ISO/IEC 27005:2008, Technologies de l'information – Technique de sécurité et Gestion des risques (19.6.2008)

La norme ISO/IEC 27005:2008 est un standard international qui décrit le Système de Management des risques liés à la Sécurité de l'information.

L'évaluation des risques a pour objectif de spécifier et décrire les risques selon leur probabilité et leur impact. La norme offre aux managers et responsable Sécurité les moyens de "prioriser" les risques selon leur gravité.

Les lignes directrices pour la gestion des risques sont spécifiées dans la norme ISO/IEC 27001:2005, et les mesures de sécurité spécifiées dans la norme ISO/IEC 27002: 2005.

ISO/IEC 27005: 2008 a pour objectif d'assister les implémenteurs d'ISO/IEC 27001 et ISO/IEC 27002.

La gestion des risques liés à la Sécurité de l'information consiste à (voir le schéma de synthèse):

• Établir le contexte de l'analyse des risques,
• Évaluer les risques,
• Traiter les risques,
• Accepter les risques,
• Communiquer sur les risques,
• Surveiller et assurer des revues périodiques des risques.

ISO/IEC 27005:2008 ne fournit pas à proprement parlé de méthode de gestion des risques, toutefois c'est une méthode qui permet de bâtir une méthode.

Ainsi grâce à ISO/IEC 27005 votre organisation peut définir l'approche qu'elle souhaite avoir en termes de Gestion des Risques.

Pour en savoir plus consultez la rubrique ISO 2001.