ISO 27005 risques en FDIS

IACOLARE Vincent

28/05/18 : avis et commentaire sur la nouvelle version de ISO 27005 Gestion des risques liés à la sécurité de l'information

ISO 27005 est en cours de révision et soumise en ce mois de mai à enquête publique.
Elle traite de la Gestion des risques liés à la sécurité de l'information , et remplace la norme homologuée NF ISO/CEI 27005, d'avril 2013.

Voici nos avis et commentaires transmis à la commission de normalisation:
- sans évolution majeure, cette version apporte des clarifications à une norme déjà très pertinente avec ses annexes toujours très utiles à la mise en œuvre
- toujours dans la dynamique risque très claire fondée sur actifs-menaces-vulnérabilité-mesures & conséquences-vraisemblance & 4 natures de traitement (réduction, maintien, refus, partage)
- reste encore très silo : se positionne entre la démarche générale de gestion des risques de l'entreprise, le SMSI iso 27001 et le management des risques ISO 31000 sans pour autant clarifier les liens entres ces 4 dynamiques

 

Pour les plus curieux, voici quelques compléments :

* Les principales modifications par rapport à l’édition précédente sont les suivantes [ISO FDIS 27005 2018 §1] :
  - toutes les références directes à l’ISO/IEC 27001:2005 ont été supprimées;
  - une information claire a été ajoutée, stipulant que le présent document ne contient pas de préconisation directe concernant la mise en œuvre des exigences du SMSI spécifiées dans l’ISO/IEC 27001 (voir Introduction);
- l’ISO/IEC 27001:2005 a été supprimée de l’Article 2;
- l’ISO/IEC 27001 a été ajoutée à la Bibliographie;
- l’Annexe G et toutes les références à cette Annexe ont été supprimées;
- des modifications éditoriales ont été effectuées en conséquence.

* contenu de la norme :
- Article 5, informations générales
- Article 6, aperçu général du processus de gestion des risques en sécurité de l'information
- Article 7, établissement du contexte
- Article 8, appréciation des risques
- Article 9, traitement des risques
- Article 10, acceptation des risques
- Article 11, communication et concertation relatives aux risques
- Article 12, surveillance et réexamen des risques
- Annexe A, (Définition du domaine d'application et des limites du processus de gestion des risques en sécurité de l'information). établissement du contexte
- Annexe B, L'identification, la valorisation des actifs et l'appréciation des impacts
- Annexe C, des exemples de menaces
- Annexe D, vulnérabilités et des méthodes d’appréciation des vulnérabilités.
- Annexe E, exemples d'approches relatives à l'appréciation des risques en sécurité de l'information
- Annexe F, contraintes liées à la réduction du risque