Cyberassurance ISO/IEC 27102

Qu'est-ce que l'ISO / CEI 27102?

« La norme ISO 27102 fournit des lignes directrices pour l'adoption de la cyber-assurance comme option de traitement des risques pour gérer l'impact d'un cyber-incident au sein de l'organisation. gestion des risques liés à la sécurité de l'information framework », conformément à la norme ISO/IEC JTC 1/SC27 DIS 27102 – Directives de gestion de la sécurité de l’information pour la cyberassurance.

Cela signifie que :

La norme ISO 27102 tente de structurer la situation de la cyberassurance en se concentrant sur l'assuré et en décrivant les différentes procédures principales qui peuvent être traitées ou mises en œuvre dans le cadre des mesures dont les assureurs sont susceptibles d'avoir besoin. La norme examine les types de pertes assurées et les garanties qui doivent être en vigueur pour répondre aux besoins des compagnies d'assurance.

Selon la norme ISO/IEC 27102, un ISMS « fournira à l’assuré et à l’assureur des informations, des dossiers et des documents qui pourront être utilisés pendant la mise en œuvre, la prolongation et la durée de vie de la police de cyber-assurance. Le contenu de l'ISO 27102 s'appuie sur les procédures et les capacités proposées contenues dans le cadre plus large. ISO 27000 famille de normes de sécurité de l’information et, par conséquent, il peut y avoir un certain degré de compatibilité avec les processus existants de certaines organisations.

Qu'est-ce que la Cyber ​​Assurance ?

La cyberassurance est un type d’assurance qui protège à la fois contre les pertes directes et les coûts indirects causés par un cyberincident.

Cela comprend, entre autres, la couverture des frais de notification, de surveillance du crédit, de protection contre l’usurpation d’identité, de défense réglementaire et de relations publiques. La cyberassurance couvre également une grande variété de risques, notamment : violation de données, les attaques par déni de service, l'extorsion, les attaques par déni de service distribué et les demandes de rançon, ainsi que l'accès aux données des abonnés stockées sur vos serveurs par un tiers.

Ceux-ci peuvent rapidement représenter des dizaines de milliers d’euros si votre site est piraté ou si certaines de vos données utilisateur tombent entre de mauvaises mains. Il est impossible de sous-estimer l’importance de la cybersécurité aujourd’hui. Il y a des années, la plus grande préoccupation des particuliers ou des entreprises était les incendies, les inondations et les dommages accidentels aux documents.

Aujourd’hui, ce sont les pirates qui tentent constamment de s’introduire dans vos systèmes. Tout comme personne ne pouvait se permettre de se passer d’une assurance incendie il y a quelques années, il n’est pas logique, sur le plan économique, qu’une entreprise ou un individu essaie d’opérer sans cyber-assurance aujourd’hui.

REMARQUE:La cyberassurance ne résoudra pas immédiatement vos problèmes de cybersécurité et ne vous protégera pas contre une cyberattaque/violation. Tout comme les propriétaires bénéficiant d'une assurance habitation doivent mettre en place des procédures de protection appropriées, les organisations doivent s'efforcer de prendre des mesures pour protéger leurs actifs les plus précieux.

La cyberassurance aidera uniquement votre organisation à reprendre pied en cas de problème lié à la cybersécurité. En plus d'atténuer les interruptions d'activité et d'offrir des services financiers sécurité en cas d'incident, la cyberassurance peut vous aider dans toute action juridique et réglementaire ultérieure.

Comprendre l'impact potentiel d'un cyber-incident

Un cyberincident peut avoir de nombreuses conséquences négatives pour une organisation.

• Par exemple, les ransomwares peuvent rendre vos systèmes ou ordinateurs inaccessibles, ou vous risquez de perdre des données (ou celles de vos clients) à la suite d'un virus ou d'une attaque malveillante. Il est important d'avoir une analyse approfondie compréhension de la façon dont vous êtes affecté et des ramifications pour votre organisation.

• Cela couvre les effets financiers de la perturbation du marché et les coûts de réponse et de redressement qui y sont associés. Bien entendu, si vous avez pris des précautions (comme garder la sauvegarde isolée de votre réseau ou utiliser un fournisseur de stockage spécialement conçu à cet effet), les cyberattaques auraient un effet moindre.

• Contrairement aux accidents physiques tels que les incendies ou les vols, les cyberincidents ne se limitent souvent pas à un lieu particulier. Comprendre le fonctionnement de votre organisation et l’interdépendance de ses différentes composantes est essentiel pour évaluer l’ampleur d’un cyberincident qui pourrait avoir des conséquences considérables.

Quels sont le champ d’application et l’objectif de la norme ISO/IEC 27102 ?

La norme ISO 27102 établit des lignes directrices qu'une organisation peut adopter lorsqu'elle envisage de souscrire une cyber-assurance comme option de contrôle des risques pour atténuer les effets d'un cyber-incident au sein du système de gestion des risques informatiques.

L'objectif de la norme ISO 27102 est de suggérer des recommandations aux organisations pour :

• Envisager de souscrire une cyber-assurance comme stratégie d’atténuation des risques pour le partage des cyber-risques ;
• Utiliser la cyber-assurance pour aider à atténuer les effets d’un cyber-incident ;
• L'échange de données et d'informations entre un assuré et un assureur afin de faciliter les processus de souscription, de reporting et de réclamation d'une police de cyber-assurance ;
• Intégrer un SMSI lors de l’échange de données et d’informations pertinentes avec un assureur.

Cette norme est compatible avec les organisations de toutes formes, tailles et types afin de les accompagner dans la préparation et la souscription à une cyberassurance. L'ISO 27102 vise également à aborder les points suivants :

• Concepts de sécurité et d’assurance essentiels au risque informationnel professionnels.
• Des sujets essentiels en matière de cybersécurité pour les professionnels de l'assurance ;
• Relation typique entre un assureur et un cyber-assuré ;
• Le rôle des gestionnaires, du personnel des achats et des ventes d'assurance, et des autres participants aux négociations et au processus de passation de contrats concernant la portée et la sélection de la cyber-assurance ;
• Avantages et inconvénients, coûts et avantages, coûts et opportunités dans le cyber Assurance.

Mise en œuvre de la norme ISO 27102 sur la cyberassurance

Selon l'étude sur les risques mondiaux de 2015 du Forum économique mondial, les menaces technologiques telles que le vol de données, les cyberattaques et les pannes technologiques figurent parmi les dix principaux risques économiques mondiaux.

Compte tenu de l'ampleur de ces menaces, il est essentiel que nous commencions à explorer des stratégies axées sur le marché pour renforcer la protection des organisations qui détiennent toutes les informations personnelles. L’une de ces approches est la cyber-assurance. Cependant, un ensemble de lignes directrices ou de cadres aideront les organisations à parler le même langage en matière de cyberassurance, quel que soit le secteur ou le lieu. C’est l’un des principaux avantages de l’adoption de la norme ISO 27102 pour la cyberassurance.

Sur ISMS.online, nous exploitons notre expertise et notre technologie de pointe pour fournir une plateforme basée sur le cloud qui vous permet de démontrer votre conformité à la norme de cyberassurance. Notre plateforme peut vous aider à démontrer que votre SMSI répond aux exigences de base pour compléter votre liste de contrôle de cyberassurance.

ISMS.online fournit également un Coach virtuel qui offre une assistance contextuelle 24h/7 et XNUMXj/XNUMX. Vous pouvez discuter avec nous depuis notre plateforme et vous ne ferez jamais de faux pas ni ne vous perdrez votre chemin. Appelez ISMS.online au +44 (0)1273 041140 pour en savoir plus sur la manière dont notre plateforme peut vous aider à gérer un système de gestion intégré qui fonctionne bien avec votre cadre de cyberassurance.