Définition et objectif

L'objectif d'ISO/IEC 27005 est d'aider les organisations à établir une approche systématique de la gestion et du traitement des risques de sécurité de l'information. La norme ne prescrit pas une approche universelle, mais encourage les organisations à adapter les lignes directrices à leurs besoins spécifiques. Elle aide les organisations à identifier, analyser, évaluer et traiter les risques liés à la sécurité de leurs informations.

Organe directeur

La norme est développée et publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI).

Dernière mise à jour

ISO/IEC 27005 a été initialement publié en 2018. La norme est révisée tous les 5 ans et a été révisée en 2022. En savoir plus sur les dernières mises à jour et révisions de l'ISO/IEC 27005 sur notre blog.

S'applique à

ISO/IEC 27005 s'applique à toutes les organisations, quelle que soit leur taille, type ou nature, qui souhaitent gérer les risques de manière systématique dans le cadre d'un SMSI. Elle est pertinente pour les organisations qui gèrent les risques de sécurité de l'information, qu'elles soient privées, à but non lucratif ou des entités gouvernementales.

Contrôles et exigences

ISO/IEC 27005 ne contient pas de liste prescriptive de contrôles; elle se concentre sur le processus de gestion des risques et offre des orientations sur les activités, qui incluent :

• Établir le contexte: Définir les limites et la portée de la gestion des risques, ainsi que les critères de risque.
• Évaluation des risques: Identifier, analyser et évaluer les risques.
• Traitement des risques: Sélectionner et mettre en œuvre les options de traitement des risques appropriées.
• Acceptation des risques: Accepter les risques résiduels après traitement.
• Communication et consultation sur les risques: Assurer que les parties prenantes sont informées des risques et des activités de gestion des risques.
• Surveillance et révision des risques: Surveillance continue et révision de l'environnement de risque, des plans de traitement et de l'efficacité des contrôles.

Veuillez vous référer à la documentation officielle ISO/IEC 27005:2022 pour les détails sur les contrôles et les exigences.

Type, fréquence et durée de l'audit

Le processus d'audit pour l'ISO/CEI 27005 implique généralement l'examen des pratiques et procédures de gestion des risques au sein d'une organisation pour s'assurer qu'elles sont conformes à la norme. Les évaluations des risques sont souvent effectuées chaque année ou chaque fois que des changements importants surviennent au sein de l'organisation ou de son environnement opérationnel pouvant affecter le paysage des risques.

La durée du processus d'audit de gestion des risques varie en fonction de la taille et de la complexité de l'organisation, de la portée des activités de gestion des risques et de la maturité de l'ISMS existant.