2 Planification PDF

Master Professionnel Cyber Sécurité Opérationnelle
SUP’COM & Iset'Com & ANSI
Mise en place d’un Système

de Management SI
Etape1: Planification
Saber ISSA
Principes directeurs pour la mise en œuvre d’un SMSI
Recommandations
Eviter l’intégration de nouvelles technologies

 Concevoir le système initial avec les technologies déjà en place;
 L’optimisation du SMSI avec des technologies plus efficaces sera en
mode d’amélioration continue par la suite.
Intégrer le SMSI dans les processus existants
 Réutiliser les processus existants déjà formalisés et les mettre en
relation avec le SMSI;
 En particulier harmoniser et intégrer le SMSI avec les autres systèmes
de management en place dans l’organisme (exemple ISO 9001).
Appliquer les principes de l’amélioration continue
 Viser des objectifs modestes au départ et miser sur une amélioration
progressive sur le moyen et le long terme.
2
Principes directeurs pour la mise en œuvre d’un SMSI
Recommandations
Impliquer les parties prenantes de l’organisme

 Définir les rôles et les responsabilités de toutes les parties prenantes
au SMSI assez tôt;
 S’assurer de leur implication et leur motivation.
Obtenir le soutien de la haute direction

 S’assurer que la direction comprend et soutient le projet et qu’elle lui
accorde l’importance et les ressources requises en temps opportun.
Identifier et nommer un responsable du projet SMSI
 Garant de la bonne marche des opérations de mise en œuvre de leur
calendrier et de leur support (budget, approbations, etc.).
3
P: Planifier
1 Compréhension de l’organisme
2 Analyse du système existant
3 Leadership et approbation du projet
4 Domaine d’application
5 Politiques de sécurité
6 Structure organisationnelle
7 Management du risque
P: Planifier
P: Compréhension de l’organisme
Objectifs de cette étape
 Comprendre l’organisme et son contexte;
 Recueillir l’information nécessaire pour planifier la mise en œuvre du
SMSI;
 S’assurer que les objectifs du SMSI sont alignés avec les objectifs
Métier de l’organisme.
6
Exigences de la norme ISO 27001
Clause 4.1 Compréhension de l’organisme et de son contexte
 Déterminer les enjeux externes et internes pertinents.
Clause 4.2 Compréhension des besoins et des attentes des parties
intéressées
 Déterminer les parties intéressées concernées par le SMSI;
 Déterminer leurs exigences concernant la sécurité de l’information.
7
 Liste des parties intéressées

+ leurs exigences
 Liste des obligations applicables
juridiques, régl et contractuelles
Compréhension de
l’organisme et clarification
des objectifs
 Objectifs et priorités relatifs au SMSI
Lois  Domaine d’application préliminaire
Contrats Accords
8
1) Comprendre la mission, les valeurs, les objectifs et les stratégies
de l’organisme:
Apprécier la mission, les valeurs, les objectifs et les stratégies de
l’organisme.
 Veiller à la cohérence et à l’alignement stratégique entre les
objectifs établis pour le SMSI et la mission de l’organisme.
9
2) Analyse de l’environnement externe:
 Identification et analyse des menaces externes connues;
 Identification des exigences de sécurité liées au secteur
d’activité de l’organisme;
 Analyse marketing pour vérifier si la mise en œuvre d’un SMSI
va générer un avantage concurrentiel pour l’organisme ou si
cela peut devenir une condition du marché.
10
3) Analyse de l’environnement interne:
Comprendre la structure organisationnelle:
L’organigramme est un excellent outil à utiliser pour comprendre
l’environnement interne:
 La structure de l’organisme;
 Les liens de subordination et de délégation d’autorité;
 Les dépendances.
 Les liaisons de la circulation des informations.
11
3) Analyse de l’environnement interne:
L’évaluation du contexte interne peut inclure (sans s’y limiter):
 L’organisation, les rôles et les responsabilités;
 Les politiques, les objectifs et les stratégies en place pour les
atteindre;
 Les capacités en termes de ressources et de connaissances
(exemple: capital, personnels, processus, systèmes et
technologies);
 Les systèmes d’information, les flux d’information et les
processus de prise de décision (formels et informels);
 Les relations avec les parties prenantes internes ainsi que leurs
perceptions et leurs valeurs;
 La culture de l’organisation;
 Les normes, directives et modèles adoptés par l’organisme;
 La forme et l’étendue des relations contractuelles.
(inspiré des normes ISO 27005 et ISO 31000) 12
4) Identification des principaux processus et activités:
13
5) Identification de l’infrastructure:
14
6) Identification et analyse des parties intéressées:
15
6) Identification et analyse des parties intéressées:
16
7) Identification et analyse des exigences Métier
Principalement 4 sources d’exigences:
17
8) Déterminer les objectifs:
 Exigence de la norme ISO 27001: Clause 6.2 Objectifs de sécurité
de l’information et plans pour les atteindre
 Au départ, il convient d’établir les objectifs du SMSI en consultant les
parties intéressées;
 Devront être validés par la plus haute direction;
 Doivent être documentés;
 Peuvent être affinés en cours de projet particulièrement après la
gestion du risque.
18
8) Déterminer les objectifs:
Exemples d’éléments à prendre en considération:
− Les événements de risque historiques dans l’organisme et leurs coûts
de financement;
− Les augmentations des coûts et les pertes de revenu à la suite
d’incidents précédents;
− Les responsabilités;
− Le succès et l’échec d’autres projets et programmes de sécurité de
l’information.
19
8) Déterminer les objectifs: exemple de formulation:
 S ’assurer de la conformité aux exigences légales, réglementaires et
contractuelles de l’organisme;
 Inspirer confiance aux parties intéressées de l’organisme;
 Protéger les actifs critiques de l’organisme;
 Améliorer la réponse aux incidents de sécurité de l’information;
 Réduire les coûts liés aux incidents de sécurité de l’information;
 Assurer la continuité de la sécurité de l’information;
 S’assurer du respect des exigences de sécurité de l’information pour
un projet, la livraison d’un service ou d’un produit, etc.
20
9) Définition préliminaire du domaine d’application:
ISO 27003, clause 5.3.1
La définition préliminaire du domaine d’application devrait contenir:
a. Un résumé des responsabilités pour la gestion de sécurité de
l’information;
b. Une description de la façon dont les différents éléments inclus
dans le domaine d’application interagissent avec d’autres
systèmes de management;
c. La liste des objectifs Métier en management SI;
d. La liste des processus Métier critiques, des systèmes, des actifs
informationnels, des structures de l’organisme et des sites
géographiques auxquels le SMSI sera applicable;
e. Les relations entre les systèmes de management existants.
21
P: Planifier
P: Analyse du système de management existant
 Identifier les processus, les procédures et les mesures mises en œuvre
dans l’organisme;
 Identifier le niveau actuel de conformité aux exigences de la norme et
analyser l’écart;
 Evaluer l’efficacité et le niveau de maturité des processus en place
dans l’organisme.
23
Notes
 La norme ISO 27001 ne formule aucune exigence ou demande portant
sur la réalisation d’une analyse des écarts;
 C’est pour éviter des coûts non nécessaires: duplication des processus
ou la mise en œuvre de mesures non nécessaires.
24
1) Collecte d’information concernant les pratiques actuelles de la
SI par l’organisme: méthodes:
Revue de la Lecture et analyse de la documentation pertinente:
documentation politiques, procédures, rapports d’audit, contrats, etc.
Entretiens avec les principaux responsables à

Entretiens différents niveaux hiérarchiques au sein de
l’organisme.
Sondages par Envoi de questionnaire à un échantillon de personnes

questionnaire qui sont représentatives des parties prenantes.
Observation sur site par exemple les contrôles de

Observations sécurité physiques.
Utiliser des outils techniques (détection des

Outils de
vulnérabilités techniques, identification des actifs
diagnostique présents sur un réseau, etc.)
25
2) Analyse des écarts («Gap analysis ») :
Technique permettant de déterminer les mesures à prendre pour passer
d’un état actuel à un état futur souhaité
a) Détermination de l’état actuel: il s’agit d’identifier les processus et les
contrôles de sécurité en place dans l’organisme avec leurs
caractéristiques.
b) Identification des cibles: déterminer le niveau de maturité requis pour
chaque contrôle de sécurité en se comparant avec d’autres organismes ou
d’autres divisions de l’organisme.
c) Analyse des écarts: identifier le fossé qui peut exister entre les contrôles
de sécurité en place et les exigences de la norme ISO 27001ainsi que les
processus actuels qui ont besoin d’amélioration.
 Fournir une base pour déterminer les investissements nécessaires en temps,
argent, ressources humaines et ressources matérielles pour réaliser le projet de
mise en œuvre du SMSI.
26
Le service d’Auto-Evaluation de l’ANSI pour aider le RSSI à l’étude "GAP ANALYSIS"
27
Grille d’évaluation des niveaux de maturité
 La norme ISO 21827 (Ingénierie de sécurité système -- Modèle de
maturité de capacité (SSE-CMM)) définit 5 niveaux de maturité;
 Modèle largement repris pour réaliser une analyse des écarts avec les
normes ISO 27001 et ISO 27002.
28
Grille d’évaluation des niveaux de maturité
Processus optimisé via intégration de l’automatisation 5

et de l’utilisation des outils Optimisé
Processus surveillé et mesuré

4
Géré quantitativement
Processus documenté et communiqué

3
Défini
Processus présent mais non 2

normalisé Reproductible
Processus mis en œuvre au cas 1

par cas et sans méthode Initialisé
Processus non encore identifié 0

29
Etablir les cibles
1 2 3 4 5
Initialisé Reproductible Défini Géré Optimisé
quantitativement
Situation actuelle Situation Cible
30
3) Rapport d’analyse des écarts :
Contenu:
 Une description sommaire de la situation existante observée;
 La cible visée par le projet;
 La description des écarts entre la situation telle que présentée et la
cible à atteindre;
 Diverses recommandations sur les moyens d’y parvenir.
31
3) Rapport d’analyse des écarts : Exemple:
courante
Mesure de Description de la Analyse de
Maturité
Maturité
Exigence Responsable
sécurité situation actuelle l’écart
cible
Une PSI existe et a été
Un ensemble de
signée par la direction mais
politiques de
le document n’a jamais fait La PSI n’est pas
sécurité de
l’objet d’une publication diffusée et
l’information
A.5.1.1 auprès de l’ensemble des communiquée
doit être défini,
Politiques de salariés. Seuls les de façon efficace
approuvé par la 2 4 RSSI
sécurité de participants à la mise en aux salariés et
direction, diffusé
l’information œuvre du SMSI ont été des tiers
et communiqué
sollicités pour l’approuver. concernés par
aux salariés et
En outre, le document n’est celle-ci.
aux tiers
pas facile à trouver sur
concernés.
l’intranet de l’entreprise
32
P: Planifier
P: Leadership et approbation du projet
 Obtenir l’approbation formelle de la charte de projet par la direction.
 Obtenir l’autorisation de la direction pour la mise en place du
SMSI;
 Obtenir l’engagement de la direction pour la mise en place du
SMSI;
 Garantir la disponibilité des ressources nécessaires pour la mise
en place et la gestion du SMSI;
 Légitimer le SMSI auprès des différentes parties prenantes dans
l’organisme dans la mesure où une charte formelle l’autorise à exister
ou à continuer.
 Donner l’autorité et la crédibilité au responsable du projet pour le
bon déroulement de la mission.
34
Exigence de la norme ISO 27001
Clause 5.1 Leadership et engagement
 La direction doit faire preuve de leadership et affirmer son engagement
en faveur du SMSI
35
Business case
Est un outil d’aide à la planification et à la prise de décision.
 Une structuration initiale du

projet;
 Utilisé pour promouvoir le
projet;
 Un outil d’aide à la décision
pour la direction.
Principale utilisation: Convaincre la Direction de l’utilité du projet

pour l’organisme et autoriser le projet.
36
Bénéfices
prévus
Solution Facteurs
choisie de succès
critiques
But et
Echéanciers
objectifs
37
Contenu du business case: exemple:
1) Buts ou objectifs du projet et alignement avec la stratégie de
l’organisme et ses objectifs métier
2) Bénéfices prévus: directs, indirects, ROI
3) Périmètre préliminaire
4) Différentes options qui ont été considérées: évaluer les
différentes possibilités
5) La solution choisie
6) Indicateurs de succès
7) Echéanciers et étapes
8) Rôles et responsabilités
9) Ressources nécessaires
10) Aspects financiers
11) Risques du projet
38
Plan de projet de SMSI: un document cohérent utilisé pour guider la
réalisation et la direction du projet
Contenu du plan de projet :exemple:
1) Charte du projet (la justification métier à l’origine du projet, périmètre,
objectifs, mission, chef et équipe de projet)
2) Formulation du contenu du projet avec les livrables et les objectifs du
projet
3) Structure de découpage du projet : organigramme des tâches ou
décomposition arborescente de l’ensemble des tâches du projet
4) Evaluation des coûts: grille de répartition du budget
5) Date projetée du début
6) Assignation des responsabilités
7) Planning du projet: étapes avec les dates prévisionnelles
8) Gestion de la communication
9) Risques clés avec les contraintes, les suppositions et les réponses
proposées 39
Approbation par la Direction du projet de SMSI
 Approuver le business case
 Approuver le plan de projet du
SMSI
Approbation par
la Direction
40
P: Planifier
P: Domaine d’application
 Définir le domaine d’application du SMSI de l’organisme;
 Définir les limites du domaine d’application en termes
organisationnels, technologiques et physiques.

Clause 4.3 Détermination du domaine d’application du SMSI
42
Importance du domaine d’application pour la réussite du projet:
Une définition claire et précise du domaine d’application, centrée sur les
activités clés de l’organisme, est un facteur important de succès lors de
la mise en œuvre du SMSI. Il sera ainsi plus facile:
 D’obtenir l’appui de la direction;
 De mobiliser les parties prenantes au projet;
 De justifier une valeur ajoutée aux parties intéressées.
43
Limites du SMSI: 3 dimensions à prendre en considération
Systèmes Organisationnelle
d’information
Physique
Domaine d’application
44
Définir les limites organisationnelles du domaine d’application
Processus Métier
Un service
Un département
L’organisme entier
45
Définir les limites des systèmes d’information
Réseaux
Applicatio Base de
ns Données
Processus
Métier
Equipeme
nts Processus
Télécom
Systèmes
d’exploitat
ion
46
Définir les limites physiques du domaine d’application
 Prendre en considération l’ensemble des lieux physiques internes et
externes inclus dans le SMSI.
 Les sites comprennent tous les emplacements contenant le domaine
d’application ou une partie du domaine d’application.
 Dans le cas des sites physiques externalisés, il convient de prendre en
considération les accords de service applicables et les interfaces avec
le SMSI
47
P: Planifier
P: Politique
 Apporter à la sécurité de l’information une orientation et un soutien
de la part de la direction conformément aux exigences métier et aux
lois et règlements en vigueur.
Définition (ISO 27000)

Intentions et orientations globales d’un organisme telles qu’exprimées
formellement par la direction
49
P: Politique
Clause 5.2 Politique
Est adaptée à la mission de l’organisation
Inclut des objectifs de SI ou fournit un cadre

La direction doit pour l’établissement de ces objectifs
établir une PSI qui Inclut l’engagement de satisfaire aux
exigences applicables en matière de SI
Inclut l’engagement d’œuvrer pour
l’amélioration continue du SMSI
Disponible sous forme d’information
documentée
La PSI doit être Communiquée au sein de l’organisation
Mise à la disposition des parties
intéressées, le cas échéant 50
P: Politique
Types de politiques
Politique Générale de haut niveau

Politique de
Délimite de façon générale: le cadre sécurité de
au sein duquel la SI sera assurée ainsi l’information
que les objectifs généraux
Politiques spécifiques
Politique de Politique de Politique de
Règles et pratiques de SI relatives à
contrôle gestion des continuité
des domaines particuliers
d’accès incidents des activités
51
P: Politique
Création de modèle: Structure d’une politique (Annexe A, ISO 27003)
1 Sommaire (résumé de la politique)
2 Introduction (sujet et contexte de la politique)
3 Domaine d’application (périmètre de la politique)

4 Objectifs (buts de la politique)
5 Principes (règles visant les actions et décisions pour atteindre les obj)
6 Responsabilités(qui est resp des actions pour répondre aux exig de la P)
7 Principaux éléments attendus (si les objectifs sont atteints)
8 Politiques connexes (liste des autres Pol pertinentes à la réal des obj )
D’autres rubriques peuvent être ajoutées au modèle à savoir:
9 Définitions (liste des thèmes utilisés)
10 Sanctions (liste des sanctions possibles si un utilisateur

52 enfreint la Pol)
P: Politique
Approbation par la direction
Il convient que la PSI:
 Démontre l’engagement de la direction
 Soit approuvée par la direction
La politique doit être signée par un responsable (exemple PDG)
mais le processus d’approbation peut revenir à un comité:
 Comité de direction
 Conseil d’administration
 Comité de gouvernance de la sécurité
53
P: Politique
Publication et diffusion de la PSI
Principaux modes de communication de la PSI
54
P: Politique
Gérer la PSI selon un processus d’amélioration continue
Contrôler
S’assurer de la
conformité à la Politique
Réviser
La Politique Evaluer
périodiquement ou en Mesurer le niveau de
cas d’un changement conformité à la Politique
majeur
55
P: Planifier
7 Management des risques

P: Structure organisationnelle
 Définir les rôles et les responsabilités des parties prenantes
principales dans la SI;
 S’assurer de la gestion efficace de la SI dans l’organisme.
57
Clause 5.3 Rôles, responsabilités et autorités au sein de l’organisation
La direction doit s’assurer de

l’attribution et de la
communication des rôles et des
responsabilités concernés par la
sécurité de l’information
La direction doit désigner qui est

La direction doit désigner qui est
responsable de rendre compte à
responsable de la conformité du
la direction des performances du
SMSI aux exigences ISO 27001
SMSI
58
Exemple: rôles et responsabilités des parties prenantes
59
Exemple: rôles et responsabilités des comités
Comité de
direction
Comité de sécurité
de l’information
Comités opérationnels
60
Comité de Direction
 Niveau de la stratégie
 Détermine la stratégie de développement du SMSI
 Organe central pour le contrôle, la validation, la prise de décision et
l’arbitrage dans la gestion du SMSI
 Composé de représentants du conseil d’administration de
l’organisme
 Le seul comité expressément cité dans une exigence d’ISO 27001
61
Comité de sécurité de l’information
 Niveau tactique
 Composé des représentants de diverses divisions de l’organisme
 Assurer la coordination et la coopération sur la sécurité de
l’information dans l’organisme
 S’assurer que les actions prioritaires arrêtées par la Direction sont
mises en œuvre
Comités opérationnels
 Niveau opérationnel
 Assurer la mise en œuvre des contrôles de sécurité
 Gérer la documentation du SMSI
 Traitement des NCs
62
Cas des établissements publiques en Tunisie
 Circulaire n°24 du 05 novembre

2020 relative au renforcement des
mesures de sécurité dans les
établissements publiques.
 stipule entre autre:
 la création d’un comité de
pilotage « comité de
sécurité »,
 La création d’une cellule
opérationnelle de sécurité,
 la nomination d'un RSSI
rattaché à la haute direction.
63
P: Planifier
7 Management des risques

P: Management des risques
 Sélectionner et définir une approche et une méthodologie
d’appréciation des risques alignées sur le contexte de management de
l’organisme et adaptées à ses besoins,
 Sélectionner et définir une approche de traitement et d’acceptation
des risques alignée sur l’appétence de l’organisme aux risques telle
que définit par la haute direction.
65
Clause 6.1.2 Appréciation des risques de sécurité de l’information
Définir et appliquer un Processus d’appréciation des risques:
Etablir les critères de risque
Identifier les risques
Estimer les risques
Evaluer les risques
Le processus d’appréciation des risques doit être documenté

66
Clause 6.1.3 Traitement des risques de sécurité de l’information
a) Choisir les options de traitement des risques appropriées en tenant
compte des résultats de l’appréciation des risques
• Choisir des mesures de sécurité pour

Réduire le risque réduire le niveau du risque
Maintenir le • Prendre la décision de conserver le risque

risque
• Abandonner ou modifier une ou plusieurs
Eviter le risque activités en relation avec le risque
Partager le • Prendre la décision de partager certains

risques avec des parties externes
risque (assurance, sous-traitance)
67
Clause 6.1.3 Traitement des risques de sécurité de l’information
b) Déterminer toute les mesures nécessaires à la mise en œuvre des
options de traitement des risques SI choisies
c) Comparer les mesures déterminées ci-dessus avec celles de l’annexe A
et vérifier qu’aucune mesure nécessaire n’a été omise
d) Produire une déclaration d’applicabilité
e) Elaborer un plan de traitement des risques SI
f) Obtenir des propriétaires des risques l’approbation du plan de
traitement des risques et l’acceptation des risques résiduels
Le processus de traitement des risques doit être documenté
68
Outputs du processus de management des risques
Déclaration d’applicabilité
 Déclaration d’applicabilité(DDA) ou Statement of applicability (SOA).
 Déclaration documentée décrivant les objectifs de sécurité ainsi que
les mesures de sécurité pertinentes et applicables au SMSI d’un
organisme (ISO 27000).
 Le SOA contient:
 Les mesures nécessaires;
 La justification des contrôles sélectionnés;
 La justification des contrôles exclus de l’annexe A.
 Les raisons d’exclusions les plus souvent invoquées sont:
 Contrevient à une exigence légale, réglementaire ou
contractuelle;
 Aucune activité liée à cette mesure (exemple développement
externalisé A.14.2.7)
69
Exemple de matrice d’estimation et d’évaluation du risque
70
Exemple de critères d’acceptation du risque:
71
Exemple de déclaration d’applicabilité
72
Outputs du processus de management des risques
Plan de traitement des risques
 Identification et planification des actions à engager pour le traitement des
risques
 Classement des actions par ordre de priorité
 Spécification des ressources nécessaires qui doivent être allouées
 Identification des responsabilités à assumer
Exemple
73
Approbation du plan de traitement des risques et des risques résiduels
ISO 27001, clause 6.1.3.f
Risque résiduel
Risque subsistant
après le traitement
du risque
+
Risque traité
Risque supprimé par
les mesures de sécurité
=
Risque inhérent
Ensemble des risques
Obtenir des propriétaires des risques: Sans prise en compte
 L’approbation du plan de traitement des risques des mesures de sécurité
 L’acceptation des risques résiduels 74
P: Autorisation de la direction de mise en œuvre du SMSI
Approbation du plan de traitement des risques et des risques résiduels
Lors d’une revue de direction et avec la

présentation des documents:
 Rapport d’appréciation et de traitement Approbation
des risques; de la
 Plan de traitement des risques incluant Direction
l’identification des risques résiduels
 Déclaration d’applicabilité
1) Approbation de la déclaration
d’applicabilité Mise en
2) Approbation du plan de traitement œuvre du
des risques SMSI
3) Autorisation de mettre en œuvre le
SMSI
75

2 Planification PDF

Transféré par

Droits d'auteur :

Formats disponibles

2 Planification PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2 Planification PDF

Transféré par

Droits d'auteur :

Formats disponibles

Master Professionnel Cyber Sécurité Opérationnelle

SUP’COM & Iset'Com & ANSI

Mise en place d’un Système

Eviter l’intégration de nouvelles technologies

Impliquer les parties prenantes de l’organisme

Obtenir le soutien de la haute direction

2 Analyse du système existant

3 Leadership et approbation du projet

2 Analyse du système existant

3 Leadership et approbation du projet

 Liste des parties intéressées

2 Analyse du système existant

3 Leadership et approbation du projet

Entretiens avec les principaux responsables à

Sondages par Envoi de questionnaire à un échantillon de personnes

Observation sur site par exemple les contrôles de

Utiliser des outils techniques (détection des

Processus optimisé via intégration de l’automatisation 5

Processus surveillé et mesuré

Processus documenté et communiqué

Processus présent mais non 2

Processus mis en œuvre au cas 1

Processus non encore identifié 0

Situation actuelle Situation Cible

2 Analyse du système existant

3 Leadership et approbation du projet

 Une structuration initiale du

Principale utilisation: Convaincre la Direction de l’utilité du projet

2 Analyse du système existant

3 Leadership et approbation du projet

Exigences de la norme ISO 27001

2 Analyse du système existant

3 Leadership et approbation du projet

Définition (ISO 27000)

Est adaptée à la mission de l’organisation

Inclut des objectifs de SI ou fournit un cadre

Politique Générale de haut niveau

2 Introduction (sujet et contexte de la politique)

3 Domaine d’application (périmètre de la politique)

10 Sanctions (liste des sanctions possibles si un utilisateur

2 Analyse du système existant

3 Leadership et approbation du projet

7 Management des risques

Clause 5.3 Rôles, responsabilités et autorités au sein de l’organisation

La direction doit s’assurer de

La direction doit désigner qui est

 Circulaire n°24 du 05 novembre

2 Analyse du système existant

3 Leadership et approbation du projet

7 Management des risques

Définir et appliquer un Processus d’appréciation des risques:

Etablir les critères de risque

Identifier les risques

Estimer les risques

Evaluer les risques

Le processus d’appréciation des risques doit être documenté

• Choisir des mesures de sécurité pour

Maintenir le • Prendre la décision de conserver le risque

Partager le • Prendre la décision de partager certains