Je réaliserai une évaluation des risques de cybersécurité ISO

Le package de base vise à comprendre la structure de l’organisation, ses opérations, la conception des données, ses besoins et à recueillir des informations pour définir le périmètre de l’évaluation des risques en cybersécurité, par exemple si une évaluation de base ou complète est nécessaire. Le package de base ne comprendra pas de rapport.

L’évaluation des risques en cybersécurité détermine le risque en fonction de la menace, de la vulnérabilité et de l’impact, et vise à identifier, évaluer et prioriser les risques.

1) L’évaluation des risques est au cœur de la conformité ISO. Elle identifie, évalue et établit l’existence de contrôles de sécurité spécifiques. 2) L’audit des risques teste ces contrôles de sécurité, est plus complexe et peut se concentrer sur des objectifs spécifiques de l’organisation, par exemple la certification ISO, etc.

1) Définir le périmètre de l’évaluation des risques (réunion via lien vidéo avec les parties prenantes pour comprendre la structure de l’organisation, ses opérations, la conception des données, ses besoins et recueillir des informations). 2) Réaliser l’exercice d’évaluation des risques (définir les contrôles de sécurité, effectuer l’évaluation des risques et évaluer l’impact des risques sur l’organisation).

1) Les exigences des contrôles des normes internationales pertinentes (ISO ou NIST). 2) Les observations de l’évaluateur sur la posture de sécurité existante de l’organisation. 3) Les recommandations de l’évaluateur pour la mise en œuvre des contrôles de sécurité. 4) L’impact des risques sur les activités de l’organisation. 5) La classification des risques (faible à critique, etc.).