ISO 27005 : Présentation
Publiée en juin 2008, cette norme propose une approche dans l’appréciation des risques informatiques d’une entreprise. Les notions basiques Confidentialité / Disponibilité / Intégrité sont confrontées aux menaces afin d’en hiérarchiser l’importance, de décider du traitement du risque en fonction des impacts, de leur probabilité d’occurrence.
Autrement dit la norme propose, à partir du contexte de l’entreprise, une appréciation des risques (identification, estimation) et une évaluation avec quatre traitements possibles de ces risques :
- Refuser le risque
- Réduire le risque
- Transférer le risque
- Conserver le risque.
Cette norme peut être un sous-ensemble de la norme ISO 27001, spécifique à la gestion des risques mais est applicable de manière concrète et autonome.
De nombreuses méthodes permettent d’effectuer cette démarche d’appréciation des risques : eBios, Méhari,…
