ISO 31000:2018 est la norme internationale généraliste de gestion des risques, applicable à tout type de risque dans toute organisation. ISO/IEC 27005:2022 est alignée sur les principes d'ISO 31000 et basée sur sa structure, mais elle se concentre spécifiquement sur les risques liés à la sécurité de l'information.
ISO 31000:2018 Management du risque — Lignes directrices est le cadre généraliste applicable à tous les types de risques : financier, opérationnel, stratégique, environnemental, sécurité de l'information, RH, et autres. Elle est conçue pour s'appliquer à toute organisation, quelle que soit sa taille ou son secteur.
ISO/IEC 27005:2022 est alignée sur les principes et la structure d'ISO 31000:2018, avec un focus opérationnel sur les risques de sécurité de l'information. Elle reprend les mêmes étapes : établissement du contexte, identification, analyse, évaluation, traitement, communication et concertation, surveillance et revue.
Une organisation qui doit gérer simultanément plusieurs natures de risque peut adopter ISO 31000 comme cadre rectoral, et utiliser ISO 27005 (ou EBIOS RM) pour le périmètre information. Les deux certifications individuelles ISO 31000 Risk Manager et ISO 27005 Risk Manager sont reconnues séparément par PECB.
Pour un Chief Risk Officer ou un Risk Manager généraliste, ISO 31000 Risk Manager est la priorité. Pour un RSSI, un DPO ou un Information Security Risk Officer, ISO 27005 Risk Manager est la priorité, idéalement complétée par ISO 31000 Foundation pour parler le langage commun avec les autres fonctions risque.
ISO/IEC 27005:2022 est la norme internationale qui fournit des lignes directrices pour la gestion des risques liés à la sécurité de l'information. Publiée en octobre 2022 par l'ISO et la CEI, elle aide les organisations à mettre en œuvre les exigences de gestion des risques de la clause 6.1 d'ISO/IEC 27001. C'est une norme non-certifiable : elle fournit des lignes directrices, pas des exigences certifiables.
byTania POSTIL
ISO/IEC 27001:2022 est la norme certifiable qui définit les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). ISO/IEC 27005:2022 est une norme de lignes directrices, non-certifiable, qui détaille comment gérer les risques de sécurité de l'information. ISO 27001 spécifie qu'il faut gérer les risques ; ISO 27005 explique comment.
byChristophe MAZZOLA
La formation PECB Certified ISO/IEC 27005 Risk Manager dure 5 jours (40 heures), examen inclus. L'examen de certification dure 2 heures et se déroule le dernier jour de formation.
byMarc BOUVIER
Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.