Qu'est-ce que la norme ISO/IEC 27005 ?

ISO/IEC 27005:2022 est la norme internationale qui fournit des lignes directrices pour la gestion des risques liés à la sécurité de l'information. Publiée en octobre 2022 par l'ISO et la CEI, elle aide les organisations à mettre en œuvre les exigences de gestion des risques de la clause 6.1 d'ISO/IEC 27001. C'est une norme non-certifiable : elle fournit des lignes directrices, pas des exigences certifiables.

ISO/IEC 27005:2022 a été publiée en octobre 2022 par le comité technique ISO/IEC JTC 1/SC 27, succédant à l'édition 2018. Elle fournit des lignes directrices pour gérer les risques de sécurité de l'information dans le cadre d'un Système de Management de la Sécurité de l'Information (SMSI).

Contrairement à ISO/IEC 27001:2022 qui définit les exigences certifiables d'un SMSI, ISO 27005 décrit la méthodologie de gestion des risques. Elle aide les organisations à mettre en œuvre la clause 6.1 d'ISO 27001 — appréciation et traitement des risques.

La norme structure le processus autour de cinq étapes principales : établissement du contexte, identification des risques, analyse, évaluation et traitement. Deux activités transversales soutiennent ces étapes : la communication et la concertation, ainsi que la surveillance et la revue.

ISO 27005 est neutre vis-à-vis des méthodologies opérationnelles. Vous pouvez l'appliquer avec EBIOS Risk Manager (méthode ANSSI), NIST SP 800-30, OCTAVE Allegro, ou une méthode propriétaire — tant qu'elle respecte les principes et les étapes décrits par la norme.

Related Information

  • Édition actuelle : ISO/IEC 27005:2022, publiée en octobre 2022
  • Statut : norme non-certifiable (lignes directrices)
  • Alignée sur : ISO 31000:2018 et ISO/IEC 27001:2022
  • Certifications individuelles PECB : Foundation, Risk Manager, Lead Risk Manager
  • Méthodes compatibles : EBIOS RM, NIST SP 800-30, OCTAVE Allegro

Toutes les questions fréquentes →

Base de connaissances complète

Nous utilisons des cookies pour améliorer votre expérience

Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.