ID
2023-001
Nous vous remercions d’avoir fourni des commentaires sur la proposition de l’ARSF proposée en matière de la gestion des risques liés aux TI.
Nous sommes heureux des commentaires et des questions reçus jusqu’ici. Vos commentaires nous seront utiles pour l’établissement de la version définitive de notre règle.
La période de commentaires est maintenant terminée.
L’ARSF procède à une consultation sur les lignes directrices à suivre pour aider les secteurs et les personnes qu’elle réglemente à gérer efficacement une menace à leurs systèmes, leur infrastructure et leurs données informatiques.
Les risques informatiques, comme les cybermenaces et le vieillissement de l’infrastructure numérique, peuvent entraîner des pertes financières et nuire aux consommateurs.
Les entités réglementées doivent se conformer aux exigences existantes liées aux risques informatiques et à la protection des renseignements personnels, y compris les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »).
Ces lignes directrices s’appliquent à tous les secteurs réglementés par l’ARSF et elles comprennent sept pratiques pour gérer efficacement les risques liés aux technologies de l’information et les étapes nécessaires pour aviser l’ARSF en cas d’incident informatique.
- Gouvernance - personnes en place ayant une expertise suffisante pour gérer les risques liés aux TI.
- Gestion du risque - politiques et procédures en place pour gérer les risques liés aux TI.
- Gestion des données - processus, procédures et contrôles en place pour garantir la qualité, l’intégrité et la confidentialité des données.
- Externalisation - contrôles en place pour gérer les risques liés à l’externalisation.
- Préparation aux incidents - processus en place pour pouvoir se remettre d’un incident lié aux TI.
- Continuité et résilience - assurer la continuité de leurs actifs informatiques pour leur permettre de fournir des services après un incident.
- Avis en cas d’incidents importants découlant des risques liés aux TI - avis aux organismes de réglementation en cas d’incident important découlant des risques liés aux TI.
Les lignes directrices décrivent également le contenu de la gestion efficace des risques liés aux TI pour les secteurs suivants :
- Caisses populaires et credit unions
- Courtage en prêts hypothécaires
- Assurances
- Régimes de retraite
- Planificateurs financiers et conseillers financiers
La période de consultation est maintenant ouverte. L’ARSF invite les intervenants et le public à soumettre leurs commentaires jusqu’au 31 mars 2023.
Pour en savoir plus :
- Proposition de lignes directrices sur la gestion des risques liés aux TI
- Résumé des commentaires des intervenants – Ligne directrice sur la gestion des risques liés aux technologies de l’information (« TI »)
- Version définitive de la ligne directrice sur la gestion des risques liés aux technologies de l’information (« TI »)
Avant de commencer, nous vous demandons de ne pas inclure de renseignements personnels ou de renseignements financiers dans vos messages. Si vous devez nous faire part de ce genre de renseignements pour obtenir une réponse à votre question, appelez-nous au 1 800 668-0128 ou envoyez-nous un courriel à [email protected] pour obtenir des instructions.
En soumettant un contenu, vous acceptez que votre document soit publié sur notre portail de participation et utilisé dans des rapports ou d’autres documents préparés par l’Autorité de réglementation des services financiers (ARSF) et qui pourraient rendus publics. Nous avons modéré le contenu pour nous assurer que toutes les publications sont respectueuses et professionnelles. La Loi sur l’accès à l’information et la protection de la vie privée, L.R.O. 1990, chap. F.31, s’applique à tout contenu publié en ligne.