Qu'est-ce que la norme ISO/IEC 27005 ?

ISO/IEC 27005:2022 est la norme internationale qui fournit des lignes directrices pour la gestion des risques liés à la sécurité de l'information. Publiée en octobre 2022 par l'ISO et la CEI, elle aide les organisations à mettre en œuvre les exigences de gestion des risques de la clause 6.1 d'ISO/IEC 27001. C'est une norme non-certifiable : elle fournit des lignes directrices, pas des exigences certifiables.

ISO/IEC 27005:2022 a été publiée en octobre 2022 par le comité technique ISO/IEC JTC 1/SC 27, succédant à l'édition 2018. Elle fournit des lignes directrices pour gérer les risques de sécurité de l'information dans le cadre d'un Système de Management de la Sécurité de l'Information (SMSI).

Contrairement à ISO/IEC 27001:2022 qui définit les exigences certifiables d'un SMSI, ISO 27005 décrit la méthodologie de gestion des risques. Elle aide les organisations à mettre en œuvre la clause 6.1 d'ISO 27001 — appréciation et traitement des risques.

La norme structure le processus autour de cinq étapes principales : établissement du contexte, identification des risques, analyse, évaluation et traitement. Deux activités transversales soutiennent ces étapes : la communication et la concertation, ainsi que la surveillance et la revue.

ISO 27005 est neutre vis-à-vis des méthodologies opérationnelles. Vous pouvez l'appliquer avec EBIOS Risk Manager (méthode ANSSI), NIST SP 800-30, OCTAVE Allegro, ou une méthode propriétaire — tant qu'elle respecte les principes et les étapes décrits par la norme.

Related Information

  • Édition actuelle : ISO/IEC 27005:2022, publiée en octobre 2022
  • Statut : norme non-certifiable (lignes directrices)
  • Alignée sur : ISO 31000:2018 et ISO/IEC 27001:2022
  • Certifications individuelles PECB : Foundation, Risk Manager, Lead Risk Manager
  • Méthodes compatibles : EBIOS RM, NIST SP 800-30, OCTAVE Allegro

Topics

ISO 27005Risk ManagementPECBInformation Security

From Course

ISO 27005 Risk Manager

Learn more about this course and related topics

Related Answers

1

Quelle est la différence entre ISO 27005 et ISO 31000 ?

ISO 31000:2018 est la norme internationale généraliste de gestion des risques, applicable à tout type de risque dans toute organisation. ISO/IEC 27005:2022 est alignée sur les principes d'ISO 31000 et basée sur sa structure, mais elle se concentre spécifiquement sur les risques liés à la sécurité de l'information.

byGerhard ROTTER

Read more
2

Quelle est la différence entre ISO 27001 et ISO 27005 ?

ISO/IEC 27001:2022 est la norme certifiable qui définit les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). ISO/IEC 27005:2022 est une norme de lignes directrices, non-certifiable, qui détaille comment gérer les risques de sécurité de l'information. ISO 27001 spécifie qu'il faut gérer les risques ; ISO 27005 explique comment.

byChristophe MAZZOLA

Read more
3

Quelle est la durée d'une formation ISO 27005 Risk Manager ?

La formation PECB Certified ISO/IEC 27005 Risk Manager dure 5 jours (40 heures), examen inclus. L'examen de certification dure 2 heures et se déroule le dernier jour de formation.

byMarc BOUVIER

Read more

Nous utilisons des cookies pour améliorer votre expérience

Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.

Qu'est-ce que la norme ISO/IEC 27005 ? – ISO/IEC 27005 : la norme de gestion des risques (édition 2022) – ISO 27005 Ris…