Définir le cadre et les limites

Un cadre et des limites strictes doivent être définis par le gestionnaire de risque lié à la sécurité de l’information. Cela permet de s’assurer que tous les actifs pertinents sont pris en compte dans l’analyse de risque. Il est également possible d’exclure du périmètre certains processus ou certains actifs.

La définition de ce périmètre est commune à celle utilisée dans les autres normes où il est question de système de management. Nous pouvons citer par exemple la norme ISO 27001 qui nécessite la définition d’un périmètre du SMSI (Système de management de la sécurité de l’information). C’est uniquement ce périmètre qui sera certifié si l’organisation décide de l’obtention d’une certification.

Simplifions cela en reprenant l’exemple de la banque. Le périmètre est l’entièreté du bâtiment du siège social, les limites en sont donc les murs. Nous décidons que pour l’analyse de risque liée à l’information, nous excluons les salles d’eau du bâtiment. Ainsi, l’accueil, les salles de réunion, les bureaux, les meubles, les procédures, le personnel, etc. font tous partie du périmètre. Cela ne signifie pas que les salles d’eau du bâtiment ne doivent pas être...