Apprécier les risques M 22
type processus de management
finalité atteindre les objectifs du SMSI
établir les critères de risque de sécurité de l’information
identifier, analyser et évaluer les risques de sécurité de l’information
améliorer la performance globale de l’entreprise
pilote directeur / responsable sécurité de l’information / chef de projet
risques ne pas prendre en compte le contexte de l’entreprise
ne pas comprendre les exigences des parties intéressées
ne pas identifier les risques
ne pas analyser les risques
ne pas évaluer les risques
ne pas établir les critères d’acceptation des risques
ne pas tenir à jour les critères d’acceptation des risques
ne pas identifier les pilotes des risques
ne pas passer en revue les indicateurs
processus amont réaliser une AMDEC
planifier le SMSI
processus aval traiter les risques
piloter les processus
communiquer
satisfaire aux exigences
éléments d'entrée contexte de l’entreprise
exigences des parties intéressées
ressources nécessaires
conditions (normales et anormales)
tout risque identifié
achats informatiques
activités établir les critères d’acceptation des risques
(sous-processus) identifier les risques
attribuer les risques à des pilotes
analyser les risques
évaluer les risques
sensibiliser le personnel sur les risques
communiquer
conserver les informations documentées sur l’appréciation des risques
éléments de sortie critères d’acceptation des risques
liste des risques
niveaux des risques
liste des pilotes de risque
sensibilisation du personnel
ressources direction, responsables départements, pilotes processus, pilotes risques
indicateurs risques identifiés
risques évalués
procédures / amélioration continue, communication, audits internes, formation, planification, gestion
documents des changements, achats, maîtrise des processus, analyse des données, inspection /
plan stratégique, politique, objectifs, indicateurs, liste des risques, plans d'action, liste
processus, fiches processus, enquête de satisfaction clients, demandes de
changement, rapports, AMDEC
clients l’ensemble du personnel et des processus, parties intéressées
Glossaire :
SMSI : système de management de la sécurité de l’information
AMDEC : analyse des modes de défaillance, de leurs effets et de leur criticité
[Link] 1/2
� titre / codification finalité pilote
apprécier les risques / atteindre les objectifs du SMSI directeur / responsable
M 22 établir les critères de risque de sécurité sécurité de l’information /
de l’information chef de projet
identifier, analyser et évaluer les
risques de sécurité de l’information
améliorer la performance globale de
l’entreprise
processus amont
risques processus aval
réaliser une AMDEC
planifier le SMSI ne pas prendre en compte le contexte traiter les risques
de l’entreprise piloter les processus
ne pas comprendre les exigences des communiquer
parties intéressées satisfaire aux exigences
ne pas identifier les risques
ne pas analyser les risques
ne pas évaluer les risques
ne pas établir les critères d’acceptation
des risques
ne pas tenir à jour les critères
d’acceptation des risques
ne pas identifier les pilotes des risques
ne pas passer en revue les indicateurs
éléments d'entrée activités éléments de sortie
contexte de établir les critères d’acceptation des critères d’acceptation
l’entreprise risques des risques
exigences des parties identifier les risques liste des risques
intéressées attribuer les risques à des pilotes niveaux des risques
ressources analyser les risques liste des pilotes de
nécessaires évaluer les risques risque
conditions (normales sensibiliser le personnel sur les risques sensibilisation du
et anormales) communiquer personnel
tout risque identifié conserver les informations
achats informatiques documentées sur l’appréciation des
risques
ressources indicateurs procédures / documents clients
direction, risques identifiés amélioration continue, communication, audits l’ensemble du
responsables risques évalués internes, formation, planification, gestion des personnel et des
départements, changements, achats, maîtrise des processus, parties
pilotes processus, analyse des données, inspection / intéressées
processus, plan stratégique, politique, objectifs,
pilotes risques indicateurs, liste des risques, plans d'action,
liste processus, fiches processus, enquête de
satisfaction clients, demandes de
changement, rapports, AMDEC
[Link] 2/2
