Analyse de risques - ISO 2700x

[alligat0r]

Bonjour,

 

Voila maintenant 1 semaine que j'effectue des recherches sur les normes ISO 2700x dans le but de définir une politique de sécurité dans une entreprise.

N'ayant aucune experience particuliere dans ce domaine, je dois dire que je patauge un peu...

 

J'ai débuté en "listant" les actifs du departement Operation & Support (c'est ma scope) de la maniere suivante:

 

- Hardware

Router / Switch

Firewall /IDS / IPS

Servers (mail, web, db, DC,?)

Computers /IP Phones/ Printers

 

- Software

Licenses

 

- Information (Data)

User information (personal data)

Mails / Fax

Archives

 

- People

O&S team

 

- Services

ISP

Power supplier

 

A partir de ce point (corriger moi déjà si je me trompe...), je devrai réaliser une "analyse de risques" (ISO 27005), processus totalement inconnu pour moi.

 

Pour se faire, j'ai définit:

- le buisness process:

Operation & Support

 

- les process IT:

Backup - Restore

Help Desk

Physical Security

Security Policy

 

- les IT Ressources:

(cf liste des actifs hardware)

 

- les menaces:

tremblements de terre

attaque informatique (virus, trojan,...)

panne de courant

...

 

N'étant pas du tout sûr de la justesse de mes étapes jusqu'à présent, je préfère me réferrer à vous avant de continuer dans la calculation des risques.

 

Avez-vous des remarques/ informations/ exemples?

 

Merci d'avance pour toute réponse!!!

 

Alligator