Clause 8 – Fonctionnement
8.1 Planification et contrôle opérationnel
Tip
Il s’agit de mettre en œuvre dans la réalité toutes les mesures prévues lors de la planification.
L’organisation doit :
- Mettre en œuvre les mesures de sécurité prévues (cf. traitement des risques)
- Maîtriser les processus sous-traités
- Documenter les activités critiques
Exemples :
- Gestion des accès
- Sauvegardes automatiques
- Journalisation centralisée
8.2 Appréciation des risques de sécurité de l’information
L’organisation doit procéder à :
- Des réévaluations régulières
- Une mise à jour en cas de changement
- Une traçabilité des décisions
8.3 Traitement des risques
Même logique que 6.1.3, mais ici dans la mise en œuvre effective :
- Application des contrôles de sécurité
- Suivi de leur efficacité
- Documentation des actions correctives