alligat0r

Bonjour, Voila maintenant 1 semaine que j'effectue des recherches sur les normes ISO 2700x dans le but de définir une politique de sécurité dans une entreprise. N'ayant aucune experience particuliere dans ce domaine, je dois dire que je patauge un peu... J'ai débuté en "listant" les actifs du departement Operation & Support (c'est ma scope) de la maniere suivante: - Hardware Router / Switch Firewall /IDS / IPS Servers (mail, web, db, DC,?) Computers /IP Phones/ Printers - Software Licenses - Information (Data) User information (personal data) Mails / Fax Archives - People O&S team - Services ISP Power supplier A partir de ce point (corriger moi déjà si je me trompe...), je devrai réaliser une "analyse de risques" (ISO 27005), processus totalement inconnu pour moi. Pour se faire, j'ai définit: - le buisness process: Operation & Support - les process IT: Backup - Restore Help Desk Physical Security Security Policy - les IT Ressources: (cf liste des actifs hardware) - les menaces: tremblements de terre attaque informatique (virus, trojan,...) panne de courant ... N'étant pas du tout sûr de la justesse de mes étapes jusqu'à présent, je préfère me réferrer à vous avant de continuer dans la calculation des risques. Avez-vous des remarques/ informations/ exemples? Merci d'avance pour toute réponse!!! Alligator