Introduction

Le cœur d’un système de gouvernance est certainement le plan d’action, qui en constitue le poste de conduite. La norme énonce cette obligation : l’organisation doit planifier les actions menées pour traiter les risques et opportunités. Elle doit définir la manière d’intégrer et de mettre en œuvre les actions au sein des processus du système de management de la sécurité de l’information et d’évaluer l’efficacité de ces actions.

La norme s’étend longuement sur la gestion des risques et développe la notion de plan de traitement des risques. De sorte que certains en viennent à négliger les autres actions, et notamment les opportunités qui sont pourtant mentionnées explicitement dans le texte. Cette notion de plan d’action nécessite donc quelques développements.

Pourquoi faire un plan d’action ?

La norme s’exprime sur deux composantes à adresser, le traitement des risques et celui des opportunités. Outre le fait rappelé ci-dessus que les opportunités sont assez souvent négligées, il est bon d’étendre quelque peu la notion de plan d’action afin d’adresser exhaustivement l’ensemble des éléments à traiter. 

Un exemple sera sans doute parlant. Prenons le cas d’un navigateur partant pour une traversée transatlantique. Il analyse...

Pour consulter la suite, découvrez le livre suivant :
couv_DPSECISO.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Cas pratique
Suivant
Objectifs et causalités des actions