La clause 8.2 est l'une des clauses les plus importantes de la norme, car elle constitue le fondement de tous les autres contrôles de sécurité de l'information.
La norme ISO 27001:2022 met l'accent particulier sur l'importance de cette notion à travers la clause 8.2 — "Évaluation des risques à la sécurité de l'information".
Nous avons planifié et écris notre méthode, maintenant on doit faire l'analyse de risque.
Fréquence de l'évaluation des risques
La planification implique de définir des intervalles précis pour l'évaluation des risques, tout en restant flexible pour accueillir des évaluations ad hoc en réponse à des changements significatifs au sein de l'organisation.
Cela dit, minimalement, l'analyse de risque devrait avoir lieu une fois par année!
Conservation des résultats de l'analyse
Un autre aspect fondamental de la clause 8.2 est la conservation des résultats de l'analyse de risques. Ce n'est pas seulement une exigence pour des raisons de conformité; cela sert surtout un objectif plus pratique soit de permettre à l'organisation de suivre l'évolution des risques au fil du temps.
Critères de succès
- Quand a eu lieu votre dernière analyse de risque et quand est planifiée la prochaine?
- Comment se compare le nouveau résultat d'analyse de risque avec le dernier réalisé?
- Où sont conservés les résultats d'analyse de risque des dernières années?