La gestion des risques de la sécurité des systèmes d'information a sa norme internationale : l'ISO 27005. - Actualités CSO Documentation

La gestion des risques de la sécurité des systèmes d'information a sa norme internationale : l'ISO 27005.

le 09/06/2008, par Jean Pierre Blettner avec Bertrand Lemaire, Documentation, 293 mots

Hervé Schauer attire notre attention sur la publication de la norme ISO 27005. « Il s'agit de la première norme internationale de gestion de risques en sécurité de l'information. Elle a été publiée le 4 juin 2008 par l'ISO (www.iso.ch), souligne le fondateur du cabinet HSC. La norme ISO 27005 propose une méthodologie de gestion de risques conforme à la norme ISO 27001, tout en étant utilisable de manière autonome. Elle applique à la gestion de risques le cycle d'amélioration continue PDCA utilisé dans les normes de systèmes de management, comme l'ISO 27001 en sécurité de l'information. Pour rappel, l'ISO 27001 a été publiée en 2005. Elle définit le Système de Management de la Sécurité de l'Information (ou SMSI). C'est la norme vis-à-vis de laquelle les personnes se certifient, qui définit le processus d'amélioration de la sécurité à mettre en place sous la responsabilité du RSSI. « L'ISO 27001 exige de réaliser une appréciation des risques. La norme ISO 27005 est le guide expliquant comment faire sa gestion des risques en sécurité de l'information. L'appréciation des risques est un domaine où il a existé dans chaque pays des méthodes locales. En France, par exemple on trouve EBIOS, Mehari, ERSI-CAP, etc. L'ISO 27005 est la synthèse de toutes ces méthodes et reflète le consensus international sur le sujet, estime Hervé Schauer. L'ISO 27005 est une norme complètement différente de l'ISO 27001 qui la complète pour une des brique les plus complexes : l'appréciation des risques. "Un des point très nouveau dans l'ISO 27005, c'est le formalisme avec lequel la norme recommande de faire valider le plan de traitement des risques et le risque résiduel qui en découle par la direction générale. Ainsi le RSSI ne prends pas des responsabilités à la place de sa direction générale, c'est à elle de s'engager et prendre ses responsabilités, conclut Hervé Schauer.

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Le marché de la sécurité ne connait pas la crise

Les ventes de solutions de sécurité informatiques devraient croître de plus de 7% par an entre 2012 et 2017 pour atteindre à cette date les 30 Md$, prévoit le cabinet d'étude Canalys. La sécurité fait figure...

le 14/08/2013, par Fabrice Alessi, 345 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »