Evaluation reglementaire / normative
Assessment unique sans niveaux, avec recommandations et plan d'action priorise.
Plan: PREMIUM
Ouvrir l'assessmentFiche norme ISO/IEC
ISO/IEC 27005
ISO/IEC 27005:2022
Fournir une methode robuste pour identifier, analyser, evaluer et traiter les risques de securite de l information.
Assessment norme
Voir nos plansExplication claire
ISO/IEC 27005 est le guide de gestion des risques du domaine 27000. Elle operationalise la logique de risque attendue par 27001 et clarifie les etapes de qualification, priorisation et suivi.
Elle est utile pour verifier si les decisions de securite sont fondees sur des risques explicites et non sur des choix ad hoc.
Ce que la norme couvre
- Definition du contexte de risque et des criteres d acceptation.
- Identification des scenarios de menace et vulnerabilites.
- Evaluation impact/probabilite et traitement des risques.
- Suivi des risques residuels et revision periodique.
Ce que la norme ne couvre pas seule
- Ne fournit pas une liste complete de controles (role de 27002).
- Ne couvre pas seule la gouvernance business globale du risque (31000).
- Exige une bonne qualite de donnees d incidents et d exposition.
Livrables attendus en audit
- Methodologie de risque formalisee et approuvee.
- Registre des risques avec proprietaires et plans de traitement.
- Mecanisme de revue des risques residuels et exceptions.
Indicateurs utiles
- % de risques critiques reevalues dans la frequence cible.
- Delai moyen de traitement des risques eleves.
- Part des risques eleves sans plan de traitement valide.
Usage dans FIRE Auditor
- Base de calcul des indices de priorite et de maturite risque.
- Point de raccord entre assessments modules et plans correctifs.
- Support a la gouvernance de risque transversale FIRE.