Varden Security
Se connecter

Fiche norme ISO/IEC

ISO/IEC 27005

ISO/IEC 27005:2022

Fournir une methode robuste pour identifier, analyser, evaluer et traiter les risques de securite de l information.

Toutes les normesVue documentation

Parcours questionnaires

Voir nos plans

Niveau 1 - Maturite pedagogique

Diagnostic rapide pour situer la maturite de base et prioriser les chantiers.

Plan: Gratuit

Ouvrir niveau 1

Niveau 2 - Evaluation structuree

Mesure detaillee avec KPI, preuves attendues et plan de remediations.

Plan: Pro

Ouvrir niveau 2

Niveau 3 - Evaluation rigoureuse

Lecture audit-ready avec obligations, cartographie des ecarts et actions priorisees.

Plan: Premium

Ouvrir niveau 3

Explication claire

ISO/IEC 27005 est le guide de gestion des risques du domaine 27000. Elle operationalise la logique de risque attendue par 27001 et clarifie les etapes de qualification, priorisation et suivi.

Elle est utile pour verifier si les decisions de securite sont fondees sur des risques explicites et non sur des choix ad hoc.

Ce que la norme couvre

  • Definition du contexte de risque et des criteres d acceptation.
  • Identification des scenarios de menace et vulnerabilites.
  • Evaluation impact/probabilite et traitement des risques.
  • Suivi des risques residuels et revision periodique.

Ce que la norme ne couvre pas seule

  • Ne fournit pas une liste complete de controles (role de 27002).
  • Ne couvre pas seule la gouvernance business globale du risque (31000).
  • Exige une bonne qualite de donnees d incidents et d exposition.

Livrables attendus en audit

  • Methodologie de risque formalisee et approuvee.
  • Registre des risques avec proprietaires et plans de traitement.
  • Mecanisme de revue des risques residuels et exceptions.

Indicateurs utiles

  • % de risques critiques reevalues dans la frequence cible.
  • Delai moyen de traitement des risques eleves.
  • Part des risques eleves sans plan de traitement valide.

Usage dans FIRE Auditor

  • Base de calcul des indices de priorite et de maturite risque.
  • Point de raccord entre questionnaires modules et plans correctifs.
  • Support a la gouvernance de risque transversale FIRE.