ISO/IEC 27005:2022 a été publiée en octobre 2022 et succède à l'édition 2018. Les évolutions confirmées concernent l'alignement terminologique avec ISO 27001:2022 et ISO 31000:2018, et la mise à jour du vocabulaire autour des notions de risque, menace et vulnérabilité.
ISO/IEC 27005:2022 a été publiée le 24 octobre 2022 par le comité technique ISO/IEC JTC 1/SC 27. Elle succède à ISO/IEC 27005:2018. Les organisations utilisant l'édition 2018 ne sont pas automatiquement obligées de migrer immédiatement, mais la version 2022 devient progressivement le référentiel utilisé dans les audits.
L'évolution principale confirmée est l'alignement de la terminologie sur ISO 27001:2022 et ISO 31000:2018. Cela inclut le vocabulaire autour du risque (effet de l'incertitude sur les objectifs), de la menace (cause potentielle d'incident) et de la vulnérabilité (faiblesse pouvant être exploitée).
La structure de référence pour le traitement des risques s'aligne sur la nouvelle organisation d'ISO 27002:2022 : 93 contrôles répartis en quatre thèmes (Organisationnels, Personnes, Physiques, Technologiques). Cette mise à jour facilite la cohérence entre l'analyse de risques et le Statement of Applicability (SoA) d'un SMSI ISO 27001:2022.
Pour les organisations en transition ISO 27001:2013 → ISO 27001:2022, la mise à jour vers ISO 27005:2022 se planifie en cohérence. La période de coexistence pour les nouvelles certifications ISO 27001 s'est achevée le 31 octobre 2025. Pour la liste complète des modifications, consulter le texte officiel de la norme sur iso.org.
ISO/IEC 27005:2022 est une norme internationale qui décrit le processus de gestion des risques de sécurité de l'information. EBIOS Risk Manager (EBIOS RM) est une méthode publique éditée par l'ANSSI qui peut être utilisée aux côtés d'ISO 27005 pour opérationnaliser l'analyse de risques, avec un focus marqué sur les scénarios de menace cyber.
byHenri HAENNI
ISO 31000:2018 est la norme internationale généraliste de gestion des risques, applicable à tout type de risque dans toute organisation. ISO/IEC 27005:2022 est alignée sur les principes d'ISO 31000 et basée sur sa structure, mais elle se concentre spécifiquement sur les risques liés à la sécurité de l'information.
byGerhard ROTTER
ISO/IEC 27005:2022 est la norme internationale qui fournit des lignes directrices pour la gestion des risques liés à la sécurité de l'information. Publiée en octobre 2022 par l'ISO et la CEI, elle aide les organisations à mettre en œuvre les exigences de gestion des risques de la clause 6.1 d'ISO/IEC 27001. C'est une norme non-certifiable : elle fournit des lignes directrices, pas des exigences certifiables.
byTania POSTIL
Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.