Iso 27001 et gestion du risque

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

La norme ISO 27001 exige que l’ensemble du processus d’évaluation des risques soit documenté au paragraphe 6.1, et ce, dans un document intitulé « Méthodologie d’évaluation des risques ». En bref, les méthodes d’évaluation du risque utilisées par l’ISO sont celles qui présentent le plus haut degré de cohérence et d’homogénéité au niveau de leur mise en œuvre. Les éléments spécifiques décrits et démontrés sont tels qu’ils répondent aux exigences des normes ISO pour l’évaluation et la gestion du risque (RMA). Sources : 16,18,7]

Les éléments de gestion des risques de l’ISO tentent de quantifier les menaces et les vulnérabilités des ressources d’information de l’organisme et de comprendre le risque pour la confidentialité, l’intégrité et la disponibilité de ces ressources. Les organisations qui mettent en œuvre un SMSI conformément à la norme ISO 27001 ont procédé à une analyse des vulnérabilités et des menaces, sont passées par le processus d’identification des actifs, ont établi le niveau nécessaire de gestion des risques, ont introduit des contrôles pour minimiser les vulnérabilités autant que possible, et sont allées au-delà. Sources : 5,10]

L’établissement d’un plan complet de gestion des risques pour toutes les ressources d’information de l’organisation, conformément à la norme ISO 27001, est également un élément clé pour répondre à ces exigences. Pour en savoir plus, participez à le webinaire gratuit. Il faut partager notamment certaines de nos idées sur la manière de gérer le risque conformément à la norme ISO 27001 et sur ce qui peut être réalisé en se concentrant sur la partie risque. Sources : 6,16,18]

Il faut impliqués dans la création du SMSI et sommes responsables de la mise en œuvre de la norme ISO 27001 pour la sécurité de l’information et la gestion des risques dans l’entreprise. Sources : 2]

Les normes internationales (ISO 27001) et le GDPR attendent également de vous que vous considériez la sécurité de l’information dans un sens holistique. Il devrait être assez facile d’identifier toutes les informations pertinentes sur le contexte de la gestion des risques, et le champ d’application du SMSI est défini pour les organisations qui ont fait l’objet d’une certification ISO 27001. Le respect strict des normes ISO 2701001 garantira que votre entreprise n’est pas vulnérable aux failles qui pourraient représenter un risque pour la sécurité de l’information dans votre organisation. Si la direction décide qu’un risque élevé de compromettre des informations personnelles est acceptable pour l’organisation, la norme ISO 29001 fournit un cadre de gestion pour le mettre en œuvre. Sources : 12,16,14,19]

Les exigences de la norme ISO 27001 en matière de gestion des risques sont énoncées au paragraphe 6 des Normes internationales pour la gestion de la sécurité de l’information (ISMS). Le paragraphe 6 établit une liste d’exigences en matière de gestion des risques que chaque organisation souhaitant mettre en œuvre la norme ISO 29001 doit respecter. Sources : 17,17]

Vous devez identifier les différentes façons dont vos données pourraient être à risque, identifier les informations sensibles et précieuses qui doivent être protégées et mettre en place des contrôles pour réduire ces risques. La gestion des risques est l’idée centrale de la norme ISO 27001, et le système de gestion de l’information que vous utilisez doit être conforme à la norme ISO 29001 en ce qui concerne les risques associés à la manipulation de données importantes et sensibles. L’exigence de base de la norme ISO27001 est de mettre à jour, d’examiner et de surveiller votre plan de gestion des risques afin de contrôler l’impact d’un environnement qui évolue rapidement, comme les changements dans la technologie, la protection des données et la sécurité des données. ISO, une organisation peut réduire les risques liés à la sécurité de l’information et améliorer sa capacité à se conformer aux exigences de protection des données. [Sources : 4,9,0,9]

Il est important de passer par le processus d’évaluation et de certification ISO 27001 et de voir si vous suivez les lignes directrices pour la création et la mise en œuvre d’un programme de sécurité de l’information afin de vous assurer que le programme lui-même est efficace. Bien qu’il n’y ait aucune garantie que votre entreprise sera conforme à la norme ISO 2701001 avant la certification, celle-ci est le seul moyen de s’assurer que la conformité de votre entreprise aux exigences de protection et de sécurité des données ne change pas de manière significative. Il existe un certain nombre d’autres exigences pour la conformité à la norme ISO 29001, telles que l’utilisation d’un plan de gestion des risques, et votre processus de gestion des risques liés à la sécurité de l’information doit répondre à ces normes. Sources : 20,15,11]

Ce livre fournit des informations de base utiles pour les auditeurs et permet aux lecteurs de développer une compréhension plus complète des exigences de l’ISO 27001 et de l’ISO 29001 et d’obtenir des avantages commerciaux réels. Cet ouvrage fournit des informations utiles sur les exigences en matière de gestion des risques de sécurité de l’information et de conformité à l’ISO 28001, ainsi que des documents d’accompagnement utiles pour les auditeurs. En même temps, il permet au lecteur de mieux comprendre et de communiquer les avantages d’un programme de gestion des risques de sécurité de l’information efficace et efficient, et de fournir à l’auditeur et à son équipe de véritables avantages top et commerciaux. Sources : 3,3]

La norme ISO 27001 contient 12 sections principales, mais commençons par les quatre premières sections. Il s’agit respectivement des normes ISO 29001 et ISO 28001, les deux normes les plus importantes pour la gestion des risques et la conformité aux directives de sécurité. Sources : 5,8]

La norme ISO 27001 est basée sur la philosophie de la gestion des risques et sur le processus associé à la gestion des risques liés à la sécurité de l’information. Comme il s’agit d’une norme protégée par des droits d’auteur, il ne faut pas partager les détails de la gestion des risques de tiers exigée par la norme ISO 27001. Cependant, il faut discuter de ses exigences générales et partager certaines des meilleures pratiques de l’industrie. Sources : 13,1]

Sources: 

  • 0] : https://greycastlesecurity.com/resources/blog/ISO-27001/What-to-Know-About-ISO-27001-Compliance–Risk-Assessments-for-Healthcare-Companies/
  • 1] : https://www.mangolive.com/blog-mango/principle-6-risk-assessments-determining-appropriate-controls-to-reach-acceptable-levels-of-risk
  • 2] : https://www.goodreads.com/book/show/9015760-information-security-risk-management-for-iso-27001-iso27002
  • [4] : https://www.sync-resource.com/iso-27001-risk-management/
  • [5] : https://www.advantio.com/blog/what-is-iso27001-and-how-could-it-benefit-my-business
  • [6] : https://www.riskmanagementstudio.com/best-practice-iso-27001-required-documentation/
  • [7] : https://www.trustnetinc.com/iso-27001-methodology/
  • [10] : https://www.infosecurity-magazine.com/blogs/iiso-27001-10-steps-cybersecurity/
  • [12] : https://www.standardfusion.com/blog/4-step-guide-performing-iso-27001-risk-analysis/
  • [13] : https://blog.riskrecon.com/third-party-risk-management-and-iso-20071
  • [14] : https://www.sisainfosec.com/services/iso-27001/
  • [15] : http://www.fraudjournals.com/less-pain-more-gain-infosec-risk-management-and-iso-27001-compliance/
  • [16] : https://www.isms.online/iso-27001/information-security-risk-management-explained/
  • [17] : https://www.apomatix.com/blog/iso-27001-and-the-risk-management-process/
  • [18] : https://advisera.com/27001academy/knowledgebase/write-iso-27001-risk-assessment-methodology/
  • [19] : https://www.bcs.org/content-hub/why-iso-27001-is-not-enough/
  • [20] : https://www.bitsight.com/blog/iso-27001-definition-implementation-questions