Netclu09 27005

HERVÉ SCHAUER CONSULTANTSHERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Cabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetSpécialisé sur Unix, Windows, TCP/IP et Internet

Netfocus, Bruxelles,12 mai 2009Netfocus, Bruxelles,12 mai 2009CLUSIR Aquitaine, Bordeaux,12 juin 2009CLUSIR Aquitaine, Bordeaux,12 juin 2009

Méthode de gestion des Méthode de gestion des risques ISO 27005risques ISO 27005

Hervé SchauerHervé Schauer<[email protected]>

Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite22

SommaireSommaire

Introduction

Historique

Schéma de modélisation

Exemple relié au schéma

Etablissement du contexte : critères et échelles

Cartographie des actifs

Menaces, vulnérabilités, conséquences et impacts sur les actifs

Scénarios d'incident

Plan de traitement des risques

Conclusion


IntroductionIntroduction

Objectif : Démontrer la méthode ISO 27005

Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO 27005

Voir schéma joint en format PDF

Exemple simple qui déroule la méthode

N° sur le schéma correspondant aux n° des tableaux

Exemples de tableaux

A titre illustratif et non contractuel !


2004

HistoriqueHistorique

ISO TR 13335-2

ISO TR 13335-3

ISO TR 13335-4 ISO 27005

PD 3002

PD 3005 BS-7799-3

Techniques for the management IT security ; Selection of safeguards

Information securityrisk management

CCTA Risk Assessmentand Management Method

Managing and planning IT security

Guide to BS7799Risk Assessment

Guidelines for information ; security Risk Assessment

Risk management

Expression des Besoins et Identification des Objectifs de Sécurité

Influences diverses

AS/NZS 4360

CRAMM1985

1992

1996

1995

1997

EBIOS1997

1998

1998

2000

2002

2004

2006

2008

2004


Schéma de modélisationSchéma de modélisation


ExempleExemple

Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine VSD (Vous et la Sécurité de Demain) mais il lui arrive de vendre ses articles à d'autres journaux.

Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction.

Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles.

A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur


Établissement du contexteÉtablissement du contexte

Définir les critères de base (7.2)

Critères d'impactBas-niveau : vis-à-vis de l'actif

Impact de la perte ou de l'atteinte d'un critère de sécurité

Disponibilité, intégrité, confidentialité (7.2)

Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet

Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (7.2)(8222)(B.3)

Critères évaluation des risques

Critères d'acceptation des risques


Établissement du contexteÉtablissement du contexte

Critères d'impact

A partir d'où l'impact est assez important pour que le risque soit pris en compte ?

Dans l'analyse du risque

Critères d'évaluation des risques

A partir d'où je dois passer de l'analyse du risque à son traitement ?

Critères d'acceptation des risques

A partir de quel niveau le risque sera acceptable par la direction ?

Pas d'échelles normalisées


Etablissement du contexteEtablissement du contexte

Autres échelles utiles lors de l'analyse de risque

Pas explicitement imposées lors de l'établissement du contexte

Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2)

Echelles d'estimation

Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3)

Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D)

(8.2.2.3)

Echelle d'appréciation de la vraisemblance des scénarios d'incidents

(8.2.2.3)(B.3)


Etablissement du contexteEtablissement du contexte

Récapitulatif par ordre d'utilisation dans la méthode

Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2)

Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3)

Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D)

(8.2.2.3)

Critères d'impact (7.2) : échelle de mesure, ou critère d'estimation

De l'impact de la perte ou de l'atteinte à la disponibilité, intégrité, confidentialité sur un actif (7.2)

Des conséquences (financières, délais, image) des scénarios d'incidents (7.2)(8222)(B.3)

Echelle d'appréciation de la vraisemblance des scénarios d'incidents

(8.2.2.3)(B.3)

Critères évaluation des risques (7.2)

Critères d'acceptation des risques (7.2)


Valorisation des actifsValorisation des actifs

Exemple

Echelle de valorisation des actifsValeur Signification

1 Faible Actif facilement remplaçableCoût d'achat faibleCoût de maintenance faibleNe nécessite pas de compétences particulières

2 Moyen Actif remplaçable dans la journéeCoût d'achat moyenCoût de maintenance moyenNécessite des connaissances de base

3 Élevé Actif remplaçable dans la semaineCoût d'achat élevéCoût de maintenance élevéNécessite des connaissances techniques particulières

4 Très élevé Actif remplaçable dans le moisCoût d'achat très élevéCoût de maintenance très élevéNécessite des connaissances spécifiques.


Critères d'impactCritères d'impact

Exemple

Critères d'impactQualification du besoin en

Niveau du besoinConfidentialité Intégrité Disponibilité

Pas de validation nécessaire 1Peut ne pas être intègre

Simple validation possible Significatif 2Peut être partiellement intègre

Validation croisée Fort 3Doit être intègre

Triple validation Majeur 4Doit être parfaitement intègre

Informations pouvant être publiques

Arrêt supérieur à 3 jours

Faible ou inexistant

Accès autorisé à l'ensemble du journal VSD

Arrêt entre 1 jour et 3 jours

Accès autorisé à l'ensemble de l'équipe

Arrêt inférieur à 1jours

Accès autorisé à un membre unique de l'équipe

Aucun arrêt tolérable


Echelle de mesure des conséquencesFinancier Juridique Commercial Activité Image Niveau d'impact

Perte juridique faible ou null 1

Amende Significatif 2

Fort 3

(>30% du CA)Majeur 4

(> 50% du CA)

Perte financière faible ou nulle

Détérioration de la relation client

Perte de productivité

Perte image faible ou null

Faible ou inexistant

Perte financière jugée modérée

Perte de contrat,d'opération ou de transaction, perte de

Arrêt de travail court

Mention négative ponctuelle dans un média

(10% du CA < X < 30% du CA)Perte financière jugée significative

Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité

Perte de client

Arrêt de travail long

Mention dans les supports de presse à Perte financière

jugée inacceptableProcès diffamation, atteinte à la vie prive, plagia

Perte d'un groupe de clients ou d'un grand

Reprise du travail impossible

Mention dans la presse spécialisée

Echelle de mesure des conséquencesEchelle de mesure des conséquences

Exemple :


Critères d'évaluation des risquesCritères d'évaluation des risques

Exemple :

Utilisés par le RSSI ou le gestionnaire de risques SI

Seuil

Critères d'évaluation des risques

1 2 3 41 1 2 3 42 2 4 6 83 3 6 9 124 4 8 12 165 5 10 15 206 6 12 18 247 7 14 21 288 8 16 24 329 9 18 27 3610 10 20 30 4011 11 22 33 4412 12 24 36 48

Vraisemblance d'un scénariod'incident

Faible(Peu probable)

Moyenne(Possible)

Elevée(Probable)

Très élevée(Fréquente)

Impact MAX(SOM(CID))


Critères d'acceptation des risquesCritères d'acceptation des risques

Exemple :

Validés par la direction et utilisés par la direction

Seuil


Cartographie des actifsCartographie des actifs

0.Liste des actifs primordiauxActifs PrimordiauxProcessus de rédactionProcessus de venteArticles en cours de rédactionArticles non publiés et non vendusArticles publiésContacts

Actifs primordiaux (principaux, de haut-niveau) (B.1) :

Processus et activités métier

Information

Actifs en support (de soutien, de bas-niveau, secondaires) :

Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc



1.Liste des processus métiers reliés aux actifsActif PropriétaireProcessus de rédaction JournalisteOrdinateur JournalisteLogiciel de traitement de texte JournalisteJournaliste JournalisteArticles en cours de rédaction Journaliste

Processus de vente JournalisteOrdinateur JournalisteConnexion internet JournalisteLogiciel de messagerie JournalisteMails JournalisteJournaliste JournalisteArticles non publiés et non vendus JournalisteContacts Journaliste



2.Liste des actifsActif Propriétaire

Actifs Primordiaux 1 Processus de rédaction Journaliste2 Processus de vente Journaliste3 Articles en cours de rédaction Journaliste4 Articles non publiés et non vendus Journaliste5 Articles publiés Acheteur6 Contacts Journaliste

Actifs en support 7 Ordinateur Journaliste8 logiciel de traitement de texte Journaliste9 logiciel de messagerie Journaliste

10 connexion internet Journaliste11 mails Journaliste12 Fichier d'article Journaliste13 journaliste Journaliste


Actifs valorisesActifs valorises

3.Liste des actifs valorisésActif Propriétaire Valeur

Actifs Primordiaux 1 Processus de rédaction Journaliste 42 Processus de vente Journaliste 33 Articles en cours de rédaction Journaliste 44 Articles non publiés et non vendus Journaliste 45 Articles publiés Acheteur 26 Contacts Journaliste 2

Actifs en support 7 Ordinateur Journaliste 48 logiciel de traitement de texte Journaliste 29 logiciel de messagerie Journaliste 2

10 connexion internet Journaliste 111 mails Journaliste 212 Fichier d'article Journaliste 413 journaliste Journaliste 4


Actifs sélectionnésActifs sélectionnés

4.Liste des actifs sélectionnésActif Propriétaire Valeur Sélectionné

Actifs Primordiaux 1 Processus de rédaction Journaliste 4 oui2 Processus de vente Journaliste 3 oui3 Articles en cours de rédaction Journaliste 4 oui4 Articles non publiés et non vendus Journaliste 4 oui5 Articles publiés Acheteur 2 non6 Contacts Journaliste 2 non

Actifs en support 7 Ordinateur Journaliste 4 oui8 logiciel de traitement de texte Journaliste 2 non9 logiciel de messagerie Journaliste 2 non

10 connexion internet Journaliste 1 non11 mails Journaliste 2 non12 Fichier d'article Journaliste 4 oui13 journaliste Journaliste 4 oui


Menaces sur les actifsMenaces sur les actifs

5.Liste de menacesActif Valeur Sélectionné Menaces

Actifs Primordiaux 1 Processus de rédaction 4 oui2 Processus de vente 3 oui3 Articles en cours de rédaction 4 oui4 Articles non publiés et non vendus 4 oui5 Articles publiés 2 non6 Contacts 2 non

Actifs en support 7 Ordinateur 4 oui VolDestructionPanne électrique

8 logiciel de traitement de texte 2 non9 logiciel de messagerie 2 non

10 connexion internet 1 non11 mails 2 non12 Fichier d'article 4 oui Fraude

DestructionCopie

13 journaliste 4 oui EnlèvementMaladie

Identification de menaces ne effectuée pas sur les actifs primordiaux.


Vulnérabilités des actifsVulnérabilités des actifs

6. Liste de vulnérabilitésActif Valeur Sélectionné Menaces Vulnérabilité

1 Processus de rédaction 4 oui2 Processus de vente 3 oui3 Articles en cours de rédaction 4 oui4 Articles non publiés et non vendus 4 oui5 Articles publiés 2 non6 Contacts 2 non

7 Ordinateur 4 oui Vol portabilitéDestruction fragilitéPanne électrique dépend de l'électricité

8 logiciel de traitement de texte 2 non9 logiciel de messagerie 2 non

10 connexion internet 1 non11 mails 2 non12 Fichier d'article 4 oui Fraude Accès libre

Destruction manque de sensibilisationCopie Accès libre

Fichier en clair

13 journaliste 4 oui Enlèvement non préparationMaladie manque de sensibilisation

Actifs Primordiaux

Identification de menaces ne effectuée pas sur les actifs primordiaux.

Actifs en support


Conséquences et impacts sur les actifsConséquences et impacts sur les actifs

Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences

1.Vol de l'ordinateur du fait de sa portabilité.

1 Processus de rédaction 4 2 2 8

11

Perte financière jugée modérée3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle

4 Articles non publiés et non vendus 4 4 3 117 Ordinateur 4 4 3 11 Perte de productivité

12 Fichier d'article 4 4 3 11 Perte image faible ou nulle


7

Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité



7




10

Perte financière jugée inacceptable

2 Processus de vente 2 1 3 63 Articles en cours de rédaction 4 3 3 10 Perte de client

12 Fichier d'article 4 3 3 10

Arrêt de travail longe


9

Perte financière jugée significative3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul

12 Fichier d'article 1 4 4 9 Perte de clientArrêt de travail longe


6

Perte financière jugée inacceptable2 Processus de vente 2 1 1 4 Amende3 Articles en cours de rédaction 4 1 1 6 Perte de client

12 Fichier d'article 4 1 1 6 Arrêt de travail longe

2 Processus de vente 4 1 1 6

6

Perte financière jugée inacceptable12 Fichier d'article 4 1 1 6 Amende

Perte de clientArrêt de travail longe


6

Perte financière jugée significative2 Processus de vente 1 1 4 6 Perte juridique faible ou nul

13 journaliste 1 1 4 6 Détérioration de la relation clientArrêt de travail longeMention négative ponctuelle dans un média


5

Perte financière jugée significative13 journaliste 1 1 3 5 Perte juridique faible ou nulle

Détérioration de la relation clientPerte de productivitéMention négative ponctuelle dans un média

7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID

Max (SOM(CID))

Perte de contrat, d'opération ou de transaction, perte de client mineur

2.Destruction de l'ordinateur du fait de sa fragilité.

3.Suite à une panne électrique l'ordinateur ne s'allume plus.

4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.


Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.

5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. Mention dans les supports de presse à diffusion

restreinte impact sur le réputation à court terme.

6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal


7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle


8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.

9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.


Mesures de sécurité existantesMesures de sécurité existantes8. Liste des mesures de sécurité existantes et prévues

Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences



11

Perte financière jugée modérée3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle

4 Articles non publiés et non vendus 4 4 3 117 Ordinateur 4 4 3 11 Perte de productivité



7




7




10

Perte financière jugée inacceptable

2 Processus de vente 2 1 3 63 Articles en cours de rédaction 4 3 3 10 Perte de client


Arrêt de travail longe


9

Perte financière jugée significative3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul

12 Fichier d'article 1 4 4 9 Perte de clientArrêt de travail longe


6

Perte financière jugée inacceptable2 Processus de vente 2 1 1 4 Amende3 Articles en cours de rédaction 4 1 1 6 Perte de client

12 Fichier d'article 4 1 1 6 Arrêt de travail longe


6

Perte financière jugée inacceptable12 Fichier d'article 4 1 1 6 Amende

Perte de clientArrêt de travail longe


6

Perte financière jugée significative2 Processus de vente 1 1 4 6 Perte juridique faible ou nul

13 journaliste 1 1 4 6 Détérioration de la relation clientArrêt de travail longe


5

Perte financière jugée significative13 journaliste 1 1 3 5 Perte juridique faible ou nulle

Détérioration de la relation clientPerte de productivité

Max (SOM(CID))

Mesures de sécurité existantes





Protection par l'identifiant/ mot de passe



5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.



Protection par l'identifiant/ mot de passeMention dans les supports de

presse à diffusion restreinte impact sur le réputation à court terme.

7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de







Scénarios d'incident appréciésScénarios d'incident appréciés9. Liste des conséquences estimées des scénarios d'incident

Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences1 Processus de rédaction 4 2 2 8

11

Perte financière jugée modérée 2

3 4 4 3 11 Perte juridique faible ou nulle 1

4 4 4 3 11 27 Ordinateur 4 4 3 11 Perte de productivité 1

12 Fichier d'article 4 4 3 11 Perte image faible ou nulle 1


7

Perte financière faible ou nulle 1


4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1



7






10

Perte financière jugée inacceptable 4

2 Processus de vente 2 1 3 6 3

3 4 3 3 10 Perte de client 3


Arrêt de travail longe 3

3


9

Perte financière jugée significative 4

3 1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 3


3


6

Perte financière jugée inacceptable 42 Processus de vente 2 1 1 4 Amende 2

3 4 1 1 6 Perte de client 312 Fichier d'article 4 1 1 6 Arrêt de travail longe 3

3


6

Perte financière jugée inacceptable 412 Fichier d'article 4 1 1 6 Amende 2

Perte de client 3Arrêt de travail longe 3

3


6

Perte financière jugée significative 32 Processus de vente 1 1 4 6 Perte juridique faible ou nulle 1

13 journaliste 1 1 4 6 Détérioration de la relation client 1Arrêt de travail longe 3

2


5

Perte financière jugée significative 313 journaliste 1 1 3 5 Perte juridique faible ou nulle 1

Détérioration de la relation client 1Perte de productivité 1

2

Max (SOM(CID))


Valeur de conséquences


Articles en cours de rédactionArticles non publiés et non vendus









Articles en cours de rédaction
















Vraisemblance des scénarios d'incidentVraisemblance des scénarios d'incident10. Vraisemblance des scénarios d'incident

Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences Vraisemblance1 Processus de rédaction 4 2 2 8

11


23 4 4 3 11 Perte juridique faible ou nul 1


12 Fichier d'article 4 4 3 11 Perte image faible ou nul 1


7






7






10


2





3


9


2



3


6


3

2 Processus de vente 2 1 1 4 Amende 2


3


6


3

12 Fichier d'article 4 1 1 6 Amende 2Perte de client 3Arrêt de travail longe 3

3


6


1

2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 113 journaliste 1 1 4 6 Détérioration de la relation client 1


2


5


2

13 journaliste 1 1 3 5 Perte juridique faible ou nul 1Arrêt de travail longe 1Perte de productivité 1

2

Max (SOM(CID))





























Calcul du niveau de risqueCalcul du niveau de risque11. Liste des risques avec le valeur de niveau de risque


11


2 223 4 4 3 11 Perte juridique faible ou nul 1




7






7






10


2 20





3


9


2 18



3


6


3 18



3


6


3 18


3


6


1 6



2


5


2 10


2

Max (SOM(CID))



Niveau de risque =Max(SOM(CID))*Vrais



























Risques sélectionnés pour traitementRisques sélectionnés pour traitement12. Liste des risques priorités en relation avec les scénarios d'incident


11






7






7






10


2 20





3


9


2 18



3


6


3 18



3


6


3 18


3


6


1 6



2


5


2 10


2

Max (SOM(CID))



Niveau de risque =Max(SOM(CID))*Vrai



























Plan de traitement des risquesPlan de traitement des risques13.Plan de traitement des risques

Scénario Traitement Mesure de sécurité (ISO27002) Priorités Coût

22 Réduction 1 Journaliste Moyen


7 Maintien


18 Réduction 2 Journaliste Faible


18 Réduction 1 Journaliste Faible

6 Maintien

10 Réduction Sensibilisation. 3 Journaliste Faible

Niveau de risque

Personnes responsable

1.Vol de l'ordinateur du fait de sa portabilité,ce qui engendre une perte financière, perte de productivité, perte d'image.

Sauvegarde.Sensibilisation.Chiffrement.

2.Destruction de l'ordinateur du fait de sa fragilité,

Sauvegarde.protection antivirale.Sensibilisation.mise à jour du logiciel.HIPS.

3.Suite à une panne électrique l'ordinateur ne s'allume plus,perte financière, perte de productivité.


Sensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique. des sessions inactives.


SauvegardeFormationSensibilisation


Sensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique des sessions inactives.

7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle.

Sensibilisation.Chiffrement.


9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital..


Plan de traitement des risquesPlan de traitement des risques14.Plan de traitment du risque avec le niveau des risques résiduels

Scénario Traitement Priorités Coût

22 Réduction 1 Journaliste Moyen 4 1 4


7 Maintien


18 Réduction 2 Journaliste Faible 3 1 3


18 Réduction 1 Journaliste Faible 6 2 12

6 Maintien

10 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3

Niveau des

risquesMesure de sécurité (ISO27002)


SOM(CID) ré estimée

Vraisemblance ré estimée

Risque Résiduel

















Acceptation des risquesAcceptation des risques15. Liste de risques acceptés avec justification

Scénario Traitement Priorités Coût Signature Date

22 Réduction 1 Journaliste Moyen 4 1 4 oui


7 Maintien


18 Réduction 2 Journaliste Faible 3 1 3 oui

18 Réduction 1 Journaliste Moyen 5 2 10 non

18 Réduction 1 Journaliste Faible 6 2 12 non

6 Maintien

10 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3 oui

Niveau des

risquesMesure de sécurité (ISO27002)


SOM(CID) ré estimée

Vraisemblance ré estimée

Niveau des Risques

RésiduelsAcceptation des risques

















ConclusionConclusion

Pas un processus linéaire

Pas une étape infaisable sans avoir fait la précédente

Possible de démarrer au milieu et d'y aller progressivement

Peut tendre vers une gestion des risques très fine

Rien d'obligatoire dans le formalisme

Seules les étapes imposées par l'ISO 27001 doivent être suivies

Le fait qu'elles ont été suivies doit être montrable

Permet de prendre en compte toute la hiérarchie


ConclusionConclusion

ISO 27005 est incontournable au niveau international

ISO 27005 est directement appliquée de l'ISO 27001

ISO 27005 est utilisable dans des contextes et des métiers variés

ISO27005 permet une gestion des risques simple, pragmatique, adaptée aux réalités des affaires

Travel

Netclu09 27005