Titre, auteur...

Que suppose une bonne gouvernance ?

Quels rôles pour quelles responsabilités ?

Que prévoir en termes de ressources ?

Quel serait un contexte favorable ?

Les principes constitutifs de la norme

L'obtention d'une certification ISO 27001

Le recueil de bonnes pratiques

La formation de personnes

Rappel des points clés

Contextualisation de la norme

Rappel historique sur sa construction

Domaine adressé

Usage actuel de la norme

Philosophie de la norme

Contenu de la norme

Rappel des points clés

Politique de gouvernance et politique de sécurité

Bonnes pratiques de définition d’une politique de gouvernance

Bonnes pratiques de rédaction d’une politique de sécurité

Points clés d’une politique de sécurité : les pratiques ISO 27002

Du caractère virtuel d’une politique de sécurité

Rappel des points clés

Cas pratique : quelques conseils en matière de politique

Rappels des principaux concepts de sécurité

Vers une identification des risques

Poursuite du travail d'analyse sur les risques

Gouvernance du risque

Traitement des risques

1. Interprétation des éléments de l’analyse
a. Couverture des risques
b. Seuil et critères d’acceptation du risque
2. L’organisation du traitement
3. Options de traitement
4. Mesures de sécurité
5. Risques résiduels

Amélioration de la gestion des risques

Rappel des points clés

Objectifs et causalités des actions

Formalisation des actions

Un énoncé clair et précis de l’action attendue

Structuration du plan d’action

Pilotage du plan d’action

Mise en œuvre, exploitation et amélioration du système de gouvernance

Rappel des points clés

La surveillance : un élément essentiel de l’amélioration

Contrôle et suivi : que surveiller ?

De manière progressive et adaptée

Définition des éléments de contrôle et de suivi : les indicateurs

Quelques indicateurs de gouvernance

Quelques indicateurs d’efficacité des mesures de sécurité

Exploitation des indicateurs

Communication, acceptation par les équipes

Définition des éléments de contrôle et de suivi : les tableaux de bord

Rappel des points clés

Pourquoi faire des audits ?

Référentiels d’audit

Audit de certification

Profil type d’un auditeur

Modalités d’audit

Plan de remédiation et mise à jour du plan d’action

L’audit, une étape indispensable à l’amélioration

Rappel des points clés

Traitement des risques

Le traitement des risques s’entend comme étant la manière de considérer le risque pour en retirer des décisions conduisant à des actions.

1. Interprétation des éléments de l’analyse

a. Couverture des risques

Le traitement d’un risque est à comprendre comme les options prises pour le gérer. Il existe plusieurs options dont l’une est la réduction du risque.

Cela implique la définition de mesures qui, indépendamment et collectivement, participent à la couverture d’un ou de plusieurs risques. Cette couverture peut être totale ou partielle. Son estimation émane de l’appréciation de l’efficacité de chacune des mesures en place et de celle de leur interaction.

Le choix des mesures relève du niveau de couverture retenu et notamment exprimé au travers des enjeux. Ce choix s’appuie sur les bonnes pratiques et sur les besoins de sécurité exprimés.

Le niveau de couverture doit répondre aux objectifs de sécurité fixés.

b. Seuil et critères d’acceptation du risque

Le seuil d’acceptation du risque permet de déterminer le point à partir duquel l’entité se refuse d’assumer les conséquences d’un risque et donc d’engager sa responsabilité. Le seuil s’entend comme un niveau.

Les critères d’acceptation du risque permettent de définir...

Pour consulter la suite, découvrez le livre suivant :

En version papier

En version numérique

En illimité avec l'abonnement ENI

Sur la boutique officielle ENI

Précédent

Gouvernance du risque

Suivant

Amélioration de la gestion des risques