📄️ Introduction à la gestion des risques à plusieurs niveaux
La gestion des risques liés à la sécurité et à la confidentialité des systèmes d’information est une entreprise complexe qui nécessite l’implication de l’ensemble de l’organisation, des dirigeants principaux fournissant la vision stratégique et les objectifs globaux de l’organisation, aux dirigeants de niveau intermédiaire planifiant, exécutant et gérant les projets, aux individus qui développent, mettent en œuvre, exploitent et maintiennent les systèmes soutenant les missions et fonctions commerciales de l’organisation. La gestion des risques est une activité holistique qui affecte tous les aspects de l’organisation, y compris les activités de planification des missions et des affaires, l’architecture d’entreprise, les processus de cycle de vie du développement logiciel (SDLC) et les activités d’ingénierie des systèmes intégrées à ces processus du cycle de vie des systèmes.
📄️ Niveau 1 - Vue d'organisation
Le niveau 1 aborde le risque d'un point de vue organisationnel, en se concentrant sur l'établissement et la mise en œuvre de structures de gouvernance alignées sur les objectifs stratégiques, les buts et les exigences définis par les lois, directives, politiques, règlements, normes et fonctions de mission/d'affaires.
📄️ Niveau 2 - Vue du processus métier/de mission
Le niveau 2 aborde le risque d'un point de vue processus mission/affaires en concevant, développant et mettant en œuvre des processus mission/affaires qui soutiennent les missions/fonctions d'affaires définies au Niveau 1.
📄️ Niveau 3 - Vue du système d'information
Le Niveau 3 aborde les risques du point de vue des systèmes d'information et est guidé par le contexte de risque, les décisions de risque et les activités de risque des Niveaux 1 et 2.