5 juillet 2012

Management des risques (norme ISO 27005)

ISO-27005

La norme ISO 27005 décrit une méthode de gestion des risques en sécurité de l’information. C’est une norme non directive qui explicite les différentes étapes pour conduire une appréciation et le traiter les risques de sécurité de l’information. La démarche proposée est conforme à la norme ISO/CEI 27001 (Système de Management de la Sécurité de l’Information) et favorise une approche systémique et itérative des risques informationnels.

 

Il est cependant indispensable que cette démarche soit adaptée à l’environnement de l’organisation et notamment alignée sur la démarche générale de gestion des risques de l’organisme.

Les activités principales de la norme ISO 27005 pose les bases de la gestion des risques :

• Etablissement du contexte
• Identification des risques
• Estimation des risques
• Evaluation du risque
• Traitement du risque
• Acceptation du risque
• Activités transverses : Communication et Surveillance

La différence avec les méthodes respectueuses de la norme ISO 27005 comme MEHARI 2010 (CLUSIF) ou EBIOS 2010 (ANSSI) est que l’on parle bien d’un cycle d’amélioration continue pour la gestion des risques, ainsi on n’est plus dans une simple appréciation « one-shot » des risques que l’on va essayer de rendre améliorable et reproductible pour la fois suivante.

La démarche s’inscrit bel et bien dans une boucle PDCA (roue de Deming) selon les points suivants :

• Plan : appréciation des risques et élaboration du plan de traitement des risques
• Do : mise en œuvre du plan de traitement des risques
• Check : Surveillance et revue continues des risques
• Act : Maintien et amélioration du processus de gestion des risques en sécurité de l’information

Ces éléments font de la norme ISO 27005 une méthode à part entière pour évaluer les risques du système d’information dans la durée et respecter les mécanismes du système de management de la sécurité de l’information (SMSI).

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *