NF ISO/IEC 27005
Technologies de l'information - Techniques de sécurité - Gestion des risques liés à la sécurité de l'information
L'ISO/CEI 27005:2011 contient des lignes directrices relatives à la gestion des risques en sécurité de l'information. Elle vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001; elle est conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de gestion des risques. Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l'ISO/CEI 27001 et l'ISO/CEI 27002 afin de bien comprendre l'ISO/CEI 27005:2011. L'ISO/CEI 27005:2011 est applicable à tous types d'organisations (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l'intention de gérer des risques susceptibles de compromettre la sécurité des informations de l'organisation.
L'ISO/CEI 27005:2011 contient des lignes directrices relatives à la gestion des risques en sécurité de l'information.
Elle vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001; elle est conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de gestion des risques.
Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l'ISO/CEI 27001 et l'ISO/CEI 27002 afin de bien comprendre l'ISO/CEI 27005:2011.
L'ISO/CEI 27005:2011 est applicable à tous types d'organisations (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l'intention de gérer des risques susceptibles de compromettre la sécurité des informations de l'organisation.
<p>L'ISO/CEI 27005:2008 fournit des lignes directrices relatives à la gestion des risques en sécurité de l'information. Elle vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001; elle est conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de gestion des risques. Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l'ISO/CEI 27001 et l'ISO/CEI 27002 afin de bien comprendre l'ISO/CEI 27005:2008. L'ISO/CEI 27005:2008 est applicable à tous types d'organisations (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l'intention de gérer des risques susceptibles de compromettre la sécurité des informations de l'organisation.</p>
<p>Le présent document contient des lignes directrices relatives à la gestion des risques en sécurité de l'information.</p> <p>Le présent document appuie les concepts généraux énoncés dans l'ISO/IEC 27001; il est conçu pour aider à la mise en place de la sécurité de l'information basée sur une approche de gestion des risques.</p> <p>Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l'ISO/IEC 27001 et l'ISO/IEC 27002 afin de bien comprendre le présent document.</p> <p>Le présent document est applicable à tous types d'organismes (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l'intention de gérer des risques susceptibles de compromettre la sécurité des informations de l'organisme.</p>
-
1 Domaine d'application1
-
2 Références normatives1
-
3 Termes et définitions1
-
4 Structure de la présente Norme internationale6
-
5 Contexte6
-
6 Présentation générale du processus de gestion des risques en sécurité de l'information7
-
7 Établissement du contexte11
-
7.1 Considérations générales11
-
7.2 Critères de base12
-
7.3 Domaine d'application et limites13
-
7.4 Organisation de la gestion des risques en sécurité de l'information14
-
8 Appréciation des risques en sécurité de l'information15
-
8.1 Description générale de l'appréciation des risques en sécurité de l'information15
-
8.2 Identification des risques16
-
8.3 Analyse des risques20
-
8.4 Évaluation des risques23
-
9 Traitement des risques en sécurité de l'information24
-
9.1 Description générale du traitement des risques24
-
9.2 Réduction du risque26
-
9.3 Maintien des risques28
-
9.4 Refus des risques28
-
9.5 Partage des risques28
-
10 Acceptation des risques en sécurité de l'information28
-
11 Communication et concertation relatives aux risques en sécurité de l'information29
-
12 Surveillance et revue du risque en sécurité de l'information30
-
12.1 Surveillance et revue des facteurs de risque30
-
12.2 Surveillance, revue et amélioration de la gestion des risques31
- Annexe A (informative) Définition du domaine d'application et des limites du processus de gestion des risques en sécurité de l'information33
- Annexe B (informative) Identification et valorisation des actifs et appréciation des impacts39
- Annexe C (informative) Exemples de menaces types50
- Annexe D (informative) Vulnérabilités et méthodes d'appréciation des vulnérabilités52
- Annexe E (informative) Approches d'appréciation des risques en sécurité de l'information57
- Annexe F (informative) Contraintes liées à la réduction du risque64
- Annexe G (informative) Différences de définitions entre l'ISO/IEC 27005:2008 et l'ISO/IEC 27005:201166
- Bibliographie77
D’un simple coup d’oeil, vous pourrez identifier les ajouts, suppressions ou modifications à un texte, tableau, figure et formule.
Le service Redlines+ vous est proposé sur la collection des normes françaises en vigueur, en langue Française et au format HTML et PDF.
Pour un aperçu du service, veuillez cliquer sur Visualiser une norme au format redline
COBAZ est la solution simple et efficace pour répondre aux besoins normatifs liés à votre activité, en France comme à l’étranger.
Disponible sur abonnement, CObaz est LA solution modulaire à composer selon vos besoins d’aujourd’hui et de demain. Découvrez vite CObaz !
Demandez votre démo live gratuite, sans engagement
Je découvre COBAZ