La Directive gouvernementale sur la sécurité de l’information 
(689 Ko) est en vigueur depuis le 8 décembre 2021. Elle s’applique aux organismes publics visés à l’article 2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03) 
. Elle a pour objet d’assurer adéquatement une prise en charge globale de la sécurité de l’information qu’un organisme public détient ou utilise dans l’exercice de ses fonctions, même lorsque la conservation de l’information est assurée par un tiers. Elle remplace la Directive sur la sécurité de l’information gouvernementale, qui était en place depuis 2014.
Des travaux de révision du cadre gouvernemental de gestion de la sécurité de l’information sont en cours, tout comme ceux qui visent à établir un nouveau processus de gestion des menaces, des vulnérabilités et des incidents. Ces documents, prévus pour le printemps 2022, viendront compléter la Directive de 2021 et remplaceront ceux en vigueur dans ces domaines, soit :
, qui visait à compléter les dispositions de la Directive de 2014; (813 Ko). Ce document présentait une approche novatrice, à l’époque, de détermination et de suivi du traitement des risques et des incidents susceptibles d’avoir des conséquences sur divers plans (la prestation de services à la population, la sécurité, la santé et le bien-être des personnes, la protection de leurs renseignements personnels ainsi que de leur vie privée, de même que des services fournis par d’autres organismes publics).Tous ces documents s’appuient sur la Politique gouvernementale de cybersécurité , adoptée en mars 2020, laquelle vise à instituer une administration gouvernementale résiliente et cyberprotégée qui offre des services numériques centrés sur la personne. La mise en œuvre de cette politique se traduit par des mesures clés adaptées aux enjeux et aux possibilités en matière de cybersécurité.
