N° de police : 200.027
Numéro de résolution : RR52-25
Date d'approbation : 10/27/2025
Date d'examen des capitaux propres : 10/9/2024
Remplace les résolutions et politiques suivantes : 200.014 Programme d'assurance logicielle Microsoft pour une utilisation à domicile, 200.003 Technologies de l'information, 502.005 Utilisation des téléphones portables
de confidentialité
(Approuvé par le Conseil des commissaires du parc.)
Objectif :
Cette politique a pour but d'établir des lignes directrices pour l'utilisation des technologies de l'information au sein de Parks Tacoma. Elle définit notamment le périmètre de gouvernance des équipes informatiques de Parks Tacoma, garantit l'identification des risques technologiques et assure l'uniformité des méthodes utilisées par Parks Tacoma pour atténuer les risques potentiels pour son activité et ses employés dans tous les services.
Public:
Le service des parcs de Tacoma comprend trois départements : administration et planification, parcs et loisirs, et éducation zoologique et environnementale. La présente politique s’applique à tous les départements et employés du service des parcs de Tacoma.
Portée:
Tous les parcs de Tacoma doivent se conformer aux politiques informatiques fournies par les équipes informatiques des parcs de Tacoma.
Définitions:
Données personnelles identifiables (DPI) : Toute information personnelle permettant d’identifier une personne ou d’obtenir des renseignements la concernant. Il peut s’agir d’informations indirectes pouvant être recoupées, comme les noms, adresses et numéros de téléphone, ou d’informations explicites telles que les dossiers médicaux, les informations bancaires et les numéros de sécurité sociale.
Ressources:
Parcs Tacoma
Responsable informatique de district
Département d'éducation zoologique et environnementale
Superviseur des systèmes d'information
Parcs et loisirs
Superviseur des systèmes d'information
Systèmes d'entreprise
Superviseur des systèmes d'entreprise
Services de technologie réseau
Superviseur des services de technologie réseau
Business Intelligence
Superviseur en intelligence d'affaires
Déclarations de politique générale :
1. Intelligence artificielle
1.1. Tous les outils d'intelligence artificielle (IA) doivent être approuvés par le personnel des systèmes d'information du district et faire l'objet d'une approbation de la part du supérieur hiérarchique avant toute utilisation professionnelle. Les outils d'IA non approuvés pourront être bloqués par Parks Tacoma afin d'empêcher tout accès non autorisé à des fins professionnelles, et toute tentative de contournement de cette restriction fera l'objet de mesures disciplinaires.
1.2. Tout contenu généré par l'IA doit être revu et reformulé afin d'éviter le plagiat et/ou la violation des droits d'auteur. Il doit également faire l'objet d'une évaluation rigoureuse à l'aide d'une note d'équité afin de détecter tout biais ou préjugé dans les résultats générés par ordinateur.
1.3. Toutes les données soumises aux systèmes d'IA doivent être anonymisées, et toute information confidentielle, protégée ou personnelle doit être supprimée des invites ou des données d'entrée afin d'éviter toute fuite accidentelle de données à des tiers. Toutes les données de Parks Tacoma doivent être correctement nettoyées avant d'être copiées ou importées dans un système d'IA.
1.4. Tous les outils d'IA fournis par Parks Tacoma sont exclusivement réservés à un usage professionnel ; leur utilisation personnelle et l'accès à des comptes d'IA personnels à des fins professionnelles sont interdits. Tout membre du personnel utilisant ces outils devra signer une convention d'utilisation acceptable et suivre une formation annuelle en cybersécurité.
2. Stockage et conservation des données
2.1. Obligations légales – Conformément à la loi de l’État de Washington RCW 40.14.070, Parks Tacoma est tenu de conserver les données des archives publiques. Parks Tacoma respectera les exigences publiées dans le calendrier de conservation des documents des administrations locales, ainsi que dans le calendrier de conservation des documents du ministère des Parcs, des Loisirs et de la Culture.
2.2. Plateformes de stockage approuvées – Toutes les données de Parks Tacoma créées à des fins professionnelles doivent être stockées sur une plateforme de stockage approuvée par Parks Tacoma. Ces plateformes doivent être liées à un compte utilisateur autorisé de Parks Tacoma, fourni par le personnel des systèmes d'information. Les données stockées sur des plateformes non autorisées doivent être immédiatement signalées au service des systèmes d'information, sous peine d'être considérées comme une utilisation abusive de documents publics.
2.3. Sécurité – L’accès à toutes les données de Parks Tacoma est limité au personnel autorisé grâce à des contrôles d’accès basés sur les rôles et respectant le principe du moindre privilège. Ceci s’applique aux environnements de stockage sur site et dans le nuage.
2.4. Chiffrement – Toutes les données sensibles de Parks Tacoma doivent être chiffrées afin de les protéger contre tout accès non autorisé en cas de perte ou de vol d'un appareil. Les informations personnelles doivent être chiffrées lors de leur transmission et de leur stockage. Cela implique d'utiliser des options de messagerie chiffrée lors du partage d'informations personnelles avec le personnel ou des tiers, afin de garantir l'illisibilité des données en cas de compromission.
2.5. Conservation des données – Parks Tacoma se conformera à toutes les exigences applicables de l’État en matière de conservation des documents.
2.6. SMS/Messages texte – Les SMS relatifs aux activités de Parks Tacoma doivent se limiter aux communications ponctuelles ou informelles. Tout message ayant une incidence sur les décisions commerciales ou susceptible de donner lieu à un litige doit être communiqué via les plateformes approuvées, telles que la messagerie électronique de Parks Tacoma ou Microsoft Teams. Les SMS critiques pour l'activité doivent être dupliqués et stockés dans des systèmes ou emplacements de stockage approuvés.
2.7. Communications professionnelles et comptes personnels – L’utilisation de comptes personnels à des fins professionnelles pour Parks Tacoma est interdite. Toute communication professionnelle effectuée via un compte personnel doit être enregistrée sur un support de stockage agréé par Parks Tacoma. L’utilisation répétée de comptes personnels à des fins professionnelles sera signalée à la hiérarchie et pourra faire l’objet de mesures disciplinaires.
2.8. Communications personnelles via les comptes professionnels – Les communications personnelles effectuées via les comptes fournis par Parks Tacoma sont interdites. Ces communications sont soumises à la conservation des données et aux demandes d'accès aux documents administratifs. Tout abus répété peut entraîner la suspension du compte.
2.9. Périphériques de stockage externes – L’utilisation de périphériques de stockage externes pour le stockage et la transmission des données de Parks Tacoma est soumise à l’approbation et à la configuration du personnel des systèmes d’information. Le personnel de Parks Tacoma doit se procurer les périphériques de stockage externes auprès des systèmes d’information afin d’obtenir un dispositif approprié, doté du chiffrement, des fonctions de sécurité et de la durée de conservation adéquats. En raison des risques de fuite de données et de cybermenaces, Parks Tacoma interdit l’utilisation de périphériques de stockage externes personnels non fournis par le personnel des systèmes d’information du district.
2.10. Conservation des données de surveillance – Les enregistrements de surveillance seront conservés conformément à la législation en vigueur relative à la conservation des documents. Tous les systèmes de surveillance feront l’objet d’un examen annuel afin d’en garantir la conformité et d’évaluer les améliorations ou le remplacement s’ils ne répondent pas aux exigences de l’État en matière de conservation des documents.
2.11. Minimisation des données et transparence – Parks Tacoma ne collecte et ne conserve que les renseignements personnels strictement nécessaires à ses activités. Le personnel doit obtenir le consentement explicite des personnes concernées avant de recueillir ou de traiter leurs renseignements personnels, et leur fournir des informations claires sur l’utilisation et la protection des données.
3. Gouvernance informatique
3.1. Le personnel des systèmes d'information de Parks Tacoma tiendra à jour un référentiel unique de toutes les normes et procédures régissant la mise en œuvre des systèmes d'information à l'échelle du district. Ces normes et procédures seront strictement appliquées jusqu'à leur modification, soit par un examen et une approbation par l'équipe des normes, soit par le comité de pilotage des systèmes d'information.
3.2. Comité directeur des systèmes d'information – Parks Tacoma établira et maintiendra un Comité directeur des systèmes d'information (CDS), composé de gestionnaires et de superviseurs de chaque département d'activité, pour se réunir régulièrement et évaluer la priorisation et l'alignement des systèmes d'information avec les exigences opérationnelles de l'entreprise.
3.3. Le district de Parks Tacoma mettra en place et maintiendra des équipes de normalisation des systèmes d'information (ENSI) composées de personnel informatique de chaque service. Les ENSI se réuniront régulièrement afin de créer et de réviser des normes unifiées pour l'ensemble du district, en vue de leur adoption et de leur mise en œuvre. Les ENSI peuvent établir de nouvelles normes ou adopter de nouvelles technologies avec l'accord de l'ensemble de l'équipe. Toute norme, procédure ou technologie non validée par l'équipe sera soumise au Comité de pilotage des systèmes d'information pour un examen plus approfondi. Tout responsable des systèmes d'information peut soumettre une proposition ou une préoccupation au Comité de pilotage s'il estime qu'une évaluation supplémentaire est nécessaire. Tous les changements apportés aux normes, aux procédures ou à l'adoption de nouvelles technologies feront l'objet d'un rapport de synthèse présenté au Comité de pilotage afin d'assurer la supervision de leur impact sur l'activité et la responsabilité. Le Comité de pilotage offrira un espace de dialogue pour parvenir à un consensus sur les mises en œuvre des systèmes et/ou les procédures de déploiement de solutions que tous les services pourront adopter de bonne foi. Le directeur exécutif du district sera l'autorité compétente pour trancher les désaccords concernant les demandes, les choix ou les mises en œuvre de technologies à l'échelle du district, si le Comité de pilotage ne parvient pas à un consensus.
3.4. Parks Tacoma donnera au responsable des systèmes d'information du district la supervision des services de systèmes d'information à l'échelle du district.
4. Achats de technologies de l'information
4.1. Tout matériel, logiciel ou composant acheté avec des fonds de Parks Tacoma ou acheté par le personnel qui demande un remboursement pour une utilisation professionnelle est la propriété exclusive de Parks Tacoma.
4.2. Tout matériel informatique appartenant à Parks Tacoma et mis à la disposition du personnel doit être restitué à la fin du contrat de travail de ce dernier. Tout appareil non restitué dans les délais impartis ou pour lequel une restitution ultérieure n'a pas été programmée sera signalé aux autorités locales comme ayant été soustrait illégalement à la garde du district.
4.3. Aucun actif des systèmes d'information des parcs de Tacoma ne peut être transféré à la propriété personnelle sans approbation par le biais de la politique de surplus du district et du remboursement au district de la juste valeur marchande de l'actif.
4.4. Tous les niveaux d'approbation d'achat de technologies de l'information seront fournis par la politique d'achat 100.003 de Parks Tacoma.
4.5. Tout appareil, service ou logiciel non répertorié dans le catalogue du district doit être approuvé par le comité des normes des systèmes d'information. Tout appareil, service ou logiciel acquis en dehors de la procédure d'approbation des systèmes d'information sera considéré comme non approuvé et non pris en charge. Les appareils, logiciels ou services non approuvés ne pourront bénéficier d'aucune connectivité ni intégration aux systèmes ou réseaux d'entreprise existants tant qu'ils n'auront pas été examinés et approuvés.
5. Appareils mobiles
5.1. Parks Tacoma peut attribuer des appareils mobiles à des fins professionnelles si cela est nécessaire à l'exercice des fonctions essentielles d'un employé et avec l'approbation de son supérieur hiérarchique. Ces appareils sont la propriété de Parks Tacoma et ne sont pas destinés à un usage personnel. Toutefois, le personnel n'est pas interdit de les utiliser pour passer des appels à titre personnel en cas d'urgence ou de besoin urgent similaire.
5.2. Les données des appareils mobiles de Parks Tacoma sont soumises aux mêmes exigences de stockage et de conservation des enregistrements que tout autre appareil.
5.3. L’envoi de SMS sur les appareils fournis par le district doit se limiter aux communications temporaires n’ayant aucune incidence sur les décisions professionnelles. Toutes les communications professionnelles doivent être effectuées via une application approuvée par Parks Tacoma. Tout échange de SMS relatif aux décisions professionnelles de Parks Tacoma, effectué en dehors des applications approuvées, doit être enregistré et stocké sur un emplacement de stockage de données approuvé.
5.4. Toutes les photos prises avec un appareil fourni par Parks Tacoma doivent être prises dans le cadre du travail et sont la propriété de Parks Tacoma. Ces photos peuvent être soumises aux mêmes exigences de conservation des données du district que tout document créé dans le cadre de travaux ou de décisions commerciales et doivent être copiées dans un lieu de stockage agréé afin de satisfaire aux exigences de conservation des documents.
5.5. Tout membre du personnel connectant un appareil mobile personnel à un compte Parks Tacoma doit s'inscrire au portail de l'entreprise pour accéder aux applications professionnelles fournies par Parks Tacoma. Le portail de l'entreprise stockera les données de Parks Tacoma dans un conteneur sécurisé sur l'appareil, permettant ainsi à Parks Tacoma de supprimer ces données en cas de départ d'un employé, sans incidence sur ses données personnelles.
5.6. Les utilisateurs standard ne se verront pas accorder un accès d'administrateur local aux appareils appartenant à l'entreprise afin de maintenir un niveau de sécurité élevé.
5.7. Tous les appareils du district gérés par l'entreprise seront équipés d'un verrouillage d'écran configuré avec un code d'accès. Le personnel pourra, selon les capacités de son appareil, activer l'identification biométrique, mais cela ne sera pas obligatoire. Aucun utilisateur ne peut désactiver le verrouillage d'écran sans l'autorisation écrite d'un responsable des systèmes d'information.
5.8. Les appareils mobiles personnels n'appartenant pas à Parks Tacoma ne seront pas connectés aux ressources du domaine. Les appareils personnels du personnel peuvent être connectés aux réseaux sans fil à accès limité du personnel, des visiteurs ou des locations.
6. Réseau
6.1. L’accès aux réseaux de Parks Tacoma est réservé au personnel de Parks Tacoma et ne sera pas autorisé aux personnes extérieures à l’organisation sans une autorisation expresse et temporaire accordée par le sous-comité des réseaux et systèmes d’information. Tout accès accordé à des entités externes, telles qu’un prestataire de services pour la mise en œuvre d’un projet ou autre, sera limité dans son champ d’application et sa durée.
6.2. Parks Tacoma suivra les directives relatives aux normes et aux meilleures pratiques en matière de cybersécurité établies par le National Institute of Standards and Security (NIST), le SANS Institute, le Center for Internet Security (CIS) et les recommandations de ses fournisseurs de technologies. Parks Tacoma veillera également au respect des normes PCI et HIPAA pour les systèmes qui l'exigent, tels que les réseaux de points de vente où peuvent être stockées des données relatives à la santé des clients et aux ventes. Des politiques et des procédures seront mises en place afin d'assurer une isolation et une segmentation adéquates des systèmes, de limiter les interactions aux seules communications nécessaires, d'empêcher les déplacements latéraux inutiles et de maintenir le niveau de sécurité du district.
6.3. Parks Tacoma limitera la connectivité lors de la conclusion de tout accord de partage de données afin d'empêcher tout accès non autorisé à d'autres systèmes ou ressources. Toutes les données partagées seront répliquées sur un emplacement de partage dédié, de sorte que l'accès externe depuis des environnements n'appartenant pas à Parks Tacoma ou n'étant pas exploités par elle soit confiné à un segment de réseau sécurisé, sans accès direct aux systèmes sensibles de Parks Tacoma.
6.4. Les réseaux du domaine Parks Tacoma seront limités aux plateformes matérielles et logicielles prises en charge, détenues et exploitées par Parks Tacoma. Les appareils et logiciels non pris en charge ou dont la période de support est expirée seront placés sur des réseaux de quarantaine et leurs communications seront limitées afin de préserver l'intégrité du réseau global.
6.5. Les réseaux de Parks Tacoma seront segmentés pour fournir une sécurité supplémentaire, limitant l'accès aux réseaux sensibles et empêchant la communication croisée entre les systèmes qui n'ont pas besoin de communiquer entre eux.
7. Accès à distance
7.1. L’accès à distance de Parks Tacoma est limité à l’utilisation par le personnel autorisé, les fournisseurs et les partenaires.
7.2. Tout accès à distance sera limité aux plateformes prises en charge avec une prise en charge actuelle des mises à jour de sécurité, avec un logiciel de protection des points de terminaison ou un logiciel antivirus à jour.
7.3. L’accès à distance ne sera pas facilité à partir d’appareils personnels sauf approbation et documentation par le responsable informatique du district.
7.4. Le personnel du district doit soumettre une demande d'accès à distance approuvée par son supérieur hiérarchique direct. Toute exception doit être approuvée et documentée par un responsable des systèmes d'information. Tout accès à distance peut être suspendu en cas d'enquête interne afin de garantir la sécurité du réseau pendant la durée de l'enquête. Tout accès à distance sera également suspendu en cas de départ d'un employé du district.
7.5. Un membre du personnel de Parks Tacoma peut demander un accès à distance pour un fournisseur ou un partenaire du district. Cet accès sera limité aux ressources spécifiques liées au projet ; tout autre accès sera bloqué. Toutes les demandes doivent être examinées et approuvées par l’équipe chargée des normes du réseau des systèmes d’information. Toute demande d’accès à distance approuvée doit inclure une date de fin pour cet accès ; à défaut, les systèmes d’information en attribueront une conformément aux politiques et procédures en vigueur.
7.6. Tout accès à distance sera limité aux ressources spécifiques nécessaires à l'exécution du travail à distance, et toutes les autres ressources seront restreintes afin qu'elles soient inaccessibles.
7.7. L'accès à distance pour faciliter le partage de données respectera des exigences de sécurité strictes afin d'empêcher l'accès à tout système de production susceptible d'avoir un impact négatif sur les opérations du district.
8. Systèmes de serveurs
8.1. Les centres de données de Parks Tacoma doivent être hébergés dans des installations sécurisées à accès physique contrôlé, ne permettant l'accès qu'au personnel autorisé par des points d'entrée restreints. Ces centres seront équipés d'alimentations sans interruption (ASI), faisant l'objet de vérifications de remplacement et de capteurs de surveillance afin de garantir leur bon fonctionnement. Ils pourront également être placés sous vidéosurveillance pour dissuader les intrusions et les vols. Tout visiteur, y compris les fournisseurs, devra obtenir une autorisation préalable et être placé sous la supervision d'un responsable avant d'accéder à une salle informatique ou à un emplacement de stockage.
8.2. L'accès aux ressources du serveur est strictement géré par des permissions basées sur les rôles, attribuées par service ou fonction, garantissant ainsi que les utilisateurs ne disposent que des accès minimaux nécessaires à l'exercice de leurs fonctions. Les répertoires de stockage individuels des utilisateurs peuvent être sécurisés individuellement, mais toutes les ressources partagées sont contrôlées par des contrôles d'accès basés sur les rôles. Les comptes d'administration par défaut doivent être désactivés et remplacés par des identifiants uniques stockés dans un coffre-fort de mots de passe sécurisé. Les applications serveur nécessitant des privilèges élevés doivent utiliser des comptes de service gérés plutôt que les identifiants individuels du personnel afin d'éviter toute interruption de service et d'assurer la continuité en cas de changement d'effectif.
8.3. La stratégie de reprise après sinistre de Parks Tacoma prévoit des sauvegardes sur site et à distance afin de garantir la continuité des données en cas de sinistre local ou de catastrophe naturelle. Les sauvegardes sont effectuées quotidiennement, hebdomadairement et mensuellement, conformément aux politiques de conservation applicables. Le personnel des systèmes d'information définit des accords de niveau de service (ANS) pour chaque serveur sur site en fonction de son niveau de criticité. Les systèmes critiques doivent intégrer des mécanismes de reprise rapide ou de basculement afin de minimiser, voire d'éliminer, les interruptions de service.
8.4. Tout le matériel serveur doit être enregistré dans le système de gestion des actifs du district. Ces enregistrements serviront à examiner annuellement les serveurs en vue de leur remplacement programmé, selon leur cycle de vie estimé ou la date de fin de vie définie par le fournisseur. Tout serveur conservé au-delà de son cycle de vie supporté doit être isolé sur un réseau de confinement afin d'empêcher que les failles de sécurité n'affectent les systèmes adjacents.
8.5. Tous les serveurs de production doivent avoir un logiciel de protection des points de terminaison installé et un programme de journalisation des événements auditable.
8.6. Des audits et des évaluations réguliers seront menés afin de vérifier la conformité à la présente politique et d'identifier les axes d'amélioration et les risques. Tout écart ou violation constaté devra être traité et corrigé sans délai afin de garantir l'intégrité et la sécurité des systèmes informatiques de Parks Tacoma. La responsabilité de la supervision incombe à l'équipe de direction des systèmes d'information, avec le soutien de la direction générale pour la mise en œuvre et l'alignement sur les objectifs généraux de cybersécurité.
8.7. Toute exception doit être approuvée et documentée par le responsable informatique du district et transmise au comité de pilotage informatique du district pour un examen plus approfondi.
9. Systèmes de surveillance
9.1. Conformément à la loi de l'État de Washington (RCW 40.14.070), Parks Tacoma est tenu de conserver les données de surveillance à des fins d'archivage public et respectera les exigences de conservation de ces données publiées dans le calendrier de conservation des documents des collectivités locales. Parks Tacoma est également tenu de protéger son personnel et ses usagers contre toute surveillance électronique abusive et se conformera à la loi américaine sur la protection de la vie privée dans les communications électroniques (Electronic Communications Privacy Act, 18 USC § 2511) en ce qui concerne les systèmes de surveillance.
9.2. Parks Tacoma peut déployer des systèmes de surveillance dans des zones où la vie privée n'est pas garantie afin d'enregistrer des images vidéo et audio à des fins de gestion des risques et de sécurité. Tout système de surveillance doit être approuvé par un directeur adjoint, un responsable des systèmes d'information et le personnel de la Direction de la gestion des risques et de la sécurité avant sa mise en œuvre. Tout emplacement équipé de systèmes de surveillance doit afficher une signalétique indiquant leur utilisation. L'enregistrement audio sera désactivé sur tous les systèmes de vidéosurveillance, sauf autorisation justifiée par un besoin spécifique.
9.3. Le matériel de surveillance sera géré par le personnel des Systèmes d'information et de la Gestion des risques et de la sécurité. L'utilisation de ces systèmes fera l'objet d'un examen régulier afin de vérifier que l'accès est approprié et que les systèmes sont opérationnels. Des écrans de visualisation en direct pourront être installés dans des zones semi-publiques à l'intention du personnel d'accueil pour surveiller les situations préoccupantes, mais l'accès aux enregistrements ne sera possible que sur demande approuvée.
9.4. Toutes les données de surveillance seront stockées sur une plateforme sécurisée protégée par mot de passe, limitant l'accès des utilisateurs et isolée des autres systèmes dans la mesure du possible. Ces données seront conservées conformément aux délais de conservation des données en vigueur dans l'État de Washington.
9.5. Les demandes de visionnage doivent être soumises dans un délai de 10 jours ouvrables afin de garantir la disponibilité des séquences en cas d'approbation. Passé ce délai, les demandes pourraient ne pas être traitées, les séquences pouvant être remplacées avant que la demande ne soit entièrement prise en compte.
9.6. Seules les séquences vidéo demandées feront l'objet d'une demande approuvée. Les personnes dont la demande a été approuvée n'auront pas d'accès direct aux systèmes de surveillance. Tout accès à des périodes non spécifiées nécessitant une recherche active sera facilité par le personnel des Systèmes d'information ou de la Gestion des risques et de la sécurité afin de rechercher les données pertinentes.
10. Logiciels
10.1. Toutes les installations de logiciels informatiques de Parks Tacoma doivent être effectuées par le personnel des systèmes d'information. Cela peut inclure une installation manuelle, un déploiement à distance ou une installation par un utilisateur final autorisé via un portail approuvé par l'entreprise. Les utilisateurs finaux ne sont pas autorisés à installer manuellement des logiciels en dehors des applications approuvées par le portail.
10.2. Parks Tacoma exige que tous les logiciels installés sur les postes de travail soient dûment autorisés. Toutes les licences seront suivies et régulièrement auditées par le personnel des systèmes d'information afin de garantir leur conformité, leur compatibilité avec les systèmes actuels et la prise en charge des mises à jour de sécurité pertinentes. De plus, tous les logiciels pourront être surveillés et les journaux d'activité des utilisateurs conservés en vue d'éventuels audits de sécurité.
10.3. L'utilisation non autorisée de logiciels par duplication ou par licence inappropriée est interdite et peut entraîner des mesures disciplinaires.
10.4. Tous les logiciels approuvés par Parks Tacoma sont destinés à un usage professionnel pendant les heures de travail. L’utilisation personnelle des applications Microsoft 365 est autorisée en dehors des heures de travail, mais tous les documents stockés sur Microsoft 365 peuvent être soumis aux politiques de conservation et d’accès aux documents publics.
11. Comptes utilisateur
11.1. Tous les employés de Parks Tacoma recevront un compte utilisateur du district leur donnant accès aux logiciels, sites web et applications mobiles destinés au personnel. L'accès à d'autres systèmes ou applications sera accordé uniquement en fonction des besoins de leur fonction. Toute demande d'accès supplémentaire devra être soumise lors du processus d'embauche ou via le service d'assistance et approuvée par un supérieur hiérarchique direct.
11.2. Il est interdit aux utilisateurs de partager leurs comptes. Tout utilisateur qui partage activement son compte sans autorisation est susceptible d'être tenu responsable de toute activité illicite commise sur ce compte. Tout accès entre comptes utilisateurs doit faire l'objet d'une demande auprès du service d'assistance, être approuvé par un directeur de service et géré de manière appropriée par le personnel des systèmes d'information afin de garantir la conformité aux exigences d'audit.
11.3. Afin de préserver la sécurité de votre compte, tous les utilisateurs doivent verrouiller leurs systèmes et autres appareils lorsqu'ils s'absentent, afin d'empêcher d'autres personnes de s'emparer de leur technologie en leur absence.
11.4. Tous les utilisateurs disposant d'un compte Parks Tacoma devront suivre une formation annuelle en cybersécurité afin de les aider à identifier les tentatives de compromission des systèmes ou installations informatiques du district. Tous les employés pourront être soumis à des tests réguliers de leurs connaissances en cybersécurité et bénéficier de formations de remise à niveau en cas d'échec.
11.5. Le personnel n’est pas autorisé à créer des comptes sur des plateformes alternatives non liées au district, comme l’inscription à des services de messagerie électronique supplémentaires ou à des applications bureautiques, sans l’approbation documentée d’un superviseur immédiat et du superviseur des systèmes d’information.
11.6. Tous les mots de passe des comptes fournis par Parks Tacoma doivent être uniques et ne doivent pas être partagés avec des comptes personnels utilisés en dehors du cadre professionnel. Les mots de passe de tous les comptes expirent et nécessitent le choix d'un nouveau mot de passe à intervalles réguliers. La durée de validité des mots de passe peut varier d'un système à l'autre, conformément aux procédures du district et aux exigences de conformité. Afin de préserver l'intégrité des comptes, les mots de passe ne doivent en aucun cas être partagés avec d'autres employés ou des utilisateurs externes. Toute activité effectuée sur un compte dont le mot de passe a été partagé pourrait être attribuée par erreur à son titulaire. Le fait de ne pas partager les mots de passe permet de protéger à la fois Parks Tacoma et l'utilisateur contre toute responsabilité en cas d'utilisation inappropriée. Tout employé surpris à partager ses informations de compte avec un autre utilisateur verra son compte immédiatement suspendu et son supérieur hiérarchique sera informé de son cas pour enquête.
12. Systèmes de postes de travail
12.1. Les employés peuvent se voir attribuer soit un poste de travail fixe et dédié, soit un ordinateur portable utilisable dans n'importe quel espace de travail partagé. L'ensemble du matériel sera configuré et installé par le personnel des systèmes d'information à la demande du supérieur hiérarchique direct de l'employé.
12.2. Le personnel des systèmes d'information élaborera et maintiendra des configurations de postes de travail standardisées en fonction des rôles et des fonctions de chacun. Les demandes d'équipement ou de fonctionnalités non conformes à la norme établie pourront être satisfaites sur demande spéciale, sous réserve de l'approbation du responsable du financement.
12.3. Il incombe aux employés de veiller à la sécurité de leur poste de travail. Cela comprend la mise en sécurité de l'appareil à la fin de chaque journée de travail, le verrouillage ou la déconnexion du poste lorsqu'il n'est pas utilisé, et la sécurisation de tout lieu de rangement. Les ordinateurs portables et les appareils mobiles ne doivent pas être laissés sans surveillance dans un véhicule stationné dans un endroit non sécurisé. S'il est nécessaire de laisser un appareil dans un véhicule verrouillé, celui-ci doit être rangé dans le coffre ou dans un autre endroit dissimulé afin de minimiser les risques de vol.
12.4. Les postes de travail déployés ne doivent pas être déplacés sans l'accord préalable du personnel des systèmes d'information. Ceci garantit un suivi précis de l'inventaire, des registres d'affectation corrects et l'intégrité des connexions réseau.
12.5. Des ordinateurs ou appareils accessibles au public peuvent être mis à disposition sous forme de bornes interactives pour le personnel et le public. Toutes les bornes seront configurées et sécurisées par le personnel des Systèmes d'information afin de limiter l'accès des utilisateurs aux fonctions autorisées et d'empêcher tout accès non autorisé aux systèmes ou données sensibles de Parks Tacoma.
12.6. L’utilisation d’appareils personnels sur le réseau professionnel de Parks Tacoma est interdite. Lors du télétravail depuis un ordinateur personnel, les employés doivent accéder aux ressources du district exclusivement via les systèmes cloud autorisés. Tous les documents de travail créés à distance sur un appareil personnel doivent être enregistrés dans des espaces de stockage cloud approuvés afin de garantir la conformité des archives.
12.7. Toute activité effectuée sur les postes de travail de Parks Tacoma peut être surveillée et enregistrée à des fins de sécurité, d'exploitation ou d'archivage public. Les employés ne doivent pas s'attendre à ce que leur vie privée soit protégée lorsqu'ils utilisent les systèmes appartenant au district, notamment en cas d'enquête approuvée ou de demande d'accès aux documents administratifs. Toutes les activités, qu'elles soient professionnelles ou personnelles, peuvent faire l'objet d'une divulgation et d'un examen publics. Bien que le personnel des Systèmes d'information ne surveille pas activement et systématiquement le comportement des utilisateurs, les systèmes automatisés peuvent détecter toute activité suspecte ou inappropriée. Une telle activité peut entraîner une enquête immédiate afin de traiter les menaces potentielles à la cybersécurité. Tout usage abusif, avéré ou suspecté, peut être signalé au supérieur hiérarchique direct de l'employé ou au service de gestion des risques et de la sécurité pour examen et mesures appropriées.
12.8. Tout équipement destiné aux postes de travail doit être demandé et obtenu auprès du personnel des Systèmes d'information. Ceci garantit la compatibilité, la disponibilité du matériel et un suivi rigoureux des actifs. Pour des directives détaillées sur les procédures d'acquisition, veuillez consulter la Politique d'achat des Systèmes d'information.
13. Normes et procédures
13.1. Le Conseil des commissaires des parcs autorise le directeur exécutif à mettre à jour les procédures nécessaires dans un délai de trois mois pour mettre en œuvre ces politiques.