Titre, auteur...

Que sont les normes ISO ?

ISO 31000 et IEC 31010

ISO/IEC 27005 : gestion des risques

Concept de risque

Définition du risque

Les statistiques et les risques

L'opportunité par le risque

La perception du risque

Quelques définitions d'ISO 27000

La sécurité de l'information

Les types de mesures de sécurité

Les avantages de la gestion du risque

Programme de gestion des risques

Établissement du contexte

Identifier les parties prenantes

Définir les objectifs

Définir les critères de base

Définir le cadre et les limites

Techniques pour rassembler les informations

Identification des actifs

Identification des menaces

Identification des contrôles existants

Identification des vulnérabilités

Identification des conséquences

Méthodologies d'analyse du risque

Évaluation des conséquences

Évaluation de la vraisemblance d’un incident

Détermination d’un niveau de risque

Évaluation du risque

Évaluation quantitative du risque

Processus de traitement du risque

Processus d'acceptation des risques

Objectif de la communication des risques

Plan de communication sur les risques

Enregistrements

Processus de surveillance et revue des risques

Surveillance et revue des facteurs de risques

Surveillance et revue de la gestion des risques

Amélioration continue

Identification du risque

Analyse des risques

Évaluation des risques

Traitement du risque

Le plan d'actions

Le risque résiduel

Acceptation des risques

Atelier 1 : cadrage et socle de sécurité

Atelier 2 : sources de risque

Atelier 3 : scénarios stratégiques

Atelier 4 : scénarios opérationnels

Atelier 5 : traitement du risque

L'analyse de risques

La directive NIS

Référentiel de sécurité du NIST

1. Le contexte
a. Vue générale
b. Données, supports et processus
2. Principes fondamentaux
a. Proportionnalité et nécessité
b. Protection des droits des personnes
3. Étude des risques
a. Évaluation des mesures
b. Appréciation des risques
4. Validation
a. Préparation des éléments
b. Validation

RGPD/AIPD `RGPD:AIPD`

Nous ne reviendrons pas ici sur le Règlement général sur la protection des données car nous l’avons déjà brièvement détaillé lors du chapitre Normes et cadres réglementaires. En revanche, nous expliquerons ce qu’est l’Analyse d’impact relative à la protection des données (AIPD).

L’AIPD est un outil permettant de se conformer au RGPD et ainsi de respecter la vie privée et les données personnelles des citoyens européens. Il s’agit ici de mener une analyse d’impact, qui n’est pas sans nous rappeler l’analyse de risque d’ISO 31000. La démarche d’une conformité RGPD en menant une AIPD repose sur deux piliers :

Les principes et droits fondamentaux qui sont fixés par la réglementation et sont donc par nature obligatoires, et ce quels que soient la nature, la gravité et la vraisemblance des risques.
La gestion des risques sur la vie privée, permettant de sélectionner les mesures techniques et organisationnelles adéquates pour la protection des données.

La démarche de l’analyse d’impact se décompose en quatre étapes qui sont le contexte, les principes fondamentaux, l’appréciation des risques et la validation. Il s’agit ici aussi d’un processus d’amélioration continue, qui requiert donc plusieurs itérations pour atteindre un niveau acceptable...

Découvrez

le livre :

je lis la suite !

Aussi inclus dans nos :

Précédent

CIS V8

Suivant

Conclusion