La révision de ISO/IEC 27005:2018 "Technologies de l'information — Techniques de sécurité — Gestion des risques liés à la sécurité de l'information" est en cours. Synertal vous dévoile ci-dessous le projet de norme, au stade CD1 (committe draft du 28/05/2020)
Iso 27005, c'est quoi ?L’ISO 27005 permet à tout type d’organisme de gérer des risques susceptibles de compromettre la sécurité des informations de l'organisme.
• Contient des lignes directrices relatives au management de risque en sécurité de l'information.
• S’appuie toujours sur les concepts généraux énoncés dans l'ISO 27001 en matière de système de management de sécurité de l'information et les mesures de l’ISO 27002.
• Et intègre toujours l’approche management de risque de l’ISO 31000 tout en gardant sa spécificité (menace-vulnérabilité-risque-mesure-lien avec la déclaration d’applicabilité).
Les annexes (informatives) donnent de nombreux exemples facilitant la compréhension et la mise en œuvre :
Annexe A : Valeurs des critères de risque pour la sécurité de l'information - exemples
Annexe B : Cycle de vie des risques de sécurité de l'information (lien entre les termes)
Annexe C : Liste des outils et inventaires d'évaluation des risques
Annexe D : Identification des actifs
Annexe E : Moyens complémentaires d'évaluation des risques de sécurité de l'information -exemple de matrice et critères
Annexe F : Cycle de vie du management de risques
Chapitres introductifs
Les chapitres introductifs (chapitres 3 à 6) précisent le cadre :
termes et définitions (chap. 3) : re-définition des termes au sens de iso 31000, ce qui conduira à réviser ces termes dans l’ISO 27000.
structure du document (chap. 4) : Toutes les activités de management de risque sont définies dans les chapitres 7 à 10. Pour chaque activité, sont précisés : l’entrée, les actions, le déclencheur des actions, la sortie. De plus, des conseils de mise en œuvre sont explicités.
contexte de l’organisation (chap. 5) : précisions sur les deux niveaux de management de risques (risques et opportunités au niveau système & risques de sécurité de l’information), définition du cadre (système, processus, projets, …), lien avec la déclaration d’applicabilité, identification des exigences des parties intéressées, choix de la méthode en cohérence avec les méthodes existantes au sein de l’organisme, appétence, acceptation, critères de risques à chaque composante (vraisemblance, conséquences, niveau de risque...)
précisions sur les risques et opportunités (chap. 6) : Forces-faiblesses-opportunités-menaces, lien avec le 6.1.2 et 6.1.3 de ISO 27001:2013, ce qui éclaire grandement les confusions constatées jusque là.
Management de risque
Les chapitres 7 et 8 précise les étapes de management de risque :
7. Processus d'évaluation des risques : identification, analyse, évaluation des conséquences/ probabilités/ niveaux de risque, évaluation, comparaison aux critères, priorisation
8. Processus de traitement des risques : sélection des options de traitement appropriées, détermination des contrôles appropriés, comparaison des contrôles avec la norme ISO 27001 annexe A, production d'une déclaration d'applicabilité, établissement d'un plan de traitement des risques
Les chapitre 9 et 10 donnent des recommandations sur la manière d’appréhender les chapitres de la norme ISO 27001:2013 (précisés entre parenthèses) sous l’angle risque et opportunité :
9. Fonctionnement : mise en œuvre du processus d'évaluation des risques (au sens du 8.2 de iso 27001:2013), mise en œuvre du processus de traitement des risques (au sens du 8.3 de iso 27001:2013)
10. Contexte de l'organisation (chap. 4), Leadership et engagement (chap. 5.1) , Communication (chap. 7.4) , Information documentée (chap. 7.5) , Suivi et mesure (chap. 9.1) , Revue de direction (chap. 9.3) , Action corrective (chap. 10.1) , Amélioration continue (chap. 10.2)