ISO/CEI 27005

ISO/CEI 27005
Suite ISO/CEI 27000
ISO/CEI 27000:2009
ISO/CEI 27001:2005
ISO/CEI 27002:2005
ISO/CEI 27003:2010
ISO/CEI 27004:2009
ISO/CEI 27005:2011
ISO/CEI 27006:2007
ISO/CEI 27007:2011
ISO/CEI 27008:2011
ISO/CEI 27011:2008
ISO/CEI 27799:2008

L'ISO (Organisation internationale de normalisation) a publié, le 4 juin 2008, la première norme de gestion des risques de la Sécurité des Systèmes d'Information : l'ISO/CEI 27005:2008. Cette norme est un standard international qui décrit le Système de Management des risques liés à la Sécurité de l'information.

Sommaire

Objectifs

La norme ISO 27005 explique en détail comment conduire l'appréciation des risques et le traitement des risques, dans le cadre de la sécurité de l'information. La norme ISO 27005 propose une méthodologie de gestion des risques en matière d'information dans l'entreprise conforme à la norme ISO/CEI 27001. La nouvelle norme a donc pour but d’aider à mettre en œuvre l’ISO/CEI 27001, la norme relative aux systèmes de management de la sécurité de l’information (SMSI), qui est fondée sur une approche de gestion du risque. Néanmoins, la norme ISO 27005 peut être utilisée de manière autonome dans différentes situations. La norme ISO 27005 applique à la gestion de risques le cycle d'amélioration continue PDCA (Plan, Do, Check, Act) utilisé dans toutes les normes de systèmes de management.

  • PLAN : Identification des risques, évaluation des risques et définition des actions de réduction des risques
  • DO : Exécution de ces actions
  • CHECK : Contrôle du résultat
  • ACT : Modification du traitement des risques selon les résultats

Contenu de la norme

La norme ISO 27005 détaille le processus de gestion de risque dans les chapitres 6 à 12. Elle est complétée de 6 annexes de référence A à F, nécessaires à la mise en œuvre de la méthode.

  • Chapitre 6 : le processus de gestion de risque est expliqué dans son ensemble
  • Chapitre 7 : établir le contexte de l’analyse des risques
  • Chapitre 8 : définition de l’appréciation des risques
  • Chapitre 9 : quatre choix du traitement du risque sont proposés
  • Chapitre 10 : acceptation du risque
  • Chapitre 11 : communication du risque
  • Chapitre 12 : surveillance et réexamen des risques

Démarche proposée par l’ISO/CEI 27005

Etablissement du contexte

Il faut tout d’abord définir des critères :

  • D’évaluation : seuil de traitement des risques
  • D’impact : seuil de prise en compte des risques
  • D’acceptation : seuil d’acceptation des risques

Il n’existe pas d’échelles normalisées pour ces critères. L’entreprise doit déterminée une échelle pertinente en fonction de la situation. Il faut également définir les champs, les limites et l’environnement du processus de gestion du risque.

Appréciation des risques

La première étape consiste à définir le contexte de la certification et les éléments qui le composent tels que l’organisme, le système d’information, les éléments essentiels à protéger les entités qui en dépendent et les différentes contraintes qui peuvent se présenter. Ensuite, il est nécessaire d’exprimer les besoins de sécurité des éléments essentiels et, identifier, caractériser en termes d’opportunités les menaces pesant sur le système d’information. Enfin, les risques sont déterminés en confrontant les menaces aux besoins de sécurité. Ces risques seront analysés et évalués afin de donner des priorités et les ordonnancer par rapport à leurs critères d'évaluation.

Traitement du risque

Il s’agit du processus de sélection et de mise en œuvre des mesures. Cela passera tout d’abord par l’identification des objectifs de sécurité : détermination des modes de traitement et prise en compte des éléments du contexte. Les objectifs ainsi identifiés constitueront le cahier des charges du processus de traitement des risques. Ensuite, des exigences de sécurité seront déterminées afin de satisfaire les objectifs de sécurités et décrire comment traiter les risques. Pour définir les options de traitement, il faut mettre en adéquation le risque et le coût de traitement. Il existe quatre options du traitement du risque :

  • Le refus ou l’évitement : le risque considéré est trop élevé, l’activité amenant le risque doit être supprimée.
  • Le transfert : le risque sera transféré à une autre entité (un assureur, un sous-traitant) capable de le gérer.
  • La réduction : le risque doit être diminué. Il s’agit de réduire l’impact du risque de manière à ce que le risque soit acceptable.
  • Conservation du risque : le risque est maintenu tel quel.

Acceptation du risque

Il s’agit d’une homologation de sécurité effectuée par une autorité d’homologation désignée pour une durée déterminée. Cette homologation passe par l’examen d’un dossier de sécurité dont le contenu doit être défini : objectifs de sécurité, d'une cible de sécurité, politique de sécurité… La direction générale doit accepter les risques résiduels, donc accepter le plan de traitement du risque dans son ensemble.

Communication du risque

Il s’agit d’un échange et un partage régulier d’informations sur les risques entre le gestionnaire des risques, les décisionnaires et les parties prenantes concernant la gestion du risque. Cette communication du risque permet de :

  • Réduire les incompréhensions avec les décisionnaires
  • Obtenir de nouvelles connaissances en sécurité
  • Impliquer la responsabilité des décisionnaires

Surveillance et Réexamen du risque

Il faut s'assurer que le processus reste pertinent et adapté aux objectifs de sécurité des métiers de l'organisme. Il faut également identifier les changements nécessitant une réévaluation du risque ainsi que les nouvelles menaces et vulnérabilités.

Avantages

  • Souplesse et Pragmatisme : la norme ISO 27005 pour être utilisée en toutes circonstances et notamment dans des entreprises où tout change sans arrêt.
  • La norme ISO 27005 est utilisable de manière autonome.

Limites

  • L'ISO 27005 ne donne aucune méthodologie spécifique pour la gestion du risque en sécurité de l'information. Il appartient à l'organisation de définir son approche, selon par exemple le domaine d'application du SMSI, en fonction du contexte de gestion du risque ou du secteur industriel.
  • La norme ISO 27005 est récente et manque d’expériences pratiques en France.
  • La norme ISO 27005 est un savant mélange de l'ISO 27001 et l'ISO 31000. À qui maîtrise ou souhaite maîtriser ces deux normes voire les méthodes de maîtrise de risque (EBIOS, MEHARI, etc.), la valeur ajoutée de l'ISO 27005 reste faible

Références

Voir aussi

Liens externes



Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article ISO/CEI 27005 de Wikipédia en français (auteurs)

Игры ⚽ Нужен реферат?

Regardez d'autres dictionnaires:

  • Iso/cei 27001 — Suite ISO/CEI 27000 ISO/CEI 27000 (en préparation) ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003 (en préparation) ISO/CEI 27004 (en préparation) …   Wikipédia en Français

  • ISO/CEI 27799 — Suite ISO/CEI 27000 ISO/CEI 27000 (en préparation) ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003 (en préparation) ISO/CEI 27004 (en préparation) ISO/CEI …   Wikipédia en Français

  • ISO/CEI 27002 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

  • ISO/CEI 27001 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

  • ISO/CEI 27006 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

  • ISO/CEI 27000 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

  • ISO/CEI 8859 — ISO 8859 ISO 8859, également appelée plus formellement ISO/CEI 8859, est une norme commune de l ISO et de la CEI de codage de caractères sur 8 bits pour le traitement informatique du texte. Le standard est divisé en parties numérotées publiées… …   Wikipédia en Français

  • Iso/cei 10646 — Unicode Jeux de caractères UCS (ISO/CEI 10646) ISO 646, ASCII ISO 8859 1 WGL4 UniHan Équivalences normalisées NFC (précomposée) NFD (décomposée) NFKC (compatibilité) NFKD (compatibilité) Propriétés et algorithmes ISO 15924 …   Wikipédia en Français

  • Iso/cei 11179 — La norme ISO/CEI 11179, connue initialement comme la norme de registre de métadonnées, est une norme de représentation des métadonnées pour une organisation dans un registre de métadonnées. Cette norme est fortement recommandée par les agences d… …   Wikipédia en Français

  • ISO/CEI 2022 — ISO 2022, ou plus formellement ISO/CEI 2022 (ICS no 35.040), est une norme ISO spécifiant une technique pour inclure de multiples jeux de caractères dans un seul codage de caractères. À la différence du codage de caractères ISO 8859 qui… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”