La norme internationale ISO/IEC 27005 intitulée « Technologies de l'information – Techniques de sécurité – Gestion des risques liés à la sécurité de l'information » fournit des lignes directrices relatives à la gestion des risques en sécurité de l'information. Elle vient notamment en support de la norme de certification ISO/IEC 27001, qui exige une mise en place de la sécurité de l'information basée sur une approche de gestion des risques.
Cette norme vient d’être révisée et une nouvelle version (ISO/IEC 27005:2011) a été publiée le 19 mai 2011. Le comité d’étude national luxembourgeois relatif au comité technique de normalisation « ISO/IEC JTC1/SC27 – Techniques de sécurité des technologies de l'information » a suivi et participé à cette révision.
Parmi les modifications apportées lors de cette révision, il est à noter principalement un alignement du processus proposé sur la norme ISO 31000:2009 « Management du risque – Principes et lignes directrices », qui fournit des principes et des lignes directrices générales sur le management du risque, applicables à tout type de risque, quelle que soit sa nature. De même, un alignement de la terminologie sur le Guide 73:2009 de l’ISO « Management du risque – Vocabulaire » a été effectué. Enfin, des informations supplémentaires concernant la réalisation de certaines étapes clés comme la détermination de la valeur des actifs et l’analyse des risques ont été ajoutées.
Pour vous inscrire au sein du comité technique de normalisation ISO/IEC JTC1/SC27, l'ensemble des conditions et explications est disponible ici :
http://www.ilnas.public.lu/fr/normalisation/participation-aux-travaux-de-normalisation/index.html
Enfin, pour toute question relative à ce domaine d'activité : confiance-numerique@ilnas.etat.lu