Qui doit fournir un audit de sécurité ?

Les entrepreneurs ayant accès aux systèmes municipaux ou aux données sensibles peuvent être tenus de fournir des audits ou attestations de sécurité comme indiqué dans les documents d'appel d'offres.

Quand les audits doivent-ils être accomplis ?

Les délais et fenêtres d'achèvement sont indiqués dans la RFP ou l'avis de contrat ; les fournisseurs doivent respecter les dates figurant dans ces documents d'approvisionnement.

Existe-t-il des formulaires standard à soumettre ?

Il n'existe pas de formulaire unique pour toute la ville ; les exigences de soumission sont incluses dans chaque opportunité d'approvisionnement et sur le portail fournisseur.

Règlement sur les audits de sécurité pour les entrepreneurs de Kitchener

Technologie et données Ontario 4 min de lecture · publié 24 mai 2026

Ce guide explique comment les exigences d'audit de sécurité s'appliquent aux entrepreneurs de la ville de Kitchener, Ontario, et ce que les entreprises doivent faire avant l'attribution d'un marché. Il décrit la portée typique de l'audit, la documentation, qui applique les règles, comment postuler et les étapes pratiques pour préparer des preuves de sécurité de l'information pour les soumissions et les contrats.

Commencez à préparer les preuves d'audit tôt dans la planification des marchés.

Portée et moment d'application des audits

Kitchener exige que les entrepreneurs travaillant avec des systèmes municipaux ou manipulant des données de la ville respectent des normes de sécurité et de confidentialité précises avant l'attribution du contrat lorsque l'approvisionnement concerne des technologies de l'information, des services en nuage ou des données personnelles sensibles. Les exigences s'appliquent généralement aux demandes de propositions (RFP), aux offres permanentes et à certains contrats de services. La portée exacte et les seuils sont déterminés par la politique d'approvisionnement ou de sécurité informatique de la ville et peuvent varier selon le projet.

Composantes courantes d'un audit de sécurité

Rapports d'évaluation de la sécurité ou certificats d'audit par un tiers (par ex., résumés de tests d'intrusion).
Politiques : politique de sécurité de l'information, plan d'intervention en cas d'incident et classification des données.
Preuves de configuration sécurisée et de registres de mise à jour.
Contrôles d'accès et documentation de gestion des identités.
Procédures de traitement et de conservation des données, y compris les contrôles imposés aux sous-traitants.

Calendrier de diligence raisonnable des fournisseurs

Fournir les documents d'audit demandés dans les délais indiqués dans la RFP ou l'avis d'approvisionnement.
Prévoyez du temps pour l'examen municipal et toute validation de suivi avant l'attribution.

La documentation doit être claire, datée et émaner d'une source faisant autorité.

Sanctions et application

L'application du non-respect des exigences de sécurité ou d'approvisionnement est gérée par le bureau des approvisionnements de la Ville de Kitchener en collaboration avec l'informatique municipale et l'application des règlements. Les montants des amendes et les pénalités monétaires spécifiées pour le non-respect des conditions d'audit de sécurité ne sont pas précisés sur la page citée^[1]. Les remèdes couramment utilisés par les municipalités comprennent les mesures contractuelles, la retenue de paiement, l'obligation de remédier, la résiliation pour défaut et le renvoi aux tribunaux en cas de violation légale.

Montants des amendes : non précisés sur la page citée^[1].
Escalade : première infraction, récidive et infractions continues sont traitées selon les termes du contrat ; les fourchettes spécifiques ne sont pas précisées sur la page citée^[1].
Sanctions non monétaires : ordonnances de correction, délais de remédiation, suspension ou résiliation du contrat, et saisie possible des services.
Autorité : bureau des approvisionnements de la Ville de Kitchener en coordination avec la sécurité informatique et l'application des règlements ; les plaintes et les rapports d'incident suivent les canaux officiels de la ville.
Recours et révision : mécanismes de règlement des différends contractuels et voies judiciaires ou de révision applicables ; les délais pour interjeter appel sont déterminés par le contrat régissant la question et ne sont pas précisés sur la page citée^[1].

Si un incident de sécurité survient, informez la ville immédiatement par les canaux officiels.

Demandes et formulaires

La ville ne publie pas de formulaire universel « audit de sécurité » ; les documents d'approvisionnement et les pièces jointes de la RFP indiquent les éléments de preuve requis et les modèles éventuels. Lorsqu'il existe des formulaires, ils figurent dans les documents d'appel d'offres ou le portail fournisseur. Si aucun formulaire n'est requis, suivez les instructions de la donne d'ouvrage.

Se préparer à un audit - Étapes d'action

Examinez les documents d'approvisionnement et notez les livrables de sécurité requis.
Rassemblez les rapports d'audit existants, les résumés de tests d'intrusion et les politiques avec dates et auteurs.
Corrigez les vulnérabilités connues et consignez les modifications de configuration et les mises à jour.
Désignez un point de contact unique pour les réviseurs municipaux et fournissez un accès sécurisé aux preuves si demandé.
Prévoyez un budget pour les évaluations par des tiers si le projet exige un certificat externe.

Tenez un registre des preuves qui associe chaque exigence à un document ou artefact système précis.

FAQ

Qui doit fournir un audit de sécurité ?: Les entrepreneurs ayant accès aux systèmes municipaux ou aux données sensibles peuvent être tenus de fournir des audits ou attestations de sécurité comme indiqué dans les documents d'appel d'offres.
Quand les audits doivent-ils être accomplis ?: Les délais et fenêtres d'achèvement sont indiqués dans la RFP ou l'avis de contrat ; les fournisseurs doivent respecter les dates figurant dans ces documents d'approvisionnement.
Existe-t-il des formulaires standard à soumettre ?: Il n'existe pas de formulaire unique pour toute la ville ; les exigences de soumission sont incluses dans chaque opportunité d'approvisionnement et sur le portail fournisseur.

How-To

Identifier si l'approvisionnement implique des données ou des systèmes municipaux qui déclenchent des exigences d'audit.
Rassembler les politiques de sécurité existantes, les rapports d'audit et la documentation de réponse aux incidents.
Effectuer les remédiations nécessaires et documenter les corrections avec dates et responsables.
Soumettre les documents requis via le portail d'approvisionnement ou comme indiqué dans la RFP, et être prêt à répondre aux questions de suivi.
Si votre soumission est retenue, maintenir la conformité et informer la ville rapidement de tout incident de sécurité.

Points clés

Commencez tôt la documentation de sécurité et associez chaque exigence à une preuve précise.
Les documents d'approvisionnement font foi quant aux preuves d'audit requises.
Contactez le bureau des approvisionnements de la Ville de Kitchener pour clarifier avant la soumission.

Aide et ressources

Catégories

Gouvernance et administration générales Sécurité publique Santé publique et bien-être Urbanisme et zonage Logement et normes de construction Transports Protection de l’environnement Parcs et espaces publics Affaires et protection du consommateur Fiscalité et finances Travail et emploi Éducation Droits civils et équité Élections et financement des campagnes Événements et usages spéciaux Enseignes et publicité Services publics et infrastructures Technologie et données