Bonjour,
Voila maintenant 1 semaine que j'effectue des recherches sur les normes ISO 2700x dans le but de définir une politique de sécurité dans une entreprise.
N'ayant aucune experience particuliere dans ce domaine, je dois dire que je patauge un peu...
J'ai débuté en "listant" les actifs du departement Operation & Support (c'est ma scope) de la maniere suivante:
- Hardware
Router / Switch
Firewall /IDS / IPS
Servers (mail, web, db, DC,?)
Computers /IP Phones/ Printers
- Software
Licenses
- Information (Data)
User information (personal data)
Mails / Fax
Archives
- People
O&S team
- Services
ISP
Power supplier
A partir de ce point (corriger moi déjà si je me trompe...;-)), je devrai réaliser une "analyse de risques" (ISO 27005), processus totalement inconnu pour moi.
Pour se faire, j'ai définit:
- le buisness process:
Operation & Support
- les process IT:
Backup - Restore
Help Desk
Physical Security
Security Policy
- les IT Ressources:
(cf liste des actifs hardware)
- les menaces:
tremblements de terre
attaque informatique (virus, trojan,...)
panne de courant
...
N'étant pas du tout sûr de la justesse de mes étapes jusqu'à présent, je préfère me réferrer à vous avant de continuer dans la calculation des risques.
Avez-vous des remarques/ informations/ exemples?
Merci d'avance pour toute réponse!!!
Alligator