encore été mis au point. Ce fait a été confirmé lors d'entrevues avec des coordonnateurs de la PCA, qui ont indiqué qu'ils avaient besoin d'une orientation fonctionnelle du programme pour les aider à examiner et à mettre à jour le contenu des plans.

Pour ce qui est de la composante GI/TI figurant dans les plans de continuité des activités, la vérification a révélé que des mécanismes étaient à différents stades d'achèvement. Les besoins du site de la DGIST à l'Administration centrale avaient été confirmés, des travaux de validation étaient en cours visant un sous-ensemble de sites régionaux et le calendrier des travaux à achever dans les derniers sites devait être établi. Un élément clé de cette validation consistait à établir l'ordre de priorité du délai visé pour le rétablissement des services de TI pour les services opérationnels essentiels les plus étroitement liés à la TI. La mise en œuvre de la composante GI/TI figurant dans les plans de continuité des activités en vue de former un sous-ensemble de sites était prévue pour mars 2010, les dates de mise en œuvre des derniers sites devant être déterminées. Le financement des stratégies de reprise indiquées dans les plans devait être approuvé, les dates de mise en œuvre étant tributaires du moment où les décisions à cet égard seraient prises.

Les plans de continuité des activités indiquaient les documents indispensables à la prestation des services essentiels. Toutefois, les travaux de la DGIST visant à valider les exigences de la TI ont révélé que la liste de ces documents était incomplète et n'indiquait pas les cas où l'accès à des données se trouvant dans des courriels archivés était requis, en plus des services de communications ordinaires par courriel. Dans l'environnement de TI actuel, les courriels n'étaient pas considérés comme des services à grande disponibilité, et l'Agence examinait les options visant à assurer la continuité de la gamme complète de services de courriels indispensables à l'appui de la prestation des services essentiels durant une interruption des opérations.

L'Agence en était aux premiers stades des travaux visant à examiner et à mettre à jour les plans de continuité des activités lors d'une pandémie. La version définitive du plan de lutte contre la pandémie de l'ASFC a été publiée en mai 2009, et les coordonnateurs de la PCA rencontrés ont indiqué qu'ils attendaient une orientation propre au programme sur les étapes et les échéances visant l'examen et la mise à jour des plans de continuité des activités.

La vérification a permis d'observer que certains éléments peuvent nuire à la capacité d'exécuter des plans de continuité, et il est possible que les niveaux de services essentiels identifiés soient surpassés relativement au temps maximum d'arrêt autorisé.

Recommandation

3. Le vice-président de la Direction générale du contrôle, de concert avec la vice-présidente de la Direction générale de l'innovation, des sciences et de la technologie et les vice présidents des autres directions générales, devrait adopter un processus d'examen et de mise à jour des plans de continuité des activités actuels de sorte qu'ils soient harmonisés aux exigences de la Politique sur la sécurité du gouvernement. Ce processus devrait aussi comprendre la confirmation du délai visé pour le rétablissement des services de TI qui soit acceptable pour la mise en œuvre des plans de continuité de la TI et faire en sorte que les régions prennent les mesures nécessaires pour satisfaire aux exigences en matière de services de TI dans les régions.

Plan d'action de la direction	Date d'achèvement
Un cycle de contrôle de la PCA, pour assurer l'examen, la mise à jour et l'approbation continus des plans de continuité des activités, a été développé pour l'Agence, approuvé par le Comité de la sécurité et de la protection civile (CSPC) et distribué à tous les coordonnateurs de la PCA. Ce cycle de contrôle veillera à ce que les plans soient examinés et mis à jour pour tenir compte des changements continus des programmes au sein de l'environnement opérationnel de l'ASFC, aussi bien que dans les secteurs de soutien technique et de rétablissement des services de TI. La signature régulière en guise d'approbation des vice-présidents fait aussi partie du cycle de contrôle.	Achevé
Une fois que la Direction générale du contrôle aura déterminé les exigences de la PSG, la Direction générale de l'innovation, des sciences et de la technologie (DGIST) fera les ajustements nécessaires à ses plans de continuité des activités.	En cours
La DGIST travaillera aussi avec la Direction générale du contrôle et la Direction générale des opérations pour déterminer, confirmer et atténuer les lacunes actuelles dans les objectifs de temps de rétablissement de la TI à la fois pour l'Administration centrale et les régions.	En cours

État de préparation du Programme de PCA

La direction avait pris des mesures pour enclencher un cycle de contrôle et un processus de gestion des changements concernant les plans de continuité des activités afin d'assurer la mise à jour des plans et des préparatifs, d'accroître la sensibilisation des employés et d'élaborer des essais de façon régulière. Ces éléments constituaient des priorités clés pour l'exercice 2009-2010. Certains progrès ont été soulignés au chapitre de la mise à jour des plans et d'une amélioration à l'égard de la sensibilisation des employés. En raison de l'importance et de la portée du Programme de PCA, il serait avantageux de prévoir une stratégie nationale de façon à donner des informations utiles sur le contrôle de la PCA, de même que sur la formation et les essais à cet égard afin que les gestionnaires et les employés comprennent les rôles et responsabilités à assumer.

Une fois élaborés, les plans de continuité devraient être tenus continuellement à jour. Cela comprend la mise en œuvre d'un processus de contrôle et de gestion du changement de façon à assurer la mise à jour des plans et des préparatifs, à donner une formation complémentaire aux employés pour les tenir informés de leurs responsabilités en matière de PCA, de même qu'à faire l'essai et à valider tous les plans sur une base régulière. Comme l'Agence en était aux premiers stades de l'élaboration d'une initiative liée à la préparation de la PCA, une décision avait été prise lors de la phase de planification de la vérification selon laquelle l'examen se limiterait aux progrès accomplis au chapitre de l'élaboration de plans et de calendriers en vue de mettre en œuvre des processus de contrôle du plan, d'assurer la formation et la sensibilisation, de faire l'essai et de valider les plans de façon continue.

Les activités dans le cadre du Programme de PCA étaient axées sur l'élaboration de plans de continuité des activités. Comme les plans de continuité des activités ont été élaborés en décembre 2008, l'attention s'est portée sur les étapes requises pour consolider davantage les plans de continuité des activités et pour les tenir continuellement à jour. Les principales priorités pour l'exercice 2009-2010 étaient les suivantes : enclencher le cycle de contrôle, organiser des séances de sensibilisation sur la PCA et élaborer une stratégie de mise à l'essai et d'évaluation, y compris l'exigence visant à établir des rapports sur les leçons tirées.

La direction avait pris des mesures visant à enclencher le cycle de contrôle de la PCA de l'Agence. La gestion des mises à jour des programmes de PCA a été assurée selon les calendriers et les besoins locaux jusqu'à ce que toutes ces étapes soient franchies. La vérification a révélé, notamment, que les renseignements sur les personnes-ressources n'étaient pas à jour dans les plans de continuité des activités en raison de changements de personnel. En mai 2009, l'agent de sécurité ministériel (ASM) a demandé aux directions générales de mettre à jour les plans de continuité des activités par suite de la hausse du niveau d'alerte de la pandémie H1N1.

Cependant, le contrôle de la PCA, en particulier dans les régions, était aggravé par le fait que les mêmes données étaient conservées dans les plans de continuité des activités et dans les tableaux d'identification des services (TIS). Ces tableaux étaient préparés comme éléments transitoires à la présentation définitive des plans de continuité des activités de l'Agence. Dans certains cas, les services jugés essentiels suivant le processus original de la PCA avaient été classés comme étant non essentiels dans le cadre de ce processus de TIS. Pour ce qui est du processus de Programme de PCA de l'Agence, ce nouveau classement signifiait que ces services ne seraient plus considérés prioritaires pour la continuité des activités durant une interruption. Toutefois, ces modifications n'ont pas été validées en regard du répertoire des fonctions et des services opérationnels essentiels de l'Agence, et un processus officiel de gestion du changement visant à valider les changements apportés à la liste de services essentiels de l'Agence n'avait pas encore été mis en œuvre.

La formation sur la PCA est une responsabilité partagée. Toutefois, la vérification a révélé qu'il n'y avait ni stratégie ni plan d'ensemble visant le perfectionnement et le maintien des compétences en matière de PCA à l'intention des employés devant assumer des responsabilités à cet égard. La Direction générale du contrôle avait donné la formation et des renseignements en matière de sensibilisation aux coordonnateurs de la PCA dans les directions générales. Toutefois, la méconnaissance permanente du processus de planification de la continuité des activités a contribué à accentuer les écarts et les irrégularités décelés dans les plans de continuité des activités, lesquels ont déjà été soulignés.

Jusqu'à maintenant, les plans de continuité des activités n'avaient fait l'objet d'aucun essai ou d'aucune validation sur une base régulière. Certains exercices ont été exécutés afin de donner un aperçu de la façon dont les composantes du plan de continuité des activités s'agenceraient. Toutefois, ces exercices ne requéraient pas l'exécution des plans. Jusqu'à ce que les plans de continuité des activités soient mis à l'essai sur une base régulière, il y a un risque que les lacunes pouvant exister tant dans les plans qu'au niveau de la capacité des employés à les exécuter ne soient pas décelées.

Recommandations

4. Le vice-président de la Direction générale du contrôle, de concert avec la vice présidente de la Direction générale des opérations et la vice-présidente de la Direction générale de l'innovation, des sciences et de la technologie, devrait élaborer et mettre en œuvre une stratégie et des lignes directrices nationales afin de décrire les mises à jour, le contrôle et la mise à l'essai des plans de continuité des activités, y compris un processus de gestion du changement afin de valider les changements apportés à la liste des services essentiels.

Plan d'action de la direction	Date d'achèvement
Un cycle de contrôle de la PCA a été développé pour l'Agence afin d'assurer les mises à jour continues des plans de continuité des activités, y compris un processus de gestion du changement pour valider les changements apportés à la liste de services essentiels. Ce cycle de contrôle a été approuvé par le CSPC, puis distribué à tous les coordonnateurs de la PCA et aux membres des équipes de gestion de la direction générale.	Achevé
Un processus de gestion du changement est en voie d'élaboration pour le Programme de PCA en collaboration avec la DGIST et la Direction générale des opérations. Ce processus sera inclus dans les procédures normales d'exploitation, qui seront envoyées aux coordonnateurs de la PCA. Lorsque des questions ont été posées, de l'information concernant le processus a été distribuée à des personnes clés au sein de l'Agence par courriel.	Janvier 2010
La Direction générale du contrôle continuera à développer une stratégie globale d'exercices et d'essais pour les plans de continuité des activités. Elle consultera la Direction générale des opérations dans le but d'incorporer cette stratégie d'exercices et d'essais au programme élargi d'exercices pour la planification de mesures d'urgence de l'Agence. La Direction générale du contrôle travaillera aussi avec la DGIST sur le développement de la stratégie d'exercices et d'essais, notamment pour s'assurer que l'étendue de la stratégie inclut la continuité de la GI/TI.	Mars 2010
Un cadre national et des lignes directrices connexes pour décrire les mises à jour, le contrôle et la mise à l'essai des plans de continuité des activités et un processus de gestion du changement pour valider les changements à la liste de services essentiels seront élaborés en collaboration avec la DGIST et la Direction générale des opérations. La DGIST soutiendra les efforts de la Direction générale du contrôle pour élaborer et mettre en œuvre le cadre national et ses lignes directrices. La DGIST travaillera avec la Direction générale du contrôle pour élaborer un processus de gestion du changement pour valider les changements à la liste de services essentiels.	Juillet 2010

5. Le vice-président de la Direction générale du contrôle, de concert avec les vice présidentes des directions générales des ressources humaines, des opérations et de l'innovation, des sciences et de la technologie, devrait élaborer et mettre en œuvre une stratégie et un plan de formation à l'intention des gestionnaires et du personnel ayant des responsabilités dans le cadre du Programme de PCA.

Plan d'action de la direction	Date d'achèvement
En collaboration avec la Direction générale des ressources humaines, une référence au but de la PCA a été incluse dans le module de formation en ligne sur la sensibilisation à la sécurité. Une autre référence pour obtenir des conseils de la gestion sur des questions expressément liées aux plans de continuité des activités a aussi été ajoutée. De l'information similaire sur le Programme de PCA sera aussi incluse dans le module de formation en ligne sur la sensibilisation à la sécurité pour les gestionnaires qui sortira au printemps 2010.	Juin 2010
Puisque ce ne sont pas tous les employés qui doivent suivre une formation sur la PCA ou assister à une séance de sensibilisation à ce sujet, la sensibilisation à travers l'Agence se fait de multiples façons. On organise des séances de sensibilisation à l'intention des employés et des gestionnaires visés/impliqués dans des forums mixtes entre les directions générales et sur une base individuelle. De plus, les membres des équipes de gestion des directions générales assistent à des séances de sensibilisation pour mieux comprendre l'importance des plans de continuité des activités et les rôles et responsabilités qui s'y rattachent. Des personnes clés au sein des directions générales sont responsables d'offrir ces séances au sein de leur direction générale et de leur région respectives sous le Programme de PCA.	En cours
La Direction générale du contrôle travaillera avec la DGIST et la Direction générale des opérations à l'élaboration d'une stratégie globale de formation et de sensibilisation pour les employés et les gestionnaires qui ont des responsabilités en vertu du Programme de PCA. La DGIST soutiendra les efforts de la Direction générale du contrôle dans le développement d'une stratégie et d'un plan de formation à l'échelle nationale.	Juin 2010

Surveillance et établissement de rapports sur le Programme de PCA

L'intégration du Programme de PCA au cadre de planification stratégique et opérationnelle de l'Agence permettrait d'indiquer et d'affecter des ressources financières et d'autres ressources requises pour la mise en œuvre et le contrôle du Programme de PCA. Un processus de surveillance et de rapports permettrait de fournir des renseignements afin de faire la mise à jour du Programme de PCA et de mettre en évidence les principales étapes, les écarts au chapitre des attentes visant le programme et les plans des ressources, de même que les risques encourus dans le cadre du Programme. La direction de l'ASFC demande ces renseignements afin d'évaluer le rendement du programme, l'utilisation des ressources et le succès du programme en regard de la réalisation des résultats prévus.

La Direction générale du contrôle assumait la responsabilité générale à l'égard du Programme de PCA et elle bénéficiait de l'appui sans faille de la DGIST, de la Direction générale des opérations et d'autres directions générales pour ce qui est de l'élaboration, de l'essai et du contrôle des plans. La Direction générale du contrôle avait élaboré un plan de travail de haut niveau dans le cadre du Programme de PCA pour l'exercice 2009-2010; des renseignements sur le calendrier des étapes clés avaient été accumulés et il y avait peu de renseignements sur les principales activités touchant la gestion du programme. Dans le cadre du plan de travail, la Direction générale du contrôle s'était dotée de la capacité d'évaluer les risques, de surveiller le rendement du Programme de PCA et d'établir des rapports à cet effet.

La DGIST avait inclus dans son projet de plan opérationnel pour l'exercice 2009-2010 les buts et objectifs de la continuité de la TI, indiqué des attentes sur le rendement de son équipe de gestion de la continuité de la TI en 2008-2009, dressé une liste de tâches et elle avait établi un calendrier visant l'élaboration des plans.

La haute direction avait débattu et examiné les plans de continuité des activités et les plans de continuité de la TI à diverses occasions. Toutefois, elle n'avait pas eu la possibilité de discuter de tous les éléments afin d'évaluer le Programme de PCA dans son ensemble et de prendre des décisions éclairées en tenant compte de tous les facteurs.

Les coûts liés au Programme de PCA n'étaient pas disponibles. Selon un examen des documents financiers dans les Systèmes administratifs d'entreprise (SAE), le budget, les coûts liés au Programme de PCA, de même que le temps consacré à cet effet n'avaient pas fait l'objet d'un suivi. L'Agence n'est pas en mesure de cumuler les dépenses visant la planification et l'établissement de rapports sur la PCA sans la saisie des ressources réelles affectées à la PCA. La vérification des préparatifs d'urgence comprenait une recommandation selon laquelle la Direction générale du contrôle devait envisager l'utilisation des SAE pour assurer la gestion des ressources et des activités de l'Agence et établir des rapports à ce sujet. Cela dit, la mesure de la direction prévue en mars 2009 n'avait pas été mise en œuvre.

Recommandation

6. Le vice-président de Direction générale du contrôle devrait élaborer un cadre de surveillance et de rapports concernant le rendement du Programme de PCA, et préparer un rapport sur les résultats du programme au moins une fois par année à l'intention du comité de gouvernance.

Plan d'action de la direction	Date d'achèvement
Un programme d'assurance de la qualité est en place dans le cadre du Programme de PCA afin de surveiller et d'établir des rapports sur le rendement du Programme de PCA. L'établissement continu de rapports à la haute direction est prévu.	En cours
De plus, la Section de surveillance des programmes et d'évaluation des risques a été créée au sein de la Direction de la sécurité et des normes professionnelles et devrait mettre en œuvre une analyse détaillée de surveillance, d'établissement de rapports et de risque sur le Programme de sécurité aussi bien que sur les plans de continuité des activités pendant l'année à venir.	Décembre 2010

Annexe A : Critères de vérification

Secteurs d'intérêt	Critères de vérification
1.0 Structure de régie et de gestion du Programme de PCA	1.1 L'ASFC dispose d'une politique en matière de PCA de sorte que ses programmes et opérations nouveaux et actuels puissent satisfaire aux exigences de la PSG. 1.2 Le Programme de PCA de l'ASFC comprend toutes les composantes requises de sorte que l'ASFC puisse satisfaire à l'exigence de la PSG visant à élaborer des plans de continuité de la TI et de la GI dans le cadre des plans de continuité des activités de l'Agence. 1.3 La direction de l'ASFC intègre le Programme de PCA au cadre de planification opérationnelle et stratégique de l'Agence, veille à ce qu'il soit conforme à la politique du gouvernement et attribue des ressources financières et d'autres ressources à cet effet. 1.4 Une stratégie de communication d'un plan de continuité des activités est en place.
2.0 Plans de continuité des activités et préparatifs	2.1 Les plans de continuité des activités, y compris les plans de continuité de la GI et de la TI, ont été élaborés. 2.2 La haute direction a approuvé les plans achevés. 2.3 Lorsque d'autres ministères partagent avec l'ASFC la prestation d'un service essentiel, des plans sont coordonnés avec les ministères visés. 2.4 Le personnel reçoit de la formation et de l'information sur les plans. 2.5 Des critères pour lancer et mettre fin aux procédures et mécanismes de continuité sont établis et définis pour chaque plan. 2.6 Des sites de remplacement pour tous les plans de continuité des activités sont indiqués. 2.7 Des stratégies de reprise de la TI sont indiquées de façon à tenir compte des répercussions et du temps d'interruption admissible dans l'Analyse de l'impact sur l'entreprise.
3.0 Maintien de l'état de préparation du Programme de PCA	3.1 Un processus permanent de contrôle et de gestion du changement est enclenché afin d'assurer la mise à jour des plans et préparatifs concernant la PCA. 3.2 Le personnel est bien renseigné et tenu au courant de ses responsabilités en matière de PCA grâce à des directives de la direction, à des exercices ou à des programmes de formation et de sensibilisation. 3.3 Tous les plans font l'objet d'une validation et d'une mise à l'essai sur une base régulière, y compris des rapports sur les leçons tirées après les activités de mise à l'essai ou des événements réels.

Secteurs d'intérêt

Critères de vérification

1.0 Structure de régie et de gestion du Programme de PCA

1.1 L'ASFC dispose d'une politique en matière de PCA de sorte que ses programmes et opérations nouveaux et actuels puissent satisfaire aux exigences de la PSG.

1.2 Le Programme de PCA de l'ASFC comprend toutes les composantes requises de sorte que l'ASFC puisse satisfaire à l'exigence de la PSG visant à élaborer des plans de continuité de la TI et de la GI dans le cadre des plans de continuité des activités de l'Agence.

1.3 La direction de l'ASFC intègre le Programme de PCA au cadre de planification opérationnelle et stratégique de l'Agence, veille à ce qu'il soit conforme à la politique du gouvernement et attribue des ressources financières et d'autres ressources à cet effet.

1.4 Une stratégie de communication d'un plan de continuité des activités est en place.

2.0 Plans de continuité des activités et préparatifs

2.1 Les plans de continuité des activités, y compris les plans de continuité de la GI et de la TI, ont été élaborés.

2.2 La haute direction a approuvé les plans achevés.

2.3 Lorsque d'autres ministères partagent avec l'ASFC la prestation d'un service essentiel, des plans sont coordonnés avec les ministères visés.

2.4 Le personnel reçoit de la formation et de l'information sur les plans.

2.5 Des critères pour lancer et mettre fin aux procédures et mécanismes de continuité sont établis et définis pour chaque plan.

2.6 Des sites de remplacement pour tous les plans de continuité des activités sont indiqués.

2.7 Des stratégies de reprise de la TI sont indiquées de façon à tenir compte des répercussions et du temps d'interruption admissible dans l'Analyse de l'impact sur l'entreprise.

3.0 Maintien de l'état de préparation du Programme de PCA

3.1 Un processus permanent de contrôle et de gestion du changement est enclenché afin d'assurer la mise à jour des plans et préparatifs concernant la PCA.

3.2 Le personnel est bien renseigné et tenu au courant de ses responsabilités en matière de PCA grâce à des directives de la direction, à des exercices ou à des programmes de formation et de sensibilisation.

3.3 Tous les plans font l'objet d'une validation et d'une mise à l'essai sur une base régulière, y compris des rapports sur les leçons tirées après les activités de mise à l'essai ou des événements réels.

Annexe B : Liste des sigles

Sigle	Description
ADRC	Agence des douanes et du revenu du Canada
ANS	accord sur les niveaux de service
ASM	agent de sécurité ministériel
ASFC	Agence des services frontaliers du Canada
CGHD	Comité de gestion de la haute direction
CobiT	Objectifs de contrôle dans le domaine de l'information et des technologies connexes
CSPC	Comité de la sécurité et de la protection civile
CRG	Cadre de responsabilisation de gestion
DGIST	Direction générale de l'innovation, des sciences et de la technologie
GI	gestion de l'information
NIST	National Institute of Standards and Technology
PCA	Planification de la continuité des activités
PGS	Politique du gouvernement sur la sécurité
PSG	Politique sur la sécurité du gouvernement
SAE	Systèmes administratifs d'entreprise
TI	technologie de l'information
TIS	tableau d'identification des services

Liens de la barre de menu commune

Liens institutionnels

Par auditoire

Par type

Ressources

Responsabilité

Vérification des plans de continuité des opérations

Table des matières

Sommaire

Contexte

Objectif et étendue de la vérification

Énoncé d'assurance

Opinion de la vérification

Observations principales

Introduction

Contexte

Évaluation des risques

Objectif et étendue de la vérification

Stratégie et méthodes

Critères de vérification

Énoncé d'assurance

Opinion de la vérification

Constatations, recommandations et plans d'action de la direction

Structure de régie et de gestion du Programme de PCA

Recommandations

Plans de continuité des activités et préparatifs de la PCA

Recommandation

État de préparation du Programme de PCA

Recommandations

Surveillance et établissement de rapports sur le Programme de PCA

Recommandation

Annexe A : Critères de vérification

Annexe B : Liste des sigles