Norme ISO/IEC 27005
L'identification et l'analyse des risques en sécurité de l'information sont deux étapes incontournables dans la mise en oeuvre d'un système de management ISO 27001. Basée sur un processus itératif et non linéaire, la norme ISO 27005, publiée le 4 juin 2008, vient en appui aux concepts généraux énoncés la norme ISO 27001. Inspirée de méthodes existantes et plus particulièrement de la méthode EBIOS V2, la norme ISO 27005 contient les lignes directrices relatives au processus de gestion des risques en sécurité de l'information.
La norme ISO 27005 ne fournit aucune méthodologie spécifique à la gestion de risque en sécurité de l'information. Il est du ressort de chaque organisation de définir son approche de la gestion de risque, en fonction, par exemple, du périmètre du SMSI, de l'existant dans le domaine de la gestion de risques, ou encore du secteur industriel. Plusieurs méthodologies existantes peuvent être utilisées en cohérence avec le cadre décrit dans la présente Norme internationale pour appliquer les exigences du SMSI.
Le processus de gestion des risques en sécurité de l'information se décline en six grandes étapes, elles- mêmes divisées en plusieurs sous-processus,à savoir :
- l'établissement du contexte
- l'appréciation du risque
- le traitement du risque
- l'acceptation du risque
- la communication du risque
- la surveillance et le réexamen du risque.