Risk management standards
Les professionnels du risque disposent de plusieurs sources de normes et de cadres pour identifier et classer les risques. La liste suivante n’est pas exhaustive et il existe de nombreuses autres normes disponibles. Toutefois, cette liste pourrait permettre au professionnel du risque d’envisager une norme ou un cadre qui pourrait être utilisé dans son entreprise. De nombreux pays et secteurs d’activité disposent de normes spécifiques qui s’appliquent aux organisations opérant dans leur juridiction. L’utilisation d’une norme reconnue peut apporter crédibilité et exhaustivité au programme d’évaluation et de gestion des risques de l’entreprise, et rendre le programme de gestion des risques complet et compréhensible.
La norme ISO 31000:2018 stipule : Ce document est destiné aux personnes qui créent et protègent la valeur dans les organisations en gérant les risques, en prenant des décisions, en fixant et en atteignant des objectifs et en améliorant les performances. Les organisations de tous types et de toutes tailles sont confrontées à des facteurs et influences internes et externes qui entraînent une incertitude quant à leur capacité à atteindre leurs objectifs. La gestion des risques est itérative et aide les organisations à définir une stratégie, à atteindre des objectifs et à prendre des décisions éclairées. La gestion des risques fait partie de la gouvernance et du leadership et est fondamentale pour la manière dont l’organisation est gérée à tous les niveaux.
La norme ISO 31010:2019 stipule : Les organisations de tous types et de toutes tailles sont confrontées à une série de risques qui peuvent avoir un impact sur la réalisation de leurs objectifs. Ces objectifs peuvent concerner diverses activités de l’organisation, depuis les initiatives stratégiques jusqu’à ses opérations, processus et projets, et peuvent se refléter en termes sociaux, environnementaux et technologiques, dans les résultats de protection et de sécurité, dans les mesures commerciales, financières et économiques, ainsi que dans un impact sur la réputation sociale, culturelle et politique.
La norme ISO/IEC 27001:2013 stipule : L'organisation doit définir et appliquer un processus d'évaluation des risques de sécurité de l'information qui identifie les risques de sécurité de l'information, en appliquant le processus d'évaluation des risques de sécurité de l'information pour identifier les risques associés à la perte de confidentialité, d'intégrité et de disponibilité des informations dans le cadre du système de gestion de la sécurité de l'information, et en identifiant les propriétaires des risques.
L'ISO/IEC 27005 stipule : Cette norme internationale fournit des lignes directrices pour la gestion des risques associés à la sécurité de l'information dans une organisation, en prenant en charge en particulier les exigences d'un système de management de la sécurité de l'information (SMSI) basé sur l'ISO/IEC 27001. Cependant, cette norme ne fournit aucune méthodologie spécifique pour la gestion des risques associés à la sécurité de l'information. Il appartient à l’organisation de définir une approche de gestion des risques, en fonction, par exemple, du périmètre du SMSI, du contexte de gestion des risques ou du secteur d’activité.
Quelle norme aimez-vous ?
La norme ISO 31000:2018 stipule : Ce document est destiné aux personnes qui créent et protègent la valeur dans les organisations en gérant les risques, en prenant des décisions, en fixant et en atteignant des objectifs et en améliorant les performances. Les organisations de tous types et de toutes tailles sont confrontées à des facteurs et influences internes et externes qui entraînent une incertitude quant à leur capacité à atteindre leurs objectifs. La gestion des risques est itérative et aide les organisations à définir une stratégie, à atteindre des objectifs et à prendre des décisions éclairées. La gestion des risques fait partie de la gouvernance et du leadership et est fondamentale pour la manière dont l’organisation est gérée à tous les niveaux.
La norme ISO 31010:2019 stipule : Les organisations de tous types et de toutes tailles sont confrontées à une série de risques qui peuvent avoir un impact sur la réalisation de leurs objectifs. Ces objectifs peuvent concerner diverses activités de l’organisation, depuis les initiatives stratégiques jusqu’à ses opérations, processus et projets, et peuvent se refléter en termes sociaux, environnementaux et technologiques, dans les résultats de protection et de sécurité, dans les mesures commerciales, financières et économiques, ainsi que dans un impact sur la réputation sociale, culturelle et politique.
La norme ISO/IEC 27001:2013 stipule : L'organisation doit définir et appliquer un processus d'évaluation des risques de sécurité de l'information qui identifie les risques de sécurité de l'information, en appliquant le processus d'évaluation des risques de sécurité de l'information pour identifier les risques associés à la perte de confidentialité, d'intégrité et de disponibilité des informations dans le cadre du système de gestion de la sécurité de l'information, et en identifiant les propriétaires des risques.
L'ISO/IEC 27005 stipule : Cette norme internationale fournit des lignes directrices pour la gestion des risques associés à la sécurité de l'information dans une organisation, en prenant en charge en particulier les exigences d'un système de management de la sécurité de l'information (SMSI) basé sur l'ISO/IEC 27001. Cependant, cette norme ne fournit aucune méthodologie spécifique pour la gestion des risques associés à la sécurité de l'information. Il appartient à l’organisation de définir une approche de gestion des risques, en fonction, par exemple, du périmètre du SMSI, du contexte de gestion des risques ou du secteur d’activité.
Quelle norme aimez-vous ?
Commentaires
Enregistrer un commentaire