La gestion des risques à la sécurité de l’information c’est l’ensemble des actions prises par l’organisation pour comprendre et réduire les effets du risque.
La clause 6.1 de la norme ISO 27001 adresse les actions pour identifier les menaces, estimer leurs niveaux de risque et gérer le plan d’action pour prévenir ou réparer l’impact de ces risques.
Clause 6.1 —Généralité
La première clause, numéro 6.1.1 nous offre un guide pour juger notre pratique de gestions des risques selon des critères très précis.
Clause 6.1.2 — Appréciation des risques à la sécurité de l’information
La clause 6.1.2 de la norme ISO 27001 exige que l’organisation évalue les risques de sécurité de l’information en se basant sur des critères définis.
Clause 6.1.3 — Traitement des risques à la sécurité de l’information
La clause 6.1.3 de la norme ISO 27001 exige que l’organisation établisse et mette en œuvre un processus de traitement des risques de sécurité de l’information.
Critères de succès
- Comment identifiez-vous les risques associés à la sécurité de l’information?
- Comment évaluez-vous l’impact potentiel et la probabilité d’occurrence des risques identifiés?
- Comment décidez-vous des mesures appropriées pour traiter les risques?