Nous recommandons de prendre en compte les points suivants lors de l'évaluation des risques

Évaluation des risques

Exigences et objectifs en matière de sécurité, par exemple, exigences du système spécifiques à une fonction et non spécifiques à une autre fonction.

L'architecture et les infrastructures du système ou du réseau, par exemple en utilisant une carte du réseau et un plan des composants qui montrent comment les actifs sont configurés et interconnectés.

Services et applications, y compris les données et les protocoles, par exemple les applications contenant des données particulièrement sensibles.

Processus concernant le traitement des données, y compris les paramètres d'entrée et de sortie, tels que les processus commerciaux, les processus d'exploitation des ordinateurs et les processus d'exploitation des applications.

Les liens entre les applications et les processus, par exemple le traitement de données particulièrement sensibles.

Évaluation de l'impact, par exemple, l'identification des conséquences en cas de perte de données sensibles, l'analyse des menaces assistée par un modèle, etc.

Mesures techniques, par exemple, sélection de composants de sécurité appropriés, tels que des pare-feu, des systèmes de détection d'intrusion ou des systèmes de contrôle d'accès physique.

Mesures organisationnelles, par exemple gestion de la continuité des activités et gestion de la reprise après sinistre.

Lois et règlements gouvernementaux relatifs aux exigences minimales de contrôle de la sécurité

Politiques, procédures et lignes directrices documentées ou informelles

Pour plus d'informations, veuillez vous référer à l'Information Systems Audit and Control Association, ISACA. (www.isaca.org)
ou la norme ISO correspondante pour la gestion des risques dans les systèmes informatiques ISO 27005.

Cyber Sécurité