Exigence 27001 de la norme ISO 8.3 – Traitement des risques liés à la sécurité de l'information

Qu’implique l’article 8.3 ?

En vertu de la clause 8.3, l'organisation doit mettre en œuvre le plan de traitement des risques liés à la sécurité de l'information et conserver des informations documentées sur les résultats de ce traitement des risques. Cette exigence vise donc à garantir que les processus de traitement des risques décrits à la clause 6.1, Actions visant à faire face aux risques et aux opportunités, ont effectivement lieu. Cela devrait inclure des preuves et des pistes d'audit claires des examens et des actions, montrant l'évolution du risque au fil du temps à mesure que les résultats des investissements apparaissent (et notamment donner à l'organisation ainsi qu'à l'auditeur l'assurance que les traitements des risques atteignent leurs objectifs). Comme d'autres parties de la clause 8, ceci est déjà atteint si l'organisation a abordé le SMSI global avec l'approche décrite dans la clause 7.5.

Répondre aux exigences de 8.3

Pour répondre aux exigences de 8.3, vous devez être en mesure de prouver que le plan de traitement des risques décrit à la clause 6.1 est mis en œuvre.

Comme décrit plus en détail au point 6.1, cela doit inclure les preuves derrière le traitement. En termes simples, le « traitement » peut être un travail que vous effectuez en interne pour contrôler et tolérer le risque, ou cela peut signifier des mesures que vous prenez pour transférer le risque (par exemple à un fournisseur), ou cela peut être la suppression complète d'un risque. Les contrôles sélectionnés pour gérer les risques doivent prendre en compte, sans toutefois s'y limiter, ceux décrits à l'annexe A de la norme. Ces contrôles de l'Annexe A forment la déclaration d'applicabilité (SoA) qui décrit tous les contrôles et pourquoi ils ont ou n'ont pas été mis en œuvre par l'organisation.

Comment créer un traitement des risques et gérer votre processus de traitement des risques

Le traitement des risques doit être envisagé parallèlement à l’évaluation des risques et, en fin de compte, également intégré à la SoA.

En règle générale, les organisations estiment que la gestion et la mise en évidence des risques constituent la partie la plus complexe de la norme ISO 27001. Lisez notre récent article Explication de la gestion des risques liés à la sécurité de l'information pour explorer plus en détail la gestion des risques. Cela peut prendre des jours, des semaines ou des mois de travail pour établir une solution de risque entièrement opérationnelle.

Cet effort implique d'établir une méthodologie conforme d'évaluation des risques, un moyen de documenter et de capturer les preuves de l'ensemble du processus de gestion des risques de sécurité, ainsi que de le parcourir pour le premier ensemble complet de risques et de traitements.

La solution logicielle ISMS.online peut réduire ce temps et économiser une quantité considérable de travail sur le processus grâce aux outils et méthodes de gestion des risques inclus. ISMS.online fournit également :

• Un modèle de politique pour l'article 8 de la norme ISO 27001:2013
• Un modèle de politique et de méthodologie pour la clause 6.1 qui comprend une approche complète mais pragmatique de l'identification, de l'analyse et du traitement des risques, ainsi qu'une surveillance et un examen continus.
• Des outils de gestion des risques simples à utiliser, tels que décrits dans la politique et la méthodologie ci-dessus, qui produisent et maintiennent le plan de traitement.
• Une banque complète de risques populaires ainsi que des suggestions de contrôles de l'Annexe A pour établir un lien avec le risque et le traiter.
• Des espaces de travail pour capturer tout le travail effectué, permettant la conservation des informations documentées dans les outils et offrant des liens vers les contrôles et les politiques utilisés pour traiter les risques et les problèmes.
• Déclaration d'applicabilité créée dynamiquement, renvoyant aux contrôles de l'annexe A.
• Un seul endroit pour gérer en toute sécurité l’ensemble du SMSI

Obtenez une certification jusqu'à 5 fois plus rapidement avec ISMS.online

La conformité n'a pas besoin d'être compliquée : ISMS.online est conçu pour vous aider à obtenir la certification ISO 27001 rapidement et à moindre coût, sans aucune formation requise.
Nous avons rationalisé le processus ISO 27001 avec notre méthode de résultats garantis, une longueur d'avance de 80 %, votre propre coach virtuel 24h/7 et XNUMXj/XNUMX, une intégration facile et une assistance experte.

Réservez une démo de plateforme pour voir comment ISMS.online peut aider votre entreprise