Introduction à la norme ISO/IEC 27005
Info
La norme ISO/IEC 27005 fournit les lignes directrices pour la gestion des risques liés à la sécurité de l’information, en support de l’ISO/IEC 27001.
Objectifs de la norme
- Offrir un cadre structuré pour l’identification, l’évaluation, le traitement et le suivi des risques SSI
- Compléter la mise en œuvre d’un SMSI conforme à l’ISO/IEC 27001
- Apporter une méthode cohérente avec l’ensemble des normes de la série ISO 27000
La famille ISO/IEC 27000
Info
La norme ISO/IEC 27005 s’inscrit dans une famille de normes complémentaires, avec des rôles bien distincts.
| Norme | Rôle |
|---|---|
| ISO/IEC 27000 | Terminologie, principes généraux |
| ISO/IEC 27001 | Exigences pour le SMSI |
| ISO/IEC 27002 | Mesures de sécurité (guide de bonnes pratiques) |
| ==ISO/IEC 27005== | Gestion des risques liés à la sécurité de l’information |
| ISO/IEC 27017 | Sécurité du cloud |
| ISO/IEC 27018 | Données personnelles dans le cloud |
| ISO/IEC 27701 | Extension vie privée (PIMS) |
À qui s’adresse cette norme ?
- Responsables SSI / RSSI
- Responsables risques ou conformité
- Consultants cybersécurité
- Chefs de projet sécurité / DSI
- Auditeurs ou certificateurs
- Étudiants Bac+5 en cybersécurité
Spécificité de la norme ISO/IEC 27005
Tip
Contrairement à la 27001, la 27005 n’est pas certifiable. Elle sert de référentiel de bonnes pratiques pour construire un processus de gestion des risques solide et cohérent.
- Norme de type guideline (pas de “shall”, mais des recommandations)
- Compatible avec toutes les méthodes de gestion des risques (EBIOS, MEHARI, OCTAVE, MEALEE…)
- Recommandée par l’ANSSI dans le cadre d’un SMSI structuré