Informations générales

Collections

Normes nationales et documents normatifs nationaux

Date de publication

novembre 2010

Nombre de pages

69 p.

Référence

NF ISO/IEC 27005

Codes ICS

03.100.70 Systèmes de management

35.030 Sécurité des technologies de l'information

Indice de classement

Z74-225

Numéro de tirage

1 - 11/10/2010

Parenté internationale

ISO/IEC 27005:2008

Résumé

Technologies de l'information - Techniques de sécurité - Gestion des risques en sécurité de l'information

L'ISO/CEI 27005:2008 fournit des lignes directrices relatives à la gestion des risques en sécurité de l'information. Elle vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001; elle est conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de gestion des risques. Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l'ISO/CEI 27001 et l'ISO/CEI 27002 afin de bien comprendre l'ISO/CEI 27005:2008. L'ISO/CEI 27005:2008 est applicable à tous types d'organisations (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l'intention de gérer des risques susceptibles de compromettre la sécurité des informations de l'organisation.

Norme remplacée par (1)

NF ISO/IEC 27005

avril 2013

Norme Annulée

Technologies de l'information - Techniques de sécurité - Gestion des risques liés à la sécurité de l'information

L'ISO/CEI 27005:2011 contient des lignes directrices relatives à la gestion des risques en sécurité de l'information. Elle vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001; elle est conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de gestion des risques. Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l'ISO/CEI 27001 et l'ISO/CEI 27002 afin de bien comprendre l'ISO/CEI 27005:2011. L'ISO/CEI 27005:2011 est applicable à tous types d'organisations (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l'intention de gérer des risques susceptibles de compromettre la sécurité des informations de l'organisation.

Sommaire

Avant-propos
v
Introduction
vi
1 Domaine d'application
1
2 Références normatives
1
3 Termes et définitions
1
4 Structure de la présente Norme internationale
3
5 Contexte
3
6 Présentation générale du processus de gestion des risques en sécurité de l'information
4
7 Établissement du contexte
7
7.1 Considérations générales
7
7.2 Critères de base
7
7.3 Domaine d'application et limites
9
7.4 Organisation de la gestion des risques en sécurité de l'information
10
8 Appréciation des risques en sécurité de l'information
10
8.1 Description générale de l'appréciation des risques en sécurité de l'information
10
8.2 Analyse des risques
11
8.3 Évaluation du risque
18
9 Traitement des risques en sécurité de l'information
19
9.1 Description générale du traitement des risques
19
9.2 Réduction du risque
21
9.3 Maintien du risque
22
9.4 Refus du risque
23
9.5 Transfert du risque
23
10 Acceptation des risques en sécurité de l'information
23
11 Communication relative aux risques en sécurité de l'information
24
12 Surveillance et revue du risque en sécurité de l'information
25
12.1 Surveillance et revue des facteurs de risque
25
12.2 Surveillance, revue et amélioration de la gestion des risques
26
Annexe A (informative) Définition du domaine d'application et des limites du processus de gestion des risques en sécurité de l'information
28
A.1 Étude de l'organisation
28
A.2 Liste des contraintes affectant l'organisation
29
A.3 Liste des références législatives et réglementaires applicables à l'organisation
31
A.4 Liste des contraintes affectant le domaine d'application
31
Annexe B (informative) Identification et évaluation des actifs et appréciation des impacts
34
B.1 Exemples d'identification des actifs
34
B.2 Évaluation des actifs
40
B.3 Appréciation des impacts
43
Annexe C (informative) Exemples de menaces types
45
Annexe D (informative) Vulnérabilités et méthodes d'appréciation des vulnérabilités
47
D.1 Exemples de vulnérabilités
47
D.2 Méthodes d'appréciation des vulnérabilités techniques
50
Annexe E (informative) Approches d'appréciation des risques en sécurité de l'information
52
E.1 Appréciation des risques de haut niveau en sécurité de l'information
52
E.2 Appréciation détaillée des risques en sécurité de l'information
53
Annexe F (informative) Contraintes liées à la réduction du risque
59
Bibliographie
61

ZOOM SUR... le service Exigences

Pour respecter une norme, vous avez besoin de comprendre rapidement ses enjeux afin de déterminer son impact sur votre activité.

Le service Exigences vous aide à repérer rapidement au sein du texte normatif :
- les clauses impératives à satisfaire,
- les clauses non indispensables mais utiles à connaitre, telles que les permissions et les recommandations.

L’identification de ces types de clauses repose sur le document « Directives ISO/IEC, Partie 2 - Principes et règles de structure et de rédaction des documents ISO » ainsi que sur une liste de formes verbales constamment enrichie.

Avec Exigences, accédez rapidement à l’essentiel du texte normatif !

Avec Exigences, accédez rapidement à l'essentiel du texte normatif !

Besoin d’identifier, de veiller et de décrypter les normes ?

COBAZ est la solution simple et efficace pour répondre aux besoins normatifs liés à votre activité, en France comme à l’étranger.

Disponible sur abonnement, CObaz est LA solution modulaire à composer selon vos besoins d’aujourd’hui et de demain. Découvrez vite CObaz !

Demandez votre démo live gratuite, sans engagement

Je découvre COBAZ