📄️ 1. Terminologie importante
- Le terme système d'information est défini conformément au 44 U.S.C., Sec. 3502 comme « un ensemble discret de ressources d'information organisé pour la collecte, le traitement, la maintenance, l'utilisation, le partage, la diffusion ou la disposition d'informations. »
📄️ 2. Concepts clés de risque
Risque est une mesure de l'ampleur à laquelle une entité est menacée par une circonstance ou un événement potentiel, et est généralement une fonction de :
🗃️ 3. Modèles de risques
7 éléments
📄️ 7. Exposition au risque
L'exposition au risque reflète un jugement combiné basé sur des analyses de probabilité et d'impact. L'analyse de probabilité est notée via une combinaison du score d'analyse des menaces et des vulnérabilités susmentionné, comme indiqué dans la figure ci-dessous.
📄️ 8. Agrégation des risques
Les organisations peuvent utiliser l'agrégation des risques pour combiner plusieurs risques discrets ou de niveau inférieur en un risque plus général ou de niveau supérieur. Cette approche peut aider à gérer la portée et l'échelle des évaluations des risques à travers plusieurs systèmes d'information et processus métiers/de mission qui ont des relations et des dépendances définies.
📄️ 6. Risk Appetite & Risk Tolerance
Weighing Risk in Decisions
📄️ 4. Méthodes d'évaluation des risques
Le risque peut être évalué de différentes manières : quantitativement, qualitativement, ou de façon semi-quantitative. Chaque approche présente ses avantages et ses inconvénients, et les organisations choisissent en fonction de leur culture et de leurs attitudes face à l'incertitude et à la communication du risque.
📄️ 5. Approches d'analyse
Les approches d'analyse diffèrent en termes d'orientation ou de point de départ de l'évaluation des risques, du niveau de détail, et de la manière dont les risques liés à des scénarios de menace similaires sont traités. Une approche d'analyse peut être :