Clause 6 – Planification
6.1 Actions face aux risques et opportunités
L’organisation doit planifier :
- Des mesures pour traiter les risques
- Des actions pour exploiter les opportunités
Cela inclut :
- L’analyse des menaces
- La définition des tolérances au risque
- Les plans de traitement et de surveillance
6.1.2 Appréciation des risques de sécurité de l’information
Info
Il s’agit de l’étape clé pour construire un SMSI pertinent.
Méthodologie attendue :
- Identification des actifs
- Identification des menaces et vulnérabilités
- Évaluation des impacts et probabilités
- Critères d’acceptation des risques
- Documentation formelle
6.1.3 Traitement des risques
- Identifier les mesures à mettre en œuvre (cf. annexe A)
- Justifier les exclusions
- Élaborer un plan de traitement des risques
- Obtenir l’approbation des responsables concernés
6.2 Objectifs de sécurité de l’information
Les objectifs doivent être :
- Alignés sur la politique SSI
- Mesurables
- Pertinents pour les parties prenantes
- Suivis régulièrement
6.3 Planification des changements
Tout changement significatif (technique, organisationnel, réglementaire…) doit être :
- Évalué en amont (analyse d’impact SSI)
- Planifié
- Documenté