Bonjour,

Voila maintenant 1 semaine que j'effectue des recherches sur les normes ISO 2700x dans le but de définir une politique de sécurité dans une entreprise.
N'ayant aucune experience particuliere dans ce domaine, je dois dire que je patauge un peu...

J'ai débuté en "listant" les actifs du departement Operation & Support (c'est ma scope) de la maniere suivante:

- Hardware
     Router / Switch
     Firewall /IDS / IPS
     Servers (mail, web, db, DC,?)
     Computers /IP Phones/ Printers

- Software
     Licenses
     
- Information (Data)
     User information (personal data)
     Mails / Fax
     Archives

- People
     O&S team

- Services
     ISP
     Power supplier

A partir de ce point (corriger moi déjà si je me trompe...;-)), je devrai réaliser une "analyse de risques" (ISO 27005), processus totalement inconnu pour moi.

Pour se faire, j'ai définit:
- le buisness process:
      Operation & Support

- les process IT:
      Backup - Restore
      Help Desk
      Physical Security
      Security Policy

- les IT Ressources:
      (cf liste des actifs hardware)

- les menaces:
      tremblements de terre
      attaque informatique (virus, trojan,...)
      panne de courant
      ...

N'étant pas du tout sûr de la justesse de mes étapes jusqu'à présent, je préfère me réferrer à vous avant de continuer dans la calculation des risques.

Avez-vous des remarques/ informations/ exemples?

Merci d'avance pour toute réponse!!!

Alligator