Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Ebios 1 guidemethodologique 2010 01 25 1

PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d ? information Sous- direction assistance conseil et expertise Bureau assistance et conseil Expression des Besoins et Identi ?cation des Objectifs de Sécurité EBIOS MÉTHODE DE GESTION DES RISQUES Version du janvier boulevard de La Tour-Maubourg - PARIS SP - Tél - Fax CANSSI ACE BAC EBIOS ?? Méthode de gestion des risques ?? janvier Historique des modi ?cations Date Objet de la modi ?cation Publication du guide d'expression des besoins et d'identi ?cation des objectifs de sécurité EBIOS Publication de la version du guide EBIOS convergence vers l'ISO ajout de l'étape ?? Détermination des exigences de sécurité clari ?cations et compléments Amélioration du guide EBIOS Prise en compte des nombreux retours d'expériences de l'ANSSI et du Club EBIOS Convergence des concepts vers les normes internationales relatives au système de management de la sécurité de l'information et à la gestion des risques ISO ISO ISO Guide et ISO Regroupement des sections Présentation Démarche et Techniques en un seul guide méthodologique Refonte complète de la présentation de la méthode Révision du contenu de la démarche méthodologique o Mise en évidence des avantages des parties prenantes des actions de communication et concertation et des actions de surveillance et revue dans les descriptions des activités o Module ajout de la dé ?nition du cadre de la gestion des risques vision projet étude des sources de menaces ? étude du contexte plus souple et davantage liée aux processus métiers regroupement de toutes les métriques au sein de la même activité mise en évidence de l'identi ?cation des sources de menaces et des mesures de sécurité existantes o Module expression des besoins selon les processus métiers développement de l'analyse des impacts lien avec les sources de menaces a ?n de disposer d'événements redoutés complets au sein du même module ajout de l'estimation et de l'évaluation des événements redoutés o Module étude des scénarios de menaces par bien support et non plus par vulnérabilité lien avec les sources de menaces a ?n de disposer de scénarios de menaces complets au sein du même module ajout de l'estimation et de l'évaluation des scénarios de menaces o Module mise en évidence de l'appréciation des risques hiérarchisation explicite des risques changement de forme des objectifs de sécurité notions de réduction transfert refus prise de risques o Module ajout explicite des notions de défense en profondeur de risques résiduels de déclaration d'applicabilité de plan d'action et de la validation Statut Validé Validé Validé Page sur CANSSI ACE BAC EBIOS ?? Méthode de gestion des risques ?? janvier Table des matières AVANT- PROPOS INTRODUCTION QU'EST-CE QU'EBIOS OBJECTIFS DU DOCUMENT DOMAINE D'APPLICATION RÉFÉRENCES RÉGLEMENTAIRES ET NORMATIVES STRUCTURE DU DOCUMENT GÉRER DURABLEMENT LES RISQUES SUR LE PATRIMOINE INFORMATIONNEL L'ENJEU ATTEINDRE SES OBJECTIFS SUR LA BASE DE DÉCISIONS RATIONNELLES DES PRATIQUES DIFFÉRENTES MAIS DES PRINCIPES COMMUNS LA SPÉCIFICITÉ DE LA SÉCURITÉ DE L'INFORMATION LE PATRIMOINE INFORMATIONNEL LA DIFFICULTÉ APPRÉHENDER LA COMPLEXITÉ LE BESOIN D'UNE MÉTHODE