Qu'est-ce que ISO 27005 ?
ISO/IEC 27005 fournit des lignes directrices pour la gestion des risques lies a la sécurité de l'information. Elle soutient les exigences d'ISO 27001 en matiere d'appreciation et de traitement des risques. La norme décrit un processus iteratif comprenant l'etablissement du contexte, l'identification des risques, l'analyse, l'evaluation et le traitement des risques, ainsi que la communication et le suivi. Elle est compatible avec d'autres methodologies comme EBIOS RM ou NIST SP 800-30.
Points cles
- Processus iteratif : etablissement du contexte, identification, analyse, evaluation et traitement des risques
- Compatible avec ISO 27001 : repond aux exigences des clauses 6.1.2 et 8.2 sur l'appreciation des risques
- Approche basee sur les actifs, les menaces, les vulnérabilités et les consequences
- Quatre options de traitement : reduction, acceptation, evitement et transfert des risques
- Surveillance et revue continues du processus de gestion des risques
Pourquoi Zaxyr
Zaxyr intègre un moteur d'analyse de risques conforme a ISO 27005. La plateforme automatise l'inventaire des actifs, l'identification des menaces et vulnérabilités, le calcul des niveaux de risque et la génération du plan de traitement. Les résultats alimentent directement le SoA ISO 27001 et sont traces dans un registre de risques auditable.