methode mehari
Comment passer des ambiguïtés de la norme aux spécifications fonctionnelles d’une méthode
Gérer ses risques avec la norme ISO 27005 et MEHARI
Gérer les risques : pourquoi ?
Objectifs cités dans la norme ISO/IEC 27005 :
En introduction , au chapitre 1 – Domaine d’application :
La présente Norme internationale … est conçue pour aider à la mise en place de la sécurité de l’information basée sur une approche de gestion de risque.
CLUSIF > Annonce de MEHARI 2010/ Paris/Jean-Philippe Jouas
27 janvier 2010
2
Gérer ses risques avec la norme ISO 27005 et MEHARI
Gérer les risques : pourquoi ?
Objectifs cités dans la norme ISO/IEC 27005 :
Dans les considérations générales (par 7.1) :
Il est essentiel de déterminer l'objectif de la gestion du risque en sécurité de l'information puisqu'il influence l'ensemble du processus … L’objectif peut être : une réponse aux exigences d'un SMSI, la conformité avec la loi et la preuve de la mise en œuvre du devoir de précaution, la préparation d’un plan de continuité de l’activité, la préparation d’un plan de réponse aux incidents, la description des exigences en matière de sécurité de l’information pour un produit, un service ou un mécanisme
CLUSIF > Annonce de MEHARI 2010/ Paris/Jean-Philippe Jouas
27 janvier 2010
3
Gérer ses risques avec la norme ISO 27005 et MEHARI
Gérer les risques : pourquoi ?
Objectifs réaffirmés de MEHARI avec la version 2010 :
Les objectifs fondamentaux d’une gestion … des risques auxquels l’entreprise ou l’organisation est exposée, sont :
Identifier tous les risques auxquels l’entreprise est exposée.
Quantifier le niveau de chaque risque.
Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable.
…
CLUSIF > Annonce de MEHARI 2010/ Paris/Jean-Philippe Jouas
27 janvier 2010
4
Gérer ses risques avec la norme