<H1>Avant-propos v</H1> <H1>Introduction vi</H1> <H1>1 Domaine d'application 1</H1> <H1>2 Références normatives 1</H1> <H1>3 Termes et définitions 1</H1> <H1>4 Structure de la présente Norme internationale 3</H1> <H1>5 Contexte 3</H1> <H1>6 Présentation générale du processus de gestion des risques en sécurité de l'information 4</H1> <H1>7 Établissement du contexte 7</H1> <H2>7.1 Considérations générales 7</H2> <H2>7.2 Critères de base 7</H2> <H2>7.3 Domaine d'application et limites 9</H2> <H2>7.4 Organisation de la gestion des risques en sécurité de l'information 10</H2> <H1>8 Appréciation des risques en sécurité de l'information 10</H1> <H2>8.1 Description générale de l'appréciation des risques en sécurité de l'information 10</H2> <H2>8.2 Analyse des risques 11</H2> <H3>8.2.1 Identification des risques 11</H3> <H3>8.2.2 Estimation des risques 15</H3> <H2>8.3 Évaluation du risque 18</H2> <H1>9 Traitement des risques en sécurité de l'information 19</H1> <H2>9.1 Description générale du traitement des risques 19</H2> <H2>9.2 Réduction du risque 21</H2> <H2>9.3 Maintien du risque 22</H2> <H2>9.4 Refus du risque 23</H2> <H2>9.5 Transfert du risque 23</H2> <H1>10 Acceptation des risques en sécurité de l'information 23</H1> <H1>11 Communication relative aux risques en sécurité de l'information 24</H1> <H1>12 Surveillance et revue du risque en sécurité de l'information 25</H1> <H2>12.1 Surveillance et revue des facteurs de risque 25</H2> <H2>12.2 Surveillance, revue et amélioration de la gestion des risques 26</H2> <H1>Annexe A (informative) Définition du domaine d'application et des limites du processus de gestion des risques en sécurité de l'information 28</H1> <H2>A.1 Étude de l'organisation 28</H2> <H2>A.2 Liste des contraintes affectant l'organisation 29</H2> <H2>A.3 Liste des références législatives et réglementaires applicables à l'organisation 31</H2> <H2>A.4 Liste des contraintes affectant le domaine d'application 31</H2> <H1>Annexe B (informative) Identification et évaluation des actifs et appréciation des impacts 34</H1> <H2>B.1 Exemples d'identification des actifs 34</H2> <H3>B.1.1 Identification des actifs primordiaux 34</H3> <H3>B.1.2 Liste et description des actifs en support 35</H3> <H2>B.2 Évaluation des actifs 40</H2> <H2>B.3 Appréciation des impacts 43</H2> <H1>Annexe C (informative) Exemples de menaces types 45</H1> <H1>Annexe D (informative) Vulnérabilités et méthodes d'appréciation des vulnérabilités 47</H1> <H2>D.1 Exemples de vulnérabilités 47</H2> <H2>D.2 Méthodes d'appréciation des vulnérabilités techniques 50</H2> <H1>Annexe E (informative) Approches d'appréciation des risques en sécurité de l'information 52</H1> <H2>E.1 Appréciation des risques de haut niveau en sécurité de l'information 52</H2> <H2>E.2 Appréciation détaillée des risques en sécurité de l'information 53</H2> <H3>E.2.1 Exemple 1 - Matrice avec valeurs prédéfinies 54</H3> <H3>E.2.2 Exemple 2 - Classement des menaces par mesures des risques 56</H3> <H3>E.2.3 Exemple 3 - Appréciation d'une valeur relative à la vraisemblance et aux conséquences possibles des risques 57</H3> <H1>Annexe F (informative) Contraintes liées à la réduction du risque 59</H1> <H1>Bibliographie 61</H1>

Voir plus Voir moins